移动设备需警惕 陷阱就在你我身边
2016-12-16
移动设备的崛起,让我们彻底摆脱了源自PC(台式机)的束缚,无论是购物、游戏、上网、视频、看书还是简单的文字处理都能在小小的手机屏幕上搞定。然而,就在我们享用移动设备便捷大餐的同时,也需要留意随之而来的安全陷阱。毕竟,我们的身家都已与手机绑定,一荣皆荣一损皆损。
隐藏在公共设施里的陷阱
出门在外,最尴尬的状况就是手机没电,身边也没有充电宝和充电器。此时,当一个可以免费使用的充电桩摆在你面前时,其诱惑力不言而喻。然而,在享受免费充电的同时,你是否怀疑过它们背后的安全隐患呢?
火车站里的免费福利
最近去过北京西站、天津站、石家庄站等火车站(也包括一些客运站和机场)的朋友可能都见过一项免费的“福利”:在很多醒目的地方都树立着可供很多人免费使用的充电桩(图1)。对于手机电力即将告罄且苦于没有任何补救措施的用户而言,充电桩就意味着救世主。
令人欣喜的是,这些充电桩同时提供了Micro USB和Lightning两种接口(图2),这意味着它可同时兼容Android和iOS两大阵营的智能手机/平板电脑。这种免费的充电服务应该是件好事啊,为何要拿在这里说?
原因就是,免费充电的背后,我们同样付出了一定的代价。
高速充电是有前提条件的
这种充电桩提供了2种充电模式:普通充电和快速充电。前者的充电效率极低,10分钟仅能为一款3000mAh的Android手机充进2%左右的电力。而选择快速充电后,同样的时间手机则可能补充10%左右的电力。
面对如此迥异的差距,相信绝大多数用户都会义无反顾地选择快速充电吧?但是,想让手机进入快充模式,就需要严格按照充电桩的说明提示进行操作。简单来说,就是Android手机必须开启USB调试模式,而iPhone则必须点击信任按钮(图3)。
问题来了,当Android手机使用充电桩进行快充时,你会发现手机里被自动安装进几款软件或游戏APP,哪怕你当时并没有打开数据流量,也没有接入Wi-Fi网络。这又是怎么回事呢?
本文涉及的充电桩身上USB线另一头连接的并非电源插座,而是类似安装着手机助手或豌豆荚的PC,当我们按要求开启USB调试模式之后,这个“PC”就会自动将指定APP传输进手机里并自动安装,同时开启充电阀门,以较大的输出电流给手机充电。
安装推广APP就是免费的代价
在畅充科技的充电桩上有着这么一行信息:“用户在使用高速充电服务的同时,设备将向用户推荐几款时下最热门的手机游戏或应用产品,用户可以自行选择使用或卸载”(图4)。
这很好理解。想通过视频软件(如优酷)免费看视频,就必须忍受一段时长不等的广告。充电桩在手机里安装的APP,就是类似视频软件里推送的广告,是设备提供商的一种盈利手段。有明确的告知,用户随后也能自行卸载,属于“周瑜打黄盖”的范畴,这本身没有什么问题。
问题是,Android手机开启USB调试模式(图5)、iOS设备选择信任之后,随之而来的潜在风险却不容忽视。
开启USB调试的隐患
对Android手机来说,USB调试模式就意味着最高等级的权限。开启该功能并连接PC后,小到应用安装/卸载、文件读写、个人信息(如联系人、通话记录、照片等)的获取以及文件存储位置的更改,大到重启关机、ROOT系统、破解锁屏密码,几乎没有这台PC办不成的事儿。
如果PC端染有专门针对Android系统的病毒木马,开启USB调试模式的Android几乎是一连接就会被感染。此时,除了个人隐私有泄露风险之外,一些恶意的病毒还能判断Android手机里安装的银行和支付类APP,并用假冒的版本替换原本,同时还能拦截用户收到的验证短信,再通过服务器转发的形式窃取用户银行账户中的资金。
充电桩属于公共性质的设备,周边人员流动大(图6),存在一定的监管盲区。一旦有黑客对其进行了入侵破解,植入存在安全隐患的APP,后果可想而知。此外,如果我们为了快速充电而打开了USB调试模式,充电完毕却忘记关闭,一旦手机丢失,你的锁屏密码就形同虚设,和手机绑定的各种支付类APP都会有被盗刷的风险。
因此,越是公共场合,对于那些免费的服务我们就越应该保持足够的警惕。像需要开启USB调试模式才能享受的快充服务,只有100%确认安全的情况下才能使用。对需要经常长途外出的用户而言,随身携带充电宝或充电器才是王道。
