路上送的免费充电宝暗藏木马?技术专家:有可能!要当心!

2018-02-06 09:57:51来源:上观新闻编辑:金婵娟宋慧

  摘要:充电宝里可能暗藏木马病毒程序。

  近日,某自媒体账号拍摄的一段“免费充电宝暗藏玄机”的视频在网上疯传。视频中的“免费充电宝”被拆解后,赫然出现盗窃用户手机信息的隐蔽装置,这让不少网友大惊失色。这是真的吗?对此,上海绚格科技一位资深技术专家向解放日报·上观新闻记者表示:被改装后的充电宝窃取手机用户信息,从理论和实践上来讲都是有可能的,装个木马程序就能实现。

  网传视频截图↑(拆解电源有危险,请勿模仿)

  陌生充电宝可能被改造 手机是否“授权”都有危险

  视频中的这个免费充电宝来自街头派送。这段视频一开头就注明是“隐蔽拍摄”,拍摄者向一位正在派送礼品的中年妇女索取了一个充电宝,中年妇女警惕地问其职业,被拍摄者以“做大生意的”搪塞过去。视频后半段,拍摄者开始拆解该充电宝,发现其内部有一个类似U盘的装置,一端连接充电宝电源,一端插有一张SIM卡。拍摄者提醒:通过这个简单装置,黑客能窃取被连接充电手机中的信息,甚至可以盗刷微信和支付宝中的钱。视频最后提醒:春运期间,希望大家在火车站及各类车站,要加强防范,不要贪图小便宜而造成更大的损失。

  网传视频截图↑(拆解电源有危险,请勿模仿)

  对此视频,上海绚格科技一位资深技术专家表示,陌生充电宝的安全问题其实早已被技术人员注意到,其窃取信息原理可概括为:黑客在充电宝中偷偷安插木马程序,使用者手机一旦与其连接,并且安卓系统手机选择“允许访问设备数据”、iOS系统手机选择“信任该设备”,那么手机中的数据就可立刻被盗取,木马病毒在WiFi或者4G等网络环境里还能直接上传到云端或者传输给黑客。更严重的是,如果安卓系统手机的开发者模式是开启状态,该手机还有可能被黑客远程操控。

  苹果手机和安卓连接设备后的提示↑

  那是否只要不点“允许访问”或“信任”就可以避免被窃信息吗?

  这位技术专家不这么认为,他表示,一般情况下,安卓或者iOS系统手机在连接电脑时是需要对外接设备进行授权的,但是,理论上,只要是系统,不可能百分百没有漏洞,黑客甚至可以实现绕过授权这一步,只要能想办法拿到手机系统的目录权限,也能入侵手机,盗取信息。还有一种可能性,黑客会忽悠用户开启授权,手机用户自己无意中开了授权都不知道。因此,随意将手机连接到任何来路不明的设备都是十分危险的,你不知道这个设备有没有木马病毒程序,充电宝也是如此。

  改造成本不到300元 安卓系统和iOS系统都可能中招

  使用来路不明充电宝遭遇信息被盗取的案例真实存在。记者注意到,2015年11月27日,扬子晚报报道过一个案件。当地市民陈先生报警称,因为借用了陌生人的充电宝,导致自己手机内的银行卡信息外泄,存款被盗刷2000余元。经过办案民警检测,陈先生的手机曾连接不明电源数据,而被病毒侵入,最终导致手机内的数据外泄。

  2017年5月15日,“@上海网警”也曾发布长微博,对充电宝有可能被人利用暗藏木马病毒作出提醒。

  网警提醒↑

  该长微博提到了浙江工业大学网络安全协会研究员郑毓波的一个实验。实验员在充电宝中装入微型电脑板,手机接入充电宝,木马程序进入手机,实验员可随意通过木马程序查看该手机中的通讯录和照片等资料,甚至可以进入支付宝等软件进行恶意消费和转账,也可随意接收验证短信更改密码。即便拔掉充电宝,手机依然处于被木马程序控制状态。实验指出,恶意改造一个充电宝,成本不到300元,USB接口的背后,到底是微型电脑还是普通电源,用户从外形上完全看不出。

  实验插图↑

  实验中,浙江工业大学教授、网络信息安全专家陈轶民表示,手机被侵入这种情况,主要发生在安卓系统上,因为安卓系统有ADB开发者模式,这种模式本意是给开发者用的,权限非常高,基本可以控制整个手机。所以,要确保此类手机的安全,最好是关闭手机设置中的“开发者模式”。如果你接入充电宝或者下载程序时,接到开启开发者模式的请求,通常来说这款程序就是恶意的。

  无独有偶,网上还流传有“木马充电宝”入侵iOS系统手机、也就是苹果手机的实验。互联网资讯博主“@差评君”曾在2017年5月对街头的“共享充电宝”进行过测试。该博主随机从街头借到一个共享充电宝,改造后在充电宝成功装入了长度仅几厘米的微型计算机,而从外形上完全看不出异样。当一台苹果手机被插入充电宝充电时,iOS系统跳出“要信任此电脑吗”的提问时,如果一不小心点到“信任”选项,手机上的所有信息都会被自动同步到微型计算机的SD卡上,在有WiFi的环境下这些信息还可以自动上传到云端。不过,这个实验在网民中的评价是褒贬不一,有网友认同这种未雨绸缪式的善意提醒,但也有网友表示,这种对于共享充电宝进行改造的方式可能会被坏人利用。

  如何应对?勿使用陌生外接设备!

  因此,网传视频中免费赠送的充电宝很有可能就是个陷阱。如何避免陷入这类陷阱呢?上海绚格科技的这位资深技术专家提了四点建议——

  第一,不随便使用外置设备,不要随意安装软件;第二,按时对手机进行流量检测,这是最准的,可以安装一些工具来检测,一旦手机流量异常,就可能有猫腻;第三,及时更新手机系统的版本;第四,不仅仅是充电宝,其实不少智能硬件也不可避免地会有些安全性弊端,这是一个绕不过去的问题,最好对陌生设备保持“零信任”态度,提高警惕。

  “@上海网警”在2017年这条长微博中也已作出提醒:手机充电固然重要,也不要忽视可能存在的安全隐患;如果充电宝在接入时,要求开启开发者模式,请千万保持警惕,立刻删除程序或者拔出连接线,对手机进行木马查杀。

  其实不仅仅是充电宝,对于街边的手机充电桩也是一样要小心。1月30日,也就是在本周二,“@深圳网警”也作出专门提醒:违法犯罪分子在人流聚集地方免费赠送充电宝,通过伪装的充电宝种植木马病毒,要小心“荷包”被盗。对此警方提醒:①手机接入手机充电桩(充电宝)时,如果需要权限请求,一律拒绝(包括USB调试与设备信任)。②部分手机充电桩(充电宝)只提供USB孔,请使用只有充电功能(无数据传输功能)的充电线。③使用手机充电桩(充电宝)时,将设备关机。④一定要手机安装杀毒软件,并定期进行杀毒,避免受到木马攻击。

    编辑推荐