公共 USB 充电站发现严重安全漏洞，可让黑客控制设备

尽管如今的智能手机配备了防止通过 USB 端口进行未经授权访问的保护机制，例如在 iOS 和 Android 上允许传输数据之前要求用户确认的通知，但这仍然不足以防止新的威胁。

其中一种攻击形式是，黑客利用受控的充电站在用户插入电源充电时安装恶意软件、窃取数据或访问设备。

网络安全专家最近发现该保护系统存在严重的安全漏洞，足以使任何充电操作变成潜在的安全风险。

通过USB端口攻击手机的新方法：用户完全不知道

据科技新闻网站 Ars Technica 报道，安全专家刚刚警告了一种名为“选择劫持”的新攻击技术，该技术可以让黑客轻松绕过身份验证层并在用户不知情的情况下访问智能手机。

具体来说，黑客会在充电站内部安装一个伪造的设备，使其在连接到手机时看起来像一个USB键盘。接下来，攻击者利用USB充电机制执行一项技术操作，使充电设备能够发起蓝牙连接。

一旦建立连接，恶意设备就会自动显示文件传输请求弹出窗口，并以蓝牙键盘的形式“点击”确认。

这样一来，操作系统原本旨在阻止外部设备入侵的保护机制实际上就失效了。最糟糕的情况是，黑客甚至可能窃取手机的所有个人数据，包括文件、照片、联系人和账户信息。

奥地利格拉茨科技大学的研究人员对该方法进行了测试，测试对象包括三星和苹果等全球最大的智能手机制造商的多款手机型号。测试结果显示，只要手机屏幕解锁，所有设备都允许通过USB传输数据。

大多数设备仍对黑客“开放”：尚无彻底解决方案

尽管智能手机制造商意识到“选择劫持”攻击带来的风险，但目前市场上的大多数设备都没有足够强大的保护机制。

只有苹果和谷歌等少数公司实施了措施，要求用户输入 PIN 或密码，然后才允许添加受信任的设备和启用数据传输。

然而，大多数其他制造商尚未采取类似的保护措施，如果设备连接到假充电站，就容易受到黑客攻击。

更令人担忧的是，如果你的手机启用了 USB 调试功能，风险会更大。USB 调试功能通常在应用程序开发过程中使用。借助 Google 提供的强大命令行工具（ADB 工具），黑客可以利用此连接安装恶意应用程序、运行任意脚本，甚至以高于正常情况下的权限访问系统。

如何保护自己免受公共 USB 充电站的攻击？

避免成为黑客攻击的受害者的最简单、最有效的方法是完全避免使用公共 USB 充电站，尤其是在机场、购物中心、火车站或酒店等人流密集的地方。

这些位置很容易被黑客利用，安装假冒设备到充电系统中。你应该：

- 长途旅行或移动时，请携带自己的移动电源。这是最安全、最便捷的解决方案，可确保您的设备始终拥有充足的电量，而无需依赖外部充电源。

- 使用您自己的充电器和电缆插入普通电源插座，而不是公共 USB 端口。

- 配备“USB 数据阻止器”——一种插入 USB 电缆的小型设备，可在充电时完全阻止数据传输，仅允许电力传输。

- 确保您的手机始终更新制造商提供的最新安全补丁。许多漏洞可以通过操作系统更新进行修复。

- 除非确实需要，否则请在开发者选项中关闭“USB 调试”。这将降低您的设备被 ADB 等工具远程控制的风险。

- 不要接受任何突然弹出的请求，例如“信任设备”、传输文件或在插入时连接蓝牙的请求，特别是当您不确定充电站的来源时。