上週末發生了一件事:我和家人外出吃飯時,發現自己手機只剩4%電量了。週末輕裝出門,我並沒有帶任何充電設備,眼看着工作聯絡、手機支付、導航等功能全部面臨癱瘓。就在這時,我看到餐廳收銀櫃臺上擺着的“共享充電寶”,掃描二維碼註冊交付押金後就能使用。按理說,我這屬於“共享充電寶”最典型的使用場景,但當時我卻選擇到附近數碼店買了一個全新的充電寶。
本期《何洋開講》,我想跟大家聊聊自己對“共享充電寶”的看法。
2017年正好是智能手機誕生的第10個年頭,手機定位已經發生了巨大改變:從媲美電腦的處理能力,到無所不能的APP生態,再到3G、4G、5G等高速移動網絡,我們見證了過去10年信息技術在手機上的飛躍式發展。與此形成鮮明對比的是,手機電池技術的發展卻似乎停滯不前,隨着我們使用手機的頻率越來越高,手機電量和續航已經成爲瓶頸。
電池技術屬於基礎物理學科的研究範疇,要取得突破性進展還需一段時日。因此,此時此刻若想解決手機電量不夠用的問題,只能依靠其它方法,而移動充電寶就是一個快捷廉價的解決方案。但是,移動充電寶並不是人們無時無刻都會帶在身上的東西。“共享”充電寶的創意由此產生。
“共享經濟”是從美國流入國內的,它基於陌生人之間物品使用權的暫時轉移,是一種新的經濟模式。傳統共享經濟模式有三個關鍵概念:供給方、平臺方、需求方。
中國市場最早大規模接入“共享經濟模式”,是從“共享專車”開始。早期的“滴滴”們借鑑了美國Uber的共享私家車模式,更將之擴大爲“將有出行需求的人羣”與“空駛的出租車與社會閒置車輛”兩部分資源用信息技術做智能匹配,提升社會運行效率。供給方是社會上的閒散汽車資源,平臺方是叫車平臺,需求方是有出行需求的用戶。
任何外來模式落地到中國都會做適應和調整,針對“共享汽車”運行中出現的問題,全國各地都相繼出臺了相關的行政管理辦法。真實現狀是,很多中國公司都對共享模式進行了“改良”,即不再主要依靠整合社會閒散資源來滿足需求方,平臺方同時也是供給方,平臺方統一投放物資——車和司機都是公司自有,“可控性”是這種模式最大的好處。
“共享充電寶”從誕生起就是後一種模式,由平臺方投放充電寶來滿足需求方。
“共享充電寶”的出現一直伴隨着爭議,但結果是,越有爭議,它就越火。2017年多家共享充電寶公司在成立40天內先後獲得共計12億人民幣的創業投資,足見資本對它的偏愛。
只要電池技術一天沒有革命性進步,共享充電寶依然會有它特定的需求和使用場景;但基於這些年做企業信息安全管理積累的經驗,我必須指出,共享充電寶最大的問題在於信息安全隱患。
往期的《何洋開講》中介紹過,最近肆虐全球的wannacry病毒實際上是從斯諾登揭露的“棱鏡計劃”中的一個網絡工具“永恆之藍”變種而來(燕麥云何洋開講 | 2分鐘看懂黑客勒索病毒事件 教你如何防範)。而在 “棱鏡計劃”中則存在着另一個可怕的竊聽設備,名爲Cottonmouth,它基於USB接口,將Cottonmouth插上USB接口後,就能夠偷偷往目標設備中安裝惡意程序。
很多人可能不知道,雖然目前大部分智能手機的充電口看起來與傳統USB接口不太一樣,但事實上卻只是另一種USB接口制式而已,它們在本質上是一致的。
說到這裏,有朋友可能會想到:是否能在充電寶中植入Cottonmouth(及其變種病毒),從而達到控制手機及裏面信息的目的?
非常不幸,答案是肯定的。
網上已經有黑客公開了在充電寶中植入木馬病毒的方法。黑客向我們展現了一種手段,將被植入木馬病毒的充電寶插入手機後,黑客的電腦控制端就可以獲得Android手機的實時截屏,這時候如果你使用類似支付寶的二維碼付款功能時,付款二維碼就會被黑客獲取,從而導致支付寶和銀行卡的賬戶現金被盜。
更讓人毛骨悚然的是,此類木馬病毒一經植入,即使拔掉充電寶,也依然可以運行。而且,類似行爲的違法成本很低,在充電寶中植入一枚監控芯片的成本只有區區不到300元而已。
就算是蘋果的iOS系統,也不能對植入木馬病毒的充電寶免疫。
我見過一些被植入木馬的充電寶,插上iPhone後即彈出一個窗口,這類窗口通常都會在提示語上進行迷惑或者僞裝,很多人在不明就裏的情況下點擊了“信任”後,iPhone中的所有數據就會被同步到黑客電腦上。
當然,並不是說使用共享充電寶就一定是引狼入室,但以上黑客手段至少證明了這種可能性的存在。
這就讓人不得不考慮,是不是會有人利用共享充電寶的“共享”特性,將充電寶先借走,進行“再加工”後,再放回給其它人使用。共享充電寶需要直接插入手機USB接口進行充電的特性,決定了共享充電寶企業需要不停地、被動地去應對外來威脅。因此,對於共享充電寶企業而言,無論是從安全技術上還是從信任度上來講,都註定了這是一場馬拉松。
共享充電寶與其它共享經濟的不同之處在於,使用它就意味着手機的數據信息安全可能會面臨威脅。在共享充電寶沒有徹底解決我的安全疑惑之前,我個人對它持保留態度。而這也是爲什麼我在文章開頭提及沒有選擇使用共享充電寶,而是自己另買一個新充電寶的原因。
現在我們的手機存儲了太多個人重要信息,現階段針對手機電量問題最好的解決辦法,就是自己去買一個大品牌的充電寶時刻隨身攜帶。
《何洋開講》最主要的目的,就是幫助企業管理者提升自身對於信息技術與IT科技的認知,認清技術的風險與價值,永遠把信息安全放在第一位。
最後,有三點使用充電寶時的安全小貼士分享給大家:
第一,堅決與需要手機系統授權的充電寶說NO!
我堅持認爲,好的充電寶只會做“充電”這一件事,所有觸動到手機系統權限的行爲都是在耍流氓。如在使用充電寶時發生如下情況的任何一種,請立即拔掉數據線:1、建議你打開Android系統的“調試模式”;2、需要你在iOS系統中進行信任授權。
第二,給手機安裝一個靠譜的殺毒軟件。
傳統殺毒軟件是一種被動防護,而病毒往往會利用殺毒軟件對其進行分析的時間差進行破壞。但無論如何,靠譜的殺毒軟件可以在你使用充電寶時最大限度地隔離已知威脅,讓你的手機保持一個相對健康的狀態。
第三,企業文件的存儲和傳輸應用,建議使用私有云來安全保護商業祕密。
對企業用戶來說,在使用未知充電寶之前,我強烈建議大家將手機中的機密文件保存到一個私有云中。目前市面上先進的私有云產品,使用起來不但輕便易用,更有完善的安全機制,可以讓你手機中的機密文件得到全方位的保護。