随着智能手机不断渗透到人们生活的方方面面,它已经从单纯的通讯设备演变为个人随身助理、娱乐设备甚至“电子钱包”“电子信用卡”。智能手机使用场合的不断拓展,使用频度的持续增加,给“充电宝”“充电站”制造商带来了巨大商机。当前,瞄准智能手机充电需求做文章的,不光有广大商家,还有窃取信息的黑客、黑产(利用病毒木马来获得利益的一个行业)从业者,个人信息“保护”和非法信息“窃取”之间的博弈日益激烈。
要谨防“充电宝”植入信息窃取设备
随着信息技术的发展,窃听设备产品体积更加小巧袖珍、发射功率更低更隐蔽,生产制造的门槛和成本也越来越低。不法分子将一种类似手机电路模块的设备装进“充电宝”内部,使其具备录音、定位和向控制者传递信息等功能。仅需通过一张普通手机SIM卡,操控者就能在手机上发送指令遥控“充电宝”,获取使用者位置信息、窃听谈话内容和周围声响环境。这些窃听设备利用“充电宝”电源持久、重复充电的续航优势和随身携带、使用频繁的便携特性,对目标实施长时间、全方位的定位和窃听,并且经改装的“充电宝”在外观上与普通充电宝无异,一般人很难发现和识别。
网络交易和电子市场上的大量三无“充电宝”,不仅电器可靠性、安全性没有保证,甚至会有被植入窃听装置的风险。2014年5月,《中国新闻网》《中国质量报》等媒体就曾对淘宝网上部分商家兜售具备定位、监听和录音功能充电宝的违法行为进行了曝光。
要注意USB充电接口的安全性
充电宝、充电站的USB接口被普遍认为仅具有充电、供电功能,殊不知,若随意接入存储有重要敏感信息的设备,其在设备间交叉连接的信息安全风险往往被人们低估。很多人都知道“autorun.inf”U盘自运行病毒,其实那仅仅是“冰山一角”,与最近黑帽技术大会上公布的“BadUSB”漏洞比起来,称为“小儿科”也不为过。
由于USB协议本身设计时并未充分考虑安全问题,安全专家通过对USB漏洞的深入挖掘利用,开发出的名称为“BadUSB”的恶意程序,能实现对普通USB设备固件重写,使之成为带毒的恶意设备继续感染其他USB设备,导致“硬件病毒感染”式的交叉传播。只要接入过这些恶意设计的充电宝、充电站,不仅智能手机内的数据将面临极大的安全风险,凡手机直接或间接连接过的计算机等设备也将面临感染恶意软件、重要信息被盗等安全风险。
因此,建议大家要慎重选择充电宝的购买渠道,不使用街边不明底细的充电站和他人提供的来源不明的充电宝;要慎重选择充电方式,使用时要先关闭智能手机“硬件调试”功能再连接设备,密切关注手机界面信息提示,不选择任何带有“同意”“信任”“允许”等字样的权限放行选项,发现异常迅速断开连接;要慎重选择使用时机,参加涉密会议或进入涉密场所,要将充电宝和智能手机进行统一保管,有条件的应存放于手机屏蔽柜内。对于特殊岗位、保密要求高的人群,应使用经过专业机构检测鉴定过的安全设备,杜绝风险隐患。
(来源:原载《保密工作》2016年第9期,原标题为《智能手机“充电”,也会泄露信息》,作者:罗宏川 王彦军 张 彦)
