保护你的安卓设备
更新16 May 2024
目录
...加载目录...安保的第一步就是要管理好你的的设备,这样你才可以保护自己的信息。下面的步骤和清单可以用来提高安卓设备的安全性。不同厂商的安卓设备有所不同,所以有些设置你可能需要在系统的多个地方寻找才能找到设置页面。
使用设备上最新版本的操作系统
- 更新软件时,请选择可信赖的场所和网络,例如家中或办公室,不要选择网咖或咖啡厅等场所。
- 更新最新版本的操作系统也许会要求你下载软件,并多次重启电脑。如果你不希望在设备上的工作受到干扰,请考虑专门安排时间来进行系统更新。
- 更新完成后,也要检查是否有更近的版本,直到你看不到更新提示为止。
- 如果你设备上运行的安卓版本已经停止维护,最好还是购买新设备。你可以在维基百科的安卓版本历史页面上或各个安卓版本停止维护的日期列表里查询依然在维护的安卓版本。
- 查询安卓系统可用的最新版本。
- 查看和更新安卓版本。
- 设备下载更新后,会弹出重启系统的提示,请随时按照提示操作以保证更新安装的完整性。
- 大多数系统会自动检查更新和安全补丁。想要检查是否有可用更新,可以参考查看和更新 Android 版本:获取安全更新和Google Play系统更新。
- 另外,还需检查你的设备何时会收到安卓安全更新。
- 注意,有些手机厂商可能会延后一个月甚至是一年执行最新的安全更新。
- 如果你发现自己设备的安全更新一直都比最新版本的安全更新慢很多,请考虑换一个安全更新发布更及时的手机厂商,例如谷歌Pixel手机。注意,这可能会提高你的预算。
- 还需要考虑的是,安全更新到某一个时限就会到期,不会继续更新,根据手机型号的不同,这个时限也有所不同。
- 如果你持有的是谷歌Pixel手机,你可以在谷歌官方网站上查到你的手机型号可以享有多久的安全更新服务。
- 如果你持有的是三星手机,你可以参考三星的官方信息。
- 如果你持有的是Fairphone,请查阅Fairphone的官方更新维护到期信息。
- 如果你持有的是Motorola手机,你可以查阅Motorola的官方安全更新服务页面或在联想Moto的官方服务页面进行查询。
- 如果你持有的是诺基亚手机,请在诺基亚官方网站的安全与维护更新服务页面进行查询。
- 如果你持有的是其它品牌的手机,你可以参考C. Scott Brown撰写的关于各个主流厂商手机更新政策的文章。
- 如果你发现自己的安全补丁一直都比最新的安全补丁版本旧很多,请考虑换一个安全更新发布更及时的手机厂牌,例如新型号的谷歌Pixel手机。注意,这可能会提高你的预算。
了解我们推荐这样做的理由
你设备上和应用程序里运行的代码每天都会发现新漏洞。由于程序代码十分复杂,哪怕是开发人员自己也无法预测哪里会发现新漏洞。意图不轨的攻击者也许会利用这些漏洞来入侵你的设备。但是软件开发者会定期发布代码来修复这些漏洞。因此,非常需要保证每一台设备的操作系统和其上安装的软件都是最新版本。我们建议你启用操作系统和软件的自动更新,以减少后顾之忧。
定期更新系统里安装的所有应用程序
使用可信来源的应用程序
了解我们推荐这样做的理由
谷歌应用商店是安卓的官方应用程序商店。一个统一的应用程序平台让你能够轻松查找下载想要的程序,也更易于谷歌管理应用程序,避免程序产生重大的安全违规。请不要从谷歌商店以外的地方安装应用程序。
如果你经过权衡和考察,决定在设备上下载一个没有被Google Play商店包括在内的应用程序,请采取额外措施保护你自己,例如,确保你自己不在这台设备上保存任何敏感信息或个人信息。即使在这种情况下,你也应该从F-Droid、Aurora Store,或应用程序的官方网站等可信的渠道下载程序。“镜像”网站的下载地址也许不可信,除非你了解并信任这个镜像网站的来源。
如果你想要了解如何抉择是否使用某个应用程序,请查阅盒中安全手册是如何选择推荐应用程序和工具的。
Some governments have demanded tech companies ban certain apps in their countries. When that happens, your contacts may encourage you to "root" your device in order to install banned apps by going to third-party app stores or websites. In fact, "rooting" your device is not necessary if you use techniques to circumvent your country's censorship when setting up your phone.
