放開那個共享充電寶!——當共享經濟成為流行,誰來保護你的信息安全?
野生的共享充電寶,要試試嗎?
“共享經濟”是從美國流入國內的,它基于陌生人之間物品使用權的暫時轉移,是一種新的經濟模式。2017年正好是智能手機誕生的第10個年頭,手機定位已經發生了巨大改變:從媲美電腦的處理能力,到無所不能的APP生態,再到3G、4G、5G等高速移動網絡,我們見證了過去10年信息技術在手機上的飛躍式發展。
與此形成鮮明對比的是,手機電池技術的發展卻似乎停滯不前,隨著我們使用手機的頻率越來越高,手機電量和續航已經成為瓶頸。
電池技術屬于基礎物理學科的研究范疇,要取得突破性進展還需一段時日。因此,此時此刻若想解決手機電量不夠用的問題,只能依靠其它方法,而移動充電寶就是一個快捷廉價的解決方案。但是,移動充電寶并不是人們無時無刻都會帶在身上的東西。“共享”充電寶的創意由此產生。
出門在外,手機沒電了,找個點掃個碼用共享充電寶,馬上手機滿狀態復活,豈不美哉?可是……共享充電寶存在信息安全隱患。
同一個接口,同一種隱患
最近肆虐全球的wannacry病毒實際上是從斯諾登揭露的“棱鏡計劃”中的一個網絡工具“永恒之藍”變種而來。而在 “棱鏡計劃”中則存在著另一個可怕的竊聽設備,名為Cottonmouth,它基于USB接口,將Cottonmouth插上USB接口后,就能夠偷偷往目標設備中安裝惡意程序。
很多人可能不知道,雖然目前大部分智能手機的充電口看起來與傳統USB接口不太一樣,但事實上卻只是另一種USB接口制式而已,它們在本質上是一致的。也就是說,在充電寶中植入Cottonmouth(及其變種病毒),就可以達到入侵手機的目的。
網上已經有黑客公開了在充電寶中植入木馬病毒的方法。黑客向我們展現了一種手段,將被植入木馬病毒的充電寶插入手機后,黑客的電腦控制端就可以獲得Android手機的實時截屏,這時候如果你使用類似支付寶的二維碼付款功能時,付款二維碼就會被黑客獲取,從而導致支付寶和銀行卡的賬戶現金被盜。
更讓人毛骨悚然的是,此類木馬病毒一經植入,即使拔掉充電寶,也依然可以運行。而且,類似行為的違法成本很低,在充電寶中植入一枚監控芯片的成本只有區區不到300元而已。
另外就算是蘋果的iOS系統,也不能對植入木馬病毒的充電寶免疫。
不信任那些共享充電寶的我,只好自帶充電寶了。
現在我們的手機存儲了太多個人重要信息,現階段針對手機電量問題最好的解決辦法,就是自己去買一個大品牌的充電寶時刻隨身攜帶。
最后,有三點使用充電寶時的安全小貼士分享給大家:
- 第一,堅決與需要手機系統授權的充電寶說NO!。或者你可以在使用時,把USB接入設置成僅充電。
- 第二,給手機安裝一個靠譜的殺毒軟件。
- 第三,二營長,把勞資的充電寶拿來!
【本文為51CTO專欄“柯力士信息安全”原創稿件,轉載請聯系原作者(微信號:JW-assoc)】
