如果你給自己的手機設置了PIN碼，甚至忘記了連自己也解不開；又或者設置了比劃甚至指紋解鎖，然后以為這樣的手機就是安全的了。是的，對于一般的人來說算安全了，可是對于真正想要你手機里內(nèi)容的黑客，一次簡單的充電就會泄露你的數(shù)據(jù)。

如今手機已經(jīng)成了我們離不開的伙伴和知己，它了解我們的日常生活。然而每一天在路上的時候，它都會收集我們的私密信息。平時我們會用它拍照，在社交網(wǎng)絡中分享我們的心情；我們也用它發(fā)送郵件、短信以及撥打電話。所以，這些信息則讓我們的智能手機成為黑客眼熱的寶庫。

普通用戶的安全概念

最重要的是，我們中大多數(shù)人相信手機中的數(shù)據(jù)是絕對安全的。畢竟手機制造商曾向我們保證過，而且他們也給我們提供了安全補丁和更新升級包。

我們自己也會采取措施來保護自己的隱私，比如自定義安裝固件、挖掘操作系統(tǒng)機制、刷機獲得root權限，以便更好地操控手機等等。同時，我們還會使用一些自以為安全便捷的軟件。

大多數(shù)用戶并不會對手機進行深度挖掘，他們會設置PIN碼、一個復雜的密碼，或者設置指紋掃描，同時會堅持使用官方應用商店，這似乎就足夠了。

大多數(shù)用戶認為上面這些措施能使得數(shù)據(jù)更安全，但是真的是這樣么？下面的實驗將告訴你，或許只是給設備充下電，就可能帶來很多麻煩。

數(shù)據(jù)傳輸

前一段時間，我開始嘗試深度挖掘。當你將手機連入電腦時，手機如果做了保護，你就只能在電腦上看到手機設備名。但是如果手機沒有設置PIN碼/密碼，你就能訪問手機里的媒體文件。

數(shù)據(jù)交換的總量取決于制造商、操作系統(tǒng)版本和底層固件。但數(shù)據(jù)肯定是存在的，即使是最新的手機操作系統(tǒng)也是那樣。

下面是一張比較的表格，里面羅列了各種電腦和手機握手包的數(shù)據(jù)交換情況，它們是根據(jù)手機和桌面操作系統(tǒng)進行組合的。

語法解釋：

DN – 設備名稱

DM – 設備制造商

DT – 設備類型

SN – 序列號

FW – 固件信息

OS – 操作系統(tǒng)信息

FS – 操作系統(tǒng)信息/文件列表

ECID – 電子芯片ID

總的來說，里面還是有相當多關于設備的信息。

我在做研究時，偶然發(fā)現(xiàn)了某知名手機制造商的一個有趣特性。我發(fā)現(xiàn)，當安裝了CDC驅動（在這里使用的是普通windows PC機和標準microUSB數(shù)據(jù)線），手機也安裝COM端口，將其作為modem。乍一看覺得沒什么，然而這手機并沒有啟用USB tethering，也沒有啟用開發(fā)者模式，或者ADB（USB調試）。而且，這個COM端口用默認方法就可以連接。

我們能接觸到modem，或者說我們接觸的，只是與modem有機會通信的接口層，而并不是直連?，F(xiàn)在我們從理論上進行討論，安卓包含了不同的層，其中一層是RIL，也就是無線接口層（Radio Interface Layer）。它允許應用級別的app（比如安卓電話框架）去與modem硬件通過特定命令進行通信（互相發(fā)送請求、響應包）。

為了避免糾結太多細節(jié)，我不會花力氣描述與rild守護進程或者Vendor RIL通信的RIL Java子層。

通常，所有的modem都會使用一個叫Hayes的命令集，這是由Dennis Hayes在1981開發(fā)的。這組用來與modem通信的命令叫做AT-命令。那些命令可以讓應用通過RIL進行調用，也可以用于RIL傳輸給modem，它們根據(jù)制造商modem固件的限制，會有許多不同。當然，許多制造商也為他們自己的modem制定了自定義的命令。比如，高通就用了：

AT$Q<command>extension, Infineon – AT+X<command>

比如，ATI1-9命令返回了設備和modem的通用信息，ATI1返回了軟件版本代碼。

ATI2返回了IMEI號碼，在這里我們可以看出該設備是雙SIM卡。

你可以繼續(xù)用其他AT命令，挖掘一些好玩的東西。

挖掘，挖掘

在挖掘一些信息后，我們發(fā)現(xiàn)了所有適用于該modem的命令。注意，其中很多都是受限的或者需要參數(shù)的，不然調試的時候會返回“Error”。

話說，廠商自定義的命令這里就避而不談了，因為它們不具有通用代表性。我們用AT+CSQ可以檢查手機的信號電平和電池電量等等。

還有個有趣的默認modem命令，它可以讓黑客在手機鎖屏時，也能撥打任意電話。這是對于那些把手機用PIN碼上鎖的手機來說，是一個非常獨特的地方。因為，咱們通常只能使用鎖屏手機的緊急服務功能。