我们建议你不要破解或刷机(Root)你的设备,因为这会让你的设备极易感染恶意代码。
移除你不再需要使用的应用程序
- 学习如何卸载应用程序。
- 对于一些手机来说,出厂时厂家自带的应用程序可能无法卸载,但是你可以参考这个教程来学习试着卸载或禁用这些程序。
了解我们推荐这样做的理由
你设备上和应用程序里运行的代码每天都会发现新漏洞。由于程序代码十分复杂,哪怕是开发人员自己也无法预测哪里会发现新漏洞。意图不轨的攻击者也许会利用这些漏洞来入侵你的设备。删除你不需要的应用程序可以限制能引起风险的程序数量。另外,很多你不再使用的应用程序也有可能会将你不想暴露的个人隐私信息传送给第三方,例如你的定位。如果你无法删除应用程序,你至少可以禁用它们。
可能的话,尽量避免使用社交媒体应用
- 登录社交媒体或其他网站的账号时,请使用浏览器从网页端登录,不要使用应用程序。
了解我们推荐这样做的理由
应用程序会收集你的很多数据,例如你手机的ID、电话号码、你连接到的Wi-Fi等等。有些社交媒体应用过度收集用户信息,包括脸书(Facebook)和Instagram。使用这些平台的时候,请从手机上的安全浏览器(如火狐浏览器)登录这些平台的网页端,保护自己的隐私。
使用隐私友好的应用程序
- 你可以使用Firefox浏览器浏览网页。
- 你可以使用K-9邮件客户端收发电子邮件。
- 你可以使用F-Droid 或Aurora Store下载可以替代私有应用程序的免费开源应用。
了解我们推荐这样做的理由
安卓设备默认内置的应用程序会要求你登陆谷歌账号,比如说Chrome浏览器或GMail应用。如果你不想登陆谷歌账号,你可以用更保护隐私的应用程序进行浏览网站或收发邮件等操作。这些应用大都可以从F-Droid 或Aurora Store等替代性的应用平台下载。
一旦你安装了设定好这些隐私友好的应用程序,你还可以卸载或禁用你不想使用的设备默认安装的应用程序。
检查你的应用程序权限
逐一检查所有权限,确保只有需要使用的应用程序拥有你的授权。下面的一系列权限,在不使用应用程序时应该关闭,如果有陌生的应用程序开启了这些权限,那么你应该提高警惕:
- 定位
- 联系人
- 短信(SMS)
- 麦克风
- 声音或语音识别
- (网络)摄像头
- 录屏
- 通话记录
- 电话
- 日历
- 电子邮件
- 相册
- 影音文件或影音文件库
- 指纹识别器
- 近距离无线通信(NFC)
- 蓝牙
- 任何提到“硬盘访问权限”、“文件”、“文件夹”,或“系统”的设置
- 任何带有“安装”二字的设置
- 脸部识别
- 体力活动
- Health Connect健康程序
- 允许下载其他应用程序
想要更改安卓系统中的应用程序权限,请阅读谷歌的官方说明,其中包括如何更改或取消应用程序的权限,每种权限的功能,以及如何禁用相机镜头和麦克风。
了解我们推荐这样做的理由
如果一个应用程序可以访问你设备上的敏感信息或服务——如定位、麦克风、摄像头,或设备系统设置,那么这个应用程序就有可能被攻击者利用或将这些数据泄露给攻击者。因此,当你不需要使用某一应用程序或功能时,关闭其权限。
关闭定位功能,清除历史记录
- 养成完全关闭定位功能的习惯,或者在你不使用的时候关闭这个功能。你可以选择完全关闭整个设备的定位功能,或禁用某个应用程序的定位功能。
- 根据安卓手机的型号不同,定位功能所在的菜单也不一样,但万变不离其宗,你大致可以在【系统设置】>【隐私】或【安全与隐私】里找到,或者也可以从谷歌账号的偏好设置里找到。
- 如果你需要开启定位功能,请定期检查并清空你的定位历史记录。请按照此教程从谷歌地图时间轴上删除定位的历史记录,并按照此教程禁止设备和谷歌地图保存你的位置活动。
了解我们推荐这样做的理由
许多设备都会利用GPS、手机信号塔,和连接的Wi-Fi来追踪我们的地理位置。如果你的设备上保留了你的地理位置历史,他人就有可能通过这些历史记录来找到你,或者用这些记录来证明你去过某地、与某人产生过关联。
