只是借了个共享充电宝,然后点了 " 信任设备 " 的弹窗,手机里的敏感信息便被偷窃,甚至银行卡都被莫名其妙的盗刷,这并不是电影里的桥段,而是真实发生的事情。近日公安部门披露了 " 病毒芯片充电宝 " 骗局,显示不法分子会提前在充电宝里植入病毒芯片,一旦连接手机,手机里的信息就会一览无余,甚至可以远程控制手机,打开付款码。
由于共享充电宝厂商没办法分辨借走充电宝的人究竟是好是坏,所以不法分子正是利用这一点,先借出充电宝,再对其进行 " 改装 ",然后归还,再等待 " 有缘人 " 将带毒的充电宝借走即可。其实他们给充电宝下毒的方法很简单,只需要将带有恶意程序的芯片嵌入充电宝的电路板,激活 USB 接口中的 D+、D- 数据引脚,就能让充电宝成为恶意程序进攻受害者手机的跳板。
简而言之,不法分子利用 USB 协议将恶意程序倒灌到用户的手机里,其实就是所谓的 "BadUSB 攻击 "。而 BadUSB 攻击并不是将 USB 设备作为病毒或恶意软件的载体,而是改造设备本身,这是一个在 PC 领域广为流传、且防不胜防的攻击方式。" 病毒芯片充电宝 " 就是不法分子将这个手段引入移动端的结果。
在 PC 上,由于 Windows 等操作系统会对鼠标、键盘等 HID 设备 " 无条件信任 ",所以一旦将承载了 BadUSB 固件的设备连接到电脑,就会主动欺骗操作系统,将自己伪装成一个受信任的设备,并开始执行预设的攻击指令。
不法分子选择共享充电宝其实大有深意,因为后者是促成用户主动点击授权按钮的关键。通常用户选择租借共享充电宝的原因基本相同,那就是手机电量不足,这会使得他们处于电量焦虑中。为了不与互联网世界断联,用户宁愿被 " 共享充电宝刺客 " 攻击,下意识地点击信任设备或是打开 USB 调试也就在所难免了。
彼时想要给手机下载 App 是一件非常麻烦的事情,早期的 App Store 在国内提供的服务极不稳定,App 无法正常下载或更新、一直转圈曾让不少果粉头疼,隔壁的 Android 则更差,Android Market(Google Play 前身)在国内几乎无法访问,一众第三方应用商店收录的 App 版本则参差不齐,对不同型号机型的兼容性更是极差。
如今绝大多数人下载 App 已经不再需要通过连接电脑来实现,同时以 iCloud 为代表的手机厂商官方云服务也走入了千家万户,传输照片、视频、文件等需求基本在云端就能实现,也不必通过电脑来作为中介。
时至今日,智能手机早已不是电脑的附庸,而是一个独立的计算终端。对于当下的手机用户来说,借助 USB 数据线传输数据就变成了一个怀旧行为,以至于不少人可能都不知道 USB 接口有充电之外的其他功能。
充电宝可以被不法分子利用是一个问题,普通用户是否值得被攻击又是另一个问题。如今智能手机早已不是单纯的通信工具,更是成为了个人生活的中心。别的不谈,公安机关就曾展示不法分子获得了手机里存储的私密照片等敏感信息,然后勒索受害者的案例。
【本文图片来自网络】
