当使用者维修手机时，手机系统对置换零件的信任将允许骇客嵌入恶意零件，进而窃取使用者的密码或盗拍照片。
来自以色列本.古里安大学的几名安全研究人员近日发表一份研究报告，指称当使用者维修手机时，手机系统对置换零件的信任将允许骇客嵌入恶意零件，进而窃取使用者的密码或盗拍照片。有不少第三方业者制造手机触控萤幕、方向感应器、无线充电控制器或NFC读取装置，而各种零件的驱动程式早就假设这些零件是可被信任的，因此，这些零件与装置处理器之间的交流很少被检验，也让骇客有机可趁。
由于萤幕是最常维修的手机零件之一，这群研究人员用现成的电子零件来制作成触控萤幕控制器的恶意功能，并执行两项攻击行动，一是触控注入攻击，指使触控萤幕模仿使用者的输入并汲取资料，二是缓冲区溢位攻击，可让骇客扩张权限，结合这两项攻击之后，即可在标准Android韧体上进行各种端对端攻击行动，包括窃取使用者所输入的密码或金融资讯，拍摄照片或影片并透过电子邮件传送给骇客，还能自己下载未经使用者授权的程式。
有关于相关攻击还能暂时关闭萤幕画面，因此，使用者在被骇的同时可能不知不觉。透过恶意零件所执行的攻击行动并无法透过现有的安全机制察觉，不管是回复手机的出厂预设值、远端移除或是韧体更新，该恶意零件都还是存在。在揭露硬体攻击模式之后，研究人员也打造了软体解决方案，可用来监控零件之间的交流，亦已将相关研究提交给Google。特别声明：本文为网易自媒体平台“网易号”作者上传并发布，仅代表该作者观点。网易仅提供信息发布平台。
一键安装官方客户端
重大事件及时推送 阅读更流畅
http://dingyue.nosdn.127.net/oVSkheFMPOJCouPsvliZkVnj65LJwDqRA3i5=CRVcNRHw7.jpeg小心维修店在你的手机中植入秘密芯片
[摘要]设有陷阱的屏幕利用操作系统漏洞绕过密码安全保护机制，这种保护技术装在手机内。恶意组件的成本不到10美元。腾讯数码讯（易静）有些人的手机触摸屏坏了，或者出了其它问题，现在这些人有了新的问题要考虑：维修店更换组件之后，组件里面可能包含秘密硬件，它可以入侵设备。最近出现一份研究报告，告诉我们给手机替换屏幕之后（比如给华为6P、LG G Pad 7.0更换屏幕），组件可以秘密窃取键盘输入信息，知道输入的图案是怎样的，还可以安装恶意App，拍照并发送给攻击者。设有陷阱的屏幕利用操作系统漏洞绕过密码安全保护机制，这种保护技术装在手机内。恶意组件的成本不到10美元，可以大规模生产，相当容易。对于大多人来说，最让人害怕的是陷阱组件与安全组件很难区分，即使是服务技术员，很多也难以察觉。除非拆解过硬件的人维修手机，对组件进行检查，否则很难发现。在2017年Usenix WOOT研讨会（Usenix Workshop on Offensive Technologies）上，研究人员公布了研究报告。不论是iOS还是Android操作系统，软件驱动都受到了设备制造商的严密保护，它们存在于“可信边界”（trust boundary）之内。工厂安装的硬件可以与驱动通信，只要制造商对供应链有着很强的安全控制，工厂硬件就是可信的。当手机送给第三方维修店维修，安全模式就会被破坏，没有任何有效的方式能保证替代组件不被修改。Ben-Gurion大学的研究人员在报告中指出：“在消费电子世界，恶意外设的存在不容忽视。正如报告指出的，用恶意外设发起攻击是可行的、可扩展的，大多侦测技术很难发现。如果敌方有足够的动机，完全可以针对特定目标发起大规模攻击。系统设计师应该考虑将替换组件放在手机可信范围之外，根据相应情况设计防护方案。”
正在加载...