在设备上分别建立独立的用户账号
- 在设备上创建多个用户,其中之一设置为“管理员”(admin),拥有系统管理员权限,其余的用户账号为普通用户(non-admin)。
- 只有你可以用管理员的身份登录。
- 普通用户账号不应被授权访问所有应用程序、文件,或系统设置。
- 请为你的日常工作建立一个普通用户账号。
- 仅当你需要更改设备的安全设置时才使用管理员账号登录,例如安装软件。
- 日常中使用普通用户账号可以减少设备暴露在恶意软件攻击下的风险。
- 当你出入境时,一个“旅行用”账号可以帮你隐藏更敏感的文件。请自行判断:边境检查的工作人员是会收缴你的设备进行排查,还是他们会打开你的设备快速浏览一遍?如果你认为他们不会特别仔细地排查你的设备,使用普通用户账号进行不那么敏感的工作会给你一些合理的掩护。
- 阅读谷歌的官方说明学习如何添加用户。
了解我们推荐这样做的理由
我们强烈建议你不要将用于敏感工作的设备与他人共享。然而,如果你不得不与家人或同事共享设备,你可以为每个人单独创建一个用户账号来保护敏感信息,这样,你就可以保证只有你自己拥有管理员权限,其他用户无法访问你的敏感文件。
解除不需要的设备关联账号
- 按照谷歌的官方说明移除不需要的用户账号。
了解我们推荐这样做的理由
当你不想让别人登录你的设备,最好不要在设备上留下额外的“入口”(这叫做“减小攻击面”)。此外,检查哪些用户登陆了你的设备可以帮你确认是否有人未经允许设备上建立了新的账号。
保护设备关联的谷歌账号
- 登录设备关联的每一个谷歌账号。
- 查看使用你账号的设备记录。
- 按照本手册中关于谷歌账号保护的内容加强设备上的谷歌账号安保。
- 还可以参考本手册社交媒体账号中的相关部分来检查设备上关联的其他账号。
- 如果你发现账号上有可疑活动,例如已丢弃、无法控制或无法识别的设备登录,请拍照或截图留证。
- 你还可以阅读本手册关于谷歌账号的可疑登录部分的内容。
- 访问谷歌安全检查页面检查是否有任何安全问题警告。
- 完成以下步骤:
- 检查账号设置里的最新活动,你可以点击GMail收件箱底部菜单的“详细内容”看到。
- 检查你谷歌账号的近期安全性活动。
- 检查你的谷歌账号是否关联了任何第三方应用和服务。
- 检查你是否开启了应用程序专用密码。
- 检查你是否为账号设置了邮件恢复以及手机号码恢复以防你无法登陆账号。
- 检查你的邮件是否设置了自动转发功能。
- 你可以考虑加入谷歌高级保护计划。
了解我们推荐这样做的理由
大多数设备都会有关联账号,比如你的谷歌账号可以关联安卓手机、Chrome笔记本电脑,以及谷歌电视。同一账号可以同时使用多个设备登陆(比如手机、笔记本电脑,或者还有电视)。如果有人未经允许登陆了你的账号,你可以在账号安保界面取消他们的权限。
将屏幕设置为休眠锁定
- 锁屏密码请使用长密码(至少多于10个字符),不要用短密码或PIN码。
- 学习如何设置或更改密码,阅读谷歌的教程:在安卓设备上设置屏幕锁定。
- 启用指纹识别、面部识别、眼部识别,或语音识别来解锁手机可能会对你不利,因为他人可以强迫你提供这些数据来解锁手机。不要使用这些功能,除非你的身体有障碍,无法打字。
- Remove your fingerprints and face from your device if you have
already entered them. Android devices differ, so this could be in
a few locations on your device, but try following the instructions
to remove a
fingerprint
or delete Face
Unlock.
