路上送的免費充電寶暗藏木馬?技術專家:有可能!要當心!
更新時間:2020-4-28 9:55:59 來源:國互聯網聯合辟謠平台
辟謠平台
近日,某自媒體賬號拍攝的一段“免費充電寶暗藏玄機”的視頻在網上瘋傳。視頻中的“免費充電寶”被拆解後,赫然出現盜竊用戶手機信息的隱蔽裝置,這讓不少網友大驚失色。這是真的嗎?
對此,上海絢格科技一位資深技術專家向解放日報·上觀新聞記者表示 :被改裝後的充電寶竊取手機用戶信息,從理論和實踐上來講都是有可能的,裝個木馬程序就能實現。
網傳視頻截圖↑ (拆解電源有危險,請勿模仿)
陌生充電寶可能被改造 手機是否“授權”都有危險
視頻中的這個免費充電寶來自街頭派送。這段視頻一開頭就注明是“隱蔽拍攝”,拍攝者向一位正在派送禮品的中年婦女索取了一個充電寶,中年婦女警惕地問其職業,被拍攝者以“做大生意的”搪塞過去。
視頻後半段,拍攝者開始拆解該充電寶,發現其內部有一個類似U盤的裝置,一端連接充電寶電源,一端插有一張SIM卡。
拍攝者提醒:通過這個簡單裝置,黑客能竊取被連接充電手機中的信息,甚至可以盜刷微信和支付寶中的錢。
視頻最後提醒:春運期間,希望大家在火車站及各類車站,要加強防範,不要貪圖小便宜而造成更大的損失。
網傳視頻截圖↑ (拆解電源有危險,請勿模仿)
對此視頻,上海絢格科技一位資深技術專家表示,陌生充電寶的安全問題其實早已被技術人員注意到,其竊取信息原理可概括為:黑客在充電寶中偷偷安插木馬程序,使用者手機一旦與其連接,並且安卓係統手機選擇“允許訪問設備數據”、iOS係統手機選擇“信任該設備”,那麼手機中的數據就可立刻被盜取,木馬病毒在WiFi或者4G等網絡環境裏還能直接上傳到雲端或者傳輸給黑客。
更嚴重的是,如果安卓係統手機的開發者模式是開啟狀態,該手機還有可能被黑客遠程操控。
蘋果手機和安卓連接設備後的提示↑
那是否隻要不點“允許訪問”或“信任”就可以避免被竊信息嗎?
這位技術專家不這麼認為,他表示,一般情況下,安卓或者iOS係統手機在連接電腦時是需要對外接設備進行授權的,但是,理論上,隻要是係統,不可能百分百沒有漏洞,黑客甚至可以實現繞過授權這一步,隻要能想辦法拿到手機係統的目錄權限,也能入侵手機,盜取信息。
還有一種可能性,黑客會忽悠用戶開啟授權,手機用戶自己無意中開了授權都不知道。
因此,隨意將手機連接到任何來路不明的設備都是十分危險的,你不知道這個設備有沒有木馬病毒程序,充電寶也是如此。
改造成本不到300元 安卓係統和iOS係統都可能中招
使用來路不明充電寶遭遇信息被盜取的案例真實存在。
記者注意到,2015年11月27日,揚子晚報報道過一個案件。當地市民陳先生報警稱,因為借用了陌生人的充電寶,導致自己手機內的銀行卡信息外泄,存款被盜刷2000餘元。經過辦案民警檢測,陳先生的手機曾連接不明電源數據,而被病毒侵入,最終導致手機內的數據外泄。
2017年5月15日,“@上海網警”也曾發布長微博,對充電寶有可能被人利用暗藏木馬病毒作出提醒。
網警提醒↑
該長微博提到了浙江工業大學網絡安全協會研究員鄭毓波的一個實驗。
實驗員在充電寶中裝入微型電腦板,手機接入充電寶,木馬程序進入手機,實驗員可隨意通過木馬程序查看該手機中的通訊錄和照片等資料,甚至可以進入支付寶等軟件進行惡意消費和轉賬,也可隨意接收驗證短信更改密碼。即便拔掉充電寶,手機依然處於被木馬程序控製狀態。
實驗指出,惡意改造一個充電寶,成本不到300元,USB接口的背後,到底是微型電腦還是普通電源,用戶從外形上完全看不出。
實驗插圖↑
實驗中,浙江工業大學教授、網絡信息安全專家陳軼民表示,手機被侵入這種情況,主要發生在安卓係統上,因為安卓係統有ADB開發者模式,這種模式本意是給開發者用的,權限非常高,基本可以控製整個手機。
所以,要確保此類手機的安全,最好是關閉手機設置中的“開發者模式”。如果你接入充電寶或者下載程序時,接到開啟開發者模式的請求,通常來說這款程序就是惡意的。
無獨有偶,網上還流傳有“木馬充電寶”入侵iOS係統手機、也就是蘋果手機的實驗。互聯網資訊博主“@差評君”曾在2017年5月對街頭的“共享充電寶”進行過測試。
該博主隨機從街頭借到一個共享充電寶,改造後在充電寶成功裝入了長度僅幾厘米的微型計算機,而從外形上完全看不出異樣。當一台蘋果手機被插入充電寶充電時,iOS係統跳出“要信任此電腦嗎”的提問時,如果一不小心點到“信任”選項,手機上的所有信息都會被自動同步到微型計算機的SD卡上,在有WiFi的環境下這些信息還可以自動上傳到雲端。
不過,這個實驗在網民中的評價是褒貶不一,有網友認同這種未雨綢繆式的善意提醒,但也有網友表示,這種對於共享充電寶進行改造的方式可能會被壞人利用。
勿使用陌生外接設備!
