查看原文
其他

共享充电宝安全不咯?能用不咯?

2017-05-09 安全狗

↑ 点击上方“安全狗”关注我们


就在几天前“国民老公”王思聪发了一条朋友圈,竟然声称要吃翔!



就在王思聪发布朋友圈5小时之前,聚美优品CEO陈欧宣布以3亿资金投资深圳街电科技有限公司。


怎么办,被人直接怼了好尴尬呀,要不回一句吧?



现在真的是啥都能共享,自行车共享的热潮还没过去,现在又要共享充电宝。这个引发了王思聪“吃翔”言论的主角,到底是个什么东西呢?

共享充电宝是指企业提供的充电租赁设备,用户只需扫描设备屏幕上的二维码,凭借芝麻信用分600分以上即可“免押金”借用一个充电宝,信用分不足600亦可支付100元押金,充电宝成功归还后,押金可随时提现并退回账户。

市面上各家所选的方案并不完全一样,有可以单独借出的小充电宝的,也有一体机形式的,不过无一例外,都需要用USB接口连接


狗哥是搞安全的,第一个反应是这种陌生设备连接手机的情形,很多时候意味着安全隐患,这里有什么地方不安全呢?


首先我们要明确一点!

只要是USB接口就都不安全!
只要是USB接口就都不安全!

只要是USB接口就都不安全!


不知道很多小伙伴有没有留意过,斯诺登当年揭露NSA的文档中提到了一款窃听设备名为Cottonmouth(如下图所示)。



这就是个,据说能够偷偷地往目标设备中安装恶意程序。虽然文档中并未详述其具体机制,但斯诺登说:“如果Nohl和Lell发现的这种东西早就为NSA所用了,我也不会感到奇怪。”或许很久之前,NSA就已经在这么干了,那么我们手里的U盘…



但这还不是全部。既然USB标准是允许一个USB设备具有多种输入输出设备特征的,那么USB设备的伪装实际上也就不仅限于仅针对U盘的BadUSB了,各种USB设备都可能出现伪装的情况,从USB鼠标、键盘到摄像头,嗯,还有充电宝,无一幸免。

如果我们对商家的节操不过多揣测,即使考虑一下充电宝被第三方别有用心的人士动了点小手脚的情况……实际上已经有人做了这个实验。


实验者把租来的无辜的小充电宝拆开,拆掉一个电池后,装上了这个带有wifi功能模块的最小款“Raspberry Pi Zero”(即“树莓派”,一种专为学习计算机编程教育而设计的小型计算机),这个小计算机里有一个自动脚本,能检测有没有设备上钩。



当实验者用线把iPhone连上了这个小充电宝,选择了“信任”之后……



瞬!间!爆!炸!


只要SD卡内存够大,你手机中的信息有多少偷多少,在有wifi的环境这些信息还可以自动上传到云端!

首先是手机号码了直接被卖,准备好接受垃圾短信的轰炸吧;
其次通讯录泄露,免不了各式诈骗短信电话:“我系东北黑涩会滴,里滴鹅几在我手上~”;
再次就是照片,有没有不可见人的东西就不知道了(斜眼微笑);
还有就是手机自动保存的账号密码,黑客可以利用它们进行“撞库”,喜欢使用相同密码的朋友所有账户基本就算“一锅端”了,连银行卡信息都会有危险;
最后就是手机的唯一标识码,有心者到某宝可以直接买到你的定位信息!


看起来只是个充电宝,但实际上却有存储数据的能力,这么想来,我们周围但凡用USB接口的东西似乎都有带毒带马的可能性,这世界真是太残酷了……


狗哥也只能提醒一下大家,出门在外节约点电,能不连不明的设备就不要连,毕竟再好的防御技术也敌不过安全意识的疏忽


当然还有一个方法绝对可破,只要你不怕麻烦……


你可以用共享充电宝给你自己的充电宝充电,

然后再给自己的手机用呀!





您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存