太可怕了！充电宝、WiFi和App都可瞬间盗取你的一切隐私
我的图书馆
太可怕了！充电宝、WiFi和App都可瞬间盗取你的一切隐私
继2014年好莱坞艳照门以后，好莱坞第二波艳照昨天又被网络黑客爆出。手机隐私安全又一次被放到了大众面前进行讨论…新闻薇薇是个漂亮姑娘，下午帮朋友拍了套内衣写真刚存到手机里，晚上一名陌生男子给她发微信，传来很多她的内衣照。该男子表示，若不想被公开就得花钱消灾。扬州一位市民的银行卡、U盾、密码等都没有丢失过，但他卡上的钱却不翼而飞。不到两天时间，总共69笔的交易记录，账户上的6万多元仅剩了500元。湖北李女士逛商场时连接了一个免费WiFi充话费，结果取钱时却发现卡内1万多元现金不翼而飞。手机这个几乎已经成为生活必备的工具，也成为了我们隐私暴露的黑洞。手机里的信息，不经意间就流露出去，不仅仅照照片，还有邮箱账号、密码、使用习惯……总觉得自己是被脱光了放在别人面前一样。窃取信息方式五花八门充电宝复制手机信息移动安全专家演示显示，充电宝在充电过程中有信任提示，不小心点了信任，病毒就会自动匹配读取手机里的数据信息。数据量多的时候需要半个小时或者一个小时读完，数据量小的话，只需十几分钟。（充电宝病毒自动读取手机信息 偷取隐私）2.通过免费WiFi移花接木对于黑客们来说，钓鱼WiFi的构建十分简单，只要把安全WiFi移花接木到名字相同的黑客WiFi上。你把照片发到朋友圈或其他社交网络的一瞬间，他们便截获信息。你手机中所有的秘密他们全知道，邮箱账号、密码、私人邮件、虚拟网盘中的照片、用这个邮箱注册过的绑定过的支付信息、手机绑定过的银行卡……&（图：2016年央视晚会曝光免费WiFi窃取个人隐私）3.APP过度获取个人隐私绝大部分手机APP在开发时就通过设置权限获取列表的方式，利用安装时的权限获取资质申请了大量的手机权限，远远超出手机APP正常为消费者服务所必须获取的权限，例如“读取或增删联系人”“读取或增删通话记录”“精确定位并获取行动轨迹”等，然而这些涉及消费者个人隐私的权限取消获取并不会影响软件的正常运行，并且除非消费者自己主动取消，否则这些个人隐私将一直处于允许获取状态。如何正确安全地使用手机数据化时代的最大特点在于信息的高度透明化，无论是个人、企业还是政府，在享受大数据带来的便利性的同时，也承担了被技术监视的隐患。因此，处在这个时代中的每个人不可能有绝对的隐私，每个人或多或少都将自己的隐私暴露在公众的视野中。隐私的泄露本身不是最可怕的，最可怕的是对信息的过分使用以及牟利行为，在政策无法行之有效地落实到对个人隐私保护的行动上时，我们要做的就是防范信息过多流出，并且造成严重后果。手机安全使用手册&1微信里的这些功能，关掉！①微信“附近的人”功能可定位你的位置，依次点击“设置-通用-功能-附近的人”，选择“清空并停用”，必要时可重新开启。②在微信“隐私”选项中关闭“允许陌生人查看十张照片”。③在微信“隐私”中关闭“通过QQ好友搜索到我”和“可通过手机号搜索到我”。手机安全使用手册2iphone别记录我常去哪iphone手机中，有“常去地点”功能，可用地图显示机主常去的位置。不想让人知道？关闭此功能可以依次点击“设置—隐私—定位服务—系统服务—常去地点”，关闭该选项即可。手机安全使用手册3别随便晒孩子照片有些家长爱在社交网络发孩子的图片，会提到孩子的名字、学校，图片也可能透露不少居住小区的线索。根据这些信息很容易汇总出孩子的名字、家庭住址、学校，可能会让孩子有潜在的安全风险。网上测试小心有诈“测测你的心理年龄”、“测测你前世是谁”、“测测你潜在的性格”……测试时输入的姓名、生日、手机号码等，会被存入后台，对其梳理，有可能拼凑出完整个人信息。小心！手机安全使用手册4安装软件 少点“允许”手机安装游戏等软件时，常被要求“使用你的位置”，一旦点击“好”，这些应用便可扫描并把手机信息上传到互联网云服务器，一旦资料泄露，别人就可能知道您的位置、跟谁通话、玩啥游戏，家在哪……及时关掉手机自动连接WIFI功能发现免费Wifi不要随便登录，这可能是黑客用来入侵你手机的工具！江西一位先生使用没有设置密码就能登录的免费wifi，然后用手机输入自己网银卡号密码，结果发现账户被人转走了3.4万元！手机安全使用手册5被索要微信验证码，不要给！有人佯装手机刷机，没有对方的联系方式，要求对方发送手机号码和验证码给他，以通过好友验证。如果发送验证码，微信可能立马会被盗！一旦中招，可能波及到很多人！手机安全使用手册6①不轻信扫描别人发的二维码；②不要把银行卡、身份证及手机放在一起；③保持设置手机开机密码的习惯；④更换手机号前，在微信设置解除捆绑；⑤手机丢失，第一时间打电话给银行挂失和第三方支付供应商冻结相关业务。（整理自央视新闻 河南都市频道 安徽商报 等）
