如今，各種出色的Android設(shè)備已能讓我們無(wú)縫地利用生活中的碎片時(shí)間，開展各類工作、娛樂、創(chuàng)作、以及交流等活動(dòng)。不過(guò)，目前隨著越來(lái)越多的安全威脅在我們沒注意到或看不見的角落里暗流涌動(dòng)，時(shí)常會(huì)危及我們的數(shù)據(jù)、隱私、甚至是Android設(shè)備本身的安全。下面，我將和您深入討論Android設(shè)備用戶時(shí)常面臨的6大安全威脅，并逐一給出對(duì)策。

?

1.惡意軟件

根據(jù)Securelist的報(bào)告，僅在2023年第二季度，卡巴斯基就阻止了570多萬(wàn)起惡意軟件、廣告軟件、以及風(fēng)險(xiǎn)軟件(Riskware)對(duì)于各類Android設(shè)備的直接攻擊。 其中，最普遍的現(xiàn)象之一是：那些潛在不需要的程序(Potentially Unwanted Programs，PUP)經(jīng)常被偽裝成實(shí)用工具，成功地植入用戶設(shè)備。在檢測(cè)到的威脅中，有超過(guò)30%的被標(biāo)記為風(fēng)險(xiǎn)工具(RiskTool)PUP。它們既可以通過(guò)廣告來(lái)“炸屏”設(shè)備，又能夠監(jiān)聽和收集個(gè)人數(shù)據(jù)。 更令人擔(dān)憂的是：本季度，全球又有37萬(wàn)個(gè)惡意應(yīng)用包被發(fā)現(xiàn)。其中，近6萬(wàn)個(gè)移動(dòng)銀行木馬被發(fā)現(xiàn)旨在竊取財(cái)務(wù)信息，1300多個(gè)移動(dòng)勒索軟件被發(fā)現(xiàn)在支付勒索之前會(huì)鎖定設(shè)備。隨著攻擊者越來(lái)越高明，此類數(shù)字仍在攀升。此外，卡巴斯基安全專家還發(fā)現(xiàn)了一些以前從未見過(guò)的新型勒索軟件和銀行木馬。例如，他們?cè)贕oogle Play商店里發(fā)現(xiàn)了一個(gè)被偽裝成電影流媒體服務(wù)的、旨在偽造加密貨幣挖礦的應(yīng)用。 當(dāng)然，占總體威脅20%以上的廣告軟件也依然猖獗。雄踞此類軟件榜首的MobiDash和HiddenAd等隱蔽廣告軟件家族，仍在通過(guò)隱藏其運(yùn)行進(jìn)程的方式，讓用戶不堪其擾。 對(duì)此，作為Android用戶，為了保持安全，您應(yīng)該在使用各種Play商店下載應(yīng)用之前，仔細(xì)查看其權(quán)限請(qǐng)求，以保證使用可信的移動(dòng)工具，并保持軟件的安全更新。 ?

2.網(wǎng)絡(luò)釣魚

通過(guò)網(wǎng)絡(luò)釣魚實(shí)施欺詐是目前Android用戶面臨的另一個(gè)巨大安全風(fēng)險(xiǎn)。此類攻擊往往使用社會(huì)工程和虛假界面，以誘騙用戶提交敏感信息。根據(jù)?Straitimes的報(bào)告顯示，自2023年3月以來(lái)，僅新加坡一地，就有至少113名Android用戶，因網(wǎng)絡(luò)釣魚欺詐而蒙受了約445000美元損失。 此類攻擊最常見的策略是：將應(yīng)用或鏈接重定向到偽造的銀行登錄頁(yè)面上，以竊取用戶的憑據(jù)和一次性密碼。據(jù)此，騙子可以訪問(wèn)真實(shí)的銀行應(yīng)用，進(jìn)而構(gòu)造未經(jīng)授權(quán)的交易。此外，一些釣魚應(yīng)用甚至?xí)瑦阂廛浖?，從而在后臺(tái)鎖死密碼或其他數(shù)據(jù)。 攻擊者通常會(huì)在社交媒體或即時(shí)通訊類應(yīng)用上，冒充合法企業(yè)，以部署與購(gòu)買商品或服務(wù)的相關(guān)釣魚鏈接。隨著方式的迭代，我們已發(fā)現(xiàn)有更多的與流媒體、游戲、眾籌、以及其他流行數(shù)字服務(wù)相關(guān)的網(wǎng)絡(luò)釣魚方式的出現(xiàn)。 而魚叉式網(wǎng)絡(luò)釣魚(Spear phishing)使用的是有針對(duì)性的內(nèi)容，這使得攻擊本身更難被發(fā)現(xiàn)。詐騙者往往利用新冠疫情等當(dāng)前時(shí)事和熱點(diǎn)話題，來(lái)誘騙用戶點(diǎn)擊。此外，具有人工智能(AI)加持的ChatGPT等模型，也能夠輕松地生成令人信服的釣魚網(wǎng)站和相關(guān)內(nèi)容。 對(duì)此，我們應(yīng)當(dāng)謹(jǐn)慎點(diǎn)擊嵌入式的社交媒體廣告，避免使用未知的應(yīng)用，并密切關(guān)注系統(tǒng)針對(duì)權(quán)限變化的提示。

