又见隐私泄露！共享充电宝充电半小时，你的支付宝可能就被盗了

昨天，国家公安部网安局在其微信公众号上发布了一则消息：

上面提到的充电宝，就是在一些公共场合广泛存在的共享充电宝，或者在马路边、火车站广场四处兜售的三无充电宝。

在以往的印象中，我们对这些街边充电宝的担忧还是爆炸起火，而现在这种担忧或许要扩散到你的家庭住址、财务状况、各种密码等各个信息了。

充电宝的前世今生

移动设备带来了充电宝。

2001年，就有人展示了用几节干电池制作的“原始充电宝”用于给一些移动设备充电。

不争气的手机厂商带火了充电宝。

充电宝在智能手机时代彻底崛起，第一个要感谢的就是苹果。

苹果划时代的产品iPhone4采用不可拆卸电池设计，虽然在iPhone3GS上就这么干过，但是考虑到4代的市场影响，苹果也脱离不了干系。

这么一来，用户就不能再随身携带一块电池备用了。其他厂家随后也跟进了不可拆卸电池设计。

不是说这种设计不好，但是在不解决电池能量密度这一本质问题的情况下，不可拆卸电池就是阉割用户体验。

4G网络建立起来的移动互联网，培养了用户使用智能手机的习惯，加深了“手机依赖”。手机电量不够用的矛盾越来越突出。

厂家提出了两种解决方案，一是快充，二是充电宝。

于是，各大手机厂商都推出了自己的充电宝产品：

小米官网充电宝页面 (图源：小米)

资本张开了大嘴，把充电宝吹上了风口。

一家家共享充电宝企业成立，各个投资机构也纷纷跟投，10天不到，融资金额近3亿元，超20家机构入局。

在资本的滋养下，这些创企打起了价格战，低至5毛钱一小时，迅速占领酒店、交通枢纽、商场等场所。

除了大厂和共享充电宝，一些小作坊也瞄准了这一市场，生产了许多三无充电宝。

成都商报2018年报道，在成都火车北站广场上充斥着大量假充电宝，披着充电宝的外壳，里面却是满满的沙子和破旧的电池。

假充电宝 (图源：成都商报)

如果共享充电宝和假充电宝还要花钱，让人舍不得用之外，那扫码“白送”的充电宝就使人很难抗拒了。

而这些看似“白嫖”的充电宝，就是此次公安部所指的重灾区。

天上不会掉馅饼

上海网警提示，“商场里可租赁的移动电源、火车站叫卖的满电充电宝和扫码免费送的充电宝……这些充电宝不仅可能存在质量隐患，还可能被不法分子植入病毒程序，导致手机里的通讯录、文本信息甚至照片视频等隐私数据泄露。”

不法分子是如何通过充电宝入侵我们的手机的呢?

某品牌充电宝拆解(图源见水印)

从拆解看出，正规的充电宝除了电芯，还会有许多芯片，用于电流电压控制、充电保护等。

假充电宝就不会有这么对芯片，因为没必要，它想要的是你的信息，而不是给你充电，所以炸不炸不是重点。

这些空出来的空间就被不法分子用来安装用于入侵的设备——树莓派。

树莓派本质上是一种微型电脑，又称卡片式电脑，外形只有信用卡大小，却具有电脑的所有基本功能。

树莓派可以用普通内存卡作为存储设备，编程好的病毒程序就可以藏匿其中。它还具备USB接口，部分型号甚至具备网线接口，还可以连接鼠标、键盘等外设。

当然，树莓派也不便宜，这样做出来的充电宝成本相对较高，是不可能扫个码就白送你的。这种充电宝往往都是打着“共享”的名号被反复使用。

通过向用户手机安装病毒程序，这种攻击方法被称作命令与控制，是C&C服务器(Command and Control Server)的一种。

简单来说，它可以接收被控制设备上面病毒传来的个人信息，也可以向被控制设备发送控制指令，指示病毒执行预定义的恶意动作，甚至可以对病毒进行在线升级，使病毒具备更多作恶能力。

