最近，我們在網(wǎng)上看到一個視頻，講述了犯罪分子如何利用充電寶盜刷別人的手機(jī)錢包，視頻制作者還對充電寶進(jìn)行了拆解。

視頻制作者表示，路邊價格低廉的充電寶可能被裝入特制的裝置，只要大家用這些充電寶充電，就能夠往手機(jī)植入木馬病毒。木馬病毒會盜取相關(guān)數(shù)據(jù)并傳送到犯罪分子的電腦上，手機(jī)錢包就可能被盜刷。這是真的嗎？答案是：幾乎不可能。

為什么說幾乎是不可能任務(wù)？

一般情況下，盜取手機(jī)關(guān)鍵信息的過程非常復(fù)雜，主要分為以下幾個步驟：啟用USB調(diào)試模式——對手機(jī)進(jìn)行ROOT——通過修改系統(tǒng)、植入木馬等方式盜取關(guān)鍵信息——傳輸信息。

很顯然，想要實現(xiàn)信息盜取是有前提的。目前來看，可以具備盜取手機(jī)信息或錢包的充電寶通常是具備三項必備能力：首先是內(nèi)置微型操作系統(tǒng)；其次是具備存儲功能；再有就是無線路由功能。

這里需要注意，USB的驅(qū)動過程難度很高，但從視頻里給出的充電寶規(guī)格來看，根據(jù)主板尺寸來判斷，它很難驅(qū)動一套完整的LINUX系統(tǒng)，而且供電傳輸數(shù)據(jù)也不是簡單的幾根線就可以輕松搞定的。

就算是充電寶具備了這樣的屬性，想要盜取信息還是要經(jīng)歷幾道坎兒。首先是如何騙過用戶開啟USB調(diào)試模式；其次是如何保證ROOT成功；再有就是手機(jī)系統(tǒng)本身或是APP都自帶芯片加密或是防火墻功能，能夠屏蔽掉一些可疑的操作。

進(jìn)一步講，即使是借助電腦，也需要操作很長一段時間、利用很多的工具才有可能獲取這些關(guān)鍵信息。就算是這個充電寶已經(jīng)改裝成了樹莓派，利用簡單的網(wǎng)卡裝置和只有一個電芯的充電寶，做到在用戶不知情的情況下繞過USB調(diào)試、再ROOT、再破解手機(jī)錢包等安全功能，這種操作難度也不小。

同時視頻本身也出現(xiàn)了幾個疑點：

①視頻制作者表示，這個充電寶的裝置會通過內(nèi)置的電話卡的把關(guān)鍵信息發(fā)到黑客的設(shè)備上。這個做法相當(dāng)不經(jīng)濟(jì)。我們前面說道，手機(jī)本身有通訊能力，數(shù)據(jù)能夠通過手機(jī)本身發(fā)送。內(nèi)置電話卡會因為實名制的原因容易被抓，而且成本過高，相當(dāng)不現(xiàn)實。

②視頻中的通信設(shè)備不能運行。上完了初中物理，我們知道一個電路要完整的才能用，一正一負(fù)，形成一個回路才能用。而視頻中出現(xiàn)的是一個只有一根線連接的裝置，綠色的電路板也沒有USB接口，這是違反物理法則的。

如果要實現(xiàn)這種操作，需要什么設(shè)備才可以？

剛剛其實提到了。如果充電寶里藏著一個能運行LINUX、支持USBHOST的嵌入式平臺，那么理論上就有可能盜取信息。過程是這樣：啟用USB調(diào)試模式→把手機(jī)ROOT獲取系統(tǒng)的最高權(quán)限→修改系統(tǒng)、突破APP安全保護(hù)、獲取關(guān)鍵信息→傳輸關(guān)鍵信息。

也就是說，開啟USB調(diào)試并獲取了ROOT權(quán)限后，安裝特定的框架、使用ADB命令或者安裝木馬病毒，然后就能通過對內(nèi)存進(jìn)行讀取等方式竊取手機(jī)錢包的關(guān)鍵數(shù)據(jù)。

這種方法是如何操作的呢？假設(shè)把ROOT工具里面的程序直接移植到一個能運行LINUX、并支持USBHOST的嵌入式平臺、也就是移動充電寶里面，之后把對手機(jī)執(zhí)行ROOT的腳本從手動執(zhí)行改為自動執(zhí)行，就可以讓手機(jī)連接USB后被直接ROOT的。

雖然ROOT可能是臨時的，但這并不妨礙手機(jī)被安裝木馬程序，黑客可以將ROOT后修改BOOT并向SYSTEM安裝SUPERSU超級權(quán)限，暗改成向SYSTEM直接安裝木馬程序。之后手機(jī)文件系統(tǒng)以及相關(guān)的應(yīng)用程序就可以被遠(yuǎn)程讀取或?qū)懭?，最終威脅到你的手機(jī)錢包安全。

就算是黑客臨時獲取ROOT失敗，惡意程序還可以安裝一個較高的Android權(quán)限，用來篡改通訊錄、短信甚至拷貝照片等等。

即便是假的，開啟USB調(diào)試+信任模式有何隱患？

需要提醒的是，如果你隨意啟用了“USB調(diào)試模式”或者是iPhone信任授權(quán)操作，對你的手機(jī)也存在潛在風(fēng)險。

如果你啟用了“USB調(diào)試”或者是你在iPhone上點擊了“信任”，就意味著你主動打開了”你家的防盜門”,這樣作為”小偷”的程序可以輕而易舉的在你的手機(jī)上實現(xiàn)私裝軟件,或者是調(diào)用你手機(jī)的存儲盤內(nèi)容進(jìn)行復(fù)制備份。這無疑會造成你的手機(jī)出現(xiàn)垃圾應(yīng)用或隱私泄露。

更有甚至通過簡單的程序設(shè)定，外部可以為你的手機(jī)安裝一個“山寨應(yīng)用”，通過界面模仿獲取你的賬號密碼，比如山寨一個銀行或者是支付寶這樣的應(yīng)用程序，一旦使用者點開并使用了類似的山寨程序，損失將不可估量。

所以，我們建議各位：

①盡量不要連接不明來源的充電寶，特別是不要連接到不明來源的大型的能夠給手機(jī)充電的機(jī)器，因為有些機(jī)器里是有可能裝有電腦的；

②連接到充電寶，不只是簡單的充電，而是還有其他授權(quán)（例如USB調(diào)試等）的操作，請趕緊拔掉充電寶，找專業(yè)人士進(jìn)行查看；

③不要隨意開啟“USB調(diào)試模式”或者是iPhone信任授權(quán)操作；

④安卓手機(jī)盡量不要ROOT，iPhone盡量不要越獄。