江苏龙网

  1. 主页 > 生活百科 > >

Android用户目前面临的六大安全威胁

Android

译者 | 陈峻
审校 | 重楼
如今,各种出色的Android设备已能让我们无缝地利用生活中的碎片时间,开展各类工作、娱乐、创作、以及交流等活动 。不过,目前随着越来越多的安全威胁在我们没注意到或看不见的角落里暗流涌动 , 时常会危及我们的数据、隐私、甚至是Android设备本身的安全 。下面,我将和您深入讨论Android设备用户时常面临的6大安全威胁,并逐一给出对策 。

Android用户目前面临的六大安全威胁

文章插图
1.恶意软件根据Securelist的报告 , 仅在2023年第二季度 , 卡巴斯基就阻止了570多万起恶意软件、广告软件、以及风险软件(Riskware)对于各类Android设备的直接攻击 。
其中,最普遍的现象之一是:那些潜在不需要的程序(Potentially Unwanted Programs , PUP)经常被伪装成实用工具,成功地植入用户设备 。在检测到的威胁中,有超过30%的被标记为风险工具(RiskTool)PUP 。它们既可以通过广告来“炸屏”设备,又能够监听和收集个人数据 。
更令人担忧的是:本季度 , 全球又有37万个恶意应用包被发现 。其中,近6万个移动银行木马被发现旨在窃取财务信息 , 1300多个移动勒索软件被发现在支付勒索之前会锁定设备 。随着攻击者越来越高明,此类数字仍在攀升 。此外,卡巴斯基安全专家还发现了一些以前从未见过的新型勒索软件和银行木马 。例如,他们在google Play商店里发现了一个被伪装成电影流媒体服务的、旨在伪造加密货币挖矿的应用 。
当然,占总体威胁20%以上的广告软件也依然猖獗 。雄踞此类软件榜首的MobiDash和HiddenAd等隐蔽广告软件家族,仍在通过隐藏其运行进程的方式,让用户不堪其扰 。
对此,作为Android用户,为了保持安全,您应该在使用各种Play商店下载应用之前,仔细查看其权限请求 , 以保证使用可信的移动工具 , 并保持软件的安全更新 。
2.网络钓鱼通过网络钓鱼实施欺诈是目前Android用户面临的另一个巨大安全风险 。此类攻击往往使用社会工程和虚假界面,以诱骗用户提交敏感信息 。根据 Straitimes的报告显示,自2023年3月以来,仅新加坡一地,就有至少113名Android用户,因网络钓鱼欺诈而蒙受了约445000美元损失 。
此类攻击最常见的策略是:将应用或链接重定向到伪造的银行登录页面上,以窃取用户的凭据和一次性密码 。据此,骗子可以访问真实的银行应用 , 进而构造未经授权的交易 。此外,一些钓鱼应用甚至会包含恶意软件,从而在后台锁死密码或其他数据 。
攻击者通常会在社交媒体或即时通讯类应用上,冒充合法企业,以部署与购买商品或服务的相关钓鱼链接 。随着方式的迭代,我们已发现有更多的与流媒体、游戏、众筹、以及其他流行数字服务相关的网络钓鱼方式的出现 。
而鱼叉式网络钓鱼(Spear phishing)使用的是有针对性的内容,这使得攻击本身更难被发现 。诈骗者往往利用新冠疫情等当前时事和热点话题,来诱骗用户点击 。此外,具有人工智能(AI)加持的ChatGPT等模型,也能够轻松地生成令人信服的钓鱼网站和相关内容 。
对此,我们应当谨慎点击嵌入式的社交媒体广告,避免使用未知的应用,并密切关注系统针对权限变化的提示 。
3.未修补的漏洞谷歌近期发布了几个Android安全更新,并再次证明了未修补的bug对于Android用户危害的严重性 。按照谷歌的说法,其中最严重的新漏洞之一便是CVE-2023-21273 。它是存在于系统组件中的一个严重的远程代码执行漏洞 。据此,黑客可以完全控制您的设备,从而在您不知情的状态下,开展各种非法活动 。
除了上述漏洞,其他严重的漏洞还有:媒体框架(Media Framework)中的CVE-2023-21282和内核中的CVE-2023-21264 。攻击者可以利用这些漏洞 , 在您的手机或平板电脑上执行恶意代码 。此外,近三十多个其他类型的高严重性漏洞,还可能导致黑客未经授权地访问、以及破坏您的设备,或窃取您的个人信息 。
遗憾的是,由于我们中只有少数人能够保持每一、两年的手机更换频率,以及购置相应的关怀服务,因此许多Android设备并没有及时被打上重要的安全补丁 。也就是说,它们仍可能容易受到谷歌几个月、甚至几年前被发现的漏洞的影响 。
可见,您至少要做到在收到提示时,及时更新Android系统及其安装软件 。如果您的设备无法再被厂商支持,或不再能够获得其更新的话,那么可能是时候该更换为另一个较新的型号了 。


推荐阅读


上一篇:macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

下一篇:如何构建基于大模型的App