首頁 > 業(yè)界

黑客盯上的另一個手機安全漏洞 你必須知道手機充電站頃刻偷走你的數據

時間:2017-03-21 10:40:52 來源:智能界 作者: 智能界

人們越來越離不開手機,隨時隨地充電成為“低頭一族”不可或缺的需求,很多場地也設置了公共充電樁,投個硬幣甚至免費就可以充電。公共充電樁卻可能暗藏玄機,幫助不法之徒竊取人們隱私信息。

央視今年3·15消費預警中有一項提到了手機充電站盜取數據的問題。

手機數據丟失,本身就是一種損失,而且數據丟失還會衍生出二次損失,比如說財產損失。

免費手機充電站的風險,可能會導致消費者手機被控制,違法分子可以通過這種方式盜取數據,甚至控制手機,并且利用短信功能獲取二維碼,進行購物消費。

這種問題需要注意嗎?當然需要,但你肯定更想知道,手機是怎么被充電站控制的,數據是怎么丟的以及該怎么防范這個問題。

舉個例子,正常情況下,安裝手機助手連接手機之后,工具都會主動去連接設備,如果連接不成功,會提示用戶打開USB調試功能,包括一些刷機助手均是如此,成功連接之后,你就可以利用工具上的一些圖形按鈕進行數據同步、備份甚至是截屏等操作。

央視在報道中的一個橋段,“直接利用被控制設備的用戶信息給該用戶買了一張電影票”,至于實現方式,利用手機中用戶照片信息欺騙支付平臺是一種可能,利用短信驗證碼則是另外一種破壞性更大的可能。

當然,這個過程中,如果設備沒root,也無法root,還可以利用監(jiān)聽短信廣播的應用,然后將廣播內容生成為日志即可。

首先是手機已經root。如果你的手機已經root,還在公共場合隨便連接充電站,就等于把自己的信息送給了不法分子,所以建議大家不要輕易root。

其次是使用過桌面手機助手的用戶,你的手機開發(fā)者選項和USB調試肯定是打開的,這種情況下,如果忘記關閉這兩個選項,風險同樣不可控,要想拿到這部分用戶的手機照片視頻等信息也是輕而易舉,建議養(yǎng)成隨用隨開,不用不開的習慣。

一個叫adb的工具

adb是Android Debug Bridge的英文縮寫,中文翻譯過來叫做安卓調試橋。


就像央視報道的那樣,非正規(guī)的充電站可能就是一臺普通電腦,連接之后,直接利用adb工具就有可能從你的手機中拿到數據。把牙膏涂抹在手機上,結果屏亮了利用adb工具拷貝手機數據到電腦有個大前提,必須打開USB調試(開發(fā)者選項下),滿足了這個條件后拷貝數據只需要一條命令,例如 adb pull sdcard/Download/ Download,

可以將存儲卡中Download文件夾中的所有數據,拷貝到adb所在目錄下的Download文件夾(沒有該文件夾自動新建)。你也可以通過 adb push 命令,將文件推送到手機存儲卡當中,例如 adb push xxxx sdcard/上面這些主要針對的Android系統(tǒng),iOS系統(tǒng)雖然沒有USB調試功能,但卻有類似的概念,具體則是通過開發(fā)者證書信任的方式,獲得調試設備的權限,進而獲取設備中的資料。

每點擊一個按鈕,實際上都是在運行一條或者多條adb命令。除了上面介紹的手機和電腦相互拷貝文件的命令之外,類似的adb命令還有很多,比如打電話、發(fā)送短信、安裝/卸載應用等等,有需要可以自行搜索,而且這些功能均不需要root權限。相比拷貝sdcard中的文件,對系統(tǒng)文件進行操作需要root權限,但這也可以先通過adb push將Supersu等權限管理應用拷貝到設備當中,再通過adb shell去運行,進而執(zhí)行更復雜的操作,所以別以為沒root就安全了

代碼版PC手機助手

從電腦上復制手機里的數據,還需要USB調試,這個流程聽起來好像很熟悉?

是的,你可以把adb pull、push、install等命令理解為簡配版桌面助手的核心,桌面手機助手不過是將相關的調試命令圖形化了,更加傻瓜易用。

私密信息,驗證碼被破解,這些聽起來確實很夸張,但如果你沒有下面這些習慣,大可放心使用。

最后是那些粗心大意的用戶,在使用手機過程中,輕易的在彈出提示中點擊“信任”或者是“同意”按鈕,如果這方面不注意,就等于放棄了保護個人手機隱私的最后一道保障。

你看,iOS寫的已經明顯到不能再明顯了,“信任此電腦將允許其全權訪問您的設備及其所有數據”。

有些充電站很壞很壞,特意劃分普通和高速充電兩個區(qū)域,然后貼張圖告訴你,只有信任了才能快充,一般人在這種情況下,用戶基本不會設防,中招概率也會變大。

但是請記住,不要隨意確認,否則你的數據可能就成了別人的囊中之物。

“之所以選擇充電站作為風險演示對象是人們的安全意識普遍不高,認為只是充電而已,不會存在的安全隱患?!睏钋浔硎荆潆姌侗粍舆^手腳后,用戶只要點擊了“同意”或者“信任”,手機里的照片、短信、通訊錄等隱私信息就會源源不斷流走,用戶毫無知覺。楊卿提醒市民,在外充電,最好自帶充電器和數據線,選擇墻壁插座進行充電。 

“有漏洞的智能硬件太多了?!本哂蠳FC功能的銀行卡存在漏洞,只要黑客從身邊走過,姓名、卡號、商戶交易紀錄等等信息就都會被讀??; GPS信號可被欺騙,甚至車在北京,GPS信號卻“穿越”到了西藏。

無線安全研究部強大的安全攻防能力早就被央視“盯上”,今年,他們再次與315晚會結緣,成為安全支持團隊。

安全創(chuàng)新中心 打造安全互聯網

360無線電安全研究部不但研究攻擊方法,也同時研究防御方法,目前在無線局域網防護、偽基站防護、GPS欺騙防護,NFC通信防護、LTE通信防護、工業(yè)無線傳感器防護等領域擁有多項國家發(fā)明專利。無線電安全研究部經常與手機網絡運營商、無線電管理委委員會等機構合作,就偽基站、黑廣播等威脅共同研究解決方案。

360公司有關負責人介紹,除了360無線電安全研究部,360公司還有車聯網安全中心等19支安全團隊、安全平臺,并成立了360安全創(chuàng)新中心,安全創(chuàng)新中心依靠東半球最大的“白帽軍團”,用全球領先的安全思想、安全技術和安全產品,在萬物互聯時代保護個人安全、企業(yè)安全和國家安全。


智能界jwnfls.cn)中國智能科技聚合推薦平臺,秉承“引領未來智能生活”的理念,專注報道智能家居、可穿戴設備、智能醫(yī)療、機器人、3D打印、智能汽車、VR/AR/MR/、人工智能等諸多科技前沿領域。關注智能創(chuàng)新對人的生活方式、價值的改變,致力傳播放大這部分聲量。聚合品牌宣傳、代理招商、產品評測、原創(chuàng)視頻、fm電臺與試用眾測,深入智能科技行業(yè),全平臺多維度為用戶及廠商提供服務,致力成為中國最具影響力的智能科技聚合推薦平臺。

智能界【微信公眾號ID:znjchina】【新浪/騰訊微博:@智能界】




評論列表(已有條評論)

最新評論

智能界

智能界(jwnfls.cn)

中國智能科技聚合推薦平臺