Alternatively, try looking where you would normally find your
device lock
settings.
- 手势解锁很容易破解,不要使用这个方式。
- 简单的“滑动解锁”也不是安全的锁屏方式,不要使用这个方式。
- 禁用“显示密码”的功能。
- Remove your fingerprints and face from your device if you have
already entered them. Android devices differ, so this could be in
a few locations on your device, but try following the instructions
to remove a
fingerprint
or delete Face
Unlock.
Alternatively, try looking where you would normally find your
device lock
settings.
- 将你的手机设置为闲置一段时间后自动锁屏(你可以将这个时间设为1分钟或5分钟,看看哪一种方案适合自己)。不同的手机菜单也会不一样,你可以试试在“显示”、“系统”、或“安全”菜单里找“屏幕超时”功能。
了解我们推荐这样做的理由
诚然,技术手段攻击的威胁性貌似很大,但其实你的设备更有可能会因被人收缴或盗窃而被入侵。因此,明智之选就是设定锁屏和解锁密码,这样一来,别人就无法仅靠开机和试出PIN码或密码就轻轻松松登录你的设备。
我们不推荐除密码解锁以外的屏幕解锁方式。如果你遭遇了逮捕、拘留或搜查,你的面部、声音、眼球,或指纹信息很容易被人获得解锁手机。如果你使用的是短密码或PIN码,一旦有人得到了你的设备,他们就可以使用软件轻易破解。如果你使用的是手势密码,他人可以检查屏幕上的手势痕迹获得密码。如果你设置了指纹解锁,从手机上取得你的指纹就能复制指纹信息来解锁设备。类似的伎俩也已被证实曾用来进行脸部识别解锁。
因此,最安全的锁屏方式就是长密码。
控制设备锁屏时可以看到的内容
- 参考这个教程来控制安卓设备上显示的通知。这个教程教给你如何不显示任何通知。
- 如果你实在是需要新消息的推送通知,你可以在锁定屏幕上隐藏通知中的敏感内容,这样做你就能收到新消息的通知,同时消息的发送者和内容都不会暴露在屏幕上。
- 如果你已经在设备上添加了多名用户,请将“从锁定屏幕中添加用户”功能关闭,方法请参考谷歌的更改访客和用户设置教程。具体方法可能各有不同,一般来说,你可以在【安全】>【屏幕锁定】或者【系统】>【高级设置】>【多用户】的菜单路径中找到这个功能。
了解我们推荐这样做的理由
如果你的设备被盗或被没收,强密码锁屏或多或少会给你提供一些保护。但如果你不关闭锁屏时显示推送内容的功能,持有你设备的人就能看到这些推送信息(如接收到的短信和邮件),从而获得你联系人的信息和消息内容。
禁用语音控制
关闭谷歌助手及语音控制。不同的安卓设备上,语音和谷歌助手的设置页面也有区别,但一般是在【系统设置】>【谷歌】。
阅读谷歌助手帮助页面的教程。
如果你认为极有必要使用语音助手并愿意承担其带来的隐私风险,请参考这个教程来更提高使用语音助手的安全性,并阅读谷歌助手的官方指南确保您的信息的私密性和安全性。
或者,你也可以直接禁用手机上的摄像头或麦克风,只在有需要的时候开启它们。
了解我们推荐这样做的理由
如果你开启了手机的语音控制,他人就有条件通过恶意代码控制你的手机监听你。
还需要考虑他人通过你的声音冒充你本人的风险:他人可能录下你的声音,然后不经你允许使用录下的声音控制你的手机。
