五一小長(zhǎng)假即將到來(lái),，你是否已經(jīng)計(jì)劃好去哪里游玩了呢,？在旅行中，手機(jī)電量常常會(huì)迅速耗盡。這時(shí)候,，機(jī)場(chǎng)、車(chē)站或商場(chǎng)里的公共充電站似乎能解燃眉之急。只需將USB線(xiàn)插入手機(jī)，人和手機(jī)仿佛都恢復(fù)了活力,。

然而，這些公共充電站可能隱藏著風(fēng)險(xiǎn),。有一種名為“果汁挾持”的陷阱,，早在智能手機(jī)興起時(shí)就已存在。這種陷阱通過(guò)偽裝成充電器的惡意硬件,，在手機(jī)連接電源的瞬間竊取手機(jī)中的數(shù)據(jù)和照片,。國(guó)內(nèi)315晚會(huì)也曾曝光過(guò)這一問(wèn)題,。

十幾年前，Google和蘋(píng)果等廠商發(fā)現(xiàn)了這個(gè)問(wèn)題,，并通過(guò)添加USB連接認(rèn)證等措施進(jìn)行防護(hù),。當(dāng)有外部設(shè)備試圖訪問(wèn)手機(jī)文件時(shí)，系統(tǒng)會(huì)彈出提醒,，用戶(hù)可以選擇“不允許”，從而阻止惡意程序繞過(guò)安全系統(tǒng),。但如今,，“果汁挾持”升級(jí)為“選擇挾持”，再次卷土重來(lái),。據(jù)Ars Technica報(bào)道,，這種新的騙局旨在繞過(guò)原有的安全選項(xiàng)。

為了防止“果汁挾持”,，廠商給手機(jī)的USB連接設(shè)置了一個(gè)確認(rèn)機(jī)制：一個(gè)設(shè)備不能同時(shí)擔(dān)任主機(jī)和外設(shè),。當(dāng)USB設(shè)備連接到手機(jī)時(shí)，只能通過(guò)手機(jī)上的“允許”按鈕進(jìn)行連接認(rèn)證,?！斑x擇挾持”則巧妙地利用了這一機(jī)制的缺陷，先將惡意主機(jī)偽裝成“外設(shè)”,，再讓這個(gè)“外設(shè)”變成“主機(jī)”,。

這種攻擊方式具有普適性，無(wú)論是iOS還是Android設(shè)備都可能成為目標(biāo),。包括蘋(píng)果,、Google、三星,、小米在內(nèi)的多個(gè)品牌十多款手機(jī)均被攻破,。有趣的是，部分不支持完整PD協(xié)議的手機(jī)反而因這一點(diǎn)而降低了被攻擊的風(fēng)險(xiǎn),。

許多人在手機(jī)電量告急時(shí),，可能會(huì)毫不猶豫地使用看似免費(fèi)的充電端口。并且,，普通用戶(hù)可能不會(huì)完全理解手機(jī)上突然彈出的“USB權(quán)限”彈窗背后的意義,，以為只是簡(jiǎn)單的充電連接，從而主動(dòng)關(guān)閉防線(xiàn),。

廠商已經(jīng)采取了應(yīng)對(duì)措施,，例如去年11月推送的Android 15更新和上個(gè)月更新的iOS/iPadOS 18.4版本都更新了相關(guān)機(jī)制。但由于Android生態(tài)系統(tǒng)的碎片化,，許多老設(shè)備無(wú)法及時(shí)獲得更新,，一些第三方Android UI也未采用新的USB驗(yàn)證機(jī)制,，依然容易受到攻擊。

漏洞發(fā)現(xiàn)者Florian Draschbacher表示,，即使一年前就警告了設(shè)備制造商,，修復(fù)進(jìn)度卻非常緩慢。這可能是因?yàn)榧訌?qiáng)USB訪問(wèn)手機(jī)的安全性需要增加大量驗(yàn)證措施,，對(duì)用戶(hù)體驗(yàn)影響較大,，因此制造商猶豫不決。

對(duì)于“選擇挾持”這種“舊瓶裝新酒”的安全問(wèn)題,，大眾的態(tài)度已經(jīng)不像十年前那樣緊張,。有些人甚至對(duì)此嗤之以鼻，認(rèn)為這只是“狼來(lái)了”的故事,。但實(shí)際上,，雖然目前沒(méi)有大量實(shí)際損失報(bào)告，不代表風(fēng)險(xiǎn)不存在,。

最保險(xiǎn)的做法是在出游時(shí)盡量使用自己的充電寶或大品牌的共享充電寶,。即使有公共電源，也最好用自己的充電插頭,，避免使用可疑的USB充電線(xiàn),。此外，保持手機(jī)系統(tǒng)正常升級(jí),，避免使用可疑的USB線(xiàn),，不隨便同意莫名的USB權(quán)限，也能有效規(guī)避這些安全陷阱,。

祝你五一快樂(lè),，享受美好的假期吧！