看完央视的315晚会，觉得消费者活的真辛苦啊……买东西时要小心刷信誉的淘宝店、吃东西时要小心刷评价的商户点评、刷卡的时候要警惕复制信息盗走血汗钱的信用卡骗局……甚至，连扫个二维码、下个app、连个wifi都不安全了。

　　我已经不敢碰我的手机了，我觉得它要炸。

　　这二维码里……有毒！

　　“瞧一瞧看一看~ 扫个二维码就送小礼物！”

　　——这样的一个小操作，就能往你的手机里安装恶意软件、盗取个人信息和银行卡号密码……

　　这有可能吗？如何防范？

　　Lyroat：

　　这种盗窃钱财的方式早在2014年就被315曝光过，原理和通过短信发木马链接给受害者的原理差不多。一位前黑客水波特别演示了犯罪分子常用的如何利用国外服务器入侵国内安卓智能手机用户的过程。

　　方法一：

　　1. 架设国外服务器，并植入一段病毒程序；

　　2. 已短信的形式将病毒链接地址发给一个陌生的安卓机，利用安卓系统的短网址功能将发件人伪装成某位亲朋好友；

　　3. 如果点击链接地址，会自动安装一个桌面小工具，此时病毒植入，个人信息已被盗取。

　　方法二（目测就是本次315中的方法）：

　　1. 将病毒压缩成二维码，并伪装成淘宝卖家优惠券；

　　2. “扫一扫”后，手机屏幕根本不会显示病毒下载到手机中，而手机机主的手机号码、银行账号等重要信息已经暴露了；

　　3. 再用短信验证的方式篡改对方的密码，即可将对方账户的资金转走。整个过程只需要几分钟就完成了！

　　二维码，也分好坏？

　　二维码都是日本研发的QR码，是开源的、通用的，因此基本不具备安全防护能力。二维码本身没有毒，给它加带毒的链接才“有毒”。——给你一个链接不敢乱点，给你个二维码你就放心大胆去扫了？它们本质上是一样的。

　　二维码分为通用的和非通用的两种。

　　1. 通用二维码，在市场上占主导，所有的二维码识别软件都能读出；

　　2. 非通用二维码，推出的公司有自己的编码格式，要特定的软件才能识别。

　　注意：有毒二维码与普通二维码本身并没有区别！

　　那怎么预防？

　　为了防止中毒，最好不要随意去扫一些来历不明的商家的二维码。通常来说，报纸、杂志等出版刊物上的二维码相对安全，但也很难说。更不要上什么奇怪的网站、扫什么奇怪的小app里的二维码……小心一点为妙呀！

　　当心！那不是App！

　　听说手机上被安装了恶意应用程序后，它会暗中扣你话费、甚至替用户发送费用确认短信……吓死人了！！

　　如何躲开吸费APP？

　　麒麟：

　　简而言之就是：

不要乱装应用！

不要乱装应用！！

不要乱装应用！！！

　　因为实在太重要所以说三遍。

　　怎么算不“乱”装呢？

　　答案就是：尽量从相对靠谱的渠道下载应用。

　　什么是相对靠谱的渠道？系统商的大型官方市场（比如苹果AppStore和并不存在的Google Play Store）、大型渠道和手机厂商的官方市场（比如Amazon Appstore、小米市场、应用汇等）。

　　那什么是不靠谱的？搜索引擎搜出来的各类“破解版”应用不靠谱；苹果越狱后才能使用的除了Cydia之外的所有应用市场不靠谱；Cydia内除了BigBoss源之外，自行添加的软件源，可信任程度需要自行判断。

