超過一半的Android設(shè)備都存在著一種非常危險(xiǎn)的安全漏洞，通過它黑客可以看到我們的郵件，甚至遠(yuǎn)程控制我們的智能手機(jī)。最糟糕的是，該漏洞影響包括Google公司在內(nèi)絕大多數(shù)制造商的設(shè)備，而Google公司已經(jīng)明確不會(huì)為此推出補(bǔ)丁，只會(huì)在新的系統(tǒng)中修復(fù)這一漏洞，但是受影響的設(shè)備中有部分設(shè)備已經(jīng)無法獲得系統(tǒng)更新。

這一安全漏洞源自于Android的WebView控件，影響Android 4.3以及其他更低的版本。該控件基于開源的瀏覽器引擎Webkit，在Android中它相當(dāng)于是系統(tǒng)原生的瀏覽器，其他的應(yīng)用程序?qū)⑼ㄟ^調(diào)用WebView顯示網(wǎng)頁或廣告橫幅。然而，該控件的接口很容易受到所謂的通用跨站點(diǎn)腳本攻擊。攻擊者將可能會(huì)操縱網(wǎng)站并在用戶登錄到Web郵件時(shí)讀取用戶的電子郵件。要實(shí)現(xiàn)這一攻擊，攻擊者只需讓用戶通過被操縱的網(wǎng)頁訪問網(wǎng)站即可。安全專家托德·比爾茲利也發(fā)現(xiàn)，通過該漏洞黑客甚至可以完全訪問設(shè)備和悄悄地切換麥克風(fēng)或攝像頭。

當(dāng)前仍在使用中的Android設(shè)備至少有60%受到該漏洞的影響，然而，這些設(shè)備的用戶不能夠指望從Google或者生產(chǎn)廠商那里獲得這方面的幫助。因?yàn)镚oogle公司認(rèn)為該問題已經(jīng)在Android4.4版本以及更高的版本中被修復(fù)了，用戶可以通過更新來解決這一問題。但是，事實(shí)上許多舊設(shè)備并不能夠獲得系統(tǒng)的更新，對(duì)于生產(chǎn)廠商來說，他們更愿意賣新的設(shè)備，而不是為舊設(shè)備提供更新。在這種情況下，我們必須自己采取行動(dòng)。實(shí)際上，該漏洞也同樣影響一直在安全性方面“自吹自擂”的iOS系統(tǒng)，只是危險(xiǎn)性沒有Android那么嚴(yán)重。下面，CHIP將幫助大家自己動(dòng)手解決這一問題。

更換瀏覽器

要避免受到WebView安全漏洞的影響，我們除了需要注意自己的操作系統(tǒng)版本之外，還需要注意自己所使用的瀏覽器版本。因?yàn)槿绻麨g覽器同樣使用有問題的瀏覽器引擎來打開網(wǎng)頁，那么它同樣存在漏洞，同樣有可能為黑客打開大門。

1、檢查Android版本

首先，我們需要檢查自己的智能手機(jī)上安裝的是否是容易受到攻擊的Android版本，從Android 2.2（Froyo）到Android 4.3（Jelly Bean）都是不安全的。這些系統(tǒng)中原生的瀏覽器采用存在缺陷的WebKit引擎，脆弱的WebView控件也在其中。從Android 4.4版本開始，Android瀏覽器的WebView控件開始采用基于Blink引擎的版本，該控件目前被認(rèn)為是安全的，Chrome瀏覽器目前也是使用該引擎。因此，如果我們的智能手機(jī)使用一個(gè)Android 4.3或更低版本的系統(tǒng)，那么不應(yīng)該使用系統(tǒng)原生的瀏覽器上網(wǎng)。如果不清楚自己智能手機(jī)的系統(tǒng)版本，可以通過選擇“設(shè)置|關(guān)于手機(jī)”來查看手機(jī)信息中“Android版本”的部分，如果是Android 4.4版本或更高版本，那么我們的智能手機(jī)并沒有WebView漏洞，可以不必繼續(xù)閱讀下面的內(nèi)容，但如果手機(jī)上使用的不是這些安全的系統(tǒng)，那么請(qǐng)按照我們的指示堵住安全漏洞。

2、檢查更新

接下來，我們必須先確認(rèn)一下設(shè)備制造商是否有給我們提供了系統(tǒng)更新，能夠讓我們更新到一個(gè)安全的Android版本。在“關(guān)于手機(jī)”菜單中選擇“系統(tǒng)更新”，如果我們能夠更新到Android 4.4以上版本，那么現(xiàn)在我們是安全的。如果智能手機(jī)沒有找到更新版本或者更新之后仍然低于Android 4.4版本，那么我們有兩個(gè)選擇來保護(hù)自己的安全：其一是安裝使用其他瀏覽器;其二是使用第三方定制的手機(jī)ROM自己更新系統(tǒng)。兩種方案相比，第二個(gè)無疑更安全，因?yàn)樗梢詮氐椎亟鉀Q問題，但是完成此項(xiàng)工作對(duì)于普通用戶來說并不容易，相比之下安裝使用另一個(gè)瀏覽器要簡單得多。

