五一小長假即將到來，你是否已經(jīng)計劃好去哪里游玩了呢？在旅行中，手機電量常常會迅速耗盡。這時候，機場、車站或商場里的公共充電站似乎能解燃眉之急。只需將USB線插入手機，人和手機仿佛都恢復(fù)了活力。

然而，這些公共充電站可能隱藏著風(fēng)險。有一種名為“果汁挾持”的陷阱，早在智能手機興起時就已存在。這種陷阱通過偽裝成充電器的惡意硬件，在手機連接電源的瞬間竊取手機中的數(shù)據(jù)和照片。國內(nèi)315晚會也曾曝光過這一問題。

十幾年前，Google和蘋果等廠商發(fā)現(xiàn)了這個問題，并通過添加USB連接認(rèn)證等措施進行防護。當(dāng)有外部設(shè)備試圖訪問手機文件時，系統(tǒng)會彈出提醒，用戶可以選擇“不允許”，從而阻止惡意程序繞過安全系統(tǒng)。但如今，“果汁挾持”升級為“選擇挾持”，再次卷土重來。據(jù)Ars Technica報道，這種新的騙局旨在繞過原有的安全選項。

為了防止“果汁挾持”，廠商給手機的USB連接設(shè)置了一個確認(rèn)機制：一個設(shè)備不能同時擔(dān)任主機和外設(shè)。當(dāng)USB設(shè)備連接到手機時，只能通過手機上的“允許”按鈕進行連接認(rèn)證?！斑x擇挾持”則巧妙地利用了這一機制的缺陷，先將惡意主機偽裝成“外設(shè)”，再讓這個“外設(shè)”變成“主機”。

這種攻擊方式具有普適性，無論是iOS還是Android設(shè)備都可能成為目標(biāo)。包括蘋果、Google、三星、小米在內(nèi)的多個品牌十多款手機均被攻破。有趣的是，部分不支持完整PD協(xié)議的手機反而因這一點而降低了被攻擊的風(fēng)險。

許多人在手機電量告急時，可能會毫不猶豫地使用看似免費的充電端口。并且，普通用戶可能不會完全理解手機上突然彈出的“USB權(quán)限”彈窗背后的意義，以為只是簡單的充電連接，從而主動關(guān)閉防線。

廠商已經(jīng)采取了應(yīng)對措施，例如去年11月推送的Android 15更新和上個月更新的iOS/iPadOS 18.4版本都更新了相關(guān)機制。但由于Android生態(tài)系統(tǒng)的碎片化，許多老設(shè)備無法及時獲得更新，一些第三方Android UI也未采用新的USB驗證機制，依然容易受到攻擊。

漏洞發(fā)現(xiàn)者Florian Draschbacher表示，即使一年前就警告了設(shè)備制造商，修復(fù)進度卻非常緩慢。這可能是因為加強USB訪問手機的安全性需要增加大量驗證措施，對用戶體驗影響較大，因此制造商猶豫不決。

對于“選擇挾持”這種“舊瓶裝新酒”的安全問題，大眾的態(tài)度已經(jīng)不像十年前那樣緊張。有些人甚至對此嗤之以鼻，認(rèn)為這只是“狼來了”的故事。但實際上，雖然目前沒有大量實際損失報告，不代表風(fēng)險不存在。

最保險的做法是在出游時盡量使用自己的充電寶或大品牌的共享充電寶。即使有公共電源，也最好用自己的充電插頭，避免使用可疑的USB充電線。此外，保持手機系統(tǒng)正常升級，避免使用可疑的USB線，不隨便同意莫名的USB權(quán)限，也能有效規(guī)避這些安全陷阱。

祝你五一快樂，享受美好的假期吧！