喜欢该文的人也喜欢充电宝到底能不能窃取手机数据_百度知道
充电宝到底能不能窃取手机数据
我有更好的答案
有部分厂家设计的充电宝有读取用户数据的功能。根据新闻报道有部分充电宝，当手机插上之后，它会通过USB接口自动拷贝手机中的数据，充电宝上的灯灭了就证明手机数据已经拷贝完毕。避免手机信息泄露的方法：1.苹果手机在版本7以上，连接数据线时它会弹出来一个信任或者非信任的窗口。专家介绍在充电过程中尽量不要去点这些信任或者非信任的窗口。更加应该引起注意的是：在低版本的苹果手机或者安卓系统手机里，充电的时候是没有这种弹窗提示的。2.维护手机信息安全，可以选用电源方式给手机充电，也可以购买只有充电功能的数据线进行充电。3.除了使用充电宝要小心外，在一些公共场所比如酒店、机场的大厅，常常有一些免费的充电接口，这些接口背后的设备很可能读取充电手机的隐私数据。
采纳率：97%
来自团队：
正常的不能。
不怎么可能
为您推荐：
其他类似问题
您可能关注的内容
充电宝的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。黑客揭秘：充电宝是如何盗取你的个人隐私的？
我的图书馆
黑客揭秘：充电宝是如何盗取你的个人隐私的？
中午吃完饭，看到一个微博中别人转的央视新闻《别被改装充电宝盗取隐私》觉得又是啥高大上的东西上了央视，看完后才知道是数字公司的某研究员做的伪装充电宝盗取隐私的玩意。心里豁然开朗，原来这玩意也可以上央视啊！那么问题来了: 这玩意都应用到了哪些技术，并且那个防护神器又是怎么实现的？我们这些天天写脚本的能玩不？还是需要那些玩二进制的牛人帮忙才能完成呢？那么下面我给大家介绍一种方法，揭秘攻击者是如何低成本快速打造一个伪造的充电宝的，以及我们该如何防御。主要是IOS系统，至于Android的方法我想满大街都是吧这里就不说了，以后说不定会在博客中写下。至于用途吗不关你是进行物理社工还是什么的就自由发挥，本文所提技术并不局限于“充电宝” ，不费话了进入正题。原理分析首先，我们来分析下在不了解已有技术情况下假设要从零开始做起，我们是怎么分析和设计这个东西？我估计大多数人第一个想到的应该是iTunes , 苹果手机管理的配套软件，因为在它里面有个功能是备份数据用的，即使刷机后，只要恢复下数据那么所有的通讯录，短信，甚至上网信息等等都会被恢复回去，二进制牛如果看到了应该会说逆下iTunes分析下它通讯协议不就完事了。嗯，确实可以实现奈何我们脚本小子操起IDA跟看天书的应该差不多，不过这里有一点说的对，那就是通讯协议。如果我们能够模拟iTunes协议，告诉iPhone我需要给你备份数据，那么按照它的接受协议把数据copy到存储单元不就ok了。至于它怎么去打包那些数据，根据它打包的方式解包不就还原所有数据了。上面我们分析的是如何把数据从手机拿到存储单元，那么和充电宝又有什么关系? 看过那个视频的应该注意到，手机查到充电宝上面会提示 “是否信任此电脑” 。回想下，我们自己充电的时候是否会提示？那么在什么情况下会提示？是的，在手机数据线插到别人电脑上面的时候会提示！这里我们在分析下，在正常充电宝上和电脑上面为什同为USB，一个提示一个却不提示，为后面的防御做个铺垫。我们先看下下图：图是网上找来的， 其中黄色部分为四个usb里面的触点， 其中1，4 从图中可以看到是正负极（虽然只有+，-号），2，3 是 “D+ 和D-” 是什么呢？其实就是data+ 和 data- 数据信号的输入和输出。其实从这张图上也能猜到为什么正常充电宝不会提示，而插到陌生电脑上会提示。