五一小長假即將到來,,你是否已經(jīng)計(jì)劃好去哪里游玩了呢,?在旅行中,,手機(jī)電量常常會(huì)迅速耗盡,。這時(shí)候,,機(jī)場,、車站或商場里的公共充電站似乎能解燃眉之急,。只需將USB線插入手機(jī),,人和手機(jī)仿佛都恢復(fù)了活力,。
然而,,這些公共充電站可能隱藏著風(fēng)險(xiǎn)。有一種名為“果汁挾持”的陷阱,,早在智能手機(jī)興起時(shí)就已存在,。這種陷阱通過偽裝成充電器的惡意硬件,在手機(jī)連接電源的瞬間竊取手機(jī)中的數(shù)據(jù)和照片,。國內(nèi)315晚會(huì)也曾曝光過這一問題,。
十幾年前,Google和蘋果等廠商發(fā)現(xiàn)了這個(gè)問題,,并通過添加USB連接認(rèn)證等措施進(jìn)行防護(hù),。當(dāng)有外部設(shè)備試圖訪問手機(jī)文件時(shí),,系統(tǒng)會(huì)彈出提醒,用戶可以選擇“不允許”,,從而阻止惡意程序繞過安全系統(tǒng),。但如今,“果汁挾持”升級(jí)為“選擇挾持”,,再次卷土重來,。據(jù)Ars Technica報(bào)道,這種新的騙局旨在繞過原有的安全選項(xiàng),。
為了防止“果汁挾持”,,廠商給手機(jī)的USB連接設(shè)置了一個(gè)確認(rèn)機(jī)制:一個(gè)設(shè)備不能同時(shí)擔(dān)任主機(jī)和外設(shè)。當(dāng)USB設(shè)備連接到手機(jī)時(shí),,只能通過手機(jī)上的“允許”按鈕進(jìn)行連接認(rèn)證,。“選擇挾持”則巧妙地利用了這一機(jī)制的缺陷,,先將惡意主機(jī)偽裝成“外設(shè)”,,再讓這個(gè)“外設(shè)”變成“主機(jī)”。
這種攻擊方式具有普適性,,無論是iOS還是Android設(shè)備都可能成為目標(biāo),。包括蘋果、Google,、三星,、小米在內(nèi)的多個(gè)品牌十多款手機(jī)均被攻破。有趣的是,,部分不支持完整PD協(xié)議的手機(jī)反而因這一點(diǎn)而降低了被攻擊的風(fēng)險(xiǎn),。
許多人在手機(jī)電量告急時(shí),可能會(huì)毫不猶豫地使用看似免費(fèi)的充電端口,。并且,,普通用戶可能不會(huì)完全理解手機(jī)上突然彈出的“USB權(quán)限”彈窗背后的意義,以為只是簡單的充電連接,,從而主動(dòng)關(guān)閉防線,。
廠商已經(jīng)采取了應(yīng)對措施,例如去年11月推送的Android 15更新和上個(gè)月更新的iOS/iPadOS 18.4版本都更新了相關(guān)機(jī)制,。但由于Android生態(tài)系統(tǒng)的碎片化,,許多老設(shè)備無法及時(shí)獲得更新,一些第三方Android UI也未采用新的USB驗(yàn)證機(jī)制,,依然容易受到攻擊,。
漏洞發(fā)現(xiàn)者Florian Draschbacher表示,即使一年前就警告了設(shè)備制造商,修復(fù)進(jìn)度卻非常緩慢,。這可能是因?yàn)榧訌?qiáng)USB訪問手機(jī)的安全性需要增加大量驗(yàn)證措施,,對用戶體驗(yàn)影響較大,因此制造商猶豫不決,。
對于“選擇挾持”這種“舊瓶裝新酒”的安全問題,,大眾的態(tài)度已經(jīng)不像十年前那樣緊張。有些人甚至對此嗤之以鼻,,認(rèn)為這只是“狼來了”的故事,。但實(shí)際上,雖然目前沒有大量實(shí)際損失報(bào)告,,不代表風(fēng)險(xiǎn)不存在,。
最保險(xiǎn)的做法是在出游時(shí)盡量使用自己的充電寶或大品牌的共享充電寶。即使有公共電源,,也最好用自己的充電插頭,,避免使用可疑的USB充電線。此外,,保持手機(jī)系統(tǒng)正常升級(jí),,避免使用可疑的USB線,不隨便同意莫名的USB權(quán)限,,也能有效規(guī)避這些安全陷阱,。
祝你五一快樂,,享受美好的假期吧,!