不法分子首先会制作针对安卓手机的远控病毒，常见的有5种：DroidJack、Spynote、AndroRat、AhMyth和FatRat。

不认识也没有关系，你只需要知道这些东西可以生成恶意的安装程序，被安装到用户手机上后，就可以控制手机。

以DroidJack为例，其可以实现浏览、传输、删除文件;短信收发和查看;通话控制;麦克风监听;定位和APP管理等功能。

DroidJack短信控制截图

除了看你的信息，不法分子还可以控制你的APP，比如微信、支付宝等，轻松转走你的血汗钱。

更可怕的是，如果它盗窃你的通讯录或者社交账户，就可以实现更大范围的病毒传播。

这种套路在几年前就已经出现了，还有媒体对此进行了报道。而最近又被执法部门重新提起，或许说明近来这种犯罪活动又有抬头之势。

通过充电宝植入病毒程序往往都是针对安卓手机。

如果你连接来历不明的充电宝并提示如下，那你就要小心了，这个充电宝绝对有问题。

       华为手机连接电脑截图

此外，如果你打开过USB调试模式又没有关闭，连上时可能出现这种弹窗：

USB调试弹窗

一定不要点确定!一定不要点确定!一定不要点确定!

不然你的手机对不法分子而言就是完全开放的了。

对苹果手机而言，由于其封闭的应用生态环境，在非APP Store下载的程序安装时都要验证描述文件，而且还要用户手动同意，所以安装木马在苹果设备上行不通。

不过，理论上讲，虽然不能直接控制苹果手机，但是盗取其中的数据还是很简单的。

一般来说，如果充电宝中安装了微型计算机，那么连接时苹果手机就会弹出如下提示：

同样，一定不要点信任，不然充电宝中的微型计算机就能读取你的短信、通讯录、照片视频以及软件备份。

虽然通常这种充电宝不能联网，但是不法分子可以把这些信息存在充电宝里，存够一定数量再来收取。

所以，如果街上再有免费试用的或者来路不明的充电宝，最好谨慎使用。

而且，即便是一些大品牌的产品，也是存在风险的。

不法分子可能会借走这些充电宝，将其拆解并改造后放回原处，用户使用时就可能中招。

共享充电宝这个市场发展至今，经过洗牌，目前只剩下了“三电一兽”：街电、小电、来电和怪兽。

共享充电宝市场份额

“四大天王”接连宣布盈利，资本们早期的投入终于有了回报。而这背后，则是不断提升的单价。在景区、高铁站等人流密集的地区，单价甚至高达10元/每小时。

相比之下，给特斯拉Model 3充满电每小时换算下来也才2.6元左右。

共享充电宝市场能持续吗?答案或许是否定的。

随着竞争丧失、垄断抬头，用户的使用成本越来越高，价格会成为一大门槛;

其次，越来越多的手机支持更高速率的快充，短时间就能充得足够电量;而共享充电宝的充电速率本身就是悖论，速度太快，使用时间太短，收取的费用自然也就少了;

最后，充电宝本身的价值并不高，而且体积也越做越小，越做越薄，便携性大大增加。

共享充电宝瞄准的本身就是用户手机断电的紧急状态，而用户的这一紧急需求或许会随着上面3点而逐渐减少。

共享充电宝行业或许会迎来洗牌，就像曾经风光无限的共享单车。

最后，关于扫码“白嫖”礼品(包括但不限于充电宝)，这里也想多说两句。这种方式看似白嫖，实则是再用自己的个人信息(电话、身份证、户籍)买单。

推广人员往往需要你实名注册甚至上传身份证才能获得微不足道的奖品，可能只是一个抱枕、一个水杯甚至只是一抽纸。

记住，天上不会掉馅饼。