如果你的身体有障碍,难以打字或使用其他控制方式,使用语音控制也许是必要的。这部分的说明介绍了如何能够更安全地使用语音控制。但是,如果你不是因为身体原因使用语音控制,还是关闭这项功能更安全一些。
使用防窥膜来防止别人窥视你的屏幕
- 阅读Security Planner的指南了解更多有关防窥膜的内容。
了解我们推荐这样做的理由
在人们的想象里,针对数字安全的攻击都是高度技术化的,但是,也许你想象不到,有些人权工作者恰恰就是因为被旁人或摄像头偷看了屏幕导致个人信息被盗或账号泄露。防窥膜降低了这种伎俩——通常被称为从身后偷窥——成功的可能性。你可以在销售电子设备配件的商店找到防窥膜。
使用镜头盖遮挡镜摄像头
- 首先,找出你的设备是否有摄像头,如果有,在哪里。你的智能手机有可能有多个摄像头。
- 你可以制作一个简易镜头盖:用小创可贴贴住镜头,需要使用相机时可将其撕下。创可贴的效果比贴纸好,因为创可贴的中间部分没有粘合剂,不会让镜头粘上脏东西。
- Alternatively, search your preferred store for the model of your device and "webcam privacy cover thin slide" to find the most suitable sliding cover for your phone or tablet.
- 还可以考虑彻底禁用手机上的相机权限。
了解我们推荐这样做的理由
恶意软件会偷偷开启设备上的摄像头来监视你和你周围的人,或者定位你的所在。
不使用网络连接时,请将其关闭
- 夜间请关机。
- 养成习惯,在不使用Wi-Fi、蓝牙,或网络共享的时候将其关闭。
- 将手机设置为飞行模式可以快捷地关闭网络连接。如需在飞行模式时使用需要Wi-Fi和蓝牙的服务,可以详细了解如何在该模式下有选择性地开启它们。
- 开启飞行模式,确认Wi-Fi和蓝牙已关闭。
- 了解如何有选择性地在飞行模式中开启Wi-Fi或蓝牙,请阅读谷歌的教程:在飞行模式下让 Android 设备的无线连接保持开启状态。
- 参考谷歌高级网络设置的官方教程检查“修改更多Wi-Fi设置”,请确保“自动开启Wi-Fi”和“附近有公共网络时发出通知”的功能保持关闭状态。
- 不使用个人热点时请将其关闭。
- 确认你的设备没有开启热点与他人共享网络。可以参考谷歌的安卓教程或谷歌的Pixel教程进行检查和设置。
了解我们推荐这样做的理由
所有无线通信频道(如Wi-Fi、NFC和蓝牙)都有可能被我们周围的攻击者滥用,通过攻击这些网络中的弱点来入侵我们的设备,获取敏感信息。
当你开启蓝牙或Wi-Fi连接,你的设备会试图搜索之前保存过的蓝牙或Wi-Fi。基本上,设备会“广播”保存过的每一个网络的名字来尝试连接上可用的网络。如果有人在附近窥探网络,他们可以通过这种“广播”来识别你的设备,因为你保存列表里的设备和网络通常都是很有辨识度的。这些如同指纹一般识别度极高的信息恰恰方便了附近窥探的人找出你的设备。
因此,不使用时关掉这些连接功能不失为一个良策,特别是Wi-Fi和蓝牙。这就能减少攻击者在你毫无知觉的情况下劫持你设备和信息的机会。
清理你保存过的Wi-Fi网络
- 将网络名称和密码保存在密码管理器中,不要保存在设备上的网络列表里。
- 如果你将网络名称和密码保存在了网络列表里,养成习惯定期清理列表,删除不再使用的网络。具体方法,请参考谷歌官方有关如何删除已保存的网络的教程。
- 确认“自动开启Wi-Fi”和“附近有公共网络时发出通知”的功能保持关闭状态。
了解我们推荐这样做的理由
