五一出行，劝你别用机场火车站的免费充电线

五一小长假，准备去那里玩？

打卡出片一整天，手机电量很快就撑不住了。这时间，机场、车站大概阛阓里的公共充电站，大概能解燃眉之急——把 USB 线往手机上一插，人和手机仿佛都充上电了。

但这些公共充电站，大概背后有诈！

这是一种名为「Juice Jacking」（果汁挟持）的陷阱，在智能手机刚鼓起时就已经存在，国内 315 晚会也曾经曝光过——简朴来说，就是将破解手机的硬件，伪装成充电器，在手机接上电的半晌，大概手机里的数据、照片就被偷走了。

十几年前，Juice Jacking 陷阱刚刚鼓起的时间，Google 和苹果等手机系统厂商就已经发现了这个标题，而且通过添加了 USB 毗连认证等步伐来举行防护——当有外部装备想访问手机的文件时，就会弹出一个提示，你肯定也见过：

这时间，只要选择「不允许」，这些恶意步伐就无法绕过手机的安全系统——但没想到，时隔十年之后，Juice Jacking 的升级版本卷土重来，据 Ars Technica 报道，这种新的骗局，名为 Choice Jacking（选择挟持）。

顾名思义，就是要绕过前面提到的这个安全选项。

为了拦阻 Juice Jacking，厂商给手机的 USB 毗连设置了一个确认机制：

一个装备，不能同时担当主机（好比电脑）和外设（好比手机或键盘），USB 的另一头要么作为手机的外设（键盘、U 盘），要么是主机（电脑），不能一边当主机一边当外设。

当 USB 装备毗连得手机上时，只能通过手机上的「允许」按钮来举行毗连认证。

而 Choice Jacking 突破安全步伐的方法非常「机智」：先把恶意主机伪装成「外设」，再让这个「外设」变成「主机」——详细是这么利用的：

1. 当用户毗连到伪装成充电器的恶意主机时，它起首会伪装成一个「USB 键盘」，向手机发送按键指令，好比打开蓝牙毗连

2. 接着，这个「USB 键盘」会操控手机去配对一个「蓝牙键盘」——这个「蓝牙键盘」实在也是这个恶意主机伪装出来的

3. 接下来，这个恶意主机又伪装成「主机」，向手机发起数据哀求，此时手机变成了「外设」，手机上就会出现授权数据访问的提示

4. 最后，通过「蓝牙键盘」点击手机上的「同意」按钮举行授权，这样一来恶意主机就连上了手机，并得到了整台手机的数据访问权限

这是手机 USB 毗连机制的一个布局性缺陷，并非代码毛病。正因云云，这种骗局极具普适性，不管是 iOS 照旧 Android，都能成为这种攻击方式的目的。

包罗苹果、Google、三星、小米在内的多个品牌十多款手机，都能被 Choice Jacking 攻破，除了苹果装备必要 23 秒的时间，其他 Android 装备都在几秒不到的时间被攻破——风趣的是，部分手机并不支持完备的 PD 协议，反而起到了肯定的防护作用，低落了被 Choice Jacking 技能黑入的风险。

将一根秘密的 USB 线毗连到自己的手机，不少人都能看到背后的风险，但如果将它包装成免费提供的充电端口，包罗我在内的不少人，或许都会在手机电量告急时，绝不犹豫利用。

而且不少平凡用户，大概不会完全理解手机上忽然弹出的「USB 权限」弹窗背后的意义，以为同意的只是和充电线的毗连，就这样自动地将防线关闭。

厂商方面实在已经作出了实时反应，客岁 11 月份推送的 Android 15 更新和上个月更新的 iOS/iPadOS 18.4 版本都更新了相干的机制，经测试都可以或许发挥作用。

但由于 Android 生态系统的碎片化近况，不少老装备都未必能实时得到相干的更新，而且第三方的 Android UI，好比三星的 One UI 7，纵然用上了 Android 15 也没有接纳新的 USB 验证机制，仍旧轻易受到 Choice Jacking 的攻击。

毛病的发现者 Florian Draschbacher 也体现称，纵然一年前就告诫了装备制造商，他们也承认了这个标题的存在，但对相干机制的美满和修复进度却出奇的慢，大概的缘故原由在于，如果要进一步增强 USB 访问手机的安全性，就要添加大量的验证步伐，对用户体验的影响不小，因此制造商心猿意马。

更开放的 Android 生态，通过 USB 举行的攻击方式，危害大概会更大。由于 Android 装备如果打开了「USB 调试」模式，Choice Jacking 可以得到手机更深层的权限，实行一些恶意的底层文件。不过这个功能的入口较深，一样平常装备都是默认关闭。

▲YouTube@Websplaining

对于 Choice Jacking 这种「旧瓶装新酒」的安全标题，大众的态度，却已经不像十年前刚用上智能手机一样「杯弓蛇影」了。

不少人乃至对其嗤之以鼻，觉得不过是「狼来了」的故事：Juice Jacking 和公共 Wi-Fi 的伤害在当年也被大肆炒作，但现实上却并没有造成太多危害。

还有一种「降服佩服主义」，明知山有虎，方向虎山行，纵使知道公共充电桩大概有风险，照旧觉适当下的手机没电的标题更要紧，更有甚者觉得，平常个人信息的泄漏已经许多了，也不差这一次。

固然作为一种很新的攻击方式，如今还没有 Choice Jacking 造成大量现实丧失的陈诉，但不代表背后的风险和威胁不存在。

最保险的做法，就是在出游的时间，只管利用自己的充电宝，大概大品牌的共享充电宝；就算有公共电源，也最好用自己的充电插头，不利用那些看着就很可疑的 USB 充电线。

除此之外，还有其他一些防止手机被 USB 控制的小本领：

• 分别给手机和电子钱包设置不同的暗码，可以或许有用挡住一些别有用心之人。至于淘宝、拼多多等网购平台，最好关闭「免密付出」，反正如今的面貌面貌或指纹验证方式都很方便。

• 如果你是 iPhone 用户，猛烈发起你更新到 iOS 18.4 版本，这个版本增强了用户对 USB 配件毗连的验证机制，能有用防止一部分 Choice Jacking 的排泄。

• 如今的智能手机根本上都必要经过验证才华利用 USB 举行数据传输，如果利用手机时提示你举行验证，大概相干的验证窗口一闪而过，那或许就必要鉴戒 USB 线的另一头，是不是在搞些什么小动作了。

• 不少 Android 装备毗连 USB 充电时，都会提示「USB 模式」，一样平常都可以设为「仅充电」，不要点选「传输文件」「传输照片」或「USB 调试模式」。

固然，我们也没有必要对此过分恐慌，平常保持手机系统的正常升级，制止利用可疑的 USB 线，不恣意同意莫名的 USB 权限，就能很好规避这些安全陷阱。

最后，祝你五一快乐，给自己好好放个假吧！