AI财经社|或被植入“木马”程序泄露隐私，共享充电宝的数据安全隐患何解_

文章图片
图1/2

文／姜弋
编辑／张硕
不是所有的共享充电宝都能够放心使用。
短短一根数据线，甚至可以被用来窃取用户的隐私数据。这或许是许多消费者尚未注意到的数据安全隐患。
近日，公安部网安局发布了一则提示“共享充电宝陷阱”的视频，视频所提的数据泄露问题给不少消费者敲了警钟。据官方提醒，部分充电宝不仅可能存在质量隐患，还可能被不法分子植入“木马”程序，导致手机里的通讯录、文本信息甚至照片、视频等隐私数据泄露。
据上海市公安局网安总队介绍，包括火车站里叫卖的满电充电宝、扫码免费送的充电宝，甚至商场里的部分可租赁移动电源，均存在这样的安全隐患。便利的背后存在隐私“黑箱” 。
警方也向公众提醒：“不要随意领取和购买来历不明的移动电源，如有需要，请选择正规产品；连接移动电源时，如弹出是否‘信任’提示，请保持警惕。 ”
对于植入“木马”程序导致隐私泄露背后的原理，多位行业专家向AI财经社表示， “是否允许连接至本台设备” ，这一选项成为部分共享充电宝的安全隐患所在。如果消费者同意授权， “木马”有条件将手机数据自动传输到指定服务器，用户的信息安全难以保障。

文章图片
图2/2

数据隐私问题凸显
实际上，共享充电宝的隐私安全问题早已被关注。 2017年时，就曾有“充电宝将木马植入支付宝”的相关报道。报道称，被动过手脚的充电宝与移动设备连接后，可以通过计算机控制该设备， “不用密码也可以转钱” 。
12月7日，就公安部网安局所提到的“木马” ，贵州大学副教授、公共大数据国家重点实验室（筹）办公室主任陈玉玲向AI财经社解释称， “木马”是一类特殊的病毒文件，同计算机网络中的远程控制软件有一定相似之处，通常通过“伪装”自身来吸引用户下载执行。
【AI财经社|或被植入“木马”程序泄露隐私，共享充电宝的数据安全隐患何解】“木马”为何能入侵？其中， USB调试模式及与其相关的设备连接、数据传输，是部分充电宝窃取隐私信息的关键。
USB调试模式是安卓提供的一个功能。开启USB调试模式后，可在计算机和移动设备之间复制数据、在设备上安装应用程序等。
不法分子即从中寻找到可乘之机。 “若开启USB调试，用户的设备容易遭遇恶意程序。 ”深度科技研究院院长张孝荣向AI财经社表示。
“拿到这些权限以后，手机在对方面前几乎等于‘裸奔’” ，金融科技行业专家张鲲向AI财经社表示。对于这些“不怀好意”的充电宝，张鲲补充称， “如果开了USB调试，那对方可以在你手机上安装任意App了，包括木马。拔掉线也没用，手机已被控制。 ”
从实际使用来看，用户尤其需要警惕“是否允许连接至本台设备”的弹出窗口。陈玉玲向AI财经社表示，如果“木马”被允许进入手机后台，当消费者同意“连接至设备”时， “木马”有条件将手机数据传输至指定服务器。
除了安卓的USB调试模式外， Apple的iOS系统同样存在被“入侵”的风险。那么有何措施可帮助防范隐私信息泄露？张鲲表示， “iPhone首先不要越狱，其次不要点击信任。 ”
“不要点击信任”、“不要允许连接”、“有条件的话还是自备充电宝” ，数据安全问题之下，用户对公共场所内租借/出售的充电宝的信任打了折扣。
依赖企业自律
在官方提及的三类充电宝租借/出售场景中，特别需要注意的是“商场里的部分可租赁移动电源” ，即通常所说的共享充电宝。
自2017年至今，共享充电宝业态经历了融资风口、“百电大战”（近百个共享充电宝品牌争夺市场）、玩家减少、集体涨价，现成为共享经济中少有的仍存活的样本。
如今，在各大商场、餐饮等高频消费场景中，各品牌的共享充电宝租赁设施比比皆是，为消费者解决紧急充电的需求。
共享充电宝企业如何索取用户的数据权限？AI财经社试用的多个共享充电宝品牌均要求用户开放位置权限、摄像头权限，以寻找附近充电宝、扫码租借充电宝，部分品牌还会在进入界面内向用户申请“剪贴板”权限。
除了位置、相机权限外，由于各品牌的租借入口多为支付平台内的小程序端口，用户在支付平台内的部分个人信息，包括信用评估结果、手机号码、使用频次、浏览记录、交易习惯等，可能被收集。
此外， AI财经社注意到，部分品牌的隐私条款展示位置并不突出。
有了前文所述“‘木马’盗取信息”的例子，消费者对共享充电宝的安全性更加警惕。据AI财经社观察，对于共享充电宝运营方来说，背后的数据安全保障措施一定程度上依赖企业自律。
针对隐私数据安全问题， 12月7日，怪兽充电的工作人员向AI财经社表示， “我们的数据线是没有数据传输能力的，只能用来充电。 ”该工作人员称， “用户的充电订单都是会享受隐私保护” ，并强调其充电宝查询不到用户手机上的数据、无法读取用户的数据。
另一家共享充电宝企业小电充电则在回答“小电充电是否安全”时表示，设备只能传输电力，并不支持数据传输，因此无法获取任何手机信息。
而对于“窃取数据的充电宝” ，一种业内观点是，尽管技术上有通过充电宝窃取数据的可能性，但制作这种充电宝需要不小的成本。
某共享充电宝品牌的董事长在社交平台上回答安全问题时就曾表示， “一个共享充电宝你不还也才99块钱。做一个窃取数据的充电宝成本远大于此。更何况是批量几十万个充电宝投放到市场上。 ”
不过，保护数据安全应为互联网企业的责任，这种观点似乎有因果倒置之嫌。
“社会应该加强对相关企业的管理” ，中国人民大学助理教授王鹏向AI财经社表示，通过形成行业自律组织等方式加强监督。