堵住手機上的安全漏洞

超過一半的Android設備都存在著一種非常危險的安全漏洞，通過它黑客可以看到我們的郵件，甚至遠程控制我們的智能手機。最糟糕的是，該漏洞影響包括Google公司在內絕大多數制造商的設備，而Google公司已經明確不會為此推出補丁，只會在新的系統中修復這一漏洞，但是受影響的設備中有部分設備已經無法獲得系統更新。

這一安全漏洞源自于Android的WebView控件，影響Android 4.3以及其他更低的版本。該控件基于開源的瀏覽器引擎Webkit，在Android中它相當于是系統原生的瀏覽器，其他的應用程序將通過調用WebView顯示網頁或廣告橫幅。然而，該控件的接口很容易受到所謂的通用跨站點腳本攻擊。攻擊者將可能會操縱網站并在用戶登錄到Web郵件時讀取用戶的電子郵件。要實現這一攻擊，攻擊者只需讓用戶通過被操縱的網頁訪問網站即可。安全專家托德·比爾茲利也發現，通過該漏洞黑客甚至可以完全訪問設備和悄悄地切換麥克風或攝像頭。

當前仍在使用中的Android設備至少有60%受到該漏洞的影響，然而，這些設備的用戶不能夠指望從Google或者生產廠商那里獲得這方面的幫助。因為Google公司認為該問題已經在Android4.4版本以及更高的版本中被修復了，用戶可以通過更新來解決這一問題。但是，事實上許多舊設備并不能夠獲得系統的更新，對于生產廠商來說，他們更愿意賣新的設備，而不是為舊設備提供更新。在這種情況下，我們必須自己采取行動。實際上，該漏洞也同樣影響一直在安全性方面“自吹自擂”的iOS系統，只是危險性沒有Android那么嚴重。下面，CHIP將幫助大家自己動手解決這一問題。

更換瀏覽器

要避免受到WebView安全漏洞的影響，我們除了需要注意自己的操作系統版本之外，還需要注意自己所使用的瀏覽器版本。因為如果瀏覽器同樣使用有問題的瀏覽器引擎來打開網頁，那么它同樣存在漏洞，同樣有可能為黑客打開大門。

1、檢查Android版本

首先，我們需要檢查自己的智能手機上安裝的是否是容易受到攻擊的Android版本，從Android 2.2（Froyo）到Android 4.3（Jelly Bean）都是不安全的。這些系統中原生的瀏覽器采用存在缺陷的WebKit引擎，脆弱的WebView控件也在其中。從Android 4.4版本開始，Android瀏覽器的WebView控件開始采用基于Blink引擎的版本，該控件目前被認為是安全的，Chrome瀏覽器目前也是使用該引擎。因此，如果我們的智能手機使用一個Android 4.3或更低版本的系統，那么不應該使用系統原生的瀏覽器上網。如果不清楚自己智能手機的系統版本，可以通過選擇“設置|關于手機”來查看手機信息中“Android版本”的部分，如果是Android 4.4版本或更高版本，那么我們的智能手機并沒有WebView漏洞，可以不必繼續閱讀下面的內容，但如果手機上使用的不是這些安全的系統，那么請按照我們的指示堵住安全漏洞。

2、檢查更新

接下來，我們必須先確認一下設備制造商是否有給我們提供了系統更新，能夠讓我們更新到一個安全的Android版本。在“關于手機”菜單中選擇“系統更新”，如果我們能夠更新到Android 4.4以上版本，那么現在我們是安全的。如果智能手機沒有找到更新版本或者更新之后仍然低于Android 4.4版本，那么我們有兩個選擇來保護自己的安全：其一是安裝使用其他瀏覽器;其二是使用第三方定制的手機ROM自己更新系統。兩種方案相比，第二個無疑更安全，因為它可以徹底地解決問題，但是完成此項工作對于普通用戶來說并不容易，相比之下安裝使用另一個瀏覽器要簡單得多。

3、安裝其他瀏覽器

理論上講，只要是采用其他瀏覽器引擎而不需要調用WebView控件的瀏覽器都不會受到WebView安全漏洞的影響。因而，我們可以安裝一個安全的瀏覽器來繞開WebView安全漏洞，例如Chrome、Firefox、Opera和Dolphin之類的瀏覽器都可以是我們的選擇對象，但是Chrome需要特別注意，因為Google沒有為Android 4.0.4或更老的系統提供Chrome瀏覽器的更新版本，因此對于使用這些系統的用戶來說Firefox會是更好的選擇，該瀏覽器功能強大并且定期有更新。我們可以像安裝其他應用程序一樣通過Google Play商店安裝Firefox。安裝完成之后，在手機上訪問任意一個需要打開瀏覽器的內容，例如短信中的一個網絡鏈接，系統將列出當前安裝的瀏覽器供我們選擇，根據系統版本的不同，我們必須在對話框上選擇瀏覽器的同時還要選中將其設置為默認瀏覽器的復選項，或者選擇瀏覽器后單擊“始終”按鈕，嘗試定義新的瀏覽器（例如Firefox）作為系統默認使用的瀏覽器。但是，如果在訪問網絡內容時瀏覽器直接打開，并沒有顯示任何對話框，那么我們需要執行下一步驟。