来自芯片中攻击为了完成攻击，研究人员首先从常规触摸屏开始，他们将一颗芯片装进屏幕，控制通信总线，总线将数据从硬件传输到OS中的软件驱动。这种技术有点像“chip-in-the-middle”攻击，恶意植入的电路夹在两个端点之间，它可以对通信进行监控修改。恶意芯片内部植入了代码，它可以在用户不知情的前提下完成各种操作。例如，研究人员安装的陷阱触摸屏可以记录解锁图案和键盘输入信息，还可以自动拍照并将照片发给攻击者，用钓鱼网址替代用户选择的网址，根据攻击者的意愿安装App。还有一种攻击是通过芯片利用OS内核漏洞完成的。为了让攻击秘密进行，芯片可以关掉显示屏面板的电源，此时恶意操作会在幕后秘密执行。在演示视频中，研究人员将显示屏打开，目的是让大家看清攻击是如何完成的，实际上可以关闭显示屏。为了向驱动器、触摸屏发送恶意命令，研究人员选择Arduino平台，它运行于ATmega328微控制器模组之上。研究人员还用STM32L432微控制器完成了入侵，相信其它大多的通用微控制器都可以达成目标。研究人员用热气枪将触摸屏控制器与主要组件分离，这样就能靠近连接二者的铜垫。然后研究人员用线缆将芯片与设备连接，线缆从手机伸出来。只需要稍作加工，研究人员相信整个陷阱替换组件可以用极为隐蔽的方式装进手机。不只Android危险在演示时研究人员使用的是Android手机，相似的技术应该也可以用在iOS设备上，比如平板、手机。研究人员还列出一些应对措施，这些措施从硬件层进行防范，成本比较低，制造商可以采纳，它能保护设备免受攻击。还有一种办法就是让替换组件接受认证。你拥有一台手机，但是它的安全有很大漏洞，而且无法察觉，出现这样的事并不让人意外。意外的是这种攻击成本低廉，无法侦测，而且还可以大规模进行。有调查显示，每5台智能手机就有1台屏幕破碎过，有许多第三方维修店可以修复，让人担忧的是服务技术员也无法侦测陷阱组件，这点值得注意。来源：arstechnica
正文已结束，您可以按alt+4进行评论
责任编辑：miyaliu
扫一扫，用手机看新闻！
用微信扫描还可以
分享至好友和朋友圈
Copyright & 1998 - 2018 Tencent. All Rights Reserved此页面上的内容需要较新版本的 Adobe Flash Player。
>> 如何安全使用智能手机 >> 正文
如何安全使用智能手机
随着移动互联网技术的迅速发展，智能手机的功能越来越强，并逐渐成为我们生活中不可或缺的一部分，但面临的安全风险却越来越大。如果手机遭受攻击，小则经济损失，大则可能造成个人隐私泄露，可能产生各种&门&，甚至造成身败名裂、家破人亡，后果十分严重。那么我们如何才能安全地使用手机，防止信息泄露和遭受攻击？为此，我们对智能手机安全的使用做了一些总结与分析，希望能对大家有所帮助。
智能手机，是无线通信和计算机网络技术的融合体，具备高速联网、视频传输、导航定位等功能，相当于一台能够通话、随时上网的移动式计算机终端。智能手机在给我们带来更多样功能、更便捷使用的同时，也更容易遭受攻击、感染病毒、泄露信息，给个人信息安全防护带来严重挑战。概括起来，智能手机的使用面临以下五种安全风险：手机通信信道风险、手机支付风险、手机聊天软件风险、手机系统安全风险、手机设备安全风险。
一、手机通信信道风险：提高警惕，认真鉴别信息
手机和其他无线电通信设备一样，其信道也是开放的电磁空间。目前，信道攻击主要有两种方式：一种方式是信号截收，窃密者利用相应的设备，直接截获空中的手机通信信号,通过数据处理还原出话音和数据；另一种方式是伪基站欺骗，窃密者在手机和基站之间设立一个伪基站，同时骗取双方信任，接收、转发双方的信息，不但能达到窃密的目的，还可以篡改目标手机通信的内容，比如骗子可以通过软件或设备发送假冒银行短信、假冒银行（邮政局、公安局等）电话。由于智能手机无法鉴别该类信息、电话号码，它会将这些假信息与真信息归类在一起，让人无法分辨，下图就是笔者收到的建设银行伪基站假信息和真的建设银行提醒信息。
