什麼是果汁劫持？為什麼不要在機場、火車站等公共場所為手機充電？

有相當普遍的情況如下。假設當你在Facebook上與你的新女友進行有趣的對話時，你心愛的手機的電池正在慢慢耗盡，而「好消息」是你把該死的充電器忘在家裡了，然後突然你看到一個公共USB 充電樁在角落。你毫不猶豫地插上手機，繼續享受那段未完成的談話的甜蜜滋味。這種舒適感可能會讓您成為駭客的受害者，他們想要收集您的個人資訊並從中獲利。

傑克果汁到底是什麼？

無論當今的現代智慧型手機是什麼類型，無論是Android、iPhone還是黑莓設備，都有一個共同的特點：透過同一連接埠和電纜充電和資料流。無論您使用目前標準的 USB miniB、USB typeC 連接還是 Apple 專有的 Lightning 線，用於電池充電的線還具有傳輸和同步手機資料的功能。

「只要將手機插入未知的充電源，您的裝置就有被惡意軟體感染的風險。你可以用你的所有數據來付出代價。」Authentic8 安全專家 Drew Paik 解釋道。

公共 Wi-Fi和手機充電點通常位於機場、飛機、公園或會議中心等地方。在這些充電點連接手機會帶來巨大的風險。

「用於為手機充電的電源線也是將資料從手機傳輸到另一台裝置的電源線。例如，當您使用充電線將 iPhone 連接到 Mac 時，您可以將照片從手機下載到 Mac。如果您的公共充電埠被駭客入侵，壞人就可以無限制地存取你的資料。」Paik 先生進一步解釋。

這些數據可以是電子郵件、訊息、照片或聯絡人。這種資訊駭客方法被稱為「果汁劫持」——這個術語創建於2011年。去年，人們還發現了「視訊劫持」方法，利用駭客入侵的連接埠和手機螢幕來記錄用戶輸入和查看的所有內容。

可以簡單理解為這些都是侵犯隱私。具體來說，私人照片和聯絡資訊等數據將透過與公共充電設備的連接被複製到惡意設備。此外，駭客還可以將惡意程式碼直接傳輸到您的設備，然後長期竊取資訊。在今年的 BlackHat 安全會議上，安全研究人員 Billy Lau、YeongJin Jang 和 Chengyu Song 發表了主題“MACTANS：通過不安全的充電器向iOS設備引入惡意軟體。Bao”，以下是他們演講的摘錄：

「在本次示範中，我們示範了 iOS 裝置如何在插入惡意充電器後的短短一分鐘內受到損害。我們將首先回顧 Apple 現有的防止任意軟體安裝的安全機制，然後描述如何利用 USB 連接埠作為規避這些保護機制的工具。為了證明惡意程式碼的存在，我們將向您展示攻擊者如何隱藏他們的惡意軟體，就像蘋果隱藏自己的內建應用程式一樣。為了示範這些安全漏洞的現實後果，我們使用 BeagleBoard 收集了有關惡意充電器概念（稱為 Mactans）的資訊。

儘管蘋果已經採取了許多安全措施來解決這個問題，但使用廉價的硬體並利用設備安全漏洞，駭客可以在不到一分鐘的時間內存取當前的 iOS 設備。

許多年前，在 DEF CON 2011 安全會議上，Aires Security 的安全研究人員：Brian Markus、Joseph Mlodzianowski 和 Robert Rowley 建造了一個充電亭，專門展示 Juice Jacking 的危險，並警告公眾有關連接手機的危險毒物充電站。

更令人不安的是，暴露於惡意充電亭可能會產生安全問題，即使設備不再連接到該充電亭，該問題仍然存在。在最近一篇有關該主題的文章中，安全研究人員 Jonathan Zdziarski 概述了 iOS 中的配對漏洞如何持續存在，並且即使在您不再與信息亭聯繫後也可以為惡意用戶提供訪問您設備的窗口：