3.未修補(bǔ)的漏洞

谷歌近期發(fā)布了幾個(gè)Android安全更新，并再次證明了未修補(bǔ)的bug對(duì)于Android用戶危害的嚴(yán)重性。按照谷歌的說(shuō)法，其中最嚴(yán)重的新漏洞之一便是CVE-2023-21273。它是存在于系統(tǒng)組件中的一個(gè)嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞。據(jù)此，黑客可以完全控制您的設(shè)備，從而在您不知情的狀態(tài)下，開展各種非法活動(dòng)。 除了上述漏洞，其他嚴(yán)重的漏洞還有：媒體框架(Media Framework)中的CVE-2023-21282和內(nèi)核中的CVE-2023-21264。攻擊者可以利用這些漏洞，在您的手機(jī)或平板電腦上執(zhí)行惡意代碼。此外，近三十多個(gè)其他類型的高嚴(yán)重性漏洞，還可能導(dǎo)致黑客未經(jīng)授權(quán)地訪問(wèn)、以及破壞您的設(shè)備，或竊取您的個(gè)人信息。 遺憾的是，由于我們中只有少數(shù)人能夠保持每一、兩年的手機(jī)更換頻率，以及購(gòu)置相應(yīng)的關(guān)懷服務(wù)，因此許多Android設(shè)備并沒有及時(shí)被打上重要的安全補(bǔ)丁。也就是說(shuō)，它們?nèi)钥赡苋菀资艿焦雀鑾讉€(gè)月、甚至幾年前被發(fā)現(xiàn)的漏洞的影響。 可見，您至少要做到在收到提示時(shí)，及時(shí)更新Android系統(tǒng)及其安裝軟件。如果您的設(shè)備無(wú)法再被廠商支持，或不再能夠獲得其更新的話，那么可能是時(shí)候該更換為另一個(gè)較新的型號(hào)了。

4.公共Wi-Fi黑客

在生活中，人們就算有充足的移動(dòng)數(shù)據(jù)套餐，也會(huì)對(duì)免費(fèi)的公共Wi-Fi樂此不疲。由于黑客越來(lái)越多地瞄準(zhǔn)了公共Wi-Fi，從毫無(wú)戒心的Android用戶那里竊取重要數(shù)據(jù)和憑證，因此在用Android設(shè)備接入咖啡店、機(jī)場(chǎng)或酒店的開放Wi-Fi網(wǎng)絡(luò)前，請(qǐng)您三思而后行。畢竟攻擊者可以輕松地通過(guò)設(shè)置存在隱患的Wi-Fi熱點(diǎn)，監(jiān)視并抓取與之相連的設(shè)備流量，進(jìn)而解讀出銀行賬戶和信用卡的密碼、以及登錄信息。 黑客最常用的一種攻擊戰(zhàn)術(shù)，莫過(guò)于中間人攻擊(man-in-the-middle attacks)。他們會(huì)插入到設(shè)備和Wi-Fi路由器之間，扮演通信中的某一方，直接竊聽甚至更改網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)，或是通過(guò)誘騙用戶連接到冒名的網(wǎng)站，來(lái)傳播惡意軟件。 與此同時(shí)，Android設(shè)備通常會(huì)自動(dòng)連接到以前使用過(guò)的Wi-Fi上。這就意味著您可能會(huì)在不知不覺中加入到某個(gè)過(guò)去安全，但如今已被黑客攻擊的公共網(wǎng)絡(luò)中。對(duì)此，您可以從如下方面做起：

只連接和使用可信的Wi-Fi、以及由其提供的VPN服務(wù)

在系統(tǒng)設(shè)置上，主動(dòng)關(guān)閉自動(dòng)加入（auto-join）功能

留意“不安全網(wǎng)絡(luò)”的警告

在訪問(wèn)敏感應(yīng)用或網(wǎng)站時(shí)，請(qǐng)?zhí)岱揽赡艹霈F(xiàn)的肩窺者（shoulder surfer）話說(shuō)回來(lái)，您家里的自建私有Wi-Fi網(wǎng)絡(luò)也不一定足夠安全。因此，在您點(diǎn)擊打開自己的電子郵件信箱、輸入身份和帳戶相關(guān)數(shù)據(jù)時(shí)，應(yīng)格外小心。

?

