译者 | 陈峻
审校 | 重楼
如今,各种出色的Android设备已能让我们无缝地利用生活中的碎片时间,开展各类工作、娱乐、创作、以及交流等活动。不过,目前随着越来越多的安全威胁在我们没注意到或看不见的角落里暗流涌动,时常会危及我们的数据、隐私、甚至是Android设备本身的安全。下面,我将和您深入讨论Android设备用户时常面临的6大安全威胁,并逐一给出对策。
1.恶意软件
根据Securelist的报告,仅在2023年第二季度,卡巴斯基就阻止了570多万起恶意软件、广告软件、以及风险软件(Riskware)对于各类Android设备的直接攻击。
其中,最普遍的现象之一是:那些潜在不需要的程序(Potentially Unwanted Programs,PUP)经常被伪装成实用工具,成功地植入用户设备。在检测到的威胁中,有超过30%的被标记为风险工具(RiskTool)PUP。它们既可以通过广告来“炸屏”设备,又能够监听和收集个人数据。
更令人担忧的是:本季度,全球又有37万个恶意应用包被发现。其中,近6万个移动银行木马被发现旨在窃取财务信息,1300多个移动勒索软件被发现在支付勒索之前会锁定设备。随着攻击者越来越高明,此类数字仍在攀升。此外,卡巴斯基安全专家还发现了一些以前从未见过的新型勒索软件和银行木马。例如,他们在Google Play商店里发现了一个被伪装成电影流媒体服务的、旨在伪造加密货币挖矿的应用。
当然,占总体威胁20%以上的广告软件也依然猖獗。雄踞此类软件榜首的MobiDash和HiddenAd等隐蔽广告软件家族,仍在通过隐藏其运行进程的方式,让用户不堪其扰。
对此,作为Android用户,为了保持安全,您应该在使用各种Play商店下载应用之前,仔细查看其权限请求,以保证使用可信的移动工具,并保持软件的安全更新。
2.网络钓鱼
通过网络钓鱼实施欺诈是目前Android用户面临的另一个巨大安全风险。此类攻击往往使用社会工程和虚假界面,以诱骗用户提交敏感信息。根据 Straitimes的报告显示,自2023年3月以来,仅新加坡一地,就有至少113名Android用户,因网络钓鱼欺诈而蒙受了约445000美元损失。
此类攻击最常见的策略是:将应用或链接重定向到伪造的银行登录页面上,以窃取用户的凭据和一次性密码。据此,骗子可以访问真实的银行应用,进而构造未经授权的交易。此外,一些钓鱼应用甚至会包含恶意软件,从而在后台锁死密码或其他数据。
攻击者通常会在社交媒体或即时通讯类应用上,冒充合法企业,以部署与购买商品或服务的相关钓鱼链接。随着方式的迭代,我们已发现有更多的与流媒体、游戏、众筹、以及其他流行数字服务相关的网络钓鱼方式的出现。
而鱼叉式网络钓鱼(Spear phishing)使用的是有针对性的内容,这使得攻击本身更难被发现。诈骗者往往利用新冠疫情等当前时事和热点话题,来诱骗用户点击。此外,具有人工智能(AI)加持的ChatGPT等模型,也能够轻松地生成令人信服的钓鱼网站和相关内容。
对此,我们应当谨慎点击嵌入式的社交媒体广告,避免使用未知的应用,并密切关注系统针对权限变化的提示。
3.未修补的漏洞
谷歌近期发布了几个Android安全更新,并再次证明了未修补的bug对于Android用户危害的严重性。按照谷歌的说法,其中最严重的新漏洞之一便是CVE-2023-21273。它是存在于系统组件中的一个严重的远程代码执行漏洞。据此,黑客可以完全控制您的设备,从而在您不知情的状态下,开展各种非法活动。
除了上述漏洞,其他严重的漏洞还有:媒体框架(Media Framework)中的CVE-2023-21282和内核中的CVE-2023-21264。攻击者可以利用这些漏洞,在您的手机或平板电脑上执行恶意代码。此外,近三十多个其他类型的高严重性漏洞,还可能导致黑客未经授权地访问、以及破坏您的设备,或窃取您的个人信息。
遗憾的是,由于我们中只有少数人能够保持每一、两年的手机更换频率,以及购置相应的关怀服务,因此许多Android设备并没有及时被打上重要的安全补丁。也就是说,它们仍可能容易受到谷歌几个月、甚至几年前被发现的漏洞的影响。
可见,您至少要做到在收到提示时,及时更新Android系统及其安装软件。如果您的设备无法再被厂商支持,或不再能够获得其更新的话,那么可能是时候该更换为另一个较新的型号了。
