【投稿】共享充电宝最大的问题在于信息安全隐患

　　猎云网注：本文是燕麦云创始人兼CEO何洋向猎云网来稿，何洋先生是2016年中国信息产业年度新锐人物，与中科院合作完成了全球仅3家公司掌握的核心技术，专研企业信息安全管理领域。本文是是他对于“共享充电宝”的安全性以及使用场景的一些思考，以下为全文：

　　上周末发生了一件事：我和家人外出吃饭时，发现自己手机只剩4%电量了。周末轻装出门，我并没有带任何充电设备。眼看工作联络、手机支付、等功能全部面临瘫痪，就在这时，我看到餐厅收银柜台上摆着的“共享充电宝”，扫描二维码注册交付押金后就能使用。

　　按理说，我这属于“共享充电宝”最典型的使用场景，但当时我却选择到附近数码店买了一个全新的充电宝。

　　2017年正好是智能手机诞生的第10个年头，手机定位已经发生了巨大改变：从媲美电脑的处理能力，到无所不能的APP生态，再到3G、4G、5G等高速移动网络，我们了过去10年信息技术在手机上的飞跃式发展。

　　与此形成鲜明对比的是，手机电池技术的发展却似乎停滞不前，随着我们使用手机的频率越来越高，手机电量和续航已经成为瓶颈。

　　电池技术属于基础物理学科的研究范畴，要取得突破性进展还需一段时日。因此，此时此刻若想解决手机电量不够用的问题，只能依靠其它方法，而移动充电宝就是一个快捷廉价的解决方案。但是，移动充电宝并不是人们无时无刻都会带在身上的东西。“共享”充电宝的创意由此产生。

　　“共享经济”是从美国流入国内的，它基于陌生人之间物品使用权的暂时转移，是一种新的经济模式。传统共享经济模式有三个关键概念：供给方、平台方、需求方。

　　中国市场最早大规模接入“共享经济模式”，是从“共享专车”开始。早期的“滴滴”们借鉴了美国Uber的共享私家车模式，更将之扩大为“将有出行需求的人群”与“空驶的出租车与社会闲置车辆”两部分资源用信息技术做智能匹配，提升社会运行效率。供给方是社会上的闲散汽车资源，平台方是叫车平台，需求方是有出行需求的用户。

　　任何外来模式落地到中国都会做适应和调整，针对“共享汽车”运行中出现的问题，全国各地都相继出台了相关的行政管理办法。真实现状是，很多中国公司都对共享模式进行了“改良”，即不再主要依靠整合社会闲散资源来满足需求方，平台方同时也是供给方，平台方统一投放物资——车和司机都是公司自有，“可控性”是这种模式最大的好处。

　　“共享充电宝”的出现一直伴随着争议，但结果是，越有争议，它就越火。2017年多家共享充电宝公司在成立40天内先后获得共计12亿人民币的创业投资，足见资本对它的偏爱。

　　只要电池技术一天没有性进步，共享充电宝依然会有它特定的需求和使用场景；但基于这些年做企业信息安全管理积累的经验，我必须指出，共享充电宝最大的问题在于信息安全隐患。

　　最近全球的wannacry病毒实际上是从登揭露的“棱镜计划”中的一个网络工具“之蓝”变种而来。而在 “棱镜计划”中则存在着另一个的设备，名为Cottonmouth，它基于USB接口，将Cottonmouth插上USB接口后，就能够偷偷往目标设备中安装恶意程序。

　　很多人可能不知道，虽然目前大部分智能手机的充电口看起来与传统USB接口不太一样，但事实上却只是另一种USB接口制式而已，它们在本质上是一致的。

　　说到这里，有朋友可能会想到：是否能在充电宝中植入Cottonmouth（及其变种病毒），从而达到控制手机及里面信息的目的？

　　网上已经有黑客公开了在充电宝中植入木马病毒的方法。黑客向我们展现了一种手段，将被植入木马病毒的充电宝插入手机后，黑客的电脑控制端就可以获得Android手机的实时截屏，这时候如果你使用类似支付宝的二维码付款功能时，付款二维码就会被黑客获取，从而导致支付宝和银行卡的账户现金被盗。

　　更让人的是，此类木马病毒一经植入，即使拔掉充电宝，也依然可以运行。而且，类似行为的违法成本很低，在充电宝中植入一枚芯片的成本只有区区不到300元而已。

　　我见过一些被植入木马的充电宝，插上iPhone后即弹出一个窗口，这类窗口通常都会在提示语上进行或者伪装，很多人在不明就里的情况下点击了“信任”后，iPhone中的所有数据就会被同步到黑客电脑上。

　　当然，我并不是说使用共享充电宝就一定是引狼入室，但以上黑客手段至少证明了这种可能性的存在。

　　这就让人不得不考虑，是不是会有人利用共享充电宝的“共享”特性，将充电宝先借走，进行“再加工”后，再放回给其它人使用。共享充电宝需要直接插入手机USB接口进行充电的特性，决定了共享充电宝企业需要不停地、被动地去应对外来。因此，对于共享充电宝企业而言，无论是从安全技术上还是从信任度上来讲，都注定了这是一场马拉松。

　　共享充电宝与其它共享经济的不同之处在于，使用它就意味着手机的数据信息安全可能会面临。在共享充电宝没有彻底解决我的安全疑惑之前，我个人对它持保留态度。而这也是为什么我在文章开头提及没有选择使用共享充电宝，而是自己另买一个新充电宝的原因。

　　现在我们的手机存储了太多个人重要信息，现阶段针对手机电量问题最好的解决办法，就是自己去买一个大品牌的充电宝时刻随身携带。

　　其实今天这篇文章最主要的目的，就是帮助企业管理者提升自身对于信息技术与IT科技的认知，认清技术的风险与价值，永远把信息安全放在第一位。

　　我认为，好的充电宝只会做“充电”这一件事，所有触动到手机系统权限的行为都是在耍。如在使用充电宝时发生如下情况的任何一种，请立即拔掉数据线、你打开Android系统的“调试模式”；2、需要你在iOS系统中进行信任授权。

　　传统杀毒软件是一种被动防护，而病毒往往会利用杀毒软件对其进行分析的时间差进行。但无论如何，靠谱的杀毒软件可以在你使用充电宝时最大限度地隔离已知，让你的手机保持一个相对健康的状态。

　　对企业用户来说，在使用未知充电宝之前，我强烈大家将手机中的保存到一个私有云中。目前市面上先进的私有云产品，使用起来不但轻便易用，更有完善的安全机制，可以让你手机中的得到全方位的。

　　新浪简介┊About Sina┊广告服务┊联系我们┊招聘信息┊网站律师┊SINA English┊通行证注册┊产品答疑

　　未来如果实体商业想要在跟电商的融合当中占据主动权，就一定要自...[详细]

　　几年前与雷军的亿元对赌后，这位性格鲜明的实体企业家，跨界成为...[详细]

　　美图的潮涨潮落同时也反映出了投资者的日益谨慎和趋于化，能...[详细]