五一小長假即將到來,，你是否已經(jīng)計(jì)劃好去哪里游玩了呢,？在旅行中,，手機(jī)電量常常會(huì)迅速耗盡,。這時(shí)候,，機(jī)場,、車站或商場里的公共充電站似乎能解燃眉之急,。只需將USB線插入手機(jī),，人和手機(jī)仿佛都恢復(fù)了活力,。

然而,，這些公共充電站可能隱藏著風(fēng)險(xiǎn)。有一種名為“果汁挾持”的陷阱,，早在智能手機(jī)興起時(shí)就已存在,。這種陷阱通過偽裝成充電器的惡意硬件，在手機(jī)連接電源的瞬間竊取手機(jī)中的數(shù)據(jù)和照片,。國內(nèi)315晚會(huì)也曾曝光過這一問題,。

十幾年前，Google和蘋果等廠商發(fā)現(xiàn)了這個(gè)問題,，并通過添加USB連接認(rèn)證等措施進(jìn)行防護(hù),。當(dāng)有外部設(shè)備試圖訪問手機(jī)文件時(shí),，系統(tǒng)會(huì)彈出提醒，用戶可以選擇“不允許”,，從而阻止惡意程序繞過安全系統(tǒng),。但如今，“果汁挾持”升級(jí)為“選擇挾持”,，再次卷土重來,。據(jù)Ars Technica報(bào)道，這種新的騙局旨在繞過原有的安全選項(xiàng),。

為了防止“果汁挾持”,，廠商給手機(jī)的USB連接設(shè)置了一個(gè)確認(rèn)機(jī)制：一個(gè)設(shè)備不能同時(shí)擔(dān)任主機(jī)和外設(shè)。當(dāng)USB設(shè)備連接到手機(jī)時(shí),，只能通過手機(jī)上的“允許”按鈕進(jìn)行連接認(rèn)證,。“選擇挾持”則巧妙地利用了這一機(jī)制的缺陷,，先將惡意主機(jī)偽裝成“外設(shè)”,，再讓這個(gè)“外設(shè)”變成“主機(jī)”。

這種攻擊方式具有普適性,，無論是iOS還是Android設(shè)備都可能成為目標(biāo),。包括蘋果、Google,、三星,、小米在內(nèi)的多個(gè)品牌十多款手機(jī)均被攻破。有趣的是,，部分不支持完整PD協(xié)議的手機(jī)反而因這一點(diǎn)而降低了被攻擊的風(fēng)險(xiǎn),。

許多人在手機(jī)電量告急時(shí)，可能會(huì)毫不猶豫地使用看似免費(fèi)的充電端口,。并且,，普通用戶可能不會(huì)完全理解手機(jī)上突然彈出的“USB權(quán)限”彈窗背后的意義，以為只是簡單的充電連接,，從而主動(dòng)關(guān)閉防線,。

廠商已經(jīng)采取了應(yīng)對措施，例如去年11月推送的Android 15更新和上個(gè)月更新的iOS/iPadOS 18.4版本都更新了相關(guān)機(jī)制,。但由于Android生態(tài)系統(tǒng)的碎片化,，許多老設(shè)備無法及時(shí)獲得更新，一些第三方Android UI也未采用新的USB驗(yàn)證機(jī)制,，依然容易受到攻擊,。

漏洞發(fā)現(xiàn)者Florian Draschbacher表示，即使一年前就警告了設(shè)備制造商，修復(fù)進(jìn)度卻非常緩慢,。這可能是因?yàn)榧訌?qiáng)USB訪問手機(jī)的安全性需要增加大量驗(yàn)證措施,，對用戶體驗(yàn)影響較大，因此制造商猶豫不決,。

對于“選擇挾持”這種“舊瓶裝新酒”的安全問題,，大眾的態(tài)度已經(jīng)不像十年前那樣緊張。有些人甚至對此嗤之以鼻,，認(rèn)為這只是“狼來了”的故事,。但實(shí)際上，雖然目前沒有大量實(shí)際損失報(bào)告,，不代表風(fēng)險(xiǎn)不存在,。

最保險(xiǎn)的做法是在出游時(shí)盡量使用自己的充電寶或大品牌的共享充電寶。即使有公共電源,，也最好用自己的充電插頭,，避免使用可疑的USB充電線。此外,，保持手機(jī)系統(tǒng)正常升級(jí),，避免使用可疑的USB線，不隨便同意莫名的USB權(quán)限,，也能有效規(guī)避這些安全陷阱,。

祝你五一快樂,，享受美好的假期吧,！