记者昨日在活动现场看到的充电宝在外观上和正常的充电宝别无二致,只是当充电宝连接上手机时,手机上弹出了一个弹窗“是否信任此设备?”启明星辰安全工程师李昱希说,这就是“病毒充电宝”和正常充电宝唯一的区别。如果点击“信任”,那么植入在充电宝里的木马程序就可以通过USB接口自动读取手机信息。
随后,李昱希现场演示。记者看到,当手机点击“信任”之后,后台通过“初始化-窃取-解密-读取”四个步骤,在一分钟内就可以打开演示手机中的通讯录、短信和相册等隐私内容。
■如何防范 请谨慎使用公共场所提供的免费充电接口。最重要的是,当手机上弹出“是否信任”时,不要点击“信任”选项。
危险软件
近日不断有新闻爆出打车软件用户出现了银行卡被盗刷的情况。“这可能是用户下载软件的时候没有通过官方渠道,而是下载了经过黑客repack(重新打包)过的软件。”亚信安全工程师赵天永表示。
赵天永介绍,现在安卓系统比较开放,软件的下载源也很多,很多用户没有使用官方渠道下载软件的意识。黑客瞄准了这个漏洞,将官方软件和木马程序进行组合打包,再将下载链接放在互联网上。“用户下载、安装这些病毒软件的时候,根本察觉不出任何异样,木马程序就悄然无声地安装在了手机里面。”之后,黑客就可以通过后台操控读取用户的资料,修改打车软件的密码。如果用户没有留意并加以阻止,账户很可能就被盗刷。
