五一小長(zhǎng)假即將到來(lái),,你是否已經(jīng)計(jì)劃好去哪里游玩了呢,?在旅行中,手機(jī)電量常常會(huì)迅速耗盡。這時(shí)候,,機(jī)場(chǎng)、車(chē)站或商場(chǎng)里的公共充電站似乎能解燃眉之急。只需將USB線(xiàn)插入手機(jī),人和手機(jī)仿佛都恢復(fù)了活力,。
然而,這些公共充電站可能隱藏著風(fēng)險(xiǎn),。有一種名為“果汁挾持”的陷阱,,早在智能手機(jī)興起時(shí)就已存在。這種陷阱通過(guò)偽裝成充電器的惡意硬件,,在手機(jī)連接電源的瞬間竊取手機(jī)中的數(shù)據(jù)和照片,。國(guó)內(nèi)315晚會(huì)也曾曝光過(guò)這一問(wèn)題,。
十幾年前,Google和蘋(píng)果等廠商發(fā)現(xiàn)了這個(gè)問(wèn)題,,并通過(guò)添加USB連接認(rèn)證等措施進(jìn)行防護(hù),。當(dāng)有外部設(shè)備試圖訪問(wèn)手機(jī)文件時(shí),系統(tǒng)會(huì)彈出提醒,,用戶(hù)可以選擇“不允許”,從而阻止惡意程序繞過(guò)安全系統(tǒng),。但如今,,“果汁挾持”升級(jí)為“選擇挾持”,再次卷土重來(lái),。據(jù)Ars Technica報(bào)道,,這種新的騙局旨在繞過(guò)原有的安全選項(xiàng)。
為了防止“果汁挾持”,,廠商給手機(jī)的USB連接設(shè)置了一個(gè)確認(rèn)機(jī)制:一個(gè)設(shè)備不能同時(shí)擔(dān)任主機(jī)和外設(shè),。當(dāng)USB設(shè)備連接到手機(jī)時(shí),只能通過(guò)手機(jī)上的“允許”按鈕進(jìn)行連接認(rèn)證,?!斑x擇挾持”則巧妙地利用了這一機(jī)制的缺陷,先將惡意主機(jī)偽裝成“外設(shè)”,,再讓這個(gè)“外設(shè)”變成“主機(jī)”,。
這種攻擊方式具有普適性,無(wú)論是iOS還是Android設(shè)備都可能成為目標(biāo),。包括蘋(píng)果,、Google、三星,、小米在內(nèi)的多個(gè)品牌十多款手機(jī)均被攻破,。有趣的是,部分不支持完整PD協(xié)議的手機(jī)反而因這一點(diǎn)而降低了被攻擊的風(fēng)險(xiǎn),。
許多人在手機(jī)電量告急時(shí),,可能會(huì)毫不猶豫地使用看似免費(fèi)的充電端口。并且,,普通用戶(hù)可能不會(huì)完全理解手機(jī)上突然彈出的“USB權(quán)限”彈窗背后的意義,,以為只是簡(jiǎn)單的充電連接,從而主動(dòng)關(guān)閉防線(xiàn),。
廠商已經(jīng)采取了應(yīng)對(duì)措施,,例如去年11月推送的Android 15更新和上個(gè)月更新的iOS/iPadOS 18.4版本都更新了相關(guān)機(jī)制。但由于Android生態(tài)系統(tǒng)的碎片化,,許多老設(shè)備無(wú)法及時(shí)獲得更新,,一些第三方Android UI也未采用新的USB驗(yàn)證機(jī)制,,依然容易受到攻擊。
漏洞發(fā)現(xiàn)者Florian Draschbacher表示,,即使一年前就警告了設(shè)備制造商,,修復(fù)進(jìn)度卻非常緩慢。這可能是因?yàn)榧訌?qiáng)USB訪問(wèn)手機(jī)的安全性需要增加大量驗(yàn)證措施,,對(duì)用戶(hù)體驗(yàn)影響較大,,因此制造商猶豫不決。
對(duì)于“選擇挾持”這種“舊瓶裝新酒”的安全問(wèn)題,,大眾的態(tài)度已經(jīng)不像十年前那樣緊張,。有些人甚至對(duì)此嗤之以鼻,認(rèn)為這只是“狼來(lái)了”的故事,。但實(shí)際上,,雖然目前沒(méi)有大量實(shí)際損失報(bào)告,不代表風(fēng)險(xiǎn)不存在,。
最保險(xiǎn)的做法是在出游時(shí)盡量使用自己的充電寶或大品牌的共享充電寶,。即使有公共電源,也最好用自己的充電插頭,,避免使用可疑的USB充電線(xiàn),。此外,保持手機(jī)系統(tǒng)正常升級(jí),,避免使用可疑的USB線(xiàn),,不隨便同意莫名的USB權(quán)限,也能有效規(guī)避這些安全陷阱,。
祝你五一快樂(lè),,享受美好的假期吧!