5.USB充電風(fēng)險(xiǎn)

在Android設(shè)備電量不足時(shí)，通過(guò)插入U(xiǎn)SB端口為其充電是再平常不過(guò)的事了。但是，黑客可以通過(guò)操縱公共USB充電器，來(lái)危害充電設(shè)備。這種攻擊行為俗稱：榨汁(Juice Jacking)。通常，攻擊者會(huì)在機(jī)場(chǎng)、商場(chǎng)、餐館等任何公共設(shè)施的快速供電設(shè)備與線纜上，安裝和加載惡意軟件。一旦有設(shè)備插入U(xiǎn)SB端口，惡意軟件就會(huì)利用充電電纜來(lái)訪問(wèn)您的設(shè)備，并在幾秒鐘內(nèi)完成傳播與感染。據(jù)此，惡意軟件可以將您的個(gè)人信息和數(shù)據(jù)回傳給攻擊者，而您只知道手機(jī)正在持續(xù)充電。 對(duì)此，我們強(qiáng)烈建議避免使用任何公共USB充電端口。如果迫不得已的話，請(qǐng)帶上您的線纜和交流適配器。同時(shí)，在充電時(shí)請(qǐng)保持手機(jī)處于鎖定狀態(tài)，以阻止文件傳輸，并按需檢查設(shè)備上是否有可疑的活動(dòng)提示。此外，您也可以購(gòu)買USB數(shù)據(jù)屏蔽狗(Data Blocker Dongle)，只允許電流的通過(guò)，而阻止數(shù)據(jù)的傳輸。當(dāng)然，在包里常備和使用自己的充電寶，永遠(yuǎn)是避免“榨汁”風(fēng)險(xiǎn)的最安全的實(shí)踐方式。 ?

6.物理設(shè)備盜竊

由于我們的移動(dòng)設(shè)備里包含了從帳戶、密碼到照片、消息等大量個(gè)人數(shù)據(jù)，因此它們自然成為了小偷竊取和利用敏感信息的首要目標(biāo)。據(jù)英國(guó)廣播公司(BBC)報(bào)道：2022年，倫敦警方通報(bào)了本市共計(jì)90000多部手機(jī)被盜的案件。其中，最常見的移動(dòng)設(shè)備盜竊地點(diǎn)是諸如：餐廳、酒吧、機(jī)場(chǎng)和公交站點(diǎn)等公共場(chǎng)所。 狡猾的小偷時(shí)常會(huì)先肩窺到鎖屏密碼，然后直接從毫無(wú)戒心的用戶手中搶走手機(jī)。一旦他們擁有了設(shè)備，便可以解鎖屏幕，繞過(guò)Android安全防護(hù)，或是直接盜取數(shù)據(jù)，或是安裝惡意軟件來(lái)鎖死數(shù)據(jù)。 對(duì)此，您應(yīng)該避免使用諸如生日或圖案等顯而易見的鎖屏密碼，每次使用完設(shè)備后請(qǐng)記得鎖屏或一鍵待機(jī)，并事先啟用Android系統(tǒng)中的“查找我的設(shè)備”功能。同時(shí)，通過(guò)安裝移動(dòng)安全套件，您不但可以將手機(jī)上的重要數(shù)據(jù)備份保存到外部或云端，而且能夠在發(fā)生物理盜竊后，及時(shí)實(shí)施遠(yuǎn)程鎖定、擦除和恢復(fù)。 ?

不要對(duì)Android威脅放松警惕

盡管Android系統(tǒng)多年來(lái)一直致力于加強(qiáng)其內(nèi)置的防御能力，但上述討論的風(fēng)險(xiǎn)足矣表明，除了單純地依賴設(shè)備系統(tǒng)的安全，我們更應(yīng)該積極主動(dòng)地提高警惕與防范意識(shí)。綜上所述，我們可以從如下方面進(jìn)行實(shí)踐：

使用復(fù)雜、唯一的密碼、以及雙因素身份驗(yàn)證的方式來(lái)保護(hù)帳戶。

審查應(yīng)用權(quán)限，僅從受信任的來(lái)源安裝應(yīng)用。

為Android操作系統(tǒng)和應(yīng)用打補(bǔ)丁并保持最新。

不隨便連接公共Wi-Fi。

避免使用公共USB充電器。

啟用遠(yuǎn)程跟蹤和擦除功能，以防設(shè)備的丟失或被盜。 ?

編輯：黃飛

?