查看: 5216|回复: 2
收起左侧

[瑞星] 揭秘“3.15充电桩盗取隐私”背后的原理

[复制链接]
瑞星工程师
发表于 2017-3-17 10:13:19 | 显示全部楼层 |阅读模式
一、前言
手机已经成为我们生活中不可或缺的一部分,进入移动互联时代,手机俨然已经演变成了我们日常的娱乐设备甚至是移动钱包,但各类功能火力全开的话会让手机的续航成为人们关注的焦点。正是因为大家对手机充电的需求,使一些室外充电桩渐渐向“刚需”方向发展,同时也令一些不法分子看到了巨大的商机。
今年的3·15晚会上,一段通过公共充电桩进行盗取隐私信息和非法交易消费的试验让大家震惊不已。瑞星安全专家表示,这并非只是个演示,现实中很多不法分子已经开始利用他们“加工”过的充电桩进行犯罪了。
当我们使用了这种被“加工”过的公共充电桩后,虽然手机电量能得到补给,但手机中还会潜藏几个陌生的身影,这不仅会占用手机内存空间,还会让我们的个人信息安全、财产安全面临巨大的威胁。
二、充电桩入侵原理
瑞星安全专家介绍,目前已有很多不法分子将带有恶意程序的芯片植入到路边免费的移动充电桩内,如果有人在手机开启了USB调试模式的情况下使用了这种充电桩,不法分子就会通过上面外接的USB连接线,将芯片中的恶意程序推送到使用者的手机中,这时该手机就会收到一条来自充电桩发出的 “充电授权提示”类信息,而当机主选择“信任”或“接受”时,恶意程序就会直接将自身静默安装到该手机中,进而对手机取得完全的控制权。

这样一来,不法分子就可以很轻松的对这部手机进行任何操作,并调取里面的各类隐私信息,例如:远程获取用户手机中的SD卡文件、手机里保存的各类照片及图片、手机验证码等或控制用户的手机发送任意短信,甚至不法分子还可以调取手机内的网银信息进行非法操作。而由于不法分子同样可以调用该手机的短信内容,所以即便需要短信验证,他们也能够顺利绕过此安全防护,进行非法支付交易。

不仅如此,当手机开启了USB调试后,不法分子还会利用USB漏洞获取到用户手机的最高权限,而利用这些权限进行所有非法操作,使手机对病毒、木马的入侵不设任何防线。

而你们以为存在风险的只有安卓手机吗?并非如此,iOS系统存在同样的安全隐患。如果当iOS手机用户使用了这种“加工”过的充电桩,按照提示进行“信任”操作后,同时选择信任某个应用来源时,不法分子就可以随意在你的iPhone中安装未经苹果官方认证审核过的APP了,而这就意味着iPhone也会被恶意软件、病毒程序所入侵。

此次在3·15晚会上曝光的一系列实验:手机充电时照片被盗取并上传至大屏幕、手机自动向别人发送任意短信、手机被别人支付购买电影票等行为都是在上述原理范围内的,而不法分子在大家的日常生活中也是通过此类方法实施犯罪的。
三、安全防范建议
针对此类安全问题,瑞星安全专家给出建议:
安卓手机的用户无论是通过USB连接任何设备,都要确保该设备是可信来源,手机中的USB调试尽量选择关闭状态,且手机最好不要进行刷机或随便允许不明的外来设备、软件更改你的手机设置权限。就记住一点,取消勾选开发者选项中的USB(ADB)调试模式,可免疫一切危害。
使用iPhone的土豪朋友们,也不要觉得iPhone很安全,提高安全意识和对安全的警觉性人人有责,你们要保持自己手中的iOS系统版本为最新,且不要随意信任任何外部连接设备发来的弹窗授权请求,当手机弹出任何请求时都要认真阅读后再选择同意与否。
最后,对于昨天3·15晚会曝光的移动充电桩泄露用户隐私所造成的个人信息安全问题,我们最有力且最有效的保护方式就是----随身携带移动电源!

风之暇想
发表于 2017-3-17 11:02:12 | 显示全部楼层
我要带充电宝
wjrppo
发表于 2017-3-20 09:03:17 | 显示全部楼层
俺绝对不会允许如此充电的!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 15:59 , Processed in 0.126392 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表