譯者 | 陳峻
審校 | 重樓
如今,各種出色的Android設備已能讓我們無縫地利用生活中的碎片時間,開展各類工作、娛樂、創作、以及交流等活動。不過,目前隨著越來越多的安全威脅在我們沒注意到或看不見的角落里暗流涌動,時常會危及我們的數據、隱私、甚至是Android設備本身的安全。下面,我將和您深入討論Android設備用戶時常面臨的6大安全威脅,并逐一給出對策。
1.惡意軟件
根據Securelist的報告,僅在2023年第二季度,卡巴斯基就阻止了570多萬起惡意軟件、廣告軟件、以及風險軟件(Riskware)對于各類Android設備的直接攻擊。
其中,最普遍的現象之一是:那些潛在不需要的程序(Potentially Unwanted Programs,PUP)經常被偽裝成實用工具,成功地植入用戶設備。在檢測到的威脅中,有超過30%的被標記為風險工具(RiskTool)PUP。它們既可以通過廣告來“炸屏”設備,又能夠監聽和收集個人數據。
更令人擔憂的是:本季度,全球又有37萬個惡意應用包被發現。其中,近6萬個移動銀行木馬被發現旨在竊取財務信息,1300多個移動勒索軟件被發現在支付勒索之前會鎖定設備。隨著攻擊者越來越高明,此類數字仍在攀升。此外,卡巴斯基安全專家還發現了一些以前從未見過的新型勒索軟件和銀行木馬。例如,他們在google Play商店里發現了一個被偽裝成電影流媒體服務的、旨在偽造加密貨幣挖礦的應用。
當然,占總體威脅20%以上的廣告軟件也依然猖獗。雄踞此類軟件榜首的MobiDash和HiddenAd等隱蔽廣告軟件家族,仍在通過隱藏其運行進程的方式,讓用戶不堪其擾。
對此,作為Android用戶,為了保持安全,您應該在使用各種Play商店下載應用之前,仔細查看其權限請求,以保證使用可信的移動工具,并保持軟件的安全更新。
2.網絡釣魚
通過網絡釣魚實施欺詐是目前Android用戶面臨的另一個巨大安全風險。此類攻擊往往使用社會工程和虛假界面,以誘騙用戶提交敏感信息。根據 Straitimes的報告顯示,自2023年3月以來,僅新加坡一地,就有至少113名Android用戶,因網絡釣魚欺詐而蒙受了約445000美元損失。
此類攻擊最常見的策略是:將應用或鏈接重定向到偽造的銀行登錄頁面上,以竊取用戶的憑據和一次性密碼。據此,騙子可以訪問真實的銀行應用,進而構造未經授權的交易。此外,一些釣魚應用甚至會包含惡意軟件,從而在后臺鎖死密碼或其他數據。
攻擊者通常會在社交媒體或即時通訊類應用上,冒充合法企業,以部署與購買商品或服務的相關釣魚鏈接。隨著方式的迭代,我們已發現有更多的與流媒體、游戲、眾籌、以及其他流行數字服務相關的網絡釣魚方式的出現。
而魚叉式網絡釣魚(Spear phishing)使用的是有針對性的內容,這使得攻擊本身更難被發現。詐騙者往往利用新冠疫情等當前時事和熱點話題,來誘騙用戶點擊。此外,具有人工智能(AI)加持的ChatGPT等模型,也能夠輕松地生成令人信服的釣魚網站和相關內容。
對此,我們應當謹慎點擊嵌入式的社交媒體廣告,避免使用未知的應用,并密切關注系統針對權限變化的提示。
3.未修補的漏洞
谷歌近期發布了幾個Android安全更新,并再次證明了未修補的bug對于Android用戶危害的嚴重性。按照谷歌的說法,其中最嚴重的新漏洞之一便是CVE-2023-21273。它是存在于系統組件中的一個嚴重的遠程代碼執行漏洞。據此,黑客可以完全控制您的設備,從而在您不知情的狀態下,開展各種非法活動。
除了上述漏洞,其他嚴重的漏洞還有:媒體框架(Media Framework)中的CVE-2023-21282和內核中的CVE-2023-21264。攻擊者可以利用這些漏洞,在您的手機或平板電腦上執行惡意代碼。此外,近三十多個其他類型的高嚴重性漏洞,還可能導致黑客未經授權地訪問、以及破壞您的設備,或竊取您的個人信息。
遺憾的是,由于我們中只有少數人能夠保持每一、兩年的手機更換頻率,以及購置相應的關懷服務,因此許多Android設備并沒有及時被打上重要的安全補丁。也就是說,它們仍可能容易受到谷歌幾個月、甚至幾年前被發現的漏洞的影響。
可見,您至少要做到在收到提示時,及時更新Android系統及其安裝軟件。如果您的設備無法再被廠商支持,或不再能夠獲得其更新的話,那么可能是時候該更換為另一個較新的型號了。
