譯者 | 陳峻

審校 | 重樓

如今，各種出色的Android設(shè)備已能讓我們無縫地利用生活中的碎片時(shí)間，開展各類工作、娛樂、創(chuàng)作、以及交流等活動(dòng)。不過，目前隨著越來越多的安全威脅在我們沒注意到或看不見的角落里暗流涌動(dòng)，時(shí)常會(huì)危及我們的數(shù)據(jù)、隱私、甚至是Android設(shè)備本身的安全。下面，我將和您深入討論Android設(shè)備用戶時(shí)常面臨的6大安全威脅，并逐一給出對(duì)策。

1.惡意軟件

根據(jù)Securelist的報(bào)告，僅在2023年第二季度，卡巴斯基就阻止了570多萬起惡意軟件、廣告軟件、以及風(fēng)險(xiǎn)軟件（Riskware）對(duì)于各類Android設(shè)備的直接攻擊。

其中，最普遍的現(xiàn)象之一是：那些潛在不需要的程序（Potentially Unwanted Programs，PUP）經(jīng)常被偽裝成實(shí)用工具，成功地植入用戶設(shè)備。在檢測(cè)到的威脅中，有超過30%的被標(biāo)記為風(fēng)險(xiǎn)工具（RiskTool）PUP。它們既可以通過廣告來“炸屏”設(shè)備，又能夠監(jiān)聽和收集個(gè)人數(shù)據(jù)。

更令人擔(dān)憂的是：本季度，全球又有37萬個(gè)惡意應(yīng)用包被發(fā)現(xiàn)。其中，近6萬個(gè)移動(dòng)銀行木馬被發(fā)現(xiàn)旨在竊取財(cái)務(wù)信息，1300多個(gè)移動(dòng)勒索軟件被發(fā)現(xiàn)在支付勒索之前會(huì)鎖定設(shè)備。隨著攻擊者越來越高明，此類數(shù)字仍在攀升。此外，卡巴斯基安全專家還發(fā)現(xiàn)了一些以前從未見過的新型勒索軟件和銀行木馬。例如，他們?cè)贕oogle Play商店里發(fā)現(xiàn)了一個(gè)被偽裝成電影流媒體服務(wù)的、旨在偽造加密貨幣挖礦的應(yīng)用。

當(dāng)然，占總體威脅20%以上的廣告軟件也依然猖獗。雄踞此類軟件榜首的MobiDash和HiddenAd等隱蔽廣告軟件家族，仍在通過隱藏其運(yùn)行進(jìn)程的方式，讓用戶不堪其擾。

對(duì)此，作為Android用戶，為了保持安全，您應(yīng)該在使用各種Play商店下載應(yīng)用之前，仔細(xì)查看其權(quán)限請(qǐng)求，以保證使用可信的移動(dòng)工具，并保持軟件的安全更新。

2.網(wǎng)絡(luò)釣魚

通過網(wǎng)絡(luò)釣魚實(shí)施欺詐是目前Android用戶面臨的另一個(gè)巨大安全風(fēng)險(xiǎn)。此類攻擊往往使用社會(huì)工程和虛假界面，以誘騙用戶提交敏感信息。根據(jù) Straitimes的報(bào)告顯示，自2023年3月以來，僅新加坡一地，就有至少113名Android用戶，因網(wǎng)絡(luò)釣魚欺詐而蒙受了約445000美元損失。

此類攻擊最常見的策略是：將應(yīng)用或鏈接重定向到偽造的銀行登錄頁面上，以竊取用戶的憑據(jù)和一次性密碼。據(jù)此，騙子可以訪問真實(shí)的銀行應(yīng)用，進(jìn)而構(gòu)造未經(jīng)授權(quán)的交易。此外，一些釣魚應(yīng)用甚至?xí)瑦阂廛浖?，從而在后臺(tái)鎖死密碼或其他數(shù)據(jù)。

攻擊者通常會(huì)在社交媒體或即時(shí)通訊類應(yīng)用上，冒充合法企業(yè)，以部署與購(gòu)買商品或服務(wù)的相關(guān)釣魚鏈接。隨著方式的迭代，我們已發(fā)現(xiàn)有更多的與流媒體、游戲、眾籌、以及其他流行數(shù)字服務(wù)相關(guān)的網(wǎng)絡(luò)釣魚方式的出現(xiàn)。

而魚叉式網(wǎng)絡(luò)釣魚（Spear phishing）使用的是有針對(duì)性的內(nèi)容，這使得攻擊本身更難被發(fā)現(xiàn)。詐騙者往往利用新冠疫情等當(dāng)前時(shí)事和熱點(diǎn)話題，來誘騙用戶點(diǎn)擊。此外，具有人工智能（AI）加持的ChatGPT等模型，也能夠輕松地生成令人信服的釣魚網(wǎng)站和相關(guān)內(nèi)容。