因为在陌生电脑上面data+和data-上面产生了数据信号，所以导致iPhone会进行询问是否应该信任此设备以进行数据交互，下面看看如何快速实现。设计实现上面原理分析了那么多，还是没有进入核心部分 “ 如何快速制造” 估计骂街的已经开始了….所需材料：1. 树莓派 (raspberry pi) 一枚2. 大号锂电池（至于多大，看你想要多大容量的充电宝）3. 充电器（为啥要这个？充电宝要充电呗）4. 小灯 led小灯 3-4 枚 （充电宝充电闪烁效果）上面这些东西怎么组合？ 树莓派USB 对外供电， 锂电池给树莓派供电，充电器拆了（里面的东西）给锂电池充电，至于led小灯，接树莓派GPIO口。让树莓派闪烁小灯的教程网上应该也是一大把了，这里就不详述了请自行查询。其实树莓派就是一个ARM平台上面可以跑跑Linux， 大家最关心的应该都是在ARM平台上面的Linux怎么模拟数据让iPhone把备份数据给存储到树莓派上面的存储器。看到上面的分析估计很多人心里不自在了，都说了脚本小子为什么又扯到上面的分析，难道又要让我们逆向iTunes了。当然不是了，既然我们能想到模拟数据难道就没有人做过？是的，你又一次猜对了，由开源实现libimobiledevice , 这就是我们今天的主角，看看它介绍(官方介绍)：libimobiledevice is a cross-platform software library that talks the protocols to support iPhone?, iPod Touch?, iPad? and Apple TV? devices. Unlike other projects, it does not depend on using any existing proprietary libraries and does not require jailbreaking. It allows other software to easily access the device's filesystem, retrieve information about the device and it's internals, backup/restore the device, manage SpringBoard? icons, manage installed applications, retrieve addressbook/calendars/notes and bookmarks and (using libgpod) synchronize music and video to the device. The library is in development since August 2007 with the goal to bring support for these devices to the Linux Desktop.上面啰嗦了那么多E文其实就是说它不依赖于第三方库，跨平台的实现了iPhone，iPod Touch, Ipad等苹果设备的通讯协议。在树莓派上面怎么编译可以看这里所需依赖https://github.com/libimobiledevice/libimobiledevice编译后有它的动态库，可以根据它的文档自己实现想要的功能，不过对于仅仅只是需要“窃取”隐私数据，其实自带的tools目录中的工具就已经够用了，在看编译完后的工具都长什么样(图片演示均为笔记本上面的libimobile):可以看到编译后tools目录自带的这些小工具，比较显眼的几个: idevice_id 获取已连接设备ID， idevice_id -lidevicebackup ios较低版本用来备份数据的工具idevicebackup2 ios新版本备份数据工具idevicesscreenshot 从名字就能看出来是屏幕截图idevicesyslog 实时显示log信息的，跟adb logcat 一样ideviceinfo 设备信息.... 其他的看名字基本就知道大概了好了，我们直接上主角吧，idevicesbackup2。