数据线带来的安全隐患

Posted 2020-08-19

在“互联网+”大潮冲击下，各家银行纷纷使出浑身解数，不断将创新业务加入消费场景服务中，满足客户多样化的需求。个别银行更是与阿里、腾讯、百度三巨头签署合作协议，在联名信用卡、新型电子商务平台、大数据、云计算、支付等领域建立了全面战略合作关系。而就在前几天，数家银行被曝互联网安全漏洞，包括转账金额、时间以及持卡人户名、账号、电话号码等信息存外露风险，给银行带来信誉危机。

生活中，手机用户都习惯用数据线来连接手机和电脑。数据线既可以给手机充电，又可以传输文件、安装应用，十分方便。但是，可能在用户不知情的情况下，手机里的隐私已经被黑客恶意窃取。这是怎么做到的呢？

周亚金是互联网公司高级安全研究员，他演示了攻击者利用漏洞查看并窃取安卓手机微信聊天记录的过程：首先，他打开微信，向现场观众展示了一下微信聊天记录；其次，他模拟攻击者在电脑上预置一个恶意程序，这时微信的聊天记录现在就显示在屏幕上了。周亚金介绍：“这只是一个演示，实际上攻击者可以将这些聊天记录发送到远程的服务器，用户却毫不知情。”

周亚金在现场演示了如何通过漏洞执行恶意代码，继而破解用户的手机锁屏密码。不需要开锁就可以直接进入用户系统查看任何隐私。

攻击者可以利用这个漏洞提高自己的系统权限，从而窃取用户隐私。除了微信聊天记录之外，银行卡密码、支付宝的支付凭证也都有可能被盗取。

周亚金介绍：“这个漏洞的产生需要两个条件。一方面是原生系统本身就存在问题，另一方面需要能触发问题的预置应用(也就是手机APP)，比如厂商的预置的一些应用。如果触发了这个漏洞，造成的影响就比较大。”

专家所说的原生系统也就是谷歌公司开发的安卓系统。目前，这个漏洞已经反馈给谷歌公司，等待修复。关于安全问题如何防护，周亚金也提出了自己的几点建议。

第一，国家相关部委出台一些政策，要求手机厂商在手机出厂之前，要经过一定的安全认证。在发现重大漏洞的时候，要求手机厂商及时推出安全补丁。另外一方面，我也呼吁手机厂商加大安全的投入。第三点，用户也要有更强的安全意识，不要从不明论坛上下载手机APP，要及时杀毒，及时系统更新。