手机换屏维修存猫腻:被植入秘密芯片致信息泄漏 - 栋科技

据美国科技媒体网站最新报道显示，手机换屏维修所更换所使用的组件也存在盗取信息的风险，在最新的一次对安卓手机换屏调查中发现有存在非法键入信息和程序的情况出现。

一、何谓手机换屏维修可泄漏用户信息

简而言之就是用户在对自己的安卓智能手机进行坏屏维修更换的时候，可能存在维修人员将隐患屏幕安装到设备上去，这种屏幕能够利用操作系统的漏洞，绕过手机里的主安全保护系统，实现对手机安装恶意程序并将偷拍到的照片以邮件的形势传递给黑客的新型攻击手段。

由于这种隐患屏幕具备超强的隐蔽性，因此此类攻击手段很难被维修技术人员发觉，除非是那些有组件安装背景的专家对维修手机拆机并进行仔细的甄别才可能发现其中的端倪所在。

二、手机换屏维修可泄漏用户信息

关于对安卓手机换屏的调查出现在 2017 USENIX 黑客技术研讨会的一份文件中，其调查的目的旨在强调通常很容易被人们忽视的智能手机维修安全风险，不管是安卓还是iOS 系统的手机制造商都被处于在此次被调查的行列之中，而被更换设备组件也被列在了 “ 信任边界 ” 以内。

通常情况下，设备的制造商都会提供对设备的安全保护，但换屏期间却依旧存在恶意组件对驱动程序的入侵被认定为可信的情况，当用户的智能手机设备被送入到第三方维修点后，设备设定的安全模型就存在着被攻破的风险，毕竟这些三方维修点并没有什么可靠的方式来保证其维修程序没有被攻击者篡改！

三、来自外部硬件的攻击也需重视

按照常规的安防思路考量，黑客会不断的对目标设备搭载的操作系统进行漏洞查找并伺机发动攻击，而通过硬件设备发起的攻击少之又少，尽管也有出现过连接USB数据线被安装恶意推广软件的情况出现，但通过更换的屏幕组件这种新型的攻击和窃取用户数据的手段，笔者之前可谓是闻所未闻。

为此，来自以色列内盖夫本 · 古里安大学的研究人员表示：消费性电子产品潜在的外部恶意攻击风险值得重视，因此，设备系统的设计者有必要将更换组件设立在手机信任边界以内，并针对性地设计防御程序。

四、携带入侵芯片的屏幕组件会泄秘

为了验证在正常屏幕中嵌入入侵芯片可以达到监视或者修改终端通信，安全研究人员以实验证明了入侵芯片中的代码确实可以在未经用户授权的情况下发起多项攻击，比如说替换用户浏览器的网址为钓鱼网址、联网安装垃圾推广软件、甚至是解锁安全模式和记录键盘输入信息，并以拍照的形式发给攻击者。

尽管此项实验是以安卓系统进行的，但谁也无法保证 iOS不会存在此类问题，毕竟这种新型的攻击方式成本非常的低，而且不需要投入太多的时间精力，只需坐在店里静静的等待受害者上钩，而且由于这种攻击方式存在很大的隐蔽性，一般的维修人员都无法对其进行检测。

因此，完善相关的法律法规和行业规范是很有必要的，同时手机厂商售后部门也应该完备自己的团队，防止被不法分子利用！