当你开启了Wi-Fi连接,你的设备会试图搜索之前保存过的Wi-Fi网络。基本上,你的设备会“广播”保存过的每一个网络的名字来尝试连接上可用的网络。如果有人在附近窥探网络,他们可以通过这种“广播”来识别你的设备,因为你保存过的列表通常都具有辨识度:在这个列表里至少有你的家用网络和办公室网络,更不用说也许可能还会有你朋友家中的网络、你常去的咖啡馆等等。这些如同指纹一般识别度极高的信息恰恰方便了窥探的人找出你的设备,或者找出你的活动地点。
为了防止这些信息被掌握,你需要清除已保存的网络列表,并且让你的设备不要一直寻找网络连接。虽然这不利于你快速连接到网络,但你可以将网络名称和密码保存在密码管理器中以备不时之需。
不使用共享功能时将其关闭
- 安卓设备各有不同,但大致可以在【系统设置】中找到【已连接的设备】、【设备连接】一类的选项,你可以在此关闭或移除所有的关联设备。
- 关闭“快速分享”功能(有些设备上也叫做“附近分享”)。只有在你需要传输数据时开启这项功能,只与你信任的设备进行连接。
- 如果你实在需要和附近的非联系人设备传输数据,请选择“所有人”,同时选择“限时为所有人开启共享”的模式,这样你的设备在传输数据后就会尽快断开连接,不会被附近设备找到。一旦你完成传输,请立即关闭“快速分享”。
了解我们推荐这样做的理由
许多设备都有选项可以方便我们与周围的人共享文件或服务,这项功能通途广泛。然而,如果在不使用该功能时也保持开启,不法之徒也许会利用这个功能窃取你设备上的文件。
进阶教程:识别是否有人未经你允许访问了你的设备(基础信息安全鉴识)
请按照如下清单中的步骤:
- 查询聊天应用程序关联到的设备。
- 检查已安装的应用。
- 查询设备是否已“越狱”(被破解)。
- 检查跟踪软件的痕迹。
- 如果你怀疑你的设备已被入侵,请参考数字急救包(Digital First Aid Kit)中的我的设备表现可疑一章。
了解我们推荐这样做的理由
他人入侵你的设备、文件或通信的迹象有时不容易被找到。这些额外的清单也许会让你掌握更多相关知识,鉴别你的设备是否遭到篡改。
进阶教程:不登陆谷歌账号使用安卓设备
如果你不希望谷歌记录你的所有活动,你可以从设备上移除你的谷歌账号,详细步骤请参考 在安卓设备上添加或移除帐号。当然,最好在启用并设置手机时就跳过“登录谷歌账号”这一步。这样你的手机就不会与任何谷歌账号绑定,谷歌也无法将你的定位、搜索历史,安装过的应用程序等信息记入账号的档案。
如果不登陆谷歌账号,你无法在设备上使用Google Play商店安装应用程序。你可以使用F-Droid和Aurora Store作为替代。
- F-Droid商店仅提供免费开源应用(FOSS)。安装前请先从F-Droid的官方网站下载APK文件,并进行安装。你也许需要暂时允许从未知来源安装应用程序。当你安装好F-Droid之后,请务必将该功能关闭!
- Aurora Store上的应用程序和谷歌商店相同。你可以从F-Droid上安装Aurora Store。
- 定期使用F-Droid和Aurora Store更新已安装的应用程序,请手动验证升级。注意,自动更新也许无法使用,如果不定期检查更新,你的应用程序可能会因为过时而变得不安全。
进阶教程:更换安卓设备的操作系统
安卓系统由谷歌创造,因此它内置了谷歌的应用程序,这些程序会追踪你、定位你,收集有关你的信息。有些情况下,你可以用更安全的操作系统来替代安卓系统,比如GrapheneOS或DivestOS。这种解决方案较为高级,如果你决定这么做,请确保你的设备兼容替代的操作程序。你必须执行几个步骤才能安装,一旦出现问题,你的设备很可能无法使用。