如今,功能强大的安卓设备已经成为我们生活不可或缺的一部分,它不仅能满足工作需求,还能提供娱乐、创作、交流等多种功能。
然而,即便到了2023年,安全威胁依然层出不穷,这些威胁可能会损害您的数据、隐私,甚至是安卓设备的安全性。那么,我们究竟需要警惕哪些主要的威胁呢?
1. 恶意软件
根据Securelist的报告显示,仅在2023年第二季度,卡巴斯基就拦截了超过570万次针对安卓设备的恶意软件、广告软件和危险软件攻击。
其中,最常见的问题之一是那些伪装成实用工具的潜在有害程序(PUP)。检测到的威胁中,超过30%被标记为RiskTool PUP,它们可能会用广告轰炸设备、收集个人数据或进行秘密监视。
更令人担忧的是,本季度发现了超过37万个恶意应用程序包。其中,近6万个是旨在窃取金融信息的手机银行木马。此外,还有超过1300个是移动勒索软件,它们会锁定设备直到用户支付赎金。随着攻击者技术的日益精进,这些数字可能会持续攀升。Securelist还报告称,卡巴斯基发现了前所未有的新型勒索软件和银行木马。甚至在Google Play商店中,也发现了一款伪装成电影流媒体服务的虚假加密货币挖矿应用程序。
广告软件仍然猖獗,占据威胁的20%以上。像MobiDash和HiddenAd等狡猾的广告软件系列会在后台运行隐藏进程,用不需要的广告淹没用户。它们在有害软件检测方面名列前茅。
为了确保安卓用户的安全,您应该坚持使用Play商店,关注权限请求,保持安全软件的更新,并使用值得信赖的移动安全工具。
2. 网络钓鱼
网络钓鱼诈骗是2023年安卓用户面临的另一大安全风险。这些攻击利用社交工程和虚假界面来诱骗用户泄露敏感信息。《海峡时报》报道,警方报告显示,自2023年3月以来,仅在新加坡,就有至少113名安卓用户因网络钓鱼计划而损失了约44.5万美元。
最常见的策略是将应用程序或链接重定向到虚假的银行登录页面,以窃取凭据和一次性密码。然后,诈骗者会访问真实的银行应用程序进行未经授权的交易。一些网络钓鱼应用程序甚至包含在后台获取密码或其他数据的恶意软件。
攻击者通常会在社交媒体或消息应用程序上冒充合法企业来部署网络钓鱼链接。他们会声称购买商品或服务需要该链接。目前,我们可能会看到更多与流媒体、游戏、众筹和其他流行数字服务相关的网络钓鱼。
鱼叉式网络钓鱼使用有针对性的内容,使得攻击更难以被发现。诈骗者利用时事和热门话题(例如COVID-19)来引诱用户点击。像ChatGPT这样的人工智能(AI)模型还可以轻松生成令人信服的网络钓鱼网站和内容,从而为他们带来优势。
因此,请谨慎对待嵌入的社交媒体广告,避免使用来路不明的应用程序和开发人员,并密切关注权限。
3. 未修补的漏洞
谷歌宣布,安卓的多个安全更新显示,未修补的漏洞仍然是2023年安卓用户面临的主要问题。根据谷歌的说法,最严重的新漏洞之一是CVE-2023-21273,这是一个系统组件中的严重远程代码执行错误,可导致黑客在您无需任何操作的情况下完全控制您的设备。
这并不是唯一的严重漏洞。还有其他一些漏洞,例如媒体框架中的CVE-2023-21282和内核中的CVE-2023-21264,攻击者可以利用这些漏洞在您的手机或平板电脑上执行恶意代码。最重要的是,还有超过三十个其他高严重性漏洞可能会导致黑客获得未经授权的访问、使您的设备崩溃或窃取您的个人信息。
遗憾的是,许多安卓设备没有及时获取这些重要的安全补丁(如果有的话)。除非您拥有最新的旗舰产品,否则您的设备很可能仍然容易受到谷歌几个月甚至几年前修复的一些漏洞的影响。事实上,只有少数人有能力每年或两年升级到新的高端手机。
因此,至少,请在可用时更新您的安卓设备软件。如果您的设备不再获得更新,则可能是时候升级到仍然会获得安全补丁的较新的二手型号了。
4. 公共Wi-Fi黑客攻击