吃流量不吐骨头的下载陷阱
虽然各大Android品牌手机都会预装自家的应用商店,但遇见一些小众应用或非APP资源时我还是习惯直接通过浏览器下载。但是,如今浏览器下载时,却往往存在着吃流量不吐骨头的下载陷阱。
最不靠谱的下载渠道
在PC上,我们寻找资源时大都直接通过浏览器搜索下载,而这一习惯自然也被很多用户延续到了手机领域。然而,如果你还觉得手机浏览器下载只是简单的“搜索→发现资源→点击下载按钮→完成”这种流程,那也就离掉进陷阱不远了。因为,浏览器下载已经逐渐成为了最不靠谱的下载渠道。
资源站点的陷阱
以安兔兔这款跑分软件为例,很多手机应用商店存在版本更新不及时的问题,所以不少用户就会尝试直接通过浏览器搜索下载(图7)。
但是,第一页的搜索结果往往是推广资源,虽然屏幕上显示的是安兔兔APP的图标,但你要是点击“下载”按钮进入下载页,在这个页面里涉及的下载按钮却都指向了百度手机助手/PP助手等APP(图8)。
换句话说,你本次下载所耗费的6MB~8MB流量就这么被浪费了(图9)。如果当前使用的是Wi-Fi还好说,但要是数据流量可就欲哭无泪了。
因此,浏览器搜索推荐的下载资源是很不靠谱的,对安兔兔这种比较知名的APP,建议大家还是直接搜索安兔兔官网,在官网寻找该APP的下载地址(图10),避免成为搜索引擎推广策略的牺牲品。
浏览器本身的陷阱
问题来了,在APP官网下载就一定靠谱了吗?答案是不一定,因为不同的浏览器都有所谓的“战略合作伙伴”,在用户选择下载时也会有意无意地将目标指向到手机助手类的APP上。以UC浏览器为例,当我们选择下载时会弹出“高速下载”和“立即下载”两个选项(图11),如果你选择了高速下载,那下载的资源都会被换成PP助手;只有点击立即下载,才能下载我们所需要的资源。
谨慎通过二维码下载
浏览器(正规网站)替换下载资源,最多是浪费我们的时间和流量,对信息财产安全的威胁不大。但是,轻信扫描二维码,我们就将面临极大的安全风险了。
在公交车站的灯箱广告、街头小贩发送的广告传单上,都会印有APP的二维码(图12),免去了用户搜索和输入下载链接地址的繁琐,手机一扫就能直接下载。此外,我们在超市或商厦门口,还会遇到所谓的关注有礼,扫描某品牌的推广二维码就能赠送纸巾、饮料等礼品,看起来是一件很占便宜的事情,但其背后潜藏的风险,你又是否注意过呢?
二维码的生成没有任何技术含量,我们可以将任意网址制作为二维码供他人扫描登录。因此,很多不法分子就将主意打到了二维码身上,将植入了病毒木马APP的下载地址或恶意网站的链接放在生成平台里,并将这些“含毒”的二维码替换到海报等公共场所的宣传二维码上,一旦有人下载就可截获手机用户的银行卡号、密码等敏感信息,进而盗刷支付宝或银行卡。
因此,我们在扫描二维码时一定要提高风险防范的意识,只有确认二维码是出自正规渠道且100%安全后再扫码(图13)。如果你不懂如何辨别,则可选择快拍二维码、360安全卫士等加入了监测功能的专业扫码工具进行二维码扫描。
手机里的链接陷阱
我们经常能收到内含网站链接的短信,这些短信或者打着10086等运营商的旗号,或者属于中奖提醒,反正内容极具诱惑力(让你点击)。然而,这些由字符串组成的网址,往往会让你陷入各种骗局。
暗藏“杀机”的链接
在网上我们经常能看到这类新闻:收到好友婚礼请柬的短信,点击里面的链接后卡里的XXXX钱就不翼而飞了(图14)。实际上,与链接相关的陷阱早已有之。比如几年前用电脑打开QQ好友发来的网址,就极易被引入暗藏病毒木马的网站,一登录就中招(代价大都是账号被盗)。只是步入移动时代后,手机被链接陷阱“坑”的流程出现了较大的变化。
简单来说,如果手机访问了某个内含病毒木马的网站,很难被直接感染。但是,在短信、QQ或其他聊天通讯界面中的链接,点击后系统会以默认浏览器打开,而这些链接陷阱对应的大都不是某个网站,而是某款APK文件的下载地址。
因此,当你点击这个链接后就自动激活了浏览器的下载功能(图15)。问题就出在这里,此时下载的APK内藏木马,一旦安装就算完成了中毒和激活木马的过程。那么,黑客又是如何利用这个APK实现盗取我们财产的呢?
