3·15晚会曝光的手机充电桩是否能盗取iPhone用户的信息甚至操控消费?原理是怎样的?

盗取信息的前提是,安卓机器打开 usb 调试,iOS 设备在连接时选择信任设备。

盗取信息当然是可以的。adb 有 adb push 和 adb pull 命令,用来操作手机存储里的文件。

还可以启动手机里的软件

还可以给手机安装软件

还能无线调试

 

反正,只要他拿 adb 连接你的机器 能做的事情基本上就跟你自己拿着手机做的事情差不多了

充电器后边如果是个 Linux 机器 那实现上面那些事情毫无问题 事实上我觉得要用这样的技术实现免充电推广 app 是完全可行的

当然现在一些厂商的 rom 在 USB 调试安装应用的时候都会拦截了

iPhone的被控原理

libimobiledevice.org/

据其官网载,

libimobiledevice is a cross-platform software library that talks the protocols to support iPhone®, iPod Touch®, iPad® and Apple TV® devices. Unlike other projects, it does not depend on using any existing proprietary libraries and does not require jailbreaking. It allows other software to easily access the device’s filesystem, retrieve information about the device and it’s internals, backup/restore the device, manage SpringBoard® icons, manage installed applications, retrieve addressbook/calendars/notes and bookmarks and (usinglibgpod) synchronize music and video to the device. The library is in development since August 2007 with the goal to bring support for these devices to the Linux Desktop.

就是说 Linux 有个软件叫 libimobiledevice,可以操作手机的文件系统,甚至可以获取日历和备忘录

之前我同时用 Linux 和 iPhone 的时候试过,在未越狱情况下,它可以读写应用里的文件,比如用 QQ 下载的 PPT。

还尼玛是开源的

这是最骚的

据其更新日志载:

  • 05.07.2016: Yep, libimobiledevice works with iOS 10.

最新版本是 1.2.0。

 安卓Android

手机连接电脑,确认“允许USB调试”,攻击者使用adb命令实现作恶

拨打电话:adb shell am start -a android.intent.action.CALL tel:号码

发送信息adb shell am start -a android.intent.action.SENDTO sms:号码 –es sms_body 号码内容

adb shell keyevent 22

adb shell keyevent 66

另外,可安装恶意软件进手机,进一步作恶。(比如手机短信转发什么的)

iPhone

从视频里看到的是用户点击了“信任电脑”导致照片被盗取。相当于手机是U盘了。

 

作者:知乎用户
链接:https://www.zhihu.com/question/57158312/answer/152029254
来源:知乎

2 条评论

发表评论

*

  • 就充电桩盗取数据这一点来说,其实真的没毛病。对于很多免费充电桩,如果它会不停地向你索要ADB调试权限,如果你不给,就给你大规模限流甚至每隔一段时间就断电