五一小长假，想好去哪儿玩了吗？

出门游玩一整天，手机电量很快就不够用了。这时候，机场、车站或者商场里的公共充电站，似乎能解燃眉之急——把USB线往手机上一插，人和手机都好像充上电了。

但这些公共充电站，可能暗藏玄机！

小心「Juice Jacking」陷阱

有一种叫「Juice Jacking」（果汁挟持）的陷阱，在智能手机刚兴起时就已存在，国内315晚会也曾曝光过——简单说，就是把破解手机的硬件伪装成充电器，手机接上电的瞬间，数据、照片可能就被偷走了。

十几年前，Juice Jacking陷阱刚出现时，Google和苹果等手机系统厂商就发现了问题，并通过添加USB连接认证等措施防护——当外部设备想访问手机文件时，会弹出提醒，你肯定见过：

这时，选「不允许」，恶意程序就无法绕过手机安全系统——没想到，十年后，Juice Jacking的升级版卷土重来，据Ars Technica报道，这种新骗局叫Choice Jacking（选择挟持）。

Choice Jacking如何突破安全措施

为阻拦Juice Jacking，厂商给手机USB连接设了确认机制：

一个设备不能同时当主机（如电脑）和外设（如手机或键盘），USB另一头要么是手机外设（键盘、U盘），要么是主机（电脑），不能兼当。

USB设备连手机时，只能通过手机上的「允许」按钮认证。

而Choice Jacking突破安全措施的方法很「巧妙」：先把恶意主机伪装成「外设」，再让「外设」变「主机」——具体操作如下：

1. 用户连到伪装成充电器的恶意主机时，它先伪装成「USB键盘」，向手机发按键指令，如打开蓝牙连接
2. 接着，「USB键盘」操控手机配对「蓝牙键盘」——这「蓝牙键盘」也是恶意主机伪装的
3. 然后，恶意主机又伪装成「主机」，向手机发起数据请求，此时手机成了「外设」，会出现授权数据访问提示
4. 最后，通过「蓝牙键盘」点手机上的「同意」按钮授权，恶意主机就连上手机，获得整台手机的数据访问权限

这是手机USB连接机制的结构性缺陷，非代码漏洞。所以，这种骗局适用性强，iOS和Android都可能中招。

哪些手机易被攻破

包括苹果、Google、三星、小米等品牌的十多款手机，都能被Choice Jacking攻破，除苹果设备需23秒，其他Android设备几秒内就被攻破——有趣的是，部分手机不支持完整的PD协议，反倒有一定防护作用，降低了被Choice Jacking黑入的风险。

如何防范手机被USB控制

把神秘USB线连到自己手机，不少人能看到风险，但包装成免费充电端口，包括我在内，很多人可能在手机电量告急时，会毫不犹豫使用。

不少普通用户可能不完全理解手机上「USB权限」弹窗的意义，以为同意的只是充电线连接，就主动关闭了防线。

厂商已及时反应，去年11月推送的Android 15更新和上月更新的iOS/iPadOS 18.4版本都更新了相关机制，经测试能起作用。

但因Android生态系统碎片化，不少老设备未必能及时更新，且第三方Android UI，如三星的One UI 7，即便用了Android 15也未采用新USB验证机制，仍易受Choice Jacking攻击。

漏洞发现者Florian Draschbacher也表示，虽一年前就警告设备制造商，他们也承认问题存在，但完善修复进度奇慢，可能是因为，要加强USB访问手机安全性，需添加大量验证措施，对用户体验影响大，所以制造商犹豫不决。

更开放的Android生态，通过USB的攻击危害可能更大。因为Android设备打开「USB调试」模式，Choice Jacking可获得手机深层权限，执行恶意底层文件。不过此功能入口深，一般设备默认关闭。

大众对Choice Jacking的态度

对于Choice Jacking这种「旧瓶装新酒」的安全问题，大众态度已不像十年前刚用智能手机时「草木皆兵」。

不少人嗤之以鼻，觉得是「狼来了」的故事：Juice Jacking和公共Wi-Fi的危险当年也被大肆炒作，但实际危害不大。

还有「投降主义」，明知山有虎，偏向虎山行，即便知道公共充电桩有风险，仍觉得当下手机没电问题更严重，甚至觉得平时个人信息泄露已多，不差这一次。

虽作为新攻击方式，目前尚无Choice Jacking造成大量实际损失的报告，但不代表风险和威胁不存在。

防范建议

最保险的做法是，出游时尽量用自己的充电宝，或大品牌共享充电宝；有公共电源，也最好用自己的充电插头，别用看着可疑的USB充电线。

此外，还有防止手机被USB控制的小技巧：

• 给手机和电子钱包设不同密码，能挡一些别有用心的人。网购平台如淘宝、拼多多，最好关闭「免密支付」，现在面容或指纹验证很方便。
• iPhone用户强烈建议更新到iOS 18.4版本，此版本加强了用户对USB配件连接的验证机制，能防部分Choice Jacking渗透。
• 现在智能手机基本需验证才能用USB传输数据，若使用手机时提醒验证，或验证窗口一闪而过，就得小心USB线那头是否有小动作。
• 不少Android设备连USB充电时会提示「USB模式」，一般可设为「仅充电」，别点选「传输文件」「传输照片」或「USB调试模式」。

当然，不必过度恐慌，平时保持手机系统正常升级，避免用可疑USB线，不随便同意莫名USB权限，就能规避这些安全陷阱。