如果你給自己的手機(jī)設(shè)置了PIN碼，甚至忘記了連自己也解不開；又或者設(shè)置了比劃甚至指紋解鎖，然后以為這樣的手機(jī)就是安全的了。是的，對于一般的人來說算安全了，可是對于真正想要你手機(jī)里內(nèi)容的黑客，一次簡單的充電就會泄露你的數(shù)據(jù)。

如今手機(jī)已經(jīng)成了我們離不開的伙伴和知己，它了解我們的日常生活。然而每一天在路上的時(shí)候，它都會收集我們的私密信息。平時(shí)我們會用它拍照，在社交網(wǎng)絡(luò)中分享我們的心情；我們也用它發(fā)送郵件、短信以及撥打電話。所以，這些信息則讓我們的智能手機(jī)成為黑客眼熱的寶庫。

普通用戶的安全概念

最重要的是，我們中大多數(shù)人相信手機(jī)中的數(shù)據(jù)是絕對安全的。畢竟手機(jī)制造商曾向我們保證過，而且他們也給我們提供了安全補(bǔ)丁和更新升級包。

我們自己也會采取措施來保護(hù)自己的隱私，比如自定義安裝固件、挖掘操作系統(tǒng)機(jī)制、刷機(jī)獲得root權(quán)限，以便更好地操控手機(jī)等等。同時(shí)，我們還會使用一些自以為安全便捷的軟件。

大多數(shù)用戶并不會對手機(jī)進(jìn)行深度挖掘，他們會設(shè)置PIN碼、一個(gè)復(fù)雜的密碼，或者設(shè)置指紋掃描，同時(shí)會堅(jiān)持使用官方應(yīng)用商店，這似乎就足夠了。

大多數(shù)用戶認(rèn)為上面這些措施能使得數(shù)據(jù)更安全，但是真的是這樣么？下面的實(shí)驗(yàn)將告訴你，或許只是給設(shè)備充下電，就可能帶來很多麻煩。

數(shù)據(jù)傳輸

前一段時(shí)間，我開始嘗試深度挖掘。當(dāng)你將手機(jī)連入電腦時(shí)，手機(jī)如果做了保護(hù)，你就只能在電腦上看到手機(jī)設(shè)備名。但是如果手機(jī)沒有設(shè)置PIN碼/密碼，你就能訪問手機(jī)里的媒體文件。

數(shù)據(jù)交換的總量取決于制造商、操作系統(tǒng)版本和底層固件。但數(shù)據(jù)肯定是存在的，即使是最新的手機(jī)操作系統(tǒng)也是那樣。

下面是一張比較的表格，里面羅列了各種電腦和手機(jī)握手包的數(shù)據(jù)交換情況，它們是根據(jù)手機(jī)和桌面操作系統(tǒng)進(jìn)行組合的。

語法解釋：

DN – 設(shè)備名稱

DM – 設(shè)備制造商

DT – 設(shè)備類型

SN – 序列號

FW – 固件信息

OS – 操作系統(tǒng)信息

FS – 操作系統(tǒng)信息/文件列表

ECID – 電子芯片ID

總的來說，里面還是有相當(dāng)多關(guān)于設(shè)備的信息。

我在做研究時(shí)，偶然發(fā)現(xiàn)了某知名手機(jī)制造商的一個(gè)有趣特性。我發(fā)現(xiàn)，當(dāng)安裝了CDC驅(qū)動（在這里使用的是普通windows PC機(jī)和標(biāo)準(zhǔn)microUSB數(shù)據(jù)線），手機(jī)也安裝COM端口，將其作為modem。乍一看覺得沒什么，然而這手機(jī)并沒有啟用USB tethering，也沒有啟用開發(fā)者模式，或者ADB（USB調(diào)試）。而且，這個(gè)COM端口用默認(rèn)方法就可以連接。

我們能接觸到modem，或者說我們接觸的，只是與modem有機(jī)會通信的接口層，而并不是直連?，F(xiàn)在我們從理論上進(jìn)行討論，安卓包含了不同的層，其中一層是RIL，也就是無線接口層（Radio Interface Layer）。它允許應(yīng)用級別的app（比如安卓電話框架）去與modem硬件通過特定命令進(jìn)行通信（互相發(fā)送請求、響應(yīng)包）。

