燕麥云何洋開講丨知道了這些,你還會用共享充電寶嗎?

上周末發生了一件事:我和家人外出吃飯時,發現自己手機只剩4%電量了。周末輕裝出門,我並沒有帶任何充電設備,眼看著工作聯絡、手機支付、導航等功能全部面臨癱瘓。就在這時,我看到餐廳收銀櫃檯上擺著的「共享充電寶」,掃描二維碼註冊交付押金後就能使用。按理說,我這屬於「共享充電寶」最典型的使用場景,但當時我卻選擇到附近數碼店買了一個全新的充電寶。

本期《何洋開講》,我想跟大家聊聊自己對「共享充電寶」的看法。

2017年正好是智能手機誕生的第10個年頭,手機定位已經發生了巨大改變:從媲美電腦的處理能力,到無所不能的APP生態,再到3G、4G、5G等高速移動網路,我們見證了過去10年信息技術在手機上的飛躍式發展。與此形成鮮明對比的是,手機電池技術的發展卻似乎停滯不前,隨著我們使用手機的頻率越來越高,手機電量和續航已經成為瓶頸。

電池技術屬於基礎物理學科的研究範疇,要取得突破性進展還需一段時日。因此,此時此刻若想解決手機電量不夠用的問題,只能依靠其它方法,而移動充電寶就是一個快捷廉價的解決方案。但是,移動充電寶並不是人們無時無刻都會帶在身上的東西。「共享」充電寶的創意由此產生。

「共享經濟」是從美國流入國內的,它基於陌生人之間物品使用權的暫時轉移,是一種新的經濟模式。傳統共享經濟模式有三個關鍵概念:供給方、平台方、需求方。

中國市場最早大規模接入「共享經濟模式」,是從「共享專車」開始。早期的「滴滴」們借鑒了美國Uber的共享私家車模式,更將之擴大為「將有出行需求的人群」與「空駛的計程車與社會閑置車輛」兩部分資源用信息技術做智能匹配,提升社會運行效率。供給方是社會上的閑散汽車資源,平台方是叫車平台,需求方是有出行需求的用戶。

任何外來模式落地到中國都會做適應和調整,針對「共享汽車」運行中出現的問題,全國各地都相繼出台了相關的行政管理辦法。真實現狀是,很多中國公司都對共享模式進行了「改良」,即不再主要依靠整合社會閑散資源來滿足需求方,平台方同時也是供給方,平台方統一投放物資——車和司機都是公司自有,「可控性」是這種模式最大的好處。

「共享充電寶」從誕生起就是後一種模式,由平台方投放充電寶來滿足需求方。

「共享充電寶」的出現一直伴隨著爭議,但結果是,越有爭議,它就越火。2017年多家共享充電寶公司在成立40天內先後獲得共計12億人民幣的創業投資,足見資本對它的偏愛。

只要電池技術一天沒有革命性進步,共享充電寶依然會有它特定的需求和使用場景;但基於這些年做企業信息安全管理積累的經驗,我必須指出,共享充電寶最大的問題在於信息安全隱患。

往期的《何洋開講》中介紹過,最近肆虐全球的wannacry病毒實際上是從斯諾登揭露的「稜鏡計劃」中的一個網路工具「永恆之藍」變種而來(燕麥云何洋開講 | 2分鐘看懂黑客勒索病毒事件 教你如何防範)。而在 「稜鏡計劃」中則存在著另一個可怕的竊聽設備,名為Cottonmouth,它基於USB介面,將Cottonmouth插上USB介面後,就能夠偷偷往目標設備中安裝惡意程序。

很多人可能不知道,雖然目前大部分智能手機的充電口看起來與傳統USB介面不太一樣,但事實上卻只是另一種USB介面制式而已,它們在本質上是一致的。

說到這裡,有朋友可能會想到:是否能在充電寶中植入Cottonmouth(及其變種病毒),從而達到控制手機及裡面信息的目的?

非常不幸,答案是肯定的。

網上已經有黑客公開了在充電寶中植入木馬病毒的方法。黑客向我們展現了一種手段,將被植入木馬病毒的充電寶插入手機後,黑客的電腦控制端就可以獲得Android手機的實時截屏,這時候如果你使用類似支付寶的二維碼付款功能時,付款二維碼就會被黑客獲取,從而導致支付寶和銀行卡的賬戶現金被盜。

更讓人毛骨悚然的是,此類木馬病毒一經植入,即使拔掉充電寶,也依然可以運行。而且,類似行為的違法成本很低,在充電寶中植入一枚監控晶元的成本只有區區不到300元而已。

就算是蘋果的iOS系統,也不能對植入木馬病毒的充電寶免疫。

我見過一些被植入木馬的充電寶,插上iPhone後即彈出一個窗口,這類窗口通常都會在提示語上進行迷惑或者偽裝,很多人在不明就裡的情況下點擊了「信任」後,iPhone中的所有數據就會被同步到黑客電腦上。

當然,並不是說使用共享充電寶就一定是引狼入室,但以上黑客手段至少證明了這種可能性的存在。

這就讓人不得不考慮,是不是會有人利用共享充電寶的「共享」特性,將充電寶先借走,進行「再加工」後,再放回給其它人使用。共享充電寶需要直接插入手機USB介面進行充電的特性,決定了共享充電寶企業需要不停地、被動地去應對外來威脅。因此,對於共享充電寶企業而言,無論是從安全技術上還是從信任度上來講,都註定了這是一場馬拉松。

共享充電寶與其它共享經濟的不同之處在於,使用它就意味著手機的數據信息安全可能會面臨威脅。在共享充電寶沒有徹底解決我的安全疑惑之前,我個人對它持保留態度。而這也是為什麼我在文章開頭提及沒有選擇使用共享充電寶,而是自己另買一個新充電寶的原因。

現在我們的手機存儲了太多個人重要信息,現階段針對手機電量問題最好的解決辦法,就是自己去買一個大品牌的充電寶時刻隨身攜帶。

《何洋開講》最主要的目的,就是幫助企業管理者提升自身對於信息技術與IT科技的認知,認清技術的風險與價值,永遠把信息安全放在第一位。

最後,有三點使用充電寶時的安全小貼士分享給大家:

第一,堅決與需要手機系統授權的充電寶說NO!

我堅持認為,好的充電寶只會做「充電」這一件事,所有觸動到手機系統許可權的行為都是在耍流氓。如在使用充電寶時發生如下情況的任何一種,請立即拔掉數據線:1、建議你打開Android系統的「調試模式」;2、需要你在iOS系統中進行信任授權。

第二,給手機安裝一個靠譜的殺毒軟體。

傳統殺毒軟體是一種被動防護,而病毒往往會利用殺毒軟體對其進行分析的時間差進行破壞。但無論如何,靠譜的殺毒軟體可以在你使用充電寶時最大限度地隔離已知威脅,讓你的手機保持一個相對健康的狀態。

第三,企業文件的存儲和傳輸應用,建議使用私有雲來安全保護商業秘密。

對企業用戶來說,在使用未知充電寶之前,我強烈建議大家將手機中的機密文件保存到一個私有雲中。目前市面上先進的私有雲產品,使用起來不但輕便易用,更有完善的安全機制,可以讓你手機中的機密文件得到全方位的保護。


推薦閱讀:

如何評價「共享醫院」?
前有寶馬,後有至尊寶!共享豪車聲勢浩大,是真老虎還是紙老虎?
1024「盒你有約」 | 公園盒子品牌戰略發布會
風裡雨里共享雨傘與你同行

TAG:信息安全 | 共享 |