小心公共USB充電站讓惡意程式上身,美政府籲勿使用

你是否不時用車站或機場方便的USB充電線為手機充電?美國政府發佈警告,要民眾避免再這麼做了。

手機成為現代人不可或缺的配備,手機沒電可能讓你損失慘重。10月一名英國女性用Apple Pay買了票上了倫敦巴士,不料她的iPhone在車掌查票時沒電無法證明自己確實有買1.5英鎊的公車票,結果這名女性遭罰476英鎊(約19,000)元。但是隨便找USB充電站也可能招致麻煩上身。

美國洛杉磯郡地方檢察院本周就警告,為免感染惡意程式,大眾交通工具的乘客應避免以機場、飯店和其他地方的公用USB充電站為手機或其他裝置充電。在這些充電站充電,可能遭遇名為充電陷阱(juice jacking)的駭客手法,歹徒在充電站或充電線中植入惡意程式,以等待不知情的過路旅客將裝置插上而感染。這會造成裝置被鎖住,或是用戶資料或密碼經由惡意程式傳送到駭客架設的伺服器。

美國政府建議用戶使用一般交流電插座充電,而且出外旅行時最好只使用自己的交流電或USB充電線,或許考慮花點錢買個行動電源以備不時之需。

資訊產業很早就注意到USB傳輸線的安全問題。2014年即有德國廠商SRLabs 發現變更可程式化的USB控制晶片,即可將各種USB裝置變成邪惡裝置(BadUSB),隨後並有安全公司發展出將USB線變成人機輸入介面。今年安全研究人員Mike Grover還在USB介面上嵌入了Wi-Fi晶片,以便可在適當的距離內遠端攻擊,竊取裝置資料。

原文來自 iThome Online