提出这个问题的起因是我妈她老人家今天给我发了一个反诈骗的视频
视频的内容简单总结一下就是:
1,诈骗犯用某种理由,让受害人用自己的手机连接诈骗犯的充电宝
2,受害人的手机上会弹出提示是否信任
3,如果选择了信任,受害人手机上的个人信息就会马上泄露给诈骗犯,个人资产皆被转移
毕竟我没有实际经历过这种事情,也没办法说它到底真假
发这个贴便是想要问一下大家,有没有人懂相关技术来进行一下科普
1 个赞
用了 adb 命令吧,偷隐私信息应该可以。但是把钱转走就太夸张了吧,平时转账都要输入密码或者生物认证(指纹、人脸)。
4 个赞
USB调试不开就无所谓,除非诈骗犯趁受害人不注意把这个开了。
2 个赞
印象中这种骗局好多年前就有了,说授权 USB 调试充电就更快。
这种应该有点夸张了吧,不过我想起以前网吧那个自带的USB充电了,让你打开ADB说是充电可以更快,我还相信打开ADB,结果手机了多了一堆垃圾软件
1 个赞
我更好奇遇到这种情况要怎么处理。我应该会马上开断网(开飞行模式、关闭WIFI),这样就算信息被窃取也传不出去,最后拿到售后中心重装系统。
真。如果授权了 ADB 权限,可以静默安装、启动任何应用,执行比普通用户权限略高的指令(例如读 /data/app 私有目录下应用保存的各种信息)。要盗取个人资产也不是不可能,例如偷偷卸载银行 App,重装图标和名字一样的钓鱼应用。
不过现在手机的 ADB 权限没那么好开启:要先进「设置-关于手机」连点版本号开启开发者选项,然后再到开发者选项里打开「ADB 调试」开关,后面还需要解锁手机锁屏才能同意权限申请。
再多说一句,对攻击者来说,「受害人的手机上会弹出提示」这一步也是可以省略的。大可以将攻击设备同时伪装成一个 USB 键盘,连接上就自动按 Tab 和 Enter 来确认授权。(不过这么一想,前面的步骤其实也可以无感完成……)
如果骗子的充电宝联网就没辙了,毕竟连接上之后信息已经拷出去了。如果事后才看出来,也就只能尽快恢复出厂+修改账户密码来补救了。
4 个赞
原来如此……
那我想问一下,这种外置硬件接入的招数对iOS有效吗?
ios接入硬件的时候会询问是否信任。
没想到还可以这样。我手机平时都开启了开发者模式,看来还是要避免外面的充电设备。
我感觉这几年快充和电池容量进步挺大,我都很少用充电宝了。现在的新手机有 6000 mAh 电池和 100w 快充了。
淦,这不就是黑客快乐小键盘吗,模仿HID的芯片甚至能做到数据线里。早年CTF竞赛有个搅屎棍打法就是趁对面不注意钻桌底给别人装这玩意……
手机上破解倒是也容易,就是自备只有充电没有数据的线,给电我就五福义安慢慢充,不给电你这玩意有问题我不用了……
1 个赞
而且如果信任需要输入密码确认的
ios的信任界面是要在手机上输入锁屏密码的
这种攻击方式被称为近源攻击,在网络安全行业很普遍的。经常有人通过此种方式散播木马和勒索软件
2 个赞
IOS的检验程序更加麻烦,所以相对而言IOS相对于安卓比较难中招(新版本的安卓安全权限也很到位,现在也很难中招了)
是不是说,只要解锁并插入设置好的USB设备,不需要任何用户操作?
这样的话,网上买的杂牌数据线、充电宝都可能有风险?
如果是这样的话,大量散播做了手脚的数据线,不是很容易成功?
还是说插入之后还要配合其他欺骗手段?
据我所知,通过 USB 调试可完成如下两个操作:
- (静默)安装应用。
电脑端需要执行如下命令:adb install <apk 安装包文件> - 启动某一应用。
电脑端需要执行如下命令:adb shell am start 包名/MainActivity
但是,一般而言,除非你的设备(下文称 “本机”)之前被动过手脚,有陌生设备与本机连接、并请求进行 USB 调试时,本机都会弹出确认对话框,请示用户是否允许建立连接。
要先打开开发者模式,这个默认是关闭的。
usb不知道,不过记得以前在火车站连过一个公共wifi,就连了几分钟,第二天qq就被盗了
1 个赞
这个我知道,你在使用这个Wi-Fi的过程中产生的所有数据流量包括文字信息,密码,浏览的网页等都是明文传输的,hoster全部都看得到