如何防范：
1、提高警惕，认真鉴别手机收到的信息。如果收到银行的提醒短信，要认真鉴别短信里包含的电话、网站地址等，切勿直接拨打短信上的电话或点击这些网站地址，因为他们都是假的信息，是用来引诱你上当的。这里解释一下可能的受骗过程，当拨打假电话后，骗子会忽悠你进行所谓的技术操作，然后你不知不觉就将钱转账到其他账户去了；当点击了假网站后，你可能会从该网站下载木马程序（apk文件或者苹果应用），安装后手机就会被监听，银行账户密码、相册等个人信息就会外泄；或者，当你在假网站里输入账户和口令后，该网站就会骗取你的网银账号和密码，而在另一端实时监控假网站数据的骗子会立刻登录真网银网站，并将你账户的资金转移走。这一盗窃过程一般不超过15分钟。　　
2、切勿在手机上发送账户、口令等信息，切勿轻易相信你所看到的手机信息。因为，一是手机可能被木马程序监控了，在手机上传递此类信息容易泄露；另一方面是，接收到的短信、邮件可能是骗子通过技术手段伪造的假信息，常见的假信息有：银行（邮政、快递等）提示短信、伪冒领导的短信、伪冒汇款账号短信，假的退信邮件、假的系统提醒邮件。假如收到这类信息，我们要通过正确途径（比如官方网站，切勿通过搜索百度信息进行核实，因为百度也可能收录了假信息）进行核实。
二、手机支付风险：管好手机银行
随着网上购物的红火发展，手机支付越来越流行，支付安全面临风险。现在&扫一扫&很时髦，可是也让不法分子有了可乘之机。一些不明来路，不明源头的二维码，很可能泄露你的账户信息，严重的直接盗刷卡片。举个案例：一网友谎称给经营网店的陈女士发来包含订单信息的二维码，陈女士扫描后刚开始什么反应也没有，就没在意。后来，她收到支付宝异地登录的提示，才意识到被骗了，到银行一查，发现少了5000元。很多智能手机用户没有使用安全软件扫码和防护的习惯，不法分子正是掌握了这一点，在二维码中植入木马病毒，截取支付验证短信，从而盗刷网银、网上支付账户。
如何防范：
1、不要随意打开陌生人发送的链接、扫描陌生二维码，尤其是使用手机二维码在线支付时，应认真核对网站域名、认准官方渠道。在网络支付或手机支付输入动态密码前，要仔细核对短信中的业务类型、交易商户和金额等，如发现有疑点不要轻易支付，先通过官方渠道进行咨询。
2、尽量使用数字证书、宝令、支付盾、手机动态口令等安全产品;
3、手机丢失，第一时间打电话给银行和第三方支付供应商冻结相关业务;
4、尽量要通过正规的手机应用市场（如豌豆荚、360手机助手等）下载手机银行支付软件，同时也要慎重选择安全系数较高的手机银行客户端。
5、尽量不要将支付软件与银行卡绑定，或者在银行给银行卡设置较低的支付额度。
三、手机聊天软件风险：提高密码安全性，增强密码保护意识
在互联网发展初期，聊天软件，特别是QQ是人们常用的沟通交流工具，但也是容易传播病毒信息的主要途径之一。随着移动互联网的发展，手机聊天软件与互联网聊天软件实现即时通讯，聊天软件传播病毒、诈骗信息的破坏威力越来越大，严重影响了人们的在互联网上的正常沟通交流。
举个典型例子：以&盗取领导聊天工具账号&实施诈骗
