—
撰文 | Cobo金庫大掌櫃
我們每天享受著資料傳輸給生活帶來的便利,但隱私洩露問題也隨之而來。尤其數字貨幣領域,敏感資料的洩露會帶來兩大難題:丟幣;且基本無法找回。
早在17年,315就披露過“惡意充電樁”事件。手機一旦連線到這種被改裝過的充電樁,便會被植入木馬並在後臺自動執行。
之前掌櫃有分享過為什麼不推薦用手機攝像頭生成隨機數,原因有兩個:① 手機攝像頭生成的隨機數屬於感測器隨機,而感測器隨機性非常差;② 手機攝像頭存在被攻擊的風險敞口。
掌櫃這些年很深的一個感悟,就是這個世界最不缺的就是牛人。國外就有一名駭客(Twitter@_MG_)自制了一款蘋果手機資料線,並給它命名為“O.MG Cable”。OMG資料線兩頭的電路板裡被塞了一個WiFi發射器,當手機透過這條資料線連線電腦時,攻擊者可以在WiFi覆蓋範圍內(約30米)遠端控制OMG資料線連線的兩臺裝置。
攻擊方式包括:透過遠端執行命令控制裝置鎖屏,誘導被攻擊者重新解鎖,以此來收集密碼資訊;傳送一些以假亂真的釣魚網站到電腦螢幕;等等。
如果你認為這種攻擊方式只能被用在蘋果資料線,那就太naive了。人家只是覺得蘋果資料線塊頭更小,挑戰性更大,更能證明實力。也就是說,改裝安卓資料線的難度更低。
總結下攻擊條件:
✅使用改裝過的資料線連線電腦:用電腦給手機充電、傳輸資料的場景非常常見,攻擊者只要成功替換資料線並誘導被攻擊者使用即可;
✅允許手機信任電腦:最常見的場景就是連線手機到自己的個人電腦,大概率會選擇信任;
✅攻擊者和被攻擊裝置在同一網路環境下,物理距離不超過WiFi覆蓋範圍(實際在附近WiFi的覆蓋範圍內也是有風險的)
而且當反應到資訊被洩露時,大多數人會認為是某平臺出售了使用者資料或者懷疑自己訪問了某些釣魚網站等,幾乎不會想到是資料線的問題。
所以,使用離線手機或者電腦作為冷錢包,或者用透過USB資料線傳輸資訊的硬體錢包,並不能完全避免私鑰觸網這一風險敞口。掌櫃在《離線手機或電腦VS專業硬體錢包》中還分享了分別針對離線電腦、離線安卓手機、離線蘋果手機的一些其他攻擊手法。
最後,掌櫃給到大家一些預防離線手機冷錢包洩露敏感資料的建議:
- 安卓手機連線電腦時,不要開啟USB除錯,蘋果手機連線電腦時,選擇“不信任”此電腦(當然最好不要連線電腦);
- 不要使用不明來源的資料線、耳機、充電寶等;
- 不要在公共網路環境下操作使用;
- 使用二維碼互動的硬體錢包(如Cobo金庫)作為數字資產管理工具。
最後的最後,願所有囤幣黨都能達到⬇這種⬇境界,共勉!
參考連結:
[1]https://techcrunch.com/2019/08/12/iphone-charging-cable-hack-computer-def-con/?guccounter=1
頭圖:Photo by Milin John on Unsplash