当您的数据流量受到限制或耗尽时,免费的公共Wi-Fi似乎是天赐良机。但在咖啡店、机场或酒店使用开放网络之前,请务必三思。黑客正越来越多地将目标转向公共Wi-Fi,以窃取毫无戒心的安卓用户的数据和凭据。
对于不良行为者来说,设置粗糙的热点或监视附近设备的流量是一件轻而易举的事情。从密码和登录信息到银行账户和信用卡,许多敏感信息很容易在公共网络上被拦截。
中间人攻击等策略会将黑客插入您的设备和Wi-Fi路由器之间。这使得他们能够窃听甚至更改网络数据。其他方案通过诱骗用户连接到仿冒网络来传播恶意软件。
安卓设备通常会自动连接到以前使用过的Wi-Fi,这意味着您可能会在不知不觉中加入被黑客入侵的公共网络。最好的策略是尽可能避免使用公共Wi-Fi,但如果需要连接,请使用值得信赖的VPN。关闭自动加入功能,注意“不安全的网络”警告,并在访问敏感应用程序或网站时提防肩窥。
您在家中的专用网络应该是安全的,但在旅途中连接时需要格外小心。在点击、输入数据,甚至通过公共Wi-Fi打开电子邮件之前请三思。这种便利根本不值得冒数据、身份和帐户被黑客入侵的巨大风险。
5. USB充电风险
当电池电量不足时,找到一种为手机充电的方法是一项普遍的难题。但插入任何方便的USB端口为安卓设备充电时,请务必小心。黑客可以操纵公共USB充电器来危害受害者的手机。
这种策略被称为“果汁劫持”,它允许攻击者安装恶意软件、窃取数据,并使用加载恶意软件的充电线访问您的设备。机场、商场、餐馆——任何公共USB站都可能受到损害,并以快速充电的承诺来吸引您。
一旦插入,恶意电缆或充电器就可以在几秒钟内感染您的手机,通常您甚至无需解锁设备。然后,恶意软件可以将您的个人信息和数据传输给攻击者,同时您的手机在后台悄悄充电。
我们强烈建议完全避免使用公共USB充电端口。但如果您必须使用它们,请携带电缆和交流适配器,而不是使用提供的。充电时保持手机锁定,不允许文件传输,并在充电后检查您的设备是否有可疑活动。
您还可以购买仅允许电源通过、阻止数据传输的USB数据拦截器。最终,为您的电源模块和授权充电器保留充电是最安全的。包里多放几个电池组非常值得,可以避免巨大的果汁劫持风险。
6. 物理设备失窃
我们的移动设备包含大量个人数据,从密码和账户到照片、消息等。这使得它们成为窃贼窃取和利用敏感信息的主要目标。到2023年,安卓设备的物理盗窃将继续构成非常现实的安全风险。据BBC报道,伦敦警察局报告称,2022年伦敦有超过9万部手机被盗。移动设备最常被盗的地点是餐馆、酒吧、机场和公共交通等公共场所。
老练的窃贼会使用肩窥密码等策略,甚至从毫无戒心的用户手中抢走手机。一旦他们拥有了您的设备,他们就可以暴力破解锁定的屏幕,绕过安卓安全功能,并安装恶意软件来清除数据。
您可以通过将锁定屏幕设置为在手机立即休眠时激活来阻止许多小偷。避免使用明显的密码,例如生日或图案。此外,提前启用“查找我的设备”等安卓功能。
但实际上,如果您的手机被盗,您的敏感信息仍然可能会受到损害。保护数据的唯一可靠方法是使用移动安全套件,该套件允许远程锁定、擦除和恢复,以防发生物理盗窃。在外部源上保留备份提供了另一层保护。
最终,窃贼一旦实际拥有并解锁设备后,就获得了通往您数字世界的钥匙。在公共场合采取预防措施,像保护数据库一样保护您的手机。
不要放松警惕安卓威胁
尽管多年来安卓已经加强了其内置防御措施,但这些风险表明我们必须积极主动并保持警惕。不要让手机提供的便利和自由让您产生错误的安全感。
使用强大、独特的密码和双因素身份验证来保护您的帐户。研究应用程序并仅安装来自可信赖开发人员的应用程序。保持您的操作系统和安全软件已打补丁且处于最新状态。启用跟踪和远程擦除,以防您的设备丢失或被盗。在输入敏感信息或连接公共Wi-Fi和充电器时,务必小心谨慎。