1月4日早上，某公司财务陈小姐收到其&董事长&发来的QQ消息，称刚跟客户谈好一个项目，急需付给对方一笔货款，并提供了一个银行账号。陈小姐一看确实是&董事长&的QQ号，基于公司平时与信任的老客户也会通过直接汇款的方式交换转款信息，而且&董事长&也一直发消息让其尽快汇款以免耽误生意。在&董事长&的催促之下，作为一个员工，陈小姐迫于压力便马上通过网银转账120000元至对方账号。按照以往的程序，转账后陈小姐跟其公司领导核实这笔款的去向，询问后发现根本没有此事，此时陈小姐发现被骗。
事情经过：犯罪嫌疑人通过黑客技术盗取公司领导的聊天账号，然后通过聊天工具向事主发出紧急信号，比如急需货款，给客户汇礼金等原因要求事主尽快汇钱。由于是公司高层领导发出的汇款要求，迫于压力，事主通常都会忽略要进一步确认。随后嫌疑人便引导事主去ATM或网银操作转账。
如何防范：
在网上使用聊天工具谈及资金转账时需谨慎，遇到此类诈骗，一是先联系上领导确认核对事实，谨防他人盗取领导聊天账号；二是尽量避免使用网上聊天工具谈涉及资金汇款方面的业务；三是如有用户发现自己聊天工具被盗时应尽快找回密码，并告知好友谨防被骗；四是尽量不要备注聊天好友的真实姓名、电话等信息，避免聊天软件被盗时，泄露此类关键信息。如有发现此类情况你可以拨打110报警。
四、手机系统安全风险：防止手机感染病毒
近日，猎豹移动安全实验室发布紧急安全警报，一个名为&幽灵推（Ghost Push）的病毒感染了全球大量安卓手机。据统计，每日就有超过60万台手机中毒，预计真实受害用户应更多。受害用户主要集中在美国、印度、中国、墨西哥等，其中中国的云南、广东等省受害严重。
感染手机病毒后，手机上的个人通讯录、照片、文件资料、SIM卡信息、用户通话、短信内容、银行账号密码等信息极易外泄，被病毒感染的手机可能在用户不知情的情况下发送垃圾信息。
如何防范：
1、不要随意下载不明APP手机应用。现在针对手机的APP游戏和应用软件，如大潮一般不断涌现在网络上，不论开发者或者开发商，都或多或少的在app中加入第三方的插件、代码，甚至病毒木马，轻则吸干流量，严重的就盗取信息，做一些不法的勾当。
2、不要轻易打开收到的信息。很多朋友在手机收到信息后，都会下意识的去点击看下，尤其是遇到自己感兴趣的内容，更是毫不犹豫，奋力一击。由此，也许你就默默的中招了，至于会出现什么症状，就要由病毒决定了。
3、不要添加陌生的微信或QQ好友。有些同学喜欢在网络上广交朋友，经常通过【搜附近】、【找周围朋友】添加一些陌生人，尤其是异性。殊不知这陌生人里面就暗藏着居心叵测的坏人啊！还是那句老话&害人之心不可有，防人之心不可无&啊！
4、不要随意蹭网。有些手机玩家为了省下几毛钱的流量，不管在哪都想找些【免费的午餐】，搜到WLAN、wifi信号后，不分青红皂白，狂点连接，结果中招。
5、必须安装安全防护软件。现在互联网上也是兵荒马乱，软件应用良莠不齐，大多数的手机用户对安全知识知道的是微乎其微。所以，安装安全防护软件，可以给手机群体节省不少的时间和精力，对个人信息方面也是一个强大的安全保障。
五、手机设备安全风险：合理处理旧手机，维修手机应选择正规的手机维修店。
手机设备的安全风险主要是指手机被他人接触后，发生信息泄露、设备受攻击的情况。
如何防范：
不要将手机作为一般的生活垃圾丢掉，在售卖或转让前，要彻底清除手机里的个人隐私信息。
1、在格式化手机或恢复出厂设置后，再存入一些无关文件将手机内存占满;
2、使用&360安全换机&软件，通过全盘擦除、彻底销毁等手段能彻底删除手机上的资料。
维修手机时，务必要到正规的手机维修店，维修时要全程监管，防止被安装窃密硬件和软件。有一些不正规的手机维修店会利用手机病毒来牟利。他们会把病毒先装到你手机里，然后再给你&维修&，更狠点的，可能会监控你手机的任何一个举动。
手机和我们的个人隐私信息联结在一起，所以这安全的问题真的不得不重视啊。在平时生活中，想远离各种门，就保护好自己的手机吧!
