關閉選單
  1. Home
  2. NEWS最新消息
  3. 訊息與報導
  4. 工控安全
顯示分類
2025.07.31
訊息與報導/工控安全
Choicejacking公共充電站攻擊竊資料

報導摘要

根據Hackread.com的最新報導,一種名為「選擇劫持」(Choicejacking)的新型網路攻擊正悄然浮現,對使用公共充電站的用戶構成嚴重威脅。這種攻擊是「汁液劫持」(Juice Jacking)的進化版,攻擊者利用惡意修改的公共USB充電器或線纜,不僅能在受害者充電時偷偷竊取數據,甚至能在受害者察覺之前,透過操縱手機上彈出的權限提示,秘密授予惡意軟體訪問手機內部資料的權限。
這項技術的關鍵在於其複雜性:擊者能夠模擬手機與充電器之間的正常通訊,並在用戶的預期之外,彈出看似合法的權限請求,例如要求存取照片、聯絡人或簡訊。由於許多用戶在充電時可能不會仔細檢查這些提示,或習慣性地點擊「允許」,這使得「選擇劫持」成為一種極其隱蔽且高效的數據竊取方式。這項技術的發現,再次提醒了我們在享受公共設施便利的同時,也必須對潛在的資安風險保持高度警惕。


資安風險

「選擇劫持」攻擊的核心資安風險在於其利用了使用者對充電行為的信任和對手機提示的疏忽。以下是主要的風險點:
  1. 隱蔽性高,難以察覺:與直接彈出警告的惡意軟體不同,「選擇劫持」利用的是手機充電時的正常互動流程。權限提示在用戶不經意間出現,且其內容往往是手機充電時可能出現的常規選項(例如「僅充電」、「傳輸檔案」等),因此很難被用戶及時識別為惡意行為。
  2. 繞過傳統防禦機制:這種攻擊模式不依賴於Wi-Fi或藍牙連接,而是透過實體USB連接進行,這使得傳統的網路防火牆或無線網路加密等安全措施無法有效防禦。
  3. 數據竊取與惡意軟體植入:攻擊者不僅能竊取手機中的敏感數據(如照片、影片、訊息、聯絡人、銀行資訊),甚至能秘密安裝惡意軟體。一旦惡意軟體被植入,攻擊者就能遠端控制手機,進行更多非法活動,如監聽通話、追蹤位置或發送垃圾訊息。
  4. 連鎖反應風險:手機作為許多人數位生活的中心,一旦被入侵,可能導致連鎖反應。例如,儲存在手機上的憑證可能被用於登入其他線上帳戶,導致更廣泛的身份盜竊或財務損失。


安全影響

「選擇劫持」攻擊一旦成功,將對個人和企業造成多重嚴重的安全影響:
  1. 個人隱私洩露:手機中的個人照片、影片、通訊記錄等敏感資訊一旦外洩,將嚴重侵犯個人隱私,甚至可能被用於勒索或網路詐騙。
  2. 身分盜竊與財務損失:攻擊者可能獲取銀行應用程式的登入憑證、信用卡資訊或其他金融數據,導致直接的財務損失和身分被盜用。
  3. 企業數據外洩:對於經常在公共場所充電的商務人士而言,手機中可能儲存公司敏感資料。一旦手機被「選擇劫持」,企業的機密數據也可能因此洩露,造成巨大的商業損失和競爭力下降。
  4. 社交工程攻擊媒介:攻擊者可能利用竊取的個人資訊,對受害者的親友發動更具說服力的釣魚郵件或簡訊詐騙。
  5. 設備損壞或鎖定:極端情況下,惡意軟體可能導致手機系統損壞,甚至被遠端鎖定,要求支付贖金才能解鎖。


行動建議

為有效防範「選擇劫持」等公共充電站潛在的資安風險,以下提供具體建議:
  1. 攜帶自己的行動電源或充電器:這是最直接有效的方法。使用自備的行動電源或直接連接交流電源插座(使用自己的充電器),能完全避免使用可能被惡意改造的公共充電設施。
  2. 使用「僅充電」USB線:市面上有販售專為充電設計的USB線,這種線材內部不含數據傳輸線路,僅提供電力。在不得不使用公共USB充電口時,使用這類線材能有效阻斷數據傳輸。
  3. 關閉USB數據傳輸功能:在手機的開發者選項中,可以設定USB連接的預設模式為「僅充電」或「不傳輸數據」。確保手機在連接未知充電源時,不會自動開啟數據傳輸功能。
  4. 仔細核對任何權限請求:充電時若手機彈出任何權限請求,務必仔細閱讀內容。除非你明確知道這是出於正當目的的提示,否則一律選擇「拒絕」或「僅充電」。
  5. 避免在不明來源的電腦上充電:除了公共充電站,連接陌生電腦進行充電也同樣存在風險,因為電腦可能自動讀取手機數據。
  6. 定期更新手機系統和應用程式:確保手機作業系統和所有應用程式保持最新版本,以修復已知的安全漏洞,提升防禦能力。
  7. 安裝可靠的行動資安軟體:選擇信譽良好的防毒軟體或行動安全應用程式,可以提供額外的保護層,檢測並預防惡意軟體入侵。

結論

「選擇劫持」攻擊的出現,標誌著網路威脅正從單純的線上攻擊,延伸到我們日常生活中的實體接觸點。公共充電站的便利性,如今也伴隨著隱蔽的數據竊取風險。面對這種進化型的威脅,僅僅依賴傳統的網路安全防護已不足夠。我們必須提高對數位安全的警覺性,特別是在使用公共設施時。將自備行動電源、使用「僅充電」USB線、並仔細審核手機上任何權限提示,納入日常習慣。企業也應加強對員工的資安教育,特別是針對經常出差或在公共場所工作的員工。
這項新威脅再次提醒我們,資安防護是一場持續的戰役。唯有不斷學習新的攻擊手法,並積極採取預防措施,才能在享受科技便利的同時,最大程度地保護我們的個人隱私和數位資產。保持警惕,才能真正做到防患於未然。
 

來源資料:https://hackread.com/choicejacking-attack-steals-data-phones-public-chargers/