4、重置系統默認瀏覽器

如果無法在打開網絡鏈接時將我們安裝的瀏覽器設置為默認瀏覽器，那么我們需要先更改一下設置，然后再進行類似的嘗試。首先，回到系統設置頁面，點擊“應用”，在列表中找到并選擇當前系統默認的瀏覽器，在隨后的菜單中滾動到“默認操作”部分，選擇“清除默認操作”。接下來，我們可以再次嘗試步驟3自定義默認瀏覽器的操作。除此之外，如果嘗試仍然失敗，則可以通過“應用”打開應用程序列表，點擊右上角的菜單，選擇“重置應用偏好設置”來重置系統中所有默認應用程序的設置，然后再次嘗試自定義默認瀏覽器。

5、為應用程序指定外部瀏覽器

除了設置系統默認瀏覽器之外，為了安全起見我們還應該為需要打開網頁的應用程序指定外部瀏覽器，避免它們調用WebView組件來顯示網頁內容。以Facebook的應用程序為例，我們打開Facebook的應用程序，點擊菜單圖標，向下滾動屏幕，在“設置”部分找到并點擊“應用程序設置”，在“設置”頁面上打開“用外部應用打開鏈接”選項。在這一設置下，瀏覽器將嘗試通過外部的瀏覽器打開網頁內容，而系統默認的瀏覽器將作為首選。

自己更新Android

通過使用安全的瀏覽器，我們可以避免因系統的WebView漏洞無法修復而導致出現的嚴重問題，但是由于WebView本身的漏洞并沒有修復，而個別應用程序仍然會通過WebView顯示廣告橫幅，所以系統還有可能會出現問題，因而不更新系統是無法徹底解決問題的。如果設備的生產商不提供更新，那么我們可以嘗試安裝一個第三方的Android定制系統，也就是所謂的定制ROM。

Root需要小心

由于目前定制ROM的開發者社區發展得比較好，定制ROM的版本更新很快，通常都是以很新的Android版本為基礎打造的ROM，所以通過定制ROM來堵住WebView的安全漏洞絕對沒有問題。不過，使用定制ROM用戶必須能夠獲得設備的Root權限，也就是所謂的管理員權限，能夠完全掌握設備的控制權。通常制造商都不會提供這樣的權限給用戶，他們有一個很好的理由：獲得Root權限的用戶可以完全控制設備，那么在最壞的情況下系統可能會被錯誤地修改而導致智能手機或平板電腦無法工作。

這就是為什么許多設備制造商規定，用戶Root設備將失去售后服務。但是很多時候用戶都是被迫無奈才會對設備進行所謂的Root，例如WebView的安全漏洞沒有得到更新等問題。而在對設備進行Root時，最大的障礙是不同制造商的設備以及同一制造商不同型號的設備或者同一制造商同一型號的設備，由于系統版本不同，所以Root的方法也有差異。

互聯網可以提供幫助

幸好，強大的互聯網可以為我們提供幫助，以手機品牌、型號加上Root作為關鍵字，我們可以迅速找到如何Root當前設備的詳細資料。除此之外，還有大量的應用程序可以為我們提供幫助，各種所謂的“一鍵Root”的程序有的可以安裝在智能手機上直接運行進行Root，有的需要安裝在電腦上，然后將智能手機連接到電腦上，通過軟件自動Root，簡單易用。

需要注意到是，Root和安裝第三方的定制ROM雖然通常不會帶來什么嚴重的問題，但是仍然建議在開始操作之前，提前通過互聯網收集一下相關的信息，了解清楚使用同一設備的用戶是否曾經在Root和安裝我們準備安裝的ROM后出現的問題及解決辦法，如果解決問題需要特殊的軟件，那么也應該提前做好準備。另外，安裝定制ROM將完全清除原來的系統，設備將重置到出廠狀態，所以我們必須在操作之前備份所有的重要數據。