如有其他不清楚，需交流、咨询的地方，请通过电话、RTX与网络科联系。
联系人：王立海、高军
电话：027-
　责任编辑：许先进手机维修后怎么确保手机是安全的_百度知道
手机维修后怎么确保手机是安全的
我有更好的答案
给楼主一点建议，希望帮助你了1、不轻易打开陌生邮件2、不加陌生好友3、不乱进不安全网站4、不乱下载5、不要乱扫描6、连接电脑等，主要开启防火墙7、注意手机内部保护，安装安全软件腾讯手机管家杀毒保护都不错的病毒查杀方面，腾讯手机管家和卡巴斯基双核查杀，让手机病毒无所藏身，可以对您的机子进行联网的云查杀和备用病毒库的查杀，更加安全；8、做好备份，有备无患建议以后可以备份，把文件放到腾讯手机管家的 微云网盘中，打开腾讯手机管家——实用工具——微云网盘在微云网盘中储存就是真的丢不了了。
采纳率：85%
来自团队：
为您推荐：
其他类似问题
您可能关注的内容
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。修手机需注意信息安全【数据安全吧】_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0可签7级以上的吧50个
本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：410贴子：
修手机需注意信息安全
3月10日，赵丹发现自己的三星智能手机突然黑屏无法开机，当被手机专卖店告知维修费用很高时，赵丹突然想起曾经在某手机论坛上看到低价维修手机的帖子。想到手机里存着几百个客户电话，赵丹赶紧上网寻找“修机能人”，未曾想到，险些危及自己的信息安全。
果不其然，在一个手机交流论坛上，赵丹看到一位网友转发的帖子，称周围很多人的手机都通过网上一个“修机能人”修好了，而且收费低、服务好。
赵丹动了心，赶紧加了这个“能人”为QQ好友，询问修机事宜。这位“能人”告诉她，只需要先用支付宝支付80元钱，然后找他远程协助，通过“挖煤模式”就能把手机修好。如果修不好，可以退款。
一系列的专业术语让赵丹有点蒙，但为了尽快修机，赵丹还是照做了。付完80元钱后，赵丹按照这位“能人”的指示，将手机连在电脑上，然后打开QQ远程协助功能。让赵丹没想到，当这个远程功能开启后，鼠标在屏幕上到处游走，电脑完全不受自己控制。
此时，杀毒软件突然弹出“木马”病毒的提示。看到这一幕，赵丹傻眼了，慌乱中她赶紧把电脑关闭。当电脑重启后，这位“能人”也没了踪影。
想到电脑上网银控件被打开过，赵丹觉得不对劲。她赶紧通过电话银行查询账户余额，发现钱并没被转走，悬着的心算是落地了。
“以后咱可别被远程协助忽悠了。”赵丹说，想到自己的80元钱没了影，个人信息险些被盗，自己觉得悔不当初。
山丽网安的专家提醒：市民不要轻信找上门的“淘宝客服”或者网上搜来的“修机能手”。不要登录陌生人发来的网页链接，更不能随意让他人远程操作自己的电脑。此外，为确保自己的信息安全，主动采用加密软件进行数据本源防护也是不错的选择！
贴吧热议榜
使用签名档&&
保存至快速回贴