為了避免糾結(jié)太多細(xì)節(jié)，我不會花力氣描述與rild守護(hù)進(jìn)程或者Vendor RIL通信的RIL Java子層。

通常，所有的modem都會使用一個(gè)叫Hayes的命令集，這是由Dennis Hayes在1981開發(fā)的。這組用來與modem通信的命令叫做AT-命令。那些命令可以讓應(yīng)用通過RIL進(jìn)行調(diào)用，也可以用于RIL傳輸給modem，它們根據(jù)制造商modem固件的限制，會有許多不同。當(dāng)然，許多制造商也為他們自己的modem制定了自定義的命令。比如，高通就用了：

AT$Q<command>extension, Infineon – AT+X<command>

比如，ATI1-9命令返回了設(shè)備和modem的通用信息，ATI1返回了軟件版本代碼。

ATI2返回了IMEI號碼，在這里我們可以看出該設(shè)備是雙SIM卡。

你可以繼續(xù)用其他AT命令，挖掘一些好玩的東西。

挖掘，挖掘

在挖掘一些信息后，我們發(fā)現(xiàn)了所有適用于該modem的命令。注意，其中很多都是受限的或者需要參數(shù)的，不然調(diào)試的時(shí)候會返回“Error”。

話說，廠商自定義的命令這里就避而不談了，因?yàn)樗鼈儾痪哂型ㄓ么硇浴?strong>我們用AT+CSQ可以檢查手機(jī)的信號電平和電池電量等等。

還有個(gè)有趣的默認(rèn)modem命令，它可以讓黑客在手機(jī)鎖屏?xí)r，也能撥打任意電話。這是對于那些把手機(jī)用PIN碼上鎖的手機(jī)來說，是一個(gè)非常獨(dú)特的地方。因?yàn)?，咱們通常只能使用鎖屏手機(jī)的緊急服務(wù)功能。

我們還發(fā)現(xiàn)了可以讓您閱讀SIM里的電話簿的命令，這個(gè)默認(rèn)是不開啟的，但誰知道其他廠商是否進(jìn)行了支持呢？

可怕的部分

你可能認(rèn)為，就算上述的那些是真的又怎么樣？這些信息可以用來干嘛？那我們這么看，你可以取出廠商信息、固件細(xì)節(jié)，這些可以幫助你分析設(shè)備的安全。你可以發(fā)現(xiàn)手機(jī)設(shè)備主人的電話號碼，但這只需要用它打下你自己的號碼就行。而檢測出手機(jī)電池電量后，你可以預(yù)估下該手機(jī)用戶還有多久會去插入充電器。當(dāng)然，這些聽起來確實(shí)沒啥卵用。

但是仔細(xì)想想，其實(shí)你也可以用這些信息做更多事。后來的實(shí)驗(yàn)中，我發(fā)現(xiàn)了一個(gè)命令。它實(shí)際上會進(jìn)入到手機(jī)重啟后的固件更新模式。在正常情況下，這種模式允許黑客對設(shè)備進(jìn)行各種各樣的操作。

因此，我做了個(gè)實(shí)驗(yàn)。我將手機(jī)重置為出廠固件，并將其重置為默認(rèn)設(shè)置，保證不會有如ADB之類的對外接口。

首先我用手機(jī)連接到了電腦，然后我用AT命令獲取了固件數(shù)據(jù)，確認(rèn)了設(shè)備類型和操作系統(tǒng)。再之后，我輸入了命令，手機(jī)重啟，進(jìn)入了固件更新模式：

那么接下來發(fā)生了什么呢？我們通過AT命令收集了信息后，我鑒定了設(shè)備。然后，我用了一個(gè)方便的ROOT手機(jī)的POC，為設(shè)備找到了合適的包，啟動了固件更新應(yīng)用，接下來發(fā)生的就是：

更新持續(xù)了約一分鐘（文件很小），手機(jī)重啟后執(zhí)行root：

安裝了Root包后，它進(jìn)行了自清理。然后，在手機(jī)重啟后，我們會看到：

所有用戶的數(shù)據(jù)都是安全的，但是它有幾個(gè)應(yīng)用無法通過默認(rèn)手段卸載，而且它們有root權(quán)限。我算了下時(shí)間，考慮我手動點(diǎn)按鈕的時(shí)間，整個(gè)過程不到3分鐘。