APK感染的木马读取用户手机号设备串码发送给黑客→黑客使用用户手机号登录支付宝、微信、银行等APP→黑客选择忘记密码,以手机验证码的形式重置密码→木马拦截本应由用户手机接收的短信验证码,并将其发送给黑客→黑客修改密码成功→黑客重新登录支付宝等APP→重复上面操作重置支付密码→完成转账。
听起来很繁琐,但在专业人士面前,这个流程仅是分分钟的事(图16)。总之无论是前文提到的二维码陷阱,还是本章节的链接陷阱,其原理大都如此。
如何才能跳过陷阱
了解了手机中毒(木马)的原理,我们就能做到有的放矢了。而基本思路则是,不让手机偷偷摸摸地安装未经允许的应用程序(APK文件)。
比如,我们可以进入手机“设置→安全”界面,找到并关闭“未知来源”的选项(图17)。关闭它之后,当手机遇到非应用商店下载的APK文件时,在安装前会弹出禁止安装的提醒,除非你点击了“解除禁止”(图18),通常情况下安装会失败(如果手机已ROOT则可能无法阻止)。
如果你觉得这一道保险还不够用,还能进入手机“设置→应用→默认应用设置”,将默认浏览器替换成UC等第三方浏览器。而选择的标准则是,在浏览器设置中可关闭“自动安装”功能的选项(图19)。这样做的目的是,无论是二维码还是短信里的链接网址,它们都会触发默认浏览器进行下载,当我们关闭了浏览器“自动安装”的选项时,这些染毒的APK不会被静默安装,与未知来源配合能起到最大限度的安全防护作用。
源自红包的陷阱
如今,几乎所有的社交类APP都推出了抢红包功能,而很多用户每天最大的乐趣,就是和身边的朋友比比看谁抢的红包更多。如果你沉溺于疯狂抢红包的节奏中,那么距离掉进红包陷阱也就不远了。
谨慎使用红包神器
红包热催生了很多所谓的“抢红包神器”,由于这类APP不被官方认可,所以很难找到官方性质的下载渠道。问题是,从论坛、中小下载网站搜到的资源,很多抢红包神器都被植入了恶意代码,轻则读取我们的个人信息,重则直接盗取财产。因此,小编对大家的建议是,此类应用能不用就不用,如果非要使用,一定选择比较权威的下载平台。
红包变成图片陷阱
正常的红包,当我们点击红包图标后应该能直接看到红包的金额(图20),并被自动转存到钱包里。然而,现在却出现了一种“红包图片”,并以此进行盗取用户财产的案例。
简单来说,我们收到的并非钱包,而是被包装成收到钱包的图片(图21),当用户点击拆开红包后,弹出来的并非红包金额,而是直接跳转到了一个暗藏病毒木马的网页。它会提示使用QQ账号登录,但等我们登录之后则会弹出“此账户已经领取”的提示,需要换个QQ再尝试(图22)。实际上,当我们输入QQ账户信息的一瞬间,用户名密码等信息就已被这个网页记录下来了,这也就意味着你的账号已丢。
同理,微信中也不乏和红包有关的陷阱,其具体表现也是领取红包时要求输入收款人的信息,比如姓名、手机号、银行卡号等。总之,凡是需要输入个人信息才能领取的红包,都是骗人的!遇到这种红包,第一时间关闭网页基本就能避开风险,如果我们按要求输入了个人信息,或是下载安装了某个APK,那我们能做的就只剩下和黑客抢时间了。
介绍完与手机相关的陷阱,接下来我们再来看看与笔记本有关的潜在危险吧。
笔记本的选购猫腻
和手机相比,笔记本算是移动计算平台中的“大家伙”,也是保证“生产力”的最佳平台。虽然潜藏在笔记本身边的陷阱没有手机那么多,但依旧有很多细节需要我们留意。
经典的李鬼李逵骗局
手机的价格、配置相对透明,只要懂得区分山寨机和翻新机,基本不会出现什么疏漏。然而,笔记本存在各种子型号,相关的技术术语也更为复杂,这就给了商家偷梁换柱、以次充好的机会。
不久以前北京朝阳百脑汇就发生了这么一起案例。某用户指明要某电商平台19999元配置的戴尔外星人(Alienware)笔记本(图1),然而却被商家忽悠,加价换成了所谓的“外星人高配版”。用户回家后发现该机器无法运行exe文件,而机器竟然是山寨机(实为未来人类旗下的一款机型)(图2)。随后用户找到百脑汇,经过一番扯皮后补差价终于换成了真正的外星人笔记本。回家使用经常出现不稳定的现象,事后通过检测,该机器竟是一部二手笔记本……
