美国运输安全管理局(TSA)近期提醒旅客,小心在机场等公共场所提供的USB充电座可能成为资安漏洞,造成Juice Jacking攻击手机最佳方式。 TSA指出,黑客可通过改装或植入恶意设备,在公共USB插座或充电线路中埋下攻击程序,让用户在看似便利的充电过程中不知不觉暴露手机资料或被植入恶意软件,这类攻击被称为Juice Jacking(充电陷阱)。
什么是 Juice Jacking 充电陷阱? 充电同时开启数据通道的陷阱
Juice Jacking (充电陷阱)是指利用 USB 连接同时具备「电力」与「资料传输」功能的特性,当用户把手机插到公共 USB 插座或经过改装的充电线与座时,攻击者可能会利用 Juice Jacking 来触发底下攻击:
- 窃取装置内的个资、密码、电子邮件或金融资料
- 植入恶意软件,追踪上网行为或远程控手机
更严重的情况下,Juice Jacking 攻击甚至可能修改久未更新 iOS 或 Android 旧版系统固件或取得远程控制权,让防护机制失效。
此风险不只出现在机场,任何有公共USB插座的场域,包含机场航厦、火车站、饭店房间或大厅、咖啡厅等公众充电插座,不管是USB-A或USB-C充电孔都会成为目标,可能被恶意改装或植入窃取模块。
充电陷阱为什么会发生? 知名实验与案例已证实可行
FBI、TSA、FCC等多个美国官方机构都曾发出警告公共USB充电孔存在风险,请避免直接使用! 且有相关安全研究已多次证实 Juice Jacking 并非理论威胁,当前市面上已经有相关恶意工具:
- BadUSB:能将一般USB变成可执行恶意程序的攻击载体
- O.MG Cable:外观如同一般充电线,实则内置Wi-Fi模块,可远程控目标设备
- 恶意充电器(Malicious Charger):在控制环境中成功窃取装置数据或安装恶意软件
USB-C也有充电遭窃取数据风险
别以为换上 Type-C(USB-C)就能一劳永逸,实际上 USB-C规格支持Power Delivery(PD)电力协商与数据传输,攻击者若控制充电器或线材,同样可通过数据通道执行窃取、植入恶意固件等攻击。
如何避免机场充电手机被入侵? TSA分享最佳安全防范做法
面对这类Juice Jacking攻击威胁,TSA也建议旅客应避免直接把手机公共USB插座充电,可改用自备的电源变压器(插座式充电器)或移动电源。
资安业者也提供实用防护措施,例如使用「USB 资料阻断器」(USB data blocker,又称 USB condom),这类小型转接头会阻断数据线脚,只允许电力通过,达到只充电、不传资料的效果。
同时也建议避免使用公共Wi-Fi网络,尤其在进行网购或金融交易时更应格外小心,避免会连上伪装造假的路由器,甚至是公开网络同样可能被拦截或放置钓鱼陷阱。
要是想彻底避免Juice Jacking,最简单的方式是使用「只能够充电线」,原理在于「充电线」会在物理上移除两条数据线,让电流通过、资料完全断开即使插到被骇的USB孔,也只会供电、不会传数据。
不过在iPhone相对也要提高警觉,只要有不明要是插电时跳出「是否信任设备」提醒,请立即拒绝。
防止手机在公共网络被窃取资料防护技巧总结
- 尽量使用自己的充电器、充电线与移动电源,避免直接使用墙面以外的公共USB插座。
- 携带 USB 数据阻断器(USB data blocker),或改用只提供电力的充电插座。
- 若必须插公共 USB:确认设备已锁定且不要选择任何「资料传输」或「文件传输」模式。
- 尽量避开公共Wi-Fi做敏感作(例如网络银行、线上刷卡)。
- 考虑使用无线充电(若可行)或提前充饱电池以降低在外充电需求。
TSA 警示也提醒,便利不等于安全,要是出门在外时,带对配件、养成检查习惯,才能把「充电」这件小事做好同时也保护个资安全。