因此,網傳視頻中免費贈送的充電寶很有可能就是個陷阱。
如何避免陷入這類陷阱呢?上海絢格科技的這位資深技術專家提了四點建議—— 第一,不隨便使用外置設備,不要隨意安裝軟件;第二,按時對手機進行流量檢測,這是最準的,可以安裝一些工具來檢測,一旦手機流量異常,就可能有貓膩;第三,及時更新手機係統的版本;第四,不僅僅是充電寶,其實不少智能硬件也不可避免地會有些安全性弊端,這是一個繞不過去的問題,最好對陌生設備保持“零信任”態度,提高警惕。
“@上海網警”在2017年這條長微博中也已作出提醒:手機充電固然重要,也不要忽視可能存在的安全隱患;如果充電寶在接入時,要求開啟開發者模式,請千萬保持警惕,立刻刪除程序或者拔出連接線,對手機進行木馬查殺。
其實不僅僅是充電寶,對於街邊的手機充電樁也是一樣要小心。
1月30日,也就是在本周二,“@深圳網警”也作出專門提醒:違法犯罪分子在人流聚集地方免費贈送充電寶,通過偽裝的充電寶種植木馬病毒,要小心“荷包”被盜。對此,深圳警方提醒: ①手機接入手機充電樁(充電寶)時,如果需要權限請求,一律拒絕(包括USB調試與設備信任)。 ②部分手機充電樁(充電寶)隻提供USB孔,請使用隻有充電功能(無數據傳輸功能)的充電線。 ③使用手機充電樁(充電寶)時,將設備關機。 ④一定要手機安裝殺毒軟件,並定期進行殺毒,避免受到木馬攻擊。
 |
 |
 |
|
||||
 |
焦作網免責聲明: | |||||||
|
||||||||
近日,某自媒體賬號拍攝的一段“免費充電寶暗藏玄機”的視頻在網上瘋傳。視頻中的“免費充電寶”被拆解後,赫然出現盜竊用戶手機信息的隱蔽裝置,這讓不少網友大驚失色。這是真的嗎?
對此,上海絢格科技一位資深技術專家向解放日報·上觀新聞記者表示 :被改裝後的充電寶竊取手機用戶信息,從理論和實踐上來講都是有可能的,裝個木馬程序就能實現。
網傳視頻截圖↑ (拆解電源有危險,請勿模仿)
陌生充電寶可能被改造 手機是否“授權”都有危險
視頻中的這個免費充電寶來自街頭派送。這段視頻一開頭就注明是“隱蔽拍攝”,拍攝者向一位正在派送禮品的中年婦女索取了一個充電寶,中年婦女警惕地問其職業,被拍攝者以“做大生意的”搪塞過去。
視頻後半段,拍攝者開始拆解該充電寶,發現其內部有一個類似U盤的裝置,一端連接充電寶電源,一端插有一張SIM卡。
拍攝者提醒:通過這個簡單裝置,黑客能竊取被連接充電手機中的信息,甚至可以盜刷微信和支付寶中的錢。
視頻最後提醒:春運期間,希望大家在火車站及各類車站,要加強防範,不要貪圖小便宜而造成更大的損失。
網傳視頻截圖↑ (拆解電源有危險,請勿模仿)
對此視頻,上海絢格科技一位資深技術專家表示,陌生充電寶的安全問題其實早已被技術人員注意到,其竊取信息原理可概括為:黑客在充電寶中偷偷安插木馬程序,使用者手機一旦與其連接,並且安卓係統手機選擇“允許訪問設備數據”、iOS係統手機選擇“信任該設備”,那麼手機中的數據就可立刻被盜取,木馬病毒在WiFi或者4G等網絡環境裏還能直接上傳到雲端或者傳輸給黑客。
更嚴重的是,如果安卓係統手機的開發者模式是開啟狀態,該手機還有可能被黑客遠程操控。
蘋果手機和安卓連接設備後的提示↑
那是否隻要不點“允許訪問”或“信任”就可以避免被竊信息嗎?