我們還發(fā)現(xiàn)了可以讓您閱讀SIM里的電話簿的命令，這個默認是不開啟的，但誰知道其他廠商是否進行了支持呢？

可怕的部分

你可能認為，就算上述的那些是真的又怎么樣？這些信息可以用來干嘛？那我們這么看，你可以取出廠商信息、固件細節(jié)，這些可以幫助你分析設備的安全。你可以發(fā)現(xiàn)手機設備主人的電話號碼，但這只需要用它打下你自己的號碼就行。而檢測出手機電池電量后，你可以預估下該手機用戶還有多久會去插入充電器。當然，這些聽起來確實沒啥卵用。

但是仔細想想，其實你也可以用這些信息做更多事。后來的實驗中，我發(fā)現(xiàn)了一個命令。它實際上會進入到手機重啟后的固件更新模式。在正常情況下，這種模式允許黑客對設備進行各種各樣的操作。

因此，我做了個實驗。我將手機重置為出廠固件，并將其重置為默認設置，保證不會有如ADB之類的對外接口。

首先我用手機連接到了電腦，然后我用AT命令獲取了固件數(shù)據(jù)，確認了設備類型和操作系統(tǒng)。再之后，我輸入了命令，手機重啟，進入了固件更新模式：

那么接下來發(fā)生了什么呢？我們通過AT命令收集了信息后，我鑒定了設備。然后，我用了一個方便的ROOT手機的POC，為設備找到了合適的包，啟動了固件更新應用，接下來發(fā)生的就是：

更新持續(xù)了約一分鐘（文件很小），手機重啟后執(zhí)行root：

安裝了Root包后，它進行了自清理。然后，在手機重啟后，我們會看到：

所有用戶的數(shù)據(jù)都是安全的，但是它有幾個應用無法通過默認手段卸載，而且它們有root權限。我算了下時間，考慮我手動點按鈕的時間，整個過程不到3分鐘。

想象時刻

現(xiàn)在發(fā)揮下你的想象力，如果這個安裝包會不會沒有通用目的（可能會有很多附加功能），但是專門在你手機上安裝特定應用，或者了改變設備的配置呢？那就可能會減少安裝包和腳本的大小，也減少了安裝時間。

如果它安裝了一個系統(tǒng)守護進程而不是安裝包呢？如果是后門或者安卓木馬呢，這是現(xiàn)在常見的一種手段。它就在后臺運行，黑客會跟你一起分享你手機里面的內(nèi)容。如果啟用了開發(fā)者模式和ADB，然后將電腦指紋加入到可信庫里？這些動作都不會被殺軟檢測到，因為它用的都是默認的函數(shù)，而且不會花多時間來運行。

那么我們用手機ADB連接可信電腦，又能做些什么呢？

我們可以安裝和刪除應用、備份消息庫、照片、視頻、應用緩存和數(shù)據(jù)文件，這些在很短的時間內(nèi)就能完成。我們還能格式化手機、刪除數(shù)據(jù)、加密數(shù)據(jù)，以及勒索贖金。想象下這樣一個場景，在你經(jīng)過5-8小時的飛行后下飛機，你的手機自然幾乎沒電了，接著你找到了一個USB充電站。

你將手機連上去充電后，可能會休息20-30分鐘。你覺得，惡意改造過充電站的黑客，需要多長時間來下載你的手機上的數(shù)據(jù)，或者用惡意軟件去感染你的手機。有了這些數(shù)據(jù)，黑客就能黑了你、追蹤到你，你和你單位的數(shù)據(jù)都可能處于風險之中。

結論

世界各大網(wǎng)絡社區(qū)，有不少都專注于深度挖掘和探索操作系統(tǒng)，他們會對其進行修改，并將辛苦研究的成果奉獻給大家。

其他人則會用這些成果升級自己的設備，但事實上并不能保證他們在手機上安裝的這些免費固件都是沒有后門的。開發(fā)者可能會忘了禁用開發(fā)者模式或者調試模式，也可能安裝了隱藏的手段，在后臺收集和傳輸手機用戶的數(shù)據(jù)。

盡管手機制造商付出了巨大努力，但是絕對安全的移動設備幾乎是不可能存在的。我們的實驗證明了這點，雖然案例里只有一個制造商，但是并不代表其他制造商是不存在這些問題的。同時，上述的實驗工作都是基于已知的信息。

在我挖出了這個漏洞后，發(fā)現(xiàn)它早在2014年就已經(jīng)在黑帽大會上被報道過了。但是，它沒有制造太多的影響力，以至于在最新的手機模型上還存在。而在本文中，我發(fā)現(xiàn)這些人某種程度上也發(fā)現(xiàn)了這個洞。通過連接電腦竊取手機數(shù)據(jù)的技術早已被濫用，例如2013年紅色10月那場著名的網(wǎng)絡間諜活動。

公共充電站導致的數(shù)據(jù)失竊的可能性，我們的專家曾在2014年提出來分析過。你大概會認為沒有人在機場、咖啡館或者公交站惡意改造充電站。但是，我們卻并不這么認為。

總結一下，不要隨便在公共場所充電，如果恰好你的手機里有很多不想被人知道的秘密。

最新評論