共享充電寶的數據安全隱患何解，或被植入“木馬”程序泄露隱私

不是所有的共享充電寶都能夠放心使用。

短短一根數據線，甚至可以被用來竊取用戶的隱私數據。這或許是許多消費者尚未注意到的數據安全隱患。

近日，公安部網安局發布了一則提示“共享充電寶陷阱”的視頻，視頻所提的數據泄露問題給不少消費者敲了警鐘。據官方提醒，部分充電寶不僅可能存在質量隱患，還可能被不法分子植入“木馬”程序，導致手機里的通訊錄、文本信息甚至照片、視頻等隱私數據泄露。

據上海市公安局網安總隊介紹，包括火車站里叫賣的滿電充電寶、掃碼免費送的充電寶，甚至商場里的部分可租賃移動電源，均存在這樣的安全隱患。便利的背后存在隱私“黑箱”。

警方也向公眾提醒：“不要隨意領取和購買來歷不明的移動電源，如有需要，請選擇正規產品；連接移動電源時，如彈出是否‘信任’提示，請保持警惕。”

對于植入“木馬”程序導致隱私泄露背后的原理，多位行業專家向AI財經社表示，“是否允許連接至本臺設備”，這一選項成為部分共享充電寶的安全隱患所在。如果消費者同意授權，“木馬”有條件將手機數據自動傳輸到指定服務器，用戶的信息安全難以保障。

數據隱私問題凸顯

實際上，共享充電寶的隱私安全問題早已被關注。2017年時，就曾有“充電寶將木馬植入支付寶”的相關報道。報道稱，被動過手腳的充電寶與移動設備連接后，可以通過計算機控制該設備，“不用密碼也可以轉錢”。

12月7日，就公安部網安局所提到的“木馬”，貴州大學副教授、公共大數據國家重點實驗室（籌）辦公室主任陳玉玲向AI財經社解釋稱，“木馬”是一類特殊的病毒文件，同計算機網絡中的遠程控制軟件有一定相似之處，通常通過“偽裝”自身來吸引用戶下載執行。

“木馬”為何能入侵？其中，USB調試模式及與其相關的設備連接、數據傳輸，是部分充電寶竊取隱私信息的關鍵。

USB調試模式是安卓提供的一個功能。開啟USB調試模式后，可在計算機和移動設備之間復制數據、在設備上安裝應用程序等。

不法分子即從中尋找到可乘之機。“若開啟USB調試，用戶的設備容易遭遇惡意程序。”深度科技研究院院長張孝榮向AI財經社表示。

“拿到這些權限以后，手機在對方面前幾乎等于‘裸奔’”，金融科技行業專家張鯤向AI財經社表示。對于這些“不懷好意”的充電寶，張鯤補充稱，“如果開了USB調試，那對方可以在你手機上安裝任意App了，包括木馬。拔掉線也沒用，手機已被控制。”

從實際使用來看，用戶尤其需要警惕“是否允許連接至本臺設備”的彈出窗口。陳玉玲向AI財經社表示，如果“木馬”被允許進入手機后臺，當消費者同意“連接至設備”時，“木馬”有條件將手機數據傳輸至指定服務器。

除了安卓的USB調試模式外，Apple的iOS系統同樣存在被“入侵”的風險。那么有何措施可幫助防范隱私信息泄露？張鯤表示，“iPhone首先不要越獄，其次不要點擊信任。”

“不要點擊信任”、“不要允許連接”、“有條件的話還是自備充電寶”，數據安全問題之下，用戶對公共場所內租借/出售的充電寶的信任打了折扣。

依賴企業自律

在官方提及的三類充電寶租借/出售場景中，特別需要注意的是“商場里的部分可租賃移動電源”，即通常所說的共享充電寶。

自2017年至今，共享充電寶業態經歷了融資風口、“百電大戰”（近百個共享充電寶品牌爭奪市場）、玩家減少、集體漲價，現成為共享經濟中少有的仍存活的樣本。

如今，在各大商場、餐飲等高頻消費場景中，各品牌的共享充電寶租賃設施比比皆是，為消費者解決緊急充電的需求。

共享充電寶企業如何索取用戶的數據權限？AI財經社試用的多個共享充電寶品牌均要求用戶開放位置權限、攝像頭權限，以尋找附近充電寶、掃碼租借充電寶，部分品牌還會在進入界面內向用戶申請“剪貼板”權限。

除了位置、相機權限外，由于各品牌的租借入口多為支付平臺內的小程序端口，用戶在支付平臺內的部分個人信息，包括信用評估結果、手機號碼、使用頻次、瀏覽記錄、交易習慣等，可能被收集。

此外，AI財經社注意到，部分品牌的隱私條款展示位置并不突出。

有了前文所述“‘木馬’盜取信息”的例子，消費者對共享充電寶的安全性更加警惕。據AI財經社觀察，對于共享充電寶運營方來說，背后的數據安全保障措施一定程度上依賴企業自律。

針對隱私數據安全問題，12月7日，怪獸充電的工作人員向AI財經社表示，“我們的數據線是沒有數據傳輸能力的，只能用來充電。”該工作人員稱，“用戶的充電訂單都是會享受隱私保護”，并強調其充電寶查詢不到用戶手機上的數據、無法讀取用戶的數據。

另一家共享充電寶企業小電充電則在回答“小電充電是否安全”時表示，設備只能傳輸電力，并不支持數據傳輸，因此無法獲取任何手機信息。

而對于“竊取數據的充電寶”，一種業內觀點是，盡管技術上有通過充電寶竊取數據的可能性，但制作這種充電寶需要不小的成本。

某共享充電寶品牌的董事長在社交平臺上回答安全問題時就曾表示，“一個共享充電寶你不還也才99塊錢。做一個竊取數據的充電寶成本遠大于此。更何況是批量幾十萬個充電寶投放到市場上。”

不過，保護數據安全應為互聯網企業的責任，這種觀點似乎有因果倒置之嫌。

“社會應該加強對相關企業的管理”，中國人民大學助理教授王鵬向AI財經社表示，通過形成行業自律組織等方式加強監督。