對(duì)此，我們應(yīng)當(dāng)謹(jǐn)慎點(diǎn)擊嵌入式的社交媒體廣告，避免使用未知的應(yīng)用，并密切關(guān)注系統(tǒng)針對(duì)權(quán)限變化的提示。

3.未修補(bǔ)的漏洞

谷歌近期發(fā)布了幾個(gè)Android安全更新，并再次證明了未修補(bǔ)的bug對(duì)于Android用戶危害的嚴(yán)重性。按照谷歌的說法，其中最嚴(yán)重的新漏洞之一便是CVE-2023-21273。它是存在于系統(tǒng)組件中的一個(gè)嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞。據(jù)此，黑客可以完全控制您的設(shè)備，從而在您不知情的狀態(tài)下，開展各種非法活動(dòng)。

除了上述漏洞，其他嚴(yán)重的漏洞還有：媒體框架（Media Framework）中的CVE-2023-21282和內(nèi)核中的CVE-2023-21264。攻擊者可以利用這些漏洞，在您的手機(jī)或平板電腦上執(zhí)行惡意代碼。此外，近三十多個(gè)其他類型的高嚴(yán)重性漏洞，還可能導(dǎo)致黑客未經(jīng)授權(quán)地訪問、以及破壞您的設(shè)備，或竊取您的個(gè)人信息。

遺憾的是，由于我們中只有少數(shù)人能夠保持每一、兩年的手機(jī)更換頻率，以及購(gòu)置相應(yīng)的關(guān)懷服務(wù)，因此許多Android設(shè)備并沒有及時(shí)被打上重要的安全補(bǔ)丁。也就是說，它們?nèi)钥赡苋菀资艿焦雀鑾讉€(gè)月、甚至幾年前被發(fā)現(xiàn)的漏洞的影響。

可見，您至少要做到在收到提示時(shí)，及時(shí)更新Android系統(tǒng)及其安裝軟件。如果您的設(shè)備無法再被廠商支持，或不再能夠獲得其更新的話，那么可能是時(shí)候該更換為另一個(gè)較新的型號(hào)了。

4.公共Wi-Fi黑客

在生活中，人們就算有充足的移動(dòng)數(shù)據(jù)套餐，也會(huì)對(duì)免費(fèi)的公共Wi-Fi樂此不疲。由于黑客越來越多地瞄準(zhǔn)了公共Wi-Fi，從毫無戒心的Android用戶那里竊取重要數(shù)據(jù)和憑證，因此在用Android設(shè)備接入咖啡店、機(jī)場(chǎng)或酒店的開放Wi-Fi網(wǎng)絡(luò)前，請(qǐng)您三思而后行。畢竟攻擊者可以輕松地通過設(shè)置存在隱患的Wi-Fi熱點(diǎn)，監(jiān)視并抓取與之相連的設(shè)備流量，進(jìn)而解讀出銀行賬戶和信用卡的密碼、以及登錄信息。

黑客最常用的一種攻擊戰(zhàn)術(shù)，莫過于中間人攻擊（man-in-the-middle attacks）。他們會(huì)插入到設(shè)備和Wi-Fi路由器之間，扮演通信中的某一方，直接竊聽甚至更改網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)，或是通過誘騙用戶連接到冒名的網(wǎng)站，來傳播惡意軟件。

與此同時(shí)，Android設(shè)備通常會(huì)自動(dòng)連接到以前使用過的Wi-Fi上。這就意味著您可能會(huì)在不知不覺中加入到某個(gè)過去安全，但如今已被黑客攻擊的公共網(wǎng)絡(luò)中。對(duì)此，您可以從如下方面做起：

• 只連接和使用可信的Wi-Fi、以及由其提供的VPN服務(wù)
• 在系統(tǒng)設(shè)置上，主動(dòng)關(guān)閉自動(dòng)加入（auto-join）功能
• 留意“不安全網(wǎng)絡(luò)”的警告
• 在訪問敏感應(yīng)用或網(wǎng)站時(shí)，請(qǐng)?zhí)岱揽赡艹霈F(xiàn)的肩窺者（shoulder surfer）話說回來，您家里的自建私有Wi-Fi網(wǎng)絡(luò)也不一定足夠安全。因此，在您點(diǎn)擊打開自己的電子郵件信箱、輸入身份和帳戶相關(guān)數(shù)據(jù)時(shí)，應(yīng)格外小心。

5.USB充電風(fēng)險(xiǎn)