4.公共Wi-Fi黑客
在生活中,人们就算有充足的移动数据套餐,也会对免费的公共Wi-Fi乐此不疲。由于黑客越来越多地瞄准了公共Wi-Fi,从毫无戒心的Android用户那里窃取重要数据和凭证,因此在用Android设备接入咖啡店、机场或酒店的开放Wi-Fi网络前,请您三思而后行。毕竟攻击者可以轻松地通过设置存在隐患的Wi-Fi热点,监视并抓取与之相连的设备流量,进而解读出银行账户和信用卡的密码、以及登录信息。
黑客最常用的一种攻击战术,莫过于中间人攻击(man-in-the-middle attacks)。他们会插入到设备和Wi-Fi路由器之间,扮演通信中的某一方,直接窃听甚至更改网络传输的数据,或是通过诱骗用户连接到冒名的网站,来传播恶意软件。
与此同时,Android设备通常会自动连接到以前使用过的Wi-Fi上。这就意味着您可能会在不知不觉中加入到某个过去安全,但如今已被黑客攻击的公共网络中。对此,您可以从如下方面做起:
- 只连接和使用可信的Wi-Fi、以及由其提供的VPN服务
- 在系统设置上,主动关闭自动加入(auto-join)功能
- 留意“不安全网络”的警告
- 在访问敏感应用或网站时,请提防可能出现的肩窥者(shoulder surfer)话说回来,您家里的自建私有Wi-Fi网络也不一定足够安全。因此,在您点击打开自己的电子邮件信箱、输入身份和帐户相关数据时,应格外小心。
5.USB充电风险
在Android设备电量不足时,通过插入USB端口为其充电是再平常不过的事了。但是,黑客可以通过操纵公共USB充电器,来危害充电设备。这种攻击行为俗称:榨汁(Juice Jacking)。通常,攻击者会在机场、商场、餐馆等任何公共设施的快速供电设备与线缆上,安装和加载恶意软件。一旦有设备插入USB端口,恶意软件就会利用充电电缆来访问您的设备,并在几秒钟内完成传播与感染。据此,恶意软件可以将您的个人信息和数据回传给攻击者,而您只知道手机正在持续充电。
对此,我们强烈建议避免使用任何公共USB充电端口。如果迫不得已的话,请带上您的线缆和交流适配器。同时,在充电时请保持手机处于锁定状态,以阻止文件传输,并按需检查设备上是否有可疑的活动提示。此外,您也可以购买USB数据屏蔽狗(Data Blocker Dongle),只允许电流的通过,而阻止数据的传输。当然,在包里常备和使用自己的充电宝,永远是避免“榨汁”风险的最安全的实践方式。
6.物理设备盗窃
由于我们的移动设备里包含了从帐户、密码到照片、消息等大量个人数据,因此它们自然成为了小偷窃取和利用敏感信息的首要目标。据英国广播公司(BBC)报道:2022年,伦敦警方通报了本市共计90000多部手机被盗的案件。其中,最常见的移动设备盗窃地点是诸如:餐厅、酒吧、机场和公交站点等公共场所。
狡猾的小偷时常会先肩窥到锁屏密码,然后直接从毫无戒心的用户手中抢走手机。一旦他们拥有了设备,便可以解锁屏幕,绕过Android安全防护,或是直接盗取数据,或是安装恶意软件来锁死数据。
对此,您应该避免使用诸如生日或图案等显而易见的锁屏密码,每次使用完设备后请记得锁屏或一键待机,并事先启用Android系统中的“查找我的设备”功能。同时,通过安装移动安全套件,您不但可以将手机上的重要数据备份保存到外部或云端,而且能够在发生物理盗窃后,及时实施远程锁定、擦除和恢复。
不要对Android威胁放松警惕
尽管Android系统多年来一直致力于加强其内置的防御能力,但上述讨论的风险足矣表明,除了单纯地依赖设备系统的安全,我们更应该积极主动地提高警惕与防范意识。综上所述,我们可以从如下方面进行实践:
- 使用复杂、唯一的密码、以及双因素身份验证的方式来保护帐户。
- 审查应用权限,仅从受信任的来源安装应用。
- 为Android操作系统和应用打补丁并保持最新。
- 不随便连接公共Wi-Fi。
- 避免使用公共USB充电器。
- 启用远程跟踪和擦除功能,以防设备的丢失或被盗。
译者介绍
陈峻(Julian Chen),51CTO社区编辑,具有十多年的IT项目实施经验,善于对内外部资源与风险实施管控,专注传播网络与信息安全知识与经验。
原文标题:6 Security Threats Android Users Face in 2023,作者:OLUWADEMILADE AFOLABI