這位技術專家不這麼認為,他表示,一般情況下,安卓或者iOS係統手機在連接電腦時是需要對外接設備進行授權的,但是,理論上,隻要是係統,不可能百分百沒有漏洞,黑客甚至可以實現繞過授權這一步,隻要能想辦法拿到手機係統的目錄權限,也能入侵手機,盜取信息。
還有一種可能性,黑客會忽悠用戶開啟授權,手機用戶自己無意中開了授權都不知道。
因此,隨意將手機連接到任何來路不明的設備都是十分危險的,你不知道這個設備有沒有木馬病毒程序,充電寶也是如此。
改造成本不到300元 安卓係統和iOS係統都可能中招
使用來路不明充電寶遭遇信息被盜取的案例真實存在。
記者注意到,2015年11月27日,揚子晚報報道過一個案件。當地市民陳先生報警稱,因為借用了陌生人的充電寶,導致自己手機內的銀行卡信息外泄,存款被盜刷2000餘元。經過辦案民警檢測,陳先生的手機曾連接不明電源數據,而被病毒侵入,最終導致手機內的數據外泄。
2017年5月15日,“@上海網警”也曾發布長微博,對充電寶有可能被人利用暗藏木馬病毒作出提醒。
網警提醒↑
該長微博提到了浙江工業大學網絡安全協會研究員鄭毓波的一個實驗。
實驗員在充電寶中裝入微型電腦板,手機接入充電寶,木馬程序進入手機,實驗員可隨意通過木馬程序查看該手機中的通訊錄和照片等資料,甚至可以進入支付寶等軟件進行惡意消費和轉賬,也可隨意接收驗證短信更改密碼。即便拔掉充電寶,手機依然處於被木馬程序控製狀態。
實驗指出,惡意改造一個充電寶,成本不到300元,USB接口的背後,到底是微型電腦還是普通電源,用戶從外形上完全看不出。
實驗插圖↑
實驗中,浙江工業大學教授、網絡信息安全專家陳軼民表示,手機被侵入這種情況,主要發生在安卓係統上,因為安卓係統有ADB開發者模式,這種模式本意是給開發者用的,權限非常高,基本可以控製整個手機。
所以,要確保此類手機的安全,最好是關閉手機設置中的“開發者模式”。如果你接入充電寶或者下載程序時,接到開啟開發者模式的請求,通常來說這款程序就是惡意的。
無獨有偶,網上還流傳有“木馬充電寶”入侵iOS係統手機、也就是蘋果手機的實驗。互聯網資訊博主“@差評君”曾在2017年5月對街頭的“共享充電寶”進行過測試。
該博主隨機從街頭借到一個共享充電寶,改造後在充電寶成功裝入了長度僅幾厘米的微型計算機,而從外形上完全看不出異樣。當一台蘋果手機被插入充電寶充電時,iOS係統跳出“要信任此電腦嗎”的提問時,如果一不小心點到“信任”選項,手機上的所有信息都會被自動同步到微型計算機的SD卡上,在有WiFi的環境下這些信息還可以自動上傳到雲端。
不過,這個實驗在網民中的評價是褒貶不一,有網友認同這種未雨綢繆式的善意提醒,但也有網友表示,這種對於共享充電寶進行改造的方式可能會被壞人利用。
勿使用陌生外接設備!
因此,網傳視頻中免費贈送的充電寶很有可能就是個陷阱。
如何避免陷入這類陷阱呢?上海絢格科技的這位資深技術專家提了四點建議—— 第一,不隨便使用外置設備,不要隨意安裝軟件;第二,按時對手機進行流量檢測,這是最準的,可以安裝一些工具來檢測,一旦手機流量異常,就可能有貓膩;第三,及時更新手機係統的版本;第四,不僅僅是充電寶,其實不少智能硬件也不可避免地會有些安全性弊端,這是一個繞不過去的問題,最好對陌生設備保持“零信任”態度,提高警惕。
“@上海網警”在2017年這條長微博中也已作出提醒:手機充電固然重要,也不要忽視可能存在的安全隱患;如果充電寶在接入時,要求開啟開發者模式,請千萬保持警惕,立刻刪除程序或者拔出連接線,對手機進行木馬查殺。
其實不僅僅是充電寶,對於街邊的手機充電樁也是一樣要小心。
1月30日,也就是在本周二,“@深圳網警”也作出專門提醒:違法犯罪分子在人流聚集地方免費贈送充電寶,通過偽裝的充電寶種植木馬病毒,要小心“荷包”被盜。對此,深圳警方提醒: ①手機接入手機充電樁(充電寶)時,如果需要權限請求,一律拒絕(包括USB調試與設備信任)。 ②部分手機充電樁(充電寶)隻提供USB孔,請使用隻有充電功能(無數據傳輸功能)的充電線。 ③使用手機充電樁(充電寶)時,將設備關機。 ④一定要手機安裝殺毒軟件,並定期進行殺毒,避免受到木馬攻擊。
 |
|
||||
|
焦作網免責聲明: | |||||||
|
||||||||
|
 掃一掃在手機打開當前頁 |
