近十年來,智慧型手機用戶一直享有 USB 連接的內建防禦功能,以抵禦資料劫持攻擊。不幸的是,一種新型的果汁劫持攻擊已經出現,巧妙地繞過了這些保護措施。在本指南中,我們將深入了解這項新威脅,並找到保護資料的明智方法。
揭秘新型果汁劫持攻擊
格拉茨技術大學的研究人員重點介紹了這波被稱為「選擇劫持」的新攻擊。他們的調查揭示瞭如何利用惡意充電設備來獲取手機用戶資料。
在實驗中,研究人員評估了 11 款不同的智慧型手機,並成功從其中 10 款中提取了數據。儘管攻擊要想成功必須滿足某些條件,但訪問卻非常簡單。
以下是如何執行 choicejacking 攻擊的詳細步驟:
- 受害者的智慧型手機必須在螢幕解鎖的情況下連接到惡意充電裝置。
- 充電器用作鍵盤,使用手機作為主機。它發送命令來啟動藍牙,確保設備可被發現,同時與充電器中的另一個藍牙組件建立連接。
- 透過形成典型的 USB 數據連接,充電器利用藍牙連接模擬確認螢幕上的用戶交互,從而促進數據傳輸。
- 透過結合藍牙和 USB 資料連接,可以提取照片、文件和應用程式資訊。
儘管目前被視為實驗性漏洞,但專家預計此類攻擊可能會出現在公共充電設施中,駭客可以輕鬆地在不被注意的情況下實施他們的工具。
研究人員還警告說,如果手機上啟用了 USB 偵錯,攻擊者可以使用 Android 偵錯橋 (ADB) 獲得增強存取權限。這可能會允許更具侵入性的操作,例如安裝不必要的應用程式、存取系統檔案和修改裝置設定。
保護資料的有效策略
該漏洞的發現促使蘋果和谷歌積極應對,並實施了防護措施。然而,這些解決方案並不是通用的,因此採用自己的策略來抵禦潛在的攻擊至關重要。以下是幾種保護資料的可靠方法:
避免使用公共充電站
大多數偷電事件都發生在公共充電場所,例如商場和機場。最有效的策略是避開這些地方為手機充電。攜帶充電器或購買便攜式行動電源可以確保您無論走到哪裡都有安全的電源。
定期更新您的作業系統
蘋果和谷歌都在其最新的作業系統更新中加入了 USB 數據連接的模式和生物識別驗證。蘋果在 iOS 18.4 中引入了該功能,而谷歌則將其整合到 Android 15 中。
目前,這項保護措施已在 Google Pixel 裝置上確認,但許多其他 Android 製造商仍猶豫不決,擔心可能會影響使用者體驗。因此,請務必將您的 iOS 裝置更新至 18.4 版本,如果可用,請將您的 Android 裝置升級至 Android 15。確保您驗證您的裝置是否在嘗試 USB 連線時提示進行身份驗證。
使用僅充電的 USB 線或資料阻斷器
僅充電的 USB 線可以有效防止果汁劫持,對於選擇劫持也同樣有效。這些電纜缺少資料針腳,即使連接到受損的充電站也無法傳輸任何資料。
USB 資料阻止器是連接到 USB 連接線的替代設備,可阻止任何資料訊號的傳輸。一個很好的選擇是JSAUX USB 資料阻止器。 JSAUX 也為喜歡攜帶電纜的用戶提供了USB-C 數據阻斷器電纜。
對您的裝置保持警惕
如果您確實必須使用公共充電站,請密切注意您的手機是否有任何異常行為。例如意外的藍牙啟動或 USB 連接模式選擇提示。如果您發現任何異常,請立即斷開設備。如果您必須離開手機,請務必確保螢幕鎖定已啟用。
最終,使用公共 Wi-Fi 或充電站等公開可用的技術確實存在一定的風險。僅在必要時將您的設備連接到公共事業設備,並確保所有保護措施都已到位。避免電池劫持攻擊的最佳做法是盡可能使用僅充電的電纜。
要進一步了解此問題,請查看我們的來源文章和圖片。
發佈留言