说个最近发生在深圳的倒霉事吧,张大爷那银行卡密码设得比电影里都玄乎,结果早上起来一看,竟然有三条短信显示支出了三千块。警察后来一查才发现,原来是被骗子利用了一个叫“多设备同步”的东西给坑了。他们先让第三方App拿到了通讯录和支付权限,然后远程转发验证码,轻轻松松就把钱洗走了。类似的事儿在杭州也刚发生了一起,大学生小林就因为下了个什么“购物助手”,没两天微信支付宝里的钱就被掏空了。大家醒悟过来后都在说:“本来是觉得挺方便的,谁知道是把家里的钥匙全交给陌生人了。” 现在很多人用的安卓系统或者定制的UI,把那个“多设备协同”功能藏得特别深。你安装App的时候,系统默认就给你勾上了同步通讯录、短信还有支付信息这些选项。大家心里想的是这只是备份数据而已,实际上这是把手机变成了黑客手里的肉鸡。最要命的是,哪怕你后来把那个App给卸载了,之前给过的授权也没取消掉。黑客只需要发个指令,就能再次打开这扇门。 这个过程跟以前的那种需要专业工程师才能植入的木马不一样。现在远程同步就像拧开了水龙头一样简单——根本不用碰你的手机,数据就会自己流出去。 最近广州的陈阿姨也差点中了招。她孙女用她的平板做了个云备份,结果骗子立马就拿到了她家的网银账号。陈阿姨当时还挺纳闷:“我明明没乱点什么钓鱼链接啊!”其实这就是大家容易忽略的被动授权风险——只要那个多设备协同的开关亮着,数据随时都可能被别人远程拉走。 想止损的话也别等警察找上门来了,现在咱们自己动手就能搞定:先把手机里的设置点开,找到应用管理,然后再点进权限管理里面去找其他权限;接着在其他权限里找到“多设备协同”的选项;再点右上角的三个点强制显示系统应用;最后逐条检查哪些协同项是开着的,把所有亮着的开关都给滑到灰色去。 对那些第三方备份或者同步类的App,记得多检查一下它们有没有读取短信验证码还有支付信息的权限。最后再重启一下手机确认一下没有残留的授权指令就行。 不过要注意啊,不是所有的协同功能都是安全的。你看苹果那边的iCloud就做得很好,加密、双重验证加上沙盒隔离这几道锁一锁下来风险就被压得很低。反观安卓这边就不太一样了,因为系统太碎、权限定制又不透明,“黑科技”钻空子的成本基本为零。特别是一些中小品牌的手机最需要提防了:系统更新慢、安全补丁少,这不就是给骗子长期留饭票嘛? 未来的控机手段只会变得更隐蔽:声纹识别、剪贴板监控、蓝牙低功耗技术……技术门槛越来越低,咱们普通人也就越容易中招。你别觉得手机里什么也没存就没事了——很可能只是数据还没被调用出来罢了。 保持警惕、不给陌生应用多余的权限才是让骗子望而却步的唯一办法。咱们每一次用手机连接其他设备其实都像是在投一次票:要么投给信任,要么投给风险?答案全在你自己手里呢。