以为捡到了“超值福利”,结果银行卡/账号被盗、隐私被窃?这类故事听得太多。很多人以为只要下载个破解版、装个看上去很“实用”的小程序,或者点个看着无害的授权就没事,殊不知真正把门打开的往往不是软件本身,而是你允许它使用的那个“权限”。
这一条你必须关掉(或者至少不要随便授权):手机的“无障碍服务”权限(Accessibility Service)。
为什么要把它关掉(或谨慎授权)
- 无障碍权限本来是为残障用户设计的,用于屏幕阅读、自动化辅助等正当用途。但它同时允许应用读取屏幕内容、模仿点击、输入文本、拦截/处理窗口事件等。具备这些能力的应用,实际上能完全控制你的手机界面。
- 恶意程序和刷量/挂羊头卖狗肉的工具,会以“优化体验”“自动填写”“自动签到”“省电”等幌子诱导用户开启此权限。一旦开启,后台可以悄无声息地窃取短信/验证码、自动操作银行/支付界面、替你点开诈骗链接或偷偷安装其他应用。
- 即便不是恶意软件,某些权限滥用也会泄露大量隐私:聊天内容、交易信息、浏览记录、登录状态等都可能被读取或截图。
常见陷阱举例(不要被这些台词骗了)
- “需要无障碍权限才能后台登录/自动抢票/自动挂机” —— 真正正规应用通常会用更安全的方式,且会明确说明为何需要,且来自可信渠道。
- “安装破解/破解版必须允许此权限才能激活高级功能” —— 破解包本身就有危险,这类要求几乎可判定为陷阱。
- 浏览器扩展或应用要求“读写所有网站数据/无障碍” —— 本质是给它完全访问权,轻则跟踪,重则账号被接管。
如何检查并关闭(Android 操作指引)
- 快速路径:设置 > 应用或应用和通知 > 特殊应用访问 > 无障碍访问(或直接设置 > 无障碍)。
- 在无障碍列表中,逐个查看已启用的应用:
- 不是你明确安装且有合理理由需要无障碍的,就立即关闭它。
- 对于你信任的工具,也建议只在必要时临时开启,用完就关掉。
- 如果遇到无法关闭或被提示“设备管理员权限”阻止关闭,去设置 > 安全 > 设备管理器(或设置 > 应用 > 特殊访问 > 高级权限)里撤销该应用的设备管理员权限,再回到无障碍里禁用。
- 对于国产ROM或定制系统,路径可能略有差异,但逻辑相同:找到无障碍入口,检查已授权列表,逐个撤销不需要的权限。
iOS 上的对策
- iOS 的权限模型不同,不存在 Android 那种等同功能的“无障碍服务”被滥用的场景。但要警惕“辅助功能(Accessibility)被用作权限”的少数特殊情况,以及任何要求“屏幕录制”“完全访问键盘”等高权限。对任何看起来不合理的授权保持怀疑。
其他平台对应的“危险权限”
- 浏览器扩展:若扩展请求“读取并更改你在所有网站上的数据”,那等于给了它监听和修改登录表单、劫持会话的能力。只有在你确知其功能和来源时才允许,优先选择不限域的最小权限或手动在需要时启用。
- Windows/Mac 软件:要求“辅助功能/输入监控”“可监听键盘/鼠标”的软件要慎重,尤其是来自不知名来源的工具。
如何判断一个应用是否可信(快速判断法)
- 来源:优先从官方应用商店(Google Play / App Store)下载,留意是否启用了Play Protect扫描。
- 开发者信息与评价:查看开发者主页、隐私政策、用户评论里有没有大量关于“扣费/窃取账号/弹窗广告”的负面反馈。
- 授权说明:正规应用会在请求敏感权限前给出明确、合理的理由,并且通常只在功能触发时弹窗申请,而不是安装后就要求全部打开。
- 最小授权原则:应用只获得完成其核心功能所必需的最少权限。若功能与权限明显不符,立刻拒绝。
启用权限的更安全做法
- 只在确有必要且来自可信来源时临时开启,功能使用完毕即关闭。
- 使用系统自带或知名安全厂商提供的工具做二次验证,比如 Google Play Protect、手机自带的权限管理器。
- 给高风险账户(银行、邮箱、支付)单独设置二步验证、单独设备及单独应用,不把全部重要事务放在一个容易被操作的设备上。
一张简明清单(发布前快速自查)
- 你手机里有哪些应用开启了无障碍权限?都是什么用途?
- 这些应用的来源是否可信?有没有官方渠道和真实的开发者信息?
- 有没有不必要的浏览器扩展/插件能读写网页数据?立刻禁用或删除。
- 是否安装过来自论坛/群内的“破解版/万能激活器”?立即卸载并扫描。
结尾提醒(很直接) 捡漏的冲动能省钱也能省时间,但凡涉及“给程序广泛控制你设备”的授权,别抱侥幸心理。把无障碍权限关好、把浏览器扩展权限管好,你的钱包和账号会感谢你的谨慎。