4.公共Wi-Fi黑客
在生活中,人們就算有充足的移動數據套餐,也會對免費的公共Wi-Fi樂此不疲。由于黑客越來越多地瞄準了公共Wi-Fi,從毫無戒心的Android用戶那里竊取重要數據和憑證,因此在用Android設備接入咖啡店、機場或酒店的開放Wi-Fi網絡前,請您三思而后行。畢竟攻擊者可以輕松地通過設置存在隱患的Wi-Fi熱點,監視并抓取與之相連的設備流量,進而解讀出銀行賬戶和信用卡的密碼、以及登錄信息。
黑客最常用的一種攻擊戰術,莫過于中間人攻擊(man-in-the-middle attacks)。他們會插入到設備和Wi-Fi路由器之間,扮演通信中的某一方,直接竊聽甚至更改網絡傳輸的數據,或是通過誘騙用戶連接到冒名的網站,來傳播惡意軟件。
與此同時,Android設備通常會自動連接到以前使用過的Wi-Fi上。這就意味著您可能會在不知不覺中加入到某個過去安全,但如今已被黑客攻擊的公共網絡中。對此,您可以從如下方面做起:
- 只連接和使用可信的Wi-Fi、以及由其提供的VPN服務
- 在系統設置上,主動關閉自動加入(auto-join)功能
- 留意“不安全網絡”的警告
- 在訪問敏感應用或網站時,請提防可能出現的肩窺者(shoulder surfer)話說回來,您家里的自建私有Wi-Fi網絡也不一定足夠安全。因此,在您點擊打開自己的電子郵件信箱、輸入身份和帳戶相關數據時,應格外小心。
5.USB充電風險
在Android設備電量不足時,通過插入USB端口為其充電是再平常不過的事了。但是,黑客可以通過操縱公共USB充電器,來危害充電設備。這種攻擊行為俗稱:榨汁(Juice Jacking)。通常,攻擊者會在機場、商場、餐館等任何公共設施的快速供電設備與線纜上,安裝和加載惡意軟件。一旦有設備插入USB端口,惡意軟件就會利用充電電纜來訪問您的設備,并在幾秒鐘內完成傳播與感染。據此,惡意軟件可以將您的個人信息和數據回傳給攻擊者,而您只知道手機正在持續充電。
對此,我們強烈建議避免使用任何公共USB充電端口。如果迫不得已的話,請帶上您的線纜和交流適配器。同時,在充電時請保持手機處于鎖定狀態,以阻止文件傳輸,并按需檢查設備上是否有可疑的活動提示。此外,您也可以購買USB數據屏蔽狗(Data Blocker Dongle),只允許電流的通過,而阻止數據的傳輸。當然,在包里常備和使用自己的充電寶,永遠是避免“榨汁”風險的最安全的實踐方式。
6.物理設備盜竊
由于我們的移動設備里包含了從帳戶、密碼到照片、消息等大量個人數據,因此它們自然成為了小偷竊取和利用敏感信息的首要目標。據英國廣播公司(BBC)報道:2022年,倫敦警方通報了本市共計90000多部手機被盜的案件。其中,最常見的移動設備盜竊地點是諸如:餐廳、酒吧、機場和公交站點等公共場所。
狡猾的小偷時常會先肩窺到鎖屏密碼,然后直接從毫無戒心的用戶手中搶走手機。一旦他們擁有了設備,便可以解鎖屏幕,繞過Android安全防護,或是直接盜取數據,或是安裝惡意軟件來鎖死數據。
對此,您應該避免使用諸如生日或圖案等顯而易見的鎖屏密碼,每次使用完設備后請記得鎖屏或一鍵待機,并事先啟用Android系統中的“查找我的設備”功能。同時,通過安裝移動安全套件,您不但可以將手機上的重要數據備份保存到外部或云端,而且能夠在發生物理盜竊后,及時實施遠程鎖定、擦除和恢復。
不要對Android威脅放松警惕
盡管Android系統多年來一直致力于加強其內置的防御能力,但上述討論的風險足矣表明,除了單純地依賴設備系統的安全,我們更應該積極主動地提高警惕與防范意識。綜上所述,我們可以從如下方面進行實踐:
- 使用復雜、唯一的密碼、以及雙因素身份驗證的方式來保護帳戶。
- 審查應用權限,僅從受信任的來源安裝應用。
- 為Android操作系統和應用打補丁并保持最新。
- 不隨便連接公共Wi-Fi。
- 避免使用公共USB充電器。
- 啟用遠程跟蹤和擦除功能,以防設備的丟失或被盜。
譯者介紹
陳峻(Julian Chen),51CTO社區編輯,具有十多年的IT項目實施經驗,善于對內外部資源與風險實施管控,專注傳播網絡與信息安全知識與經驗。
原文標題:6 Security Threats Android Users Face in 2023,作者:OLUWADEMILADE AFOLABI
