五一小长假即将到来,你是否已经计划好去哪里游玩了呢?在旅行中,手机电量常常会迅速耗尽。这时候,机场、车站或商场里的公共充电站似乎能解燃眉之急。只需将USB线插入手机,人和手机仿佛都恢复了活力。
然而,这些公共充电站可能隐藏着风险。有一种名为“果汁挟持”的陷阱,早在智能手机兴起时就已存在。这种陷阱通过伪装成充电器的恶意硬件,在手机连接电源的瞬间窃取手机中的数据和照片。国内315晚会也曾曝光过这一问题。
十几年前,Google和苹果等厂商发现了这个问题,并通过添加USB连接认证等措施进行防护。当有外部设备试图访问手机文件时,系统会弹出提醒,用户可以选择“不允许”,从而阻止恶意程序绕过安全系统。但如今,“果汁挟持”升级为“选择挟持”,再次卷土重来。据Ars Technica报道,这种新的骗局旨在绕过原有的安全选项。
为了防止“果汁挟持”,厂商给手机的USB连接设置了一个确认机制:一个设备不能同时担任主机和外设。当USB设备连接到手机时,只能通过手机上的“允许”按钮进行连接认证。“选择挟持”则巧妙地利用了这一机制的缺陷,先将恶意主机伪装成“外设”,再让这个“外设”变成“主机”。