在Android設(shè)備電量不足時(shí)，通過插入U(xiǎn)SB端口為其充電是再平常不過的事了。但是，黑客可以通過操縱公共USB充電器，來危害充電設(shè)備。這種攻擊行為俗稱：榨汁（Juice Jacking）。通常，攻擊者會(huì)在機(jī)場(chǎng)、商場(chǎng)、餐館等任何公共設(shè)施的快速供電設(shè)備與線纜上，安裝和加載惡意軟件。一旦有設(shè)備插入U(xiǎn)SB端口，惡意軟件就會(huì)利用充電電纜來訪問您的設(shè)備，并在幾秒鐘內(nèi)完成傳播與感染。據(jù)此，惡意軟件可以將您的個(gè)人信息和數(shù)據(jù)回傳給攻擊者，而您只知道手機(jī)正在持續(xù)充電。

對(duì)此，我們強(qiáng)烈建議避免使用任何公共USB充電端口。如果迫不得已的話，請(qǐng)帶上您的線纜和交流適配器。同時(shí)，在充電時(shí)請(qǐng)保持手機(jī)處于鎖定狀態(tài)，以阻止文件傳輸，并按需檢查設(shè)備上是否有可疑的活動(dòng)提示。此外，您也可以購(gòu)買USB數(shù)據(jù)屏蔽狗（Data Blocker Dongle），只允許電流的通過，而阻止數(shù)據(jù)的傳輸。當(dāng)然，在包里常備和使用自己的充電寶，永遠(yuǎn)是避免“榨汁”風(fēng)險(xiǎn)的最安全的實(shí)踐方式。

6.物理設(shè)備盜竊

由于我們的移動(dòng)設(shè)備里包含了從帳戶、密碼到照片、消息等大量個(gè)人數(shù)據(jù)，因此它們自然成為了小偷竊取和利用敏感信息的首要目標(biāo)。據(jù)英國(guó)廣播公司（BBC）報(bào)道：2022年，倫敦警方通報(bào)了本市共計(jì)90000多部手機(jī)被盜的案件。其中，最常見的移動(dòng)設(shè)備盜竊地點(diǎn)是諸如：餐廳、酒吧、機(jī)場(chǎng)和公交站點(diǎn)等公共場(chǎng)所。

狡猾的小偷時(shí)常會(huì)先肩窺到鎖屏密碼，然后直接從毫無戒心的用戶手中搶走手機(jī)。一旦他們擁有了設(shè)備，便可以解鎖屏幕，繞過Android安全防護(hù)，或是直接盜取數(shù)據(jù)，或是安裝惡意軟件來鎖死數(shù)據(jù)。

對(duì)此，您應(yīng)該避免使用諸如生日或圖案等顯而易見的鎖屏密碼，每次使用完設(shè)備后請(qǐng)記得鎖屏或一鍵待機(jī)，并事先啟用Android系統(tǒng)中的“查找我的設(shè)備”功能。同時(shí)，通過安裝移動(dòng)安全套件，您不但可以將手機(jī)上的重要數(shù)據(jù)備份保存到外部或云端，而且能夠在發(fā)生物理盜竊后，及時(shí)實(shí)施遠(yuǎn)程鎖定、擦除和恢復(fù)。

不要對(duì)Android威脅放松警惕

盡管Android系統(tǒng)多年來一直致力于加強(qiáng)其內(nèi)置的防御能力，但上述討論的風(fēng)險(xiǎn)足矣表明，除了單純地依賴設(shè)備系統(tǒng)的安全，我們更應(yīng)該積極主動(dòng)地提高警惕與防范意識(shí)。綜上所述，我們可以從如下方面進(jìn)行實(shí)踐：

• 使用復(fù)雜、唯一的密碼、以及雙因素身份驗(yàn)證的方式來保護(hù)帳戶。
• 審查應(yīng)用權(quán)限，僅從受信任的來源安裝應(yīng)用。
• 為Android操作系統(tǒng)和應(yīng)用打補(bǔ)丁并保持最新。
• 不隨便連接公共Wi-Fi。
• 避免使用公共USB充電器。
• 啟用遠(yuǎn)程跟蹤和擦除功能，以防設(shè)備的丟失或被盜。

譯者介紹

陳峻（Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項(xiàng)目實(shí)施經(jīng)驗(yàn)，善于對(duì)內(nèi)外部資源與風(fēng)險(xiǎn)實(shí)施管控，專注傳播網(wǎng)絡(luò)與信息安全知識(shí)與經(jīng)驗(yàn)。

原文標(biāo)題：6 Security Threats Android Users Face in 2023，作者：OLUWADEMILADE AFOLABI