共享充电宝的数据安全隐患何解，或被植入“木马”程序泄露隐私

不是所有的共享充电宝都能够放心使用。

短短一根数据线，甚至可以被用来窃取用户的隐私数据。这或许是许多消费者尚未注意到的数据安全隐患。

近日，公安部网安局发布了一则提示“共享充电宝陷阱”的视频，视频所提的数据泄露问题给不少消费者敲了警钟。据官方提醒，部分充电宝不仅可能存在质量隐患，还可能被不法分子植入“木马”程序，导致手机里的通讯录、文本信息甚至照片、视频等隐私数据泄露。

据上海市公安局网安总队介绍，包括火车站里叫卖的满电充电宝、扫码免费送的充电宝，甚至商场里的部分可租赁移动电源，均存在这样的安全隐患。便利的背后存在隐私“黑箱”。

警方也向公众提醒：“不要随意领取和购买来历不明的移动电源，如有需要，请选择正规产品；连接移动电源时，如弹出是否‘信任’提示，请保持警惕。”

对于植入“木马”程序导致隐私泄露背后的原理，多位行业专家向AI财经社表示，“是否允许连接至本台设备”，这一选项成为部分共享充电宝的安全隐患所在。如果消费者同意授权，“木马”有条件将手机数据自动传输到指定服务器，用户的信息安全难以保障。

数据隐私问题凸显

实际上，共享充电宝的隐私安全问题早已被关注。2017年时，就曾有“充电宝将木马植入支付宝”的相关报道。报道称，被动过手脚的充电宝与移动设备连接后，可以通过计算机控制该设备，“不用密码也可以转钱”。

12月7日，就公安部网安局所提到的“木马”，贵州大学副教授、公共大数据国家重点实验室（筹）办公室主任陈玉玲向AI财经社解释称，“木马”是一类特殊的病毒文件，同计算机网络中的远程控制软件有一定相似之处，通常通过“伪装”自身来吸引用户下载执行。

“木马”为何能入侵？其中，USB调试模式及与其相关的设备连接、数据传输，是部分充电宝窃取隐私信息的关键。

USB调试模式是安卓提供的一个功能。开启USB调试模式后，可在计算机和移动设备之间复制数据、在设备上安装应用程序等。

不法分子即从中寻找到可乘之机。“若开启USB调试，用户的设备容易遭遇恶意程序。”深度科技研究院院长张孝荣向AI财经社表示。

“拿到这些权限以后，手机在对方面前几乎等于‘裸奔’”，金融科技行业专家张鲲向AI财经社表示。对于这些“不怀好意”的充电宝，张鲲补充称，“如果开了USB调试，那对方可以在你手机上安装任意App了，包括木马。拔掉线也没用，手机已被控制。”

从实际使用来看，用户尤其需要警惕“是否允许连接至本台设备”的弹出窗口。陈玉玲向AI财经社表示，如果“木马”被允许进入手机后台，当消费者同意“连接至设备”时，“木马”有条件将手机数据传输至指定服务器。

除了安卓的USB调试模式外，Apple的iOS系统同样存在被“入侵”的风险。那么有何措施可帮助防范隐私信息泄露？张鲲表示，“iPhone首先不要越狱，其次不要点击信任。”

“不要点击信任”、“不要允许连接”、“有条件的话还是自备充电宝”，数据安全问题之下，用户对公共场所内租借/出售的充电宝的信任打了折扣。

依赖企业自律

在官方提及的三类充电宝租借/出售场景中，特别需要注意的是“商场里的部分可租赁移动电源”，即通常所说的共享充电宝。

自2017年至今，共享充电宝业态经历了融资风口、“百电大战”（近百个共享充电宝品牌争夺市场）、玩家减少、集体涨价，现成为共享经济中少有的仍存活的样本。

如今，在各大商场、餐饮等高频消费场景中，各品牌的共享充电宝租赁设施比比皆是，为消费者解决紧急充电的需求。

共享充电宝企业如何索取用户的数据权限？AI财经社试用的多个共享充电宝品牌均要求用户开放位置权限、摄像头权限，以寻找附近充电宝、扫码租借充电宝，部分品牌还会在进入界面内向用户申请“剪贴板”权限。

除了位置、相机权限外，由于各品牌的租借入口多为支付平台内的小程序端口，用户在支付平台内的部分个人信息，包括信用评估结果、手机号码、使用频次、浏览记录、交易习惯等，可能被收集。

此外，AI财经社注意到，部分品牌的隐私条款展示位置并不突出。

有了前文所述“‘木马’盗取信息”的例子，消费者对共享充电宝的安全性更加警惕。据AI财经社观察，对于共享充电宝运营方来说，背后的数据安全保障措施一定程度上依赖企业自律。

针对隐私数据安全问题，12月7日，怪兽充电的工作人员向AI财经社表示，“我们的数据线是没有数据传输能力的，只能用来充电。”该工作人员称，“用户的充电订单都是会享受隐私保护”，并强调其充电宝查询不到用户手机上的数据、无法读取用户的数据。

另一家共享充电宝企业小电充电则在回答“小电充电是否安全”时表示，设备只能传输电力，并不支持数据传输，因此无法获取任何手机信息。

而对于“窃取数据的充电宝”，一种业内观点是，尽管技术上有通过充电宝窃取数据的可能性，但制作这种充电宝需要不小的成本。

某共享充电宝品牌的董事长在社交平台上回答安全问题时就曾表示，“一个共享充电宝你不还也才99块钱。做一个窃取数据的充电宝成本远大于此。更何况是批量几十万个充电宝投放到市场上。”

不过，保护数据安全应为互联网企业的责任，这种观点似乎有因果倒置之嫌。

“社会应该加强对相关企业的管理”，中国人民大学助理教授王鹏向AI财经社表示，通过形成行业自律组织等方式加强监督。