網傳影片「有民眾使用機場公用充電線充電手機,銀行帳戶被盜領十萬,建議開啟手機開發者模式防駭」?
台灣目前沒有相關案例。光靠充電線無法直接盜領存款,而開啟開發者模式恐增資安風險
有網傳影片聲稱一名王小姐在機場使用公共充電線為手機充電後遭盜領10萬元,並建議開啟「開發者模式」防駭。經查,警方並未接獲此類報案,國內亦無相關案例。專家指出,依現行金融系統與資安設計,不可能因使用公共充電線而導致帳戶被盜領,且開啟開發者模式反而會增加風險。
一、警方表示,未接獲民眾因使用機場公共充電線而遭盜領的報案,台灣目前也無類似案例發生。
二、資安專家表示,透過公共充電線入侵手機雖有可能竊取資料,但要在未經使用者授權的情況下直接轉走存款,技術難度極高,且目前並無已知攻擊手法可行。現行金融 App 均設有雙重驗證機制,小額付款亦有金額上限,因此傳言所述情節不符實際。
三、專家提醒,一般使用者不應依照影片教學開啟手機「開發者模式」。該模式會解除部分系統防護,讓手機暴露於更高風險。Android手機自2015年起預設為「僅供充電」,無須手動設定;iPhone的開發者模式設計目的在於保護一般使用者,若開啟可能會增加資安風險。
四、使用公共USB充電設備存在被植入惡意軟體或竊取資料的風險,建議民眾應自備充電設備或使用電源插座。
傳言影片以真實存在的「公共充電線有資安疑慮」為包裝,捏造銀行帳戶遭盜領案例,並誤導民眾採取錯誤的手機設定方式防範。因此,為「易生誤解」訊息。
背景
影音平台YouTube有一段影片宣稱,今年5月有一名王小姐在機場使用公共充電線為手機充電半小時後,銀行帳戶就被盜領十萬元。傳言影片指出,駭客會在公共充電線中植入惡意裝置,手機一旦連接,就可能被轉走存款;並示範教安卓手機使用者開啟「開發者模式」設定相關內容,就可以避免駭客入侵。
查核
查核點一、傳言影提及的在機場公共區域使用免費充電線,就被盜領數萬元,是真實案例嗎?
警方並未接獲網傳案例報案
刑事局表示,今年5月並沒有接獲網傳宣稱的「用機場公共充電線充電後,銀行帳戶遭盜領」的報案紀錄。此外,過往國內也沒有類似案例發生。另向航警局查詢,目前均未受理或接獲民眾反應此類案件。
光靠充電線無法直接盜領存款
資安專家劉彥伯指出,金融與相關應用程式多設有身分驗證及OTP等雙重驗證機制,即便手機因使用公共充電線而遭入侵,攻擊者頂多竊取資料,要在使用者完全不知情的情況下背景操作銀行App並通過雙重驗證,技術難度非常高,目前也沒有已知攻擊手法能做到。
LINE資安長劉威成表示,依金管會規範,所有轉帳都必須通過一次性密碼或雙因子驗證,小額付款亦有強化資安及金額上限的規定。傳言影片宣稱攻擊者能透過充電線直接轉走10萬元,並不符合現行安全機制,可信度令人存疑。
查核點二、網傳影片建議打開手機「開發者模式」,是正確建議嗎?
一般用戶手機開發者模式非必要操作,恐增資安風險
資安專家劉彥伯指出,影片中教導啟用Android開發者權限的做法非常不建議。開發者模式會解鎖系統的進階功能與權限,若開啟後被惡意程式利用,可能導致擴權、繞過或停用系統安全提示,讓使用者暴露在更高風險下。劉彥伯強調,原廠並不鼓勵一般使用者啟用這些功能,因此不應依照影片指示操作。
國家資通安全研究院研究員戴毓辰表示,開發者模式原本是為開發與測試用途設計,會開放如USB偵錯、模擬位置等平時無法使用的進階功能。若長期保持開啟,或連接到不受信任的裝置(例如電腦),就可能被利用來讀取資料或下達指令,成為攻擊入口。因此,一般使用者不應啟用,若因特殊需求開啟,應在使用後立即關閉。
LINE 資安長劉威成指出,Android 自版本 6(2015年)起,USB連線預設為「僅供充電」,只有在使用者同意時才會進行資料傳輸,影片所示需開啟開發者模式修改設定的做法並非必要,反而增加風險。若連接充電裝置時出現「是否允許存取資料/信任此裝置」提示,應立即斷開連線;若必須開啟開發者模式調整設定,完成後務必立即關閉。
劉威成說,iOS與Android在資安上都有基本防護,充電線攻擊(Juice Jacking)主要仰賴使用者授權或除錯通道遭濫用,因此兩者風險差異不大。不過,由於 Android 系統開放性較高、廠牌眾多且安全更新速度不一,部分機種仍可能因漏洞修補不及而產生額外風險。
查核中心瀏覽Apple官方說明指出,iPhone手機的「開發者模式」設計目的是保護一般使用者,避免誤安裝可能有害的軟體,並減少開發者專用功能帶來的安全風險。換句話說,一旦開啟開發者模式,就會解除部分系統防護,讓手機暴露於較高的安全風險中。
查核點三、傳言影片內容為AI生成
查核記者使用多媒體鑑識平台與HitPaw網站檢測,結果顯示該傳言影片為AI生成的可能性極高。戴毓辰協助檢視後指出,影片除4:49秒處的手機截圖為真實畫面外,其餘多為AI生成內容;其中自稱「網路安全領域老兵王偉成」的主講者影像,也極可能為AI合成。
補充資料
公共USB充電恐藏資安風險,建議自備充電設備或使用電源插座
美國聯邦調查局(FBI)於2023年4月6日就曾發出警告,提醒民眾避免在機場、飯店或購物中心等公共場所使用免費USB充電站。不法分子可能利用公共USB連接埠將惡意軟體或監控程式植入裝置,建議使用者攜帶自己的充電器與USB傳輸線,改用電源插座充電。
同年,美國聯邦通訊委員會(FCC)也針對俗稱「Juice Jacking」的攻擊手法提出防範建議,若使用遭感染的公共USB埠,裝置可能被植入惡意軟體、鎖定系統或竊取個人資料與密碼。為降低風險,FCC建議民眾自備充電器與傳輸線、攜帶行動電源,或使用僅供充電的線材。此外,若裝置插入USB埠後出現「是否信任此裝置」或「分享資料」等提示,應選擇「僅充電」。台北市政府資訊局也曾發布類似提醒訊息。
美國運輸安全管理局(TSA)今年3月再次提醒旅客,在機場應避免直接使用公共USB充電埠,建議使用自備的插頭進行充電。
