充電須謹慎,免費充電站可能會讀取手機裏的全部信息


黑客對手機漏洞無孔不入。手機通過不信任的電源充電時很有可能會泄露個人隱私,即使是使用原配USB線通過自己的電腦充電時,也存在被黑的風險。

現在在機場、火車站、咖啡館等公共場所中,免費充電站隨處可見,充電站附近的座位也經常是這些公共場所中最火爆的,但使用者卻往往意識不到使用時潛在的隱患與風險。

近日,卡巴斯基實驗室的安全專家們為此專門做了一個實驗,來解釋與論證這類黑客攻擊的存在性與真實性。

為了找出手機在通過電腦充電時,會具體泄露出什麼信息與數據,專家們研究分析了各種各樣基於Android系統與ios系統的手機,如三星、Google、iPhone。研究發現當手機連接電腦時會共享許多信息,尤其在接入識別時,幾乎會顯示出手機的所有信息。其中包括:

引用DN – Device Name 設備名稱
DM – Device Manufacturer 設備製造商

DT – Device Type 設備類型

SN – Serial Number 序列號

FW – Firmware info 固件信息

OS – Operating System info 操作系統信息

FS – File system info/file list 文件系統信息/文件列表

ECID – Electronic Chip ID 電子芯片ID

早在2014年的黑帽大會上,專家 Andre Pereira就宣稱,僅僅把手機簡單地插在經過設置的“偽裝”充電站上,就可以實現侵入。他是通過AT口令來控制手機的,這個口令通常用來與移動設備的調制解調器互相獲取信息。

卡巴斯基的專家們在此次的研究中也使用了相同的技術,通過電腦與手機原配USB數據線成功控制了手機。在試驗中,他們用一套AT口令刷新了手機,並悄無聲息地安裝了一個可以完全控制手機的應用程序。專家們表示,當電腦與手機連接時,電腦在檢索手機數據的同時,為黑客尋找可以控制手機的漏洞提供了便利。


卡巴斯基的研究專家們發現,涉及偽造充電站的事件雖然還並未被大量曝光出來,手機用户們也並沒有對此引起足夠的重視,但已經有安全公司發現了一些與此類事件相似的網絡攻擊行為。一個名叫紅色十月APT的黑客團隊就經常利用AT口令技術對手機進行侵入。

“很奇怪,在如何通過USB數據線侵入手機的技術被證實的兩年時間後,這個技術仍然可以被成功應用。然而使用不信任的電源給手機充電的安全隱患已經顯而易見。如果是個普通手機用户,在被侵入後,會被植入許多廣告與詐騙信息,如果你是一家企業的領導,手機裏也許存有與企業相關的重要信息,那麼就很容易會成為職業黑客的目標。”卡巴斯基實驗室的專家,Alexey Komarov 説,“甚至並不需要很複雜的技術就能實現侵入,所需要的信息資料網上都能查得到。”

雷鋒網(搜索“雷鋒網”公眾號關注)發現,國內也有過一些關於手機充電會造成個人信息泄露的報道。在各大客運站、火車站、機場隨處的可見的充電站中,有一家名為暢充科技的供應商,當手機插入該充電站進行充電時,會以高速充電為名,要求手機用户向充電站的電腦開放權限,允許後,手機上便會自動安裝一些App。


一些充電寶也自帶信息讀取功能。當手機插入時,會通過USB接口自動拷貝手機中的數據,充電寶上的燈滅了,就證明手機數據已經拷貝完畢。此時,手機的基本信息、手機中的視頻、照片、短信等都會被充電寶讀取。這種可以改裝的充電寶多數在網店兜售。因為其改裝難度不大,懂電子設備的人都可以給它“改頭換面”。

為了更好地保護自己的個人信息,卡巴斯基實驗室的專家建議:

引用只使用安全可信任的USB數據線及電源充電

使用手機密碼,並在充電時不要為手機解鎖

使用加密技術與安全防護設備來保護數據安全

同時對手機以及常用電腦進行安全防護,遠離惡意軟件

安全專家告訴雷鋒網,USB調試功能是手機上的最後一把鎖,蘋果手機也會提示是否允許信任,一旦允許以後,手機內的信息就會任由侵入者“宰割”。手機正常充電時,也不會出現需要獲得手機權限的任何提示。因此,在使用陌生電源進行充電時,如提示需要獲取手機權限,一定要謹慎。


資料來源:雷鋒網
作者/編輯:張丹

如果喜歡我們的文章,請即分享到︰