看着很熟悉是吗?没错,这种经典案例曾经常在中关村和很多电脑城出现,以低价引来顾客,再以各种理由诱导顾客更换不了解的型号,最终实现偷梁换栋、加价销售的目的。
线上线下比价必不可少
就购买笔记本而言,CFan的建议是直接从笔记本品牌的天猫旗舰店、京东、苏宁等知名电商的自营店网购。如果所住区域物流不畅必须选择线下,那也一定要拿目标产品和电商同配置产品进行比价,上下浮动5%属于正常,差异太大就直接换个商家吧。
考虑到线下购买笔记本猫腻较多,建议大家提前下载一款绿色版的AIDA64保存在闪存盘,验机时运行这个程序,重点检查一下CPU、显卡、内存和硬盘的规格是否正确。通过存储设备→SMART中的参数(图3),我们还能通过硬盘的通电时间和开关机次数判断机器是否为新。
还有一些误会因素
实际上,上面这个案例中也存在一些误区。首先,未来人类谈不上“上寨”,它是蓝天电脑(CLEVO)在内地授权贴牌销售的品牌。此外,像机械革命源自清华同方、雷神/机械师/魔法师源于海尔、炫龙/战神出自神舟,这些借势游戏本的新兴品牌背后都有传统PC品牌的影子(图4)。只是未来人类的Logo和外星人有些像,再加上销售人员的忽悠,才致使用户上当。
此外,上面案例还谈到了笔记本无法运行exe文件的问题。这属于用户电脑知识不过硬的范畴。很多笔记本为了节省成本,并没有预装正版的Windows,讲究点的预装个麒麟系统(Linux),不讲究的就装个DOS,自然无法运行我们熟悉的桌面程序,需要重新安装系统之后才能正常使用。
子型号之间存在隔阂
前面提到了,智能手机的版本差异无非是内存大小、存储容量的多少以及网络的支持,不仅容易区分,各版本在体验上的差别也不大。
然而,笔记本厂商为了满足不同预算、需求的用户,往往会将一款机型的潜力挖掘到极致,于是就出现了无数子型号。问题是,子型号很容易将用户绕晕,而不同型号之间的性能也可能存在极大差异。
我们以惠普暗影精灵II代为例,这是一款定位中端的游戏本,主打炫酷外观和较为强悍的性能。需要注意的是,这款游戏本拥有3种显卡可选(图5),围绕着每种显卡还衍生出了标配和高配等诸多型号。
我们都知道,游戏本80%的实力取决于显卡,而暗影精灵II代的GTX960M、GTX965M和RX460的性能差异很大(见表)。简单来说,GTX960M的性能垫底,而RX460的性能则介于GTX960M和GTX965M之间。
暗影精灵II代3款显卡理论性能对比
显卡型号 GTX960M GTX965M RX460
3DMark11-P 4888 7729 7969
3DMark11-X 1803 2491 1644
3DMark-Firestrike 4041 5253 5274
3DMark-Firestrike EX 2006 2508 2350
问题就出现在这里。很多用户都是通过广告、媒体评测之后才来关注某款产品,如果我们想当然以为所有暗影精灵II代都配备了GTX965M,而你购买的却是GTX960M的版本,无疑会极为郁闷。总之,型号越多,配置越乱,一些别有用心的商家就越容易浑水摸鱼,让你以高配价格买到低配产品,所以选购此类产品之前一定要提前做好功课。
特色功能低配难享
为了体现“差异化”的竞争策略,很多笔记本会尝鲜一些新技术/功能,比如英特尔3D实感摄像头就成为了ThinkPad旗下E550的主打卖点之一(图6)。然而实际情况却是,只有配备酷睿i5或i7的中配/高配版E550才标配了这种3D摄像头,而基于酷睿i3定制的低配版,则无缘享受3D摄像头“刷脸”解锁的便捷和趣味的实感游戏。
与这种3D摄像头类似的,还有诸如指纹识别、标配PCIE通道的SSD、2K或更高分辨率的屏幕等等。这些唬人的卖点,同样不是所有型号都能受用。如果你是冲着某项功能而来,就需要提前鉴别好笔记本子型号之间的异同了。
小 结
看到这里,相信你已经开始重视起潜藏在我们身边的各种陷阱了吧?对手机而言,不要相信“天上掉馅饼”,挖掘手机自带安全类APP的各项功能,通常就能将危险拒之门外。而笔记本相关的陷阱,就需要我们静下心做好功课,在选购时坚持本心(不要轻易被忽悠成别的机型)即可。