在当前目录建立文件夹bak，当然你愿意放在那里都行只是用来存储备份数据的。usb连接电脑和手机（不是说好的充电宝么，好吧…没啥差吧^_^）输入命令: idevicebackup2 backup ./bak如果没有配置环境变量就给idevicebackup2 指定当前目录./运行过程如下图所示:运行结束后在bak目录下会生成一个由字符串组成的目录，打开我们可以看到一堆不太能够容易理解的文件，其实这些就是备份经过处理的数据，如图所示：那么拿到这些数据有毛用… 别捉急，既然能拿到肯定有办法解包还原数据输入命令:ideivcesbackup2 unpack ./bak命令执行完后我们就可以看到bak目录下多了一个_unpack_目录，看看里面有些什么吧。由于层级太多只显示了3级目录，不过我们先找找数字公司演示的照片是在什么地方存储的可以在var/mobile/Media/DCIM 目录中看到这里存储的都是个人相机拍的照片和视频（没拍摄过所以里面木偶有显示~）如下图：仅仅只能拿到相片么？ 其实细心的读者肯定都看到了Keychains 就应该知道这玩意是啥了。好了再看看能获取到其他信息不？ 比如safari或者其他APP的本地遗留数据，例如cookie 、 聊天记录？ 看看var/mobile/library下面的sms和cookie信息：我不会告诉你 var/mobile/Applications 全部是应用的备份文档信息里面包含的账户密码，聊天信息等。这里就不看了，太尼玛冷了，得进被窝了…防御措施这会再看结合USB的那个图你应该知道两种防御方法了吧?1. 提示信任信息的时候如果是充电宝，坚决选NO2. 也就是数字公司的“防御神器”切掉USB的data数据（猜测数字公司这么干的）哎，好久没写文章了有点手生，写了快一个小时就到此打住了，写着文章没有任何恶意，只是想分享一些东西，认识我的人都知道我很乐意分享所掌握的知识并且是无条件的。你会问为啥从始至终都没有看到你的“充电宝”，额没钱买呗
喜欢该文的人也喜欢央视曝光充电宝窃取用户个人隐私：边充电边拷贝_www.3dmgame.com
我的位置：>>>
央视曝光充电宝窃取用户个人隐私：边充电边拷贝
发布时间： 07:20 （） 作者：新浪手机 编辑：skylark
据央视新闻报道，目前不少经过改装的充电宝已经具备窃取用户信息的功能，当用户连接充电时，就会在后台开始拷贝包括照片、短信等个人隐私。
据央视新闻报道，目前不少经过改装的充电宝已经具备窃取用户信息的功能，当用户充电时，就会在后台开始拷贝包括照片、短信等个人隐私。随着一体式手机越来越普及，充电宝已经成为不少&拇指族&不可或缺的电子产品之一，但是本来只用来负责给手机充电的移动电源，竟然也可成为暗地获取你个人隐私的&隐形杀
这个外形与普通充电宝毫无区别的产品，竟然可以在连接手机后自动开始拷贝数据。演示中的充电宝有个LED灯，当这块充电宝开始窃取用户数据时LED灯开始频闪。
拷贝数据的时间根据用户资料多少而决定，长的话可能需要一个小时，短的情况只需要十几分钟。而拷贝的数据，包括用户的照片、视频，甚至是短信所有记录。当然如果手机中有存储公司所用的文稿文件，也会被一并拷贝下来。
无独有偶，除了可以拷贝数据的充电宝外，还可一类可以变身成为监听设备。通过改装充电宝内部构造增加GPS以及通话模块后，就可实现监听并且定位地理位置等功能。此类充电宝内置SIM卡，不法分子通过发送短信指令等方式激活即可开始监听和定位。
面对如此多不安因素，我们应该如何防范呢?
首先，在外尽量选择电源方式给手机充电，也就是避免采用提供USB口的不明充电站，因为用户很难了解此类USB后端是否连接其他设备。
其次，自备大品牌移动电源，不使用的不明设备为手机充电。
最后，当手机连接存储设备后，一般会有提示。比如iPhone会提示是否&信任&设备，而在正规充电宝并不出现此类通知，如果发现请及时中断充电连接。西安华商网络传媒有限公司 All Rights Reserved
增值电信业务经营许可证B2- SP服务代码 陕卫网审[2010]第0062号 网络文化经营许可证 编号：陕网文许字[7号
新出网证（陕）字 006号 本网常年法律顾问 陕西赢弘律师事务所 王正兴 律师