在当今的信息互联网时代，个人隐私信息已不再属于个人。互联网在为我们提供便利的同时，也给我们的生活和工作带来了一定的风险。

事实证明，越来越多的不法分子利用计算机技术和各类漏洞窃取个人、机构团体甚至政府部门的重要信息，无良商家也会通过倒卖用户信息来牟取暴利。更令人恐慌的是，不仅仅是我们在虚拟网络上的个人信息被泄露，我们的实际生活也遭到了“恶意”入侵。

警惕身边的共享充电宝陷阱

近日，公安部网安局发布了一则重要提醒：警惕身边的共享充电宝陷阱。警方表示，我们常使用的共享充电宝可能被植入木马程序，一旦插入手机，可能就会盗取个人信息。

360网络安全专家郝经利向新浪科技表示，犯罪分子有两种方式对共享充电宝植入木马。一种是通过现有的工厂和设备进行统一改造，给共享充电宝安装带有攻击性的程序，但这种方式成本较高，不容易操作；第二种是批量制造一些带有攻击性硬件的充电宝，在外形上与商场等场所中的共享充电宝一模一样，投放到市场上被用户使用之后，木马病毒就能实现在用户端的传播。很多犯罪分子还会在火车站、商场等地叫卖甚至免费赠送这类充电宝，达到投放木马病毒牟利的目的。一旦用户使用了被植入木马的共享充电宝，对方就能获取用户手机中的照片、视频、通讯录、短信等隐私内容，安装一些App赚取推广费用，推送广告，甚至是进行高级别的网络入侵，损失钱财。

“假如连接到共享充电宝时，手机上提示是否信任、是否访问网络数据，就要提高警惕。”他说，安卓用户的设置中有一个开发者模式的功能，这个功能默认关闭，普通用户尽量不要打开该模式，否则被入侵的可能性更高。他还强调，苹果手机用户也不能掉以轻心，很多木马病毒即使安装了手机杀毒软件，也会有一定的几率不能检测出来。因此，无论是安卓用户还是苹果用户，要尽量避免在公共场合租赁充电宝；即使是在手机没电的紧急情况下，也要尽量避免使用来路不明或者小众品牌的共享充电宝产品。

暗藏风险的智能感应设备

在过去几年中越来越普及的智能感应设备，也很可能为私人对话与个人信息窃听提供了许多机会。“窃听”方式似乎变得更加难以防备，而且比我们想象得更加容易，可能一个扫地机器人或者一个垃圾桶，就可以使个人隐私暴露无遗。配备有激光雷达导航系统的扫地机器人，在工作时，会使用脉冲激光来测量与附近物体间的距离，它会向房间四周发出激光束，并感应反射光束，然后利用反射信号绘制出整个房间的地图，从而避免在房屋内发生不必要的碰撞。此前已有隐私专家建议，扫地机器人制作的地图（通常存储在云平台中）会构成潜在的隐私漏洞，使广告商可以借此判断房屋大小（这可能暗示收入水平）以及其他与生活方式相关的信息。而在这项研究中，论文作者之一、马里兰大学计算机科学系助理教授 Nirupam Roy 及其合作者则提出了另一种猜想：扫地机器人中的激光雷达系统，是否有可能成为不法分子在个人家中或企业中的窃听设备，并带来潜在的安全风险呢？

于是，他们创造了一种名为“LidarPhone”的监听系统，并通过攻击一款小米 Roborock 扫地机器人进行了测试。此次攻击的核心思想是：“黑”进扫地机器人后远程访问云平台，获取激光雷达数据并分析收集到的原始信号。我们知道，声波会导致物体振动，而这些振动又会导致从物体反射回来的激光束发生变化。因此，攻击者就有可能由吸尘器接收到的激光信号及其变化，分析出导致这种变化的声波信号，成功窃听私人对话，从而泄露信用卡信息或可能用于威胁勒索的信息。

车辆无钥匙进入技术的安全漏洞

一辆售价80-90万的特斯拉Model X，只用2000块就能开走。这不是特斯拉在搞什么购车金融方案，而是比利时鲁汶大学的研究人员攻破了高端车型Model X的安全漏洞，他们只用2000元左右，拿树莓派电脑DIY了一个「车钥匙」，90秒打开车门，不到几分钟，就能把车开走了。复制这把车钥匙的方法，就是先接近车主，在近距离（15米内）中，用自己在网上购买的车身控制模块（BCM）去唤醒车主智能钥匙的蓝牙。攻击者需要先从目标汽车的挡风玻璃上读取了一串数字：车辆识别号的最后五位数字。通过这串数字，攻击者便可以为他们的盗版BCM创建一个代码，用于证明其身份。相当于「再造」一个车机系统。然后拿着这一套克隆BCM，唤醒靠近的车钥匙，执行下一步的破解步骤。而这一步的关键，就是重写车主钥匙上的固件程序。Model X的密钥卡，通过蓝牙与Model X内部的计算机连接，然后无线接收固件更新。但是这其中存在一个重大漏洞：Model X密钥的固件更新缺乏加密签名，以证明更新固件更新来源的安全性。通俗来说，就是证明更新来源是官方的、安全的，而Model X的车钥匙并不具备验证这一步。所以黑客记录下挡风玻璃的后五位数，就能把树莓派伪装成Model X，诱骗你的车钥匙更新固件。这个固件是黑客镜像设计的，它可以查询车钥匙里的安全芯片，为车辆生成解锁代码。于是，攻击者便非常顺利地通过蓝牙，连接上目标车辆的密钥卡，重写固件。当固件被更新为攻击者的版本后，便可以用它来查询密钥卡内的安全芯片（secure enclave chip）。取得解锁代码之后，通过蓝牙将代码发送回你的车，就这样「门户大开」了。

整个过程，只需要90秒就可以坐进车里，现在要做的就是让真正的车机系统认可这把假钥匙，从而启动车辆。首先是拆下车内的屏幕下方的储物盒，在操作台内部有一个接口（物理接口），直接连接到车辆控制系统的核心部分，即CAN总线，其中包括了车辆本身的BCM。把DIY电脑直接插在接口上，就可以直接向车辆本身的BCM发送指令。发送的指令，是让车辆本身的电脑跟黑客自己生成的钥匙匹配，这样就能轻松的启动车辆。

鲁汶大学的研究人员已于今年8月17号通知了特斯拉公司该安全问题，特斯拉在确认安全漏洞之后已经开始着手对安全漏洞进行修复。这些措施包括两个方面，一是车钥匙本身对于固件更新的来源验证。第二部分是车辆BCM对钥匙安全证书的漏检问题修复。这些更新会在一个月内陆续覆盖所有有风险的车型。

发现了此漏洞的研究人员说，特斯拉的无钥匙进入技术与其他车相比，并没本质区别。都是用低频无线电波（NFC）发送或接受解锁码来解锁车辆。

不仅仅是共享充电宝，智能扫地机器人，特斯拉等可无钥匙进入的车辆，我们的生活中处处都暗藏着难以防备的网络安全隐患。因此，对于网络安全这一行业而言，黑客们的攻击行动也能让各大企业积累经验，进而促使反攻击技术不断进化。