现在,在机场、快餐店甚至公交车上都能看到USB充电站。但是,这些公共接口真的安全吗?如果使用它们,你的手机或平板电脑会遭到黑客攻击吗?我们对此进行了调查!
一些专家已发出警告
一些专家认为,如果你曾经使用过公共USB充电站,就应该对此感到担忧。今年早些时候,来自IBM精英渗透测试团队X-Force Red的研究人员,提出了严厉的警告,指出公共充电站存在潜在风险。
X-Force Red威胁情报副总裁Caleb Barlow表示:“插入公共USB端口,就像在路边捡起一把牙刷,然后决定把它放进嘴里一样。” 他补充说:“你无法知晓它之前被使用过的地方。”
Barlow指出,USB接口不仅可以传输电力,还可以在设备之间传输数据。
现代设备的设计允许用户进行控制。通常,它们不应在未经用户许可的情况下接受来自USB端口的数据。这就是为什么在iPhone上会出现“信任此电脑?”的提示。但是,安全漏洞可能会绕过这种保护机制。如果你只是将可信的电源适配器插入标准的电源插座,就不会出现这种情况。但是,当你使用公共USB端口时,你需要依赖于可能传输数据的连接。
只需一些技术手段,就可以将USB端口武器化,并将恶意软件推送到连接的手机上。对于运行Android或旧版本iOS的设备来说尤其如此,因为这些设备的安全更新可能滞后。
这听起来可能很可怕,但这些警告是基于现实的担忧吗?为了找到答案,我进行了深入研究。
从理论到实践
那么,针对移动设备的基于USB的攻击仅仅是理论上的吗?答案是否定的。
长期以来,安全研究人员一直认为充电站是潜在的攻击媒介。早在2011年,资深信息安全记者Brian Krebs就创造了“果汁榨取”这个词来描述利用此漏洞的行为。随着移动设备的普及,越来越多的研究人员开始关注这个问题。
2011年,Defcon安全会议的边缘活动“The Wall of Sheep”部署了充电亭,当用户使用时,会在设备上弹出警告,提示插入不受信任设备的危险。
两年后,在Blackhat USA活动中,佐治亚理工学院的研究人员展示了一种工具,该工具可以伪装成充电站,并在运行最新版本iOS的设备上安装恶意软件。
我可以继续列举更多的案例,但你已经明白了。现在最关键的问题是,“果汁榨取”的发现是否已经转化为现实世界的攻击?这正是事情变得不那么明朗的地方。
理解风险
尽管“果汁榨取”是安全研究人员关注的热门领域,但几乎没有记录在案的案例表明,攻击者真正将这种方法武器化。大多数媒体报道都集中在为大学或信息安全公司工作的研究人员的概念验证上。这很可能是因为将公共充电站武器化本身就具有相当的难度。
为了入侵公共充电站,攻击者必须获得特定的硬件(例如用于部署恶意软件的微型计算机),并且需要在不被发现的情况下安装它。想象一下,在繁忙的国际机场尝试这样做,那里乘客会受到严格的安检,而安检人员在办理登机手续时会没收螺丝刀之类的工具。成本和风险使得“果汁榨取”这种方式对于针对公众的攻击而言并不实用。
还有人认为,这些攻击的效率相对较低。它们只能感染插入充电插座的设备。此外,它们通常依赖于苹果和谷歌等移动操作系统制造商定期修补的安全漏洞。
实际上,如果黑客确实篡改了公共充电站,那么这很可能是针对高价值个人的有针对性攻击的一部分,而不是为了给需要在上班途中为手机充电的普通通勤者所为。
安全第一
本文的目的不是要淡化移动设备带来的安全风险。智能手机有时确实会被用来传播恶意软件。也有手机在连接到被感染的计算机时受到感染的案例。
在2016年路透社的一篇文章中,实际上是F-Secure的公众人物Mikko Hypponen,描述了一种特别危险的Android恶意软件,这种恶意软件影响了一家欧洲飞机制造商。
文章中写道:“Hypponen说,他最近与一家欧洲飞机制造商进行了交谈,该公司表示,他们每周都要清理其飞机驾驶舱中专门为Android手机设计的恶意软件。恶意软件之所以会传播到飞机上,仅仅是因为工厂员工在驾驶舱中使用USB端口为手机充电。”
“由于飞机运行不同的操作系统,所以不会发生任何事情。但它会将病毒传播到插入充电器的其他设备上。”
你购买房屋保险并不是因为你希望自己的房子被烧毁,而是因为你必须为最坏的情况做好准备。同样,在使用公共充电站时也应该采取明智的预防措施。尽可能使用标准的墙壁插座,而不是USB端口。或者,考虑为你的移动电源充电,而不是直接为你的设备充电。你还可以连接移动电源,并在它充电的同时为你的手机充电。总之,尽可能避免将手机直接连接到任何公共USB端口。
尽管几乎没有记录在案的风险,但安全总比后悔好。一般来说,请避免将你的设备插入任何你不信任的USB端口。