「如果您不知道如何在 iPhone 或 iPad 上進行配對，這是您的電腦與手機建立可靠連接的配對機制，從而連接到 iTunes、Xcode 或其他工具。一旦桌上型電腦與手機配對，它就可以存取手機上的一系列個人信息，包括聯絡人、筆記、照片、音樂收藏、簡訊資料庫、緩存，甚至可以備份手機上的所有資料。裝置配對後，無論您是否啟用了 WiFi 同步，都可以隨時透過無線方式存取所有這些內容以及更多內容。這些惡意軟體可以比作慢性病毒，只有當您的 iPhone 或 iPad 恢復其原始設定時它們才會消失。

如何避免果汁劫持？

儘管 Juice Jacking 目前不像手機盜竊或透過下載而暴露於惡意病毒那樣常見，但您仍應採取常識性預防措施，以避免進一步暴露於可能惡意存取您個人裝置的系統。

防止這種情況最有效、最簡單的方法就是限製或完全避免透過第三方充電系統為手機充電：

防止設備電量耗盡：養成在家裡和辦公室不使用手機時為手機充電的習慣。目前的電池技術可讓您輕鬆充電和拔出插頭，而無需擔心電池電量耗盡，因此外出前請盡量讓智慧型手機充滿電。除了確保您的手機保持足夠的電池壽命外，您還可以使用支援電源管理和省電的應用程式。這些應用程式的有效性仍然相對未知，但肯定比什麼都不做要好。

使用備用充電器：這是當今最受歡迎、最方便的手機電池充電方式，以防您不在家，只需將手機插入電池即可隨時充電。使用這種充電方式，你不必擔心安全問題，但換來的卻是你必須花少量的錢購買備用電池，並選擇合適的類型，以限制不使用時起火和爆炸的風險。正在使用中。幸好我買了一個不太安全的類型。

使用帶有交流電源插座的自己的充電器：在某些情況下，公共充電站可能同時配有標準交流電源插座和 USB 充電端口，以適應充電速度。在這種情況下，請跳過 USB 充電端口，並將手機的標準充電器直接插入交流電源插座。即使網路流量透過電源線傳輸，使用交流電源插座也不存在安全風險。只要您使用可靠的充電器，您的裝置就會安全。

鎖定您的手機：當您的手機鎖定時，它將無法與連接的裝置配對。例如，iOS 裝置僅在解鎖時才會配對。但同樣，正如我們之前所說，配對只需要幾秒鐘，因此您應該確保手機在充電時實際上已鎖定。

關閉手機：此方法僅適用於部分手機型號。即使手機關機，整個 USB 電路的電源仍保持開啟狀態，並允許存取裝置中的快閃記憶體。

停用配對（僅適用於越獄的 iOS 裝置）：越獄的 iOS 裝置允許使用者控制裝置的配對行為。

使用僅充電的適配器：這是您可以使用的最後一種措施，非常有效但有點不方便。您可以購買僅充電的適配器，它們非常便宜。這種類型的適配器絕對沒有問題。它們就像一個小型適配器，您可以在連接手機充電線之前將其插入 USB 連接埠。在此加密狗中，起到資料傳輸作用的連接引腳將被斷開，以僅允許透過連接傳輸電力。

不過，這款轉接器也有一個小缺點，那就是它們僅支援使用僅限於 1A 的電源充電，這意味著您無法使用任何其他快速充電技術。 1A是您獲得的最大功率。然而，許多公共 USB 充電埠的充電速度甚至更慢。此外，值得注意的是，設備只能從電腦的 USB 連接埠以 500mA (0.5A) 的電流充電，因此如果您從電腦、筆記型電腦或桌上型電腦為設備充電，此適配器可以加快充電速度。

如果您使用的是 Android 設備，您也可以購買僅充電的電纜，其作用類似於加密狗，因為電纜中的資料引腳將會遺失，導致旨在傳輸資料交換的連接永遠不可能透過電纜進行。至於使用蘋果Lightning連接埠的設備，目前市面上似乎還沒有隻充電的Lightning-to-USB線產品。不過，iOS 用戶仍然可以使用僅充電適配器，該適配器可以與 iPhone 和 Android 手機配合使用。

最終，防止虐待的最佳防禦方法在於您自己的意識。始終保持您的設備充滿電，定期更新操作系統提供的安全功能（儘管它們不容易使用並且任何安全系統都可以被利用），最後，避免將手機插入未知的充電站和計算機，就像避免一樣打開來自未知寄件者的電子郵件附件。

看更多：