想象時(shí)刻

現(xiàn)在發(fā)揮下你的想象力，如果這個(gè)安裝包會不會沒有通用目的（可能會有很多附加功能），但是專門在你手機(jī)上安裝特定應(yīng)用，或者了改變設(shè)備的配置呢？那就可能會減少安裝包和腳本的大小，也減少了安裝時(shí)間。

如果它安裝了一個(gè)系統(tǒng)守護(hù)進(jìn)程而不是安裝包呢？如果是后門或者安卓木馬呢，這是現(xiàn)在常見的一種手段。它就在后臺運(yùn)行，黑客會跟你一起分享你手機(jī)里面的內(nèi)容。如果啟用了開發(fā)者模式和ADB，然后將電腦指紋加入到可信庫里？這些動作都不會被殺軟檢測到，因?yàn)樗玫亩际悄J(rèn)的函數(shù)，而且不會花多時(shí)間來運(yùn)行。

那么我們用手機(jī)ADB連接可信電腦，又能做些什么呢？

我們可以安裝和刪除應(yīng)用、備份消息庫、照片、視頻、應(yīng)用緩存和數(shù)據(jù)文件，這些在很短的時(shí)間內(nèi)就能完成。我們還能格式化手機(jī)、刪除數(shù)據(jù)、加密數(shù)據(jù)，以及勒索贖金。想象下這樣一個(gè)場景，在你經(jīng)過5-8小時(shí)的飛行后下飛機(jī)，你的手機(jī)自然幾乎沒電了，接著你找到了一個(gè)USB充電站。

你將手機(jī)連上去充電后，可能會休息20-30分鐘。你覺得，惡意改造過充電站的黑客，需要多長時(shí)間來下載你的手機(jī)上的數(shù)據(jù)，或者用惡意軟件去感染你的手機(jī)。有了這些數(shù)據(jù)，黑客就能黑了你、追蹤到你，你和你單位的數(shù)據(jù)都可能處于風(fēng)險(xiǎn)之中。

結(jié)論

世界各大網(wǎng)絡(luò)社區(qū)，有不少都專注于深度挖掘和探索操作系統(tǒng)，他們會對其進(jìn)行修改，并將辛苦研究的成果奉獻(xiàn)給大家。

其他人則會用這些成果升級自己的設(shè)備，但事實(shí)上并不能保證他們在手機(jī)上安裝的這些免費(fèi)固件都是沒有后門的。開發(fā)者可能會忘了禁用開發(fā)者模式或者調(diào)試模式，也可能安裝了隱藏的手段，在后臺收集和傳輸手機(jī)用戶的數(shù)據(jù)。

盡管手機(jī)制造商付出了巨大努力，但是絕對安全的移動設(shè)備幾乎是不可能存在的。我們的實(shí)驗(yàn)證明了這點(diǎn)，雖然案例里只有一個(gè)制造商，但是并不代表其他制造商是不存在這些問題的。同時(shí)，上述的實(shí)驗(yàn)工作都是基于已知的信息。

在我挖出了這個(gè)漏洞后，發(fā)現(xiàn)它早在2014年就已經(jīng)在黑帽大會上被報(bào)道過了。但是，它沒有制造太多的影響力，以至于在最新的手機(jī)模型上還存在。而在本文中，我發(fā)現(xiàn)這些人某種程度上也發(fā)現(xiàn)了這個(gè)洞。通過連接電腦竊取手機(jī)數(shù)據(jù)的技術(shù)早已被濫用，例如2013年紅色10月那場著名的網(wǎng)絡(luò)間諜活動。

公共充電站導(dǎo)致的數(shù)據(jù)失竊的可能性，我們的專家曾在2014年提出來分析過。你大概會認(rèn)為沒有人在機(jī)場、咖啡館或者公交站惡意改造充電站。但是，我們卻并不這么認(rèn)為。

總結(jié)一下，不要隨便在公共場所充電，如果恰好你的手機(jī)里有很多不想被人知道的秘密。

最新評論