文:Tony
各位手機用戶需提高警覺,在商場、咖啡廳或機場等公共場所使用充電設施時務必謹慎。過去駭客常用的「充電劫持」(Juice jacking)手法,是透過公共充電埠植入惡意程式以竊取手機資料,雖然各大手機品牌已陸續推出防護措施,但最新研究顯示這些保護機制仍存在漏洞。
奧地利格拉茨技術大學的研究團隊近期發現名為「選擇劫持」(Choice-jacking)的全新攻擊技術,能繞過現有防護,透過 USB 連接埠入侵 iPhone 或 Android 裝置。根據研究論文指出,駭客可偽造使用者操作指令,例如強制將充電模式切換為資料傳輸模式,進而取得裝置檔案與系統設定的存取權限。
在 Android 系統中,攻擊者會利用 AOAP(Android 開放附件協定)取得周邊設備權限,再透過 ADB(Android 偵錯橋)模擬使用者輸入指令,變更 USB 傳輸模式以竊取資料。至於 iOS 系統,駭客則會透過特製 USB 線材觸發藍牙連接事件,雖然無法像 Android 系統般全面控制裝置,但仍可能竊取特定檔案與照片。
研究團隊已在包括小米、Samsung、Google 和 Apple 等八個主流手機品牌進行測試,其中六家廠商已針對此漏洞發布或正在開發修補程式。為防範這類新型攻擊,最根本的解決方案仍是避免使用公共充電設施。若預計外出時可能需充電,建議隨身攜帶個人行動電源,以確保充電安全無虞。
資料來源:androidauthority