　　与此同时，正如315晚会上所展示的，那些名字特别诱惑的杂七杂八的App都不靠谱。

　　点一个“确认年满十八岁”就能看到【哔——】、【哔——】和【哔——】的东西？

　　呵呵，都是冲着你钱包来的。

　　还有别的能做的吗？

　　嗯，再强调一下：给重要账号设一个独一无二的复杂密码是有必要的。或者给各类网站按重要性排几个档次，每个档次之间的密码相互分开。

　　与此同时，普通用户请尽量不要越狱、不要Root。这两个操作会极大地降低你手里设备的安全性。

　　如果要基于国内的环境下一个简要结论的话，给常见移动系统的安全性排个序，会是这样的：

未越狱iOS > 未Root Android > 已Root Android > 已越狱iOS

　　数据安全到底有多重要？还请大家多在心里掂量一下。

　　已经被乱扣费了，咋整？

　　请向运营商和工信部投诉，并在备份了自己重要数据之后初始化机器，来尽可能减少自身的损失。

　　只是个免费WiFi？快别傻了

　　好了好了我啥都不干了，我连个WiFi逛逛淘宝总好了吧？

　　呵呵。

　　在2015年的央视315晚会上，就找过一个戴着眼罩的工程师来现场演示如何通过公共WiFi获取用户手机的操作系统、正在运行的App等信息，甚至还可以获取到用户手机中存储的邮箱、密码等隐私信息：

　　而今年的315晚会更是现场测试：连上一个免费WiFi后，只要打开消费类软件，订单和消费记录统统被提取！包括你的电话号码、家庭住址、身份证号码、银行卡号、甚至哪天几时你看了一场什么电影……

　　这是怎么做到的？

　　Moonwalker 网络工程师：

　　我们把数据包当做“信件”来看一下吧。

　　张三喜欢用牛皮纸做信封、并且常用黑色钢笔；李四喜欢用铜版纸做信封，常用蓝色圆珠笔。如果我做了一个假邮筒，那么根据这些“特征码”就可以大概判断出是谁发送的信，也就是你在用什么操作系统、是哪些APP发送的数据。

　　接下来就是如何截获用户名密码，很多人设置客户端邮箱时，都没注意到这样一个选项：

“使用安全链接（SSL）”

　　本来，你发送的邮箱、用户名、密码甚至邮件内容，都是明文的。如果这样一封信被投到了一个假的邮筒，那么假邮筒的拥有者就可以随意查看你的信件内容了。但是张三和李四约定好一套加密方式：写信的时候会把字母A替换成C，把字母B替换成Z等等，这样别人看到的就是一堆乱码了。而SSL就是一种更为复杂和安全的加密方式。

　　我们浏览网站的时候会看到有些网站是https:// 开头的，而不是https:// ，这类网站就是使用了SSL加密技术（不过现在注重安全的网站都会升级为TLS，安全等级更高）。

　　不过呢，把A替换成C，B替换成Z这样写起信来速度很慢，SSL也会导致速度变慢，所以有些网站会把网页上部分重要内容使用SSL加密，部分内容使用明文传输。这是种折衷方法，但依然有被中间人攻击篡改页面、密码被盗的风险~

　　选SSL就好了，是不是！

　　有密码就有解密手段，SSL也可以用sslstrip来破解，原理就是制作一个假的服务器证书来欺骗客户端。

　　当然，浏览器也不傻，它们会给你弹出这样一个警告：

　　如果这是个恶意网站，而你又点了忽略……呵呵。

　　普通用户要怎么避免？

　　Moonwalker：

　　使用公共wifi的时候一定要注意，不要在https:// 开头的网址上输入密码等信息！不要使用同一个密码注册多个网站！如果你的网络服务提供商不可信任（比如房东直接从交换机拉一条网线给你），那么也要小心密码被盗或个人信息泄露。

　　麒麟：

　　别连不可信的公共Wi-Fi（公共VPN、代理服务器等也算）、别在不可信的网络环境下进行敏感操作。与此同时，如@Moonwalker所说的，不要无视浏览器的证书错误提醒！不要乱装安全证书，否则HTTPS也救不了你！

　　同时，向开发商多提提意见，指望他们能快点更新、加强一下安全措施吧……

　　一定程度上说，大型APP开发商对信息处理的完善程度会比小开发商要靠谱。虽然目前中国的信息安全意识还普遍较为落后，但开发商信誉作为一个简要的判断手段，还是比较有效的。

　　一个AI

　　这个世界好危险……我去改密码了。

　　果壳网

　　ID：Guokr42

　　中二病究竟有没有得治？

　　密集恐惧症真的“只是矫情”？

　　不相干的东西严丝合缝拼在一起就觉得爽，是强迫症吗？

　　你有病？没事~ 果壳有药呀！

　　本文来自果壳网，谢绝转载

　　如有需要请联系sns@guokr.com