卡巴斯基实验室专家在一次概念验证实验中发现,使用标准的USB线将智能手机连接到计算机上充电时,可能会导致手机被恶意软件感染。研究人员目前正在评估这种事故发生后造成的危害严重性。
当你将自己的设备随意插在机场、咖啡厅、公园和公共交通设施上的充电站时,是否考虑过你的智能手机和其中的数据是否安全?你是否知道,当你的设备在充电时,你的移动设备会同充电站进行多少数据交换?卡巴斯基实验室的研究人员对此非常好奇,为找到这些问题的答案,进行了相关研究。
作为研究的一部分,卡巴斯基实验室专家测试了多台运行不同版本安卓和iOS操作系统的智能手机在连接PC或Mac计算机进行充电时同计算机进行的数据交换。测验结果显示,手机设备在同计算机进行“握手”时(设备和PC/Mac计算机连接时的初始过程),会向计算机发送一系列数据,包括:设备名称、设备生厂商、设备类型、序列号、固件信息、操作系统信息、文件系统/文件列表和电子芯片ID等。根据设备不同和主机不同,握手过程中交换的数据量也不同,但是每台智能手机都会将类似的基础信息发送给计算机,例如设备名、生厂商名称和序列号等。
这是一个安全问题吗?是一个间接的安全问题。现在,智能手机几乎寸步不离用户,这些设备可以充当用户的身份识别特征。对于想要收集这类数据并加以利用的第三方来说,利用手机设备就可以识别用户。但是,如果攻击者通过连接到未知计算机或充电设备上的数据,只能够收集到少量身份识别特征的话,就不存在安全问题了。
早在2014年,黑帽大会就提出了一个概念,声称只需将手机设备插入假冒的充电站上,就可以让手机设备感染恶意软件。两年后的现在,卡巴斯基实验室的专家已经成功重现了这一结果。他们使用一台普通的PC计算机和一条标准的USB连接线,再加上一套特殊命令(所谓的AT命令),成功刷新了智能手机,在其中偷偷安装了root应用。这意味着这台智能手机已经完全被攻陷,整个过程甚至没有使用任何恶意软件。
虽然现实发生的案件中,还没有发现涉及使用假冒充电站的情况,但是过去的确发现过通过连接计算机,窃取手机中数据的案例。例如,Red伀挀琀漀戀攀爀儀络间谍攻击行动在2013年就曾经使用过这一技术进行攻击。另外,Hacking Team攻击组织也曾经使用计算机连接,将恶意软件载入移动设备。
当智能手机连接到计算机时,智能手机和计算机之间会进行初始的数据交换。按说,这种数据交换应该是安全的。但是上述两个网络攻击组织都找到了利用这种数据交换进行攻击的手段。通过检查连接设备发送的身份数据,黑客能够知道受害者使用的设备型号,从而可以利用专门的漏洞利用程序进行攻击。如果智能手机在通过USB接口连接到计算机时不进行数据交换,黑客的攻击也不会如此容易实现。
卡巴斯基实验室研究员Alexey Komarov警告说:“奇怪的是,演示智能手机通过USB连接被感染的概念验证发布近两年后,这一概念仍然适用。其中的安全风险非常明显。作为一名普通的手机设备用户,很容易就可以通过设备ID对用户进行跟踪。你的手机也可能被偷偷安装上任何应用,包括广告软件和勒索软件。如果你是一家大型企业的决策者,很容易成为职业黑客的攻击目标”“而且要实施这类攻击,甚至不需要较高的技术水平,相关攻击信息可以通过互联网轻松找到”.
为了保护自身安全,避免被未知的充电站或不受信任的计算机所感染,卡巴斯基实验室建议采取以下措施:
只使用受信任的USB充电站和计算机对设备充电;
利用密码保护你的手机,或利用其他手段如指纹识别保护手机设备,在充电的时候不要解锁设备;
使用加密技术和安全保险柜(移动设备上的受保护区域,用户隔离敏感信息)保护自己的数据;
使用可靠的安全解决方案保护你的移动设备和PC/Mac计算机安全。这些安全解决方案能够在“充电”漏洞被利用时,检测出恶意软件。
