注意 USB 充电攻击的风险

关键要点

• 两个联邦机构警告公众注意 USB 充电攻击，这种攻击方式可能会窃取用户数据或植入恶意软件。
• 建议消费者随身携带自己的充电器和 USB 线，并使用电源插座，而非公共充电站。
• 被称为“汁液劫持”的攻击可以锁定设备，或窃取个人数据和密码。

最近，两个联邦机构对 USB 充电攻击发出了警告，提醒用户在公共场所给手机、电脑或其他设备充电时需谨慎。黑客可能利用这些公共 USB端口植入恶意软件或者窃取数据。

丹佛

通过其 Twitter 账号发布了一则公共服务公告，建议大家避免使用机场、酒店和购物中心的免费充电站。该公告指出：“不法分子已经找到了利用公共 USB端口引入恶意软件和监控软件的方法。”

该 建议消费者随身携带自己的充电器和 ，尽量使用电源插座来充电。

避免在机场、酒店或购物中心使用免费充电站。 不法行为者已经找到了利用公共 USB 端口植入恶意软件和监控软件的方法。携带自己的充电器及 USB
线，并使用电源插座进行充电。

— FBI 丹佛 (@FBIDenver)

第二个警告来自 ，同样提醒旅行者在公共 USB 充电站插入设备的潜在危险，这种攻击被称为“汁液劫持”。

“通过被破坏的 USB端口安装的恶意软件可能会锁定设备，或直接将个人数据和密码导出给犯罪者。犯罪分子然后可以利用这些信息访问在线账户，或者将其卖给其他不法分子。”该委员会在 4月 11 日的帖子中指出。

FCC 进一步表示，犯罪分子有意将电缆插入充电站，甚至会将感染的电缆作为促销礼品赠送出去。

身份管理公司 CyberArk 的研究员安迪·汤普森（Andy Thompson）表示，他在 2011 年的 Defcon大会上首次接触到汁液劫持，彼时这更像是一个概念验证，而非一种可行的攻击方法。他提到，这种攻击方式在现实中发生的机会非常少，但他补充说，可以通过使用 USB数据阻断器或携带自己的充电线来降低汁液劫持的风险。

随着如 Rubber Ducky等渗透测试工具的商业化和滥用，汁液劫持的理论性大大降低。这些工具自称为“一种（USB）闪存驱动器，能够以惊人的速度向毫无防备的计算机注入击键负载。”它补充说：“对人类而言，它是一个闪存驱动器；对计算机而言，它是一个键盘，在超人速度下输入。”

FCC 建议使用交流电源插座，而不是充电站，在旅行时使用自己的 USB电缆和便携充电器。此外，如果在插入设备时弹出窗口提示选择“共享数据”或“仅充电”，请始终选择“仅充电”。

另一种选择是使用数据阻断 USB 充电连接器，旨在限制连接仅用于充电。