通常，安裝一個定制ROM需要比較多的步驟，但是如果選擇的是CyanogenMod，那么可以考慮通過它的安裝程序進行安裝，它將自動執行所有必要的步驟。問題是安裝程序僅適用于Galaxy和Nexus系列等少數的智能手機。不過，我們仍然可以通過wiki.cyanogenmod.org根據安裝指令手動進行安裝，由于CyanogenMod簡單易用并且操作界面友好，所以對于首次安裝定制ROM的用戶來說特別合適。

相關信息

不安全的Android版本

WebView安全漏洞影響Android 4.3版本以前所有的Android版本，約占世界各地活躍的Android設備的60%左右。舊的設備得不到更新，很大原因是由于很多設備無法獲得新版本的操作系統，生產廠商更愿意簡單地賣新設備而不愿意為舊設備提供更新。

最流行的Android定制ROM

CyanogenMod

支持最多的設備，最新的穩定版本CyanogenMod 11基于Android 4.4，獲取軟件和更多相關的資訊可以訪問cyanogenmod.org。

OmniROM

一個CyanogenMod開發人員在CyanogenMod項目商業化后創立的ROM，基于Android 4.4。支持三星、HTC和LG的部分設備，更多資訊可以訪問omnirom.org。

Paranoid Android

用戶界面的設計為用戶提供了很大的自由度，按照官方的信息可以支持近20種設備，非正式信息為60種設備，更多相關的資訊可以訪問其網站aospa.co。

SlimROM

另類的Android純粹主義者版本，對純粹主義者來說，性能比一切都重要。獲取最新版本slimkat（4.4）可訪問slimroms.net。

iOS注意事項

蘋果公司非常希望在用戶心目中樹立一個iOS操作系統不具備任何安全隱患的形象，因此，不久之前明確禁止在App Store中發布防病毒應用程序，原因是類似的應用程序可能會導致用戶懷疑iOS有病毒。由于蘋果公司都有應用程序的檢查，比Google公司更嚴格，而且正常情況下用戶只能夠通過App Store下載應用程序，因而，iPhone和iPad基本上沒有出現什么破壞性的應用程序，但是這并不意味著iOS是沒有漏洞的，在更新到8.3最新版本時蘋果公司發布的更新信息顯示修復近60個安全漏洞，其中包括瀏覽器引擎WebKit的安全漏洞，該漏洞導致關鍵字可以通過遠程代碼執行攻擊。

幸運的是蘋果公司的大部分設備都能夠獲得最新的系統更新，即使設備已經很舊。當然，這可能產生舊設備運行緩慢等另外的一些問題，但是總的來說安全漏洞可以得到很好的解決。拒絕更新或者是已經越獄的iOS設備仍然存在風險。

值得注意到是，iOS開發者克雷格發現，和Android一樣iOS的WebView也存在一些問題，在iOS中WebView同樣用于應用程序顯示網頁內容，不過蘋果使用的WebKit引擎比Google的版本要穩定一些，只是應用程序顯示網站時將能夠經由WebView獲得用戶輸入到網站的數據，理論上講這種機制可以被攻擊者利用，因此克雷格建議輸入敏感數據時應該切換到Safari瀏覽器中再進行操作。

安全的Windows Phone

基本上，Windows Phone很少出現安全問題，即使此前發現的安全漏洞，也沒有被實際利用過。這是因為該操作系統的市場占有率非常小，只有約2.5%，這使得黑客覺得攻擊該系統沒有意義。

另一個原因在于，微軟對于應用程序的安全性要求比較高。根據AV-TEST的安全專家麥克·摩根斯坦的研究，微軟對于應用程序的檢查比蘋果公司更嚴格，并且不同于臺式機，微軟對于Windows Phone應用程序的運行方式有嚴格的限制。即使一個人能夠訪問到應用程序，也無法攻擊系統。此外，微軟還對移動設備系統定期進行更新，所以對于安全意識比較高的用戶來說，Windows Phone是一個不錯的選擇。

相關信息

近四分之一的蘋果設備不安全

最新的iOS 8.3是唯一安全的版本，但是所有使用中的蘋果移動設備約有22%沒有得到更新。

不通過應用程序登錄網站

在Mydealz應用程序中打開Saturn網站，問題來了，iOS的Web視圖模塊將允許該應用讀取輸入到網站中的所有數據，其他打開網站的應用程序都是如此，所以我們不應該通過應用程序打開并登錄網站，特別是在輸入敏感信息之前，必須切換到Safari瀏覽器進行操作。

IE瀏覽器移動版是安全的

在電腦上Internet Explorer（IE）不可能被認為是最安全的瀏覽器，但是在Windows Phone中則不同：通過應用程序和瀏覽器下載文件是導致智能手機出現安全漏洞的根源，而Windows Phone不會出現類似的問題，因為它的應用程序只能從官方的應用商店下載。