3、安裝其他瀏覽器

理論上講，只要是采用其他瀏覽器引擎而不需要調(diào)用WebView控件的瀏覽器都不會(huì)受到WebView安全漏洞的影響。因而，我們可以安裝一個(gè)安全的瀏覽器來繞開WebView安全漏洞，例如Chrome、Firefox、Opera和Dolphin之類的瀏覽器都可以是我們的選擇對(duì)象，但是Chrome需要特別注意，因?yàn)镚oogle沒有為Android 4.0.4或更老的系統(tǒng)提供Chrome瀏覽器的更新版本，因此對(duì)于使用這些系統(tǒng)的用戶來說Firefox會(huì)是更好的選擇，該瀏覽器功能強(qiáng)大并且定期有更新。我們可以像安裝其他應(yīng)用程序一樣通過Google Play商店安裝Firefox。安裝完成之后，在手機(jī)上訪問任意一個(gè)需要打開瀏覽器的內(nèi)容，例如短信中的一個(gè)網(wǎng)絡(luò)鏈接，系統(tǒng)將列出當(dāng)前安裝的瀏覽器供我們選擇，根據(jù)系統(tǒng)版本的不同，我們必須在對(duì)話框上選擇瀏覽器的同時(shí)還要選中將其設(shè)置為默認(rèn)瀏覽器的復(fù)選項(xiàng)，或者選擇瀏覽器后單擊“始終”按鈕，嘗試定義新的瀏覽器（例如Firefox）作為系統(tǒng)默認(rèn)使用的瀏覽器。但是，如果在訪問網(wǎng)絡(luò)內(nèi)容時(shí)瀏覽器直接打開，并沒有顯示任何對(duì)話框，那么我們需要執(zhí)行下一步驟。

4、重置系統(tǒng)默認(rèn)瀏覽器

如果無法在打開網(wǎng)絡(luò)鏈接時(shí)將我們安裝的瀏覽器設(shè)置為默認(rèn)瀏覽器，那么我們需要先更改一下設(shè)置，然后再進(jìn)行類似的嘗試。首先，回到系統(tǒng)設(shè)置頁面，點(diǎn)擊“應(yīng)用”，在列表中找到并選擇當(dāng)前系統(tǒng)默認(rèn)的瀏覽器，在隨后的菜單中滾動(dòng)到“默認(rèn)操作”部分，選擇“清除默認(rèn)操作”。接下來，我們可以再次嘗試步驟3自定義默認(rèn)瀏覽器的操作。除此之外，如果嘗試仍然失敗，則可以通過“應(yīng)用”打開應(yīng)用程序列表，點(diǎn)擊右上角的菜單，選擇“重置應(yīng)用偏好設(shè)置”來重置系統(tǒng)中所有默認(rèn)應(yīng)用程序的設(shè)置，然后再次嘗試自定義默認(rèn)瀏覽器。

5、為應(yīng)用程序指定外部瀏覽器

除了設(shè)置系統(tǒng)默認(rèn)瀏覽器之外，為了安全起見我們還應(yīng)該為需要打開網(wǎng)頁的應(yīng)用程序指定外部瀏覽器，避免它們調(diào)用WebView組件來顯示網(wǎng)頁內(nèi)容。以Facebook的應(yīng)用程序?yàn)槔?，我們打開Facebook的應(yīng)用程序，點(diǎn)擊菜單圖標(biāo)，向下滾動(dòng)屏幕，在“設(shè)置”部分找到并點(diǎn)擊“應(yīng)用程序設(shè)置”，在“設(shè)置”頁面上打開“用外部應(yīng)用打開鏈接”選項(xiàng)。在這一設(shè)置下，瀏覽器將嘗試通過外部的瀏覽器打開網(wǎng)頁內(nèi)容，而系統(tǒng)默認(rèn)的瀏覽器將作為首選。

自己更新Android

通過使用安全的瀏覽器，我們可以避免因系統(tǒng)的WebView漏洞無法修復(fù)而導(dǎo)致出現(xiàn)的嚴(yán)重問題，但是由于WebView本身的漏洞并沒有修復(fù)，而個(gè)別應(yīng)用程序仍然會(huì)通過WebView顯示廣告橫幅，所以系統(tǒng)還有可能會(huì)出現(xiàn)問題，因而不更新系統(tǒng)是無法徹底解決問題的。如果設(shè)備的生產(chǎn)商不提供更新，那么我們可以嘗試安裝一個(gè)第三方的Android定制系統(tǒng)，也就是所謂的定制ROM。

Root需要小心

由于目前定制ROM的開發(fā)者社區(qū)發(fā)展得比較好，定制ROM的版本更新很快，通常都是以很新的Android版本為基礎(chǔ)打造的ROM，所以通過定制ROM來堵住WebView的安全漏洞絕對(duì)沒有問題。不過，使用定制ROM用戶必須能夠獲得設(shè)備的Root權(quán)限，也就是所謂的管理員權(quán)限，能夠完全掌握設(shè)備的控制權(quán)。通常制造商都不會(huì)提供這樣的權(quán)限給用戶，他們有一個(gè)很好的理由：獲得Root權(quán)限的用戶可以完全控制設(shè)備，那么在最壞的情況下系統(tǒng)可能會(huì)被錯(cuò)誤地修改而導(dǎo)致智能手機(jī)或平板電腦無法工作。

這就是為什么許多設(shè)備制造商規(guī)定，用戶Root設(shè)備將失去售后服務(wù)。但是很多時(shí)候用戶都是被迫無奈才會(huì)對(duì)設(shè)備進(jìn)行所謂的Root，例如WebView的安全漏洞沒有得到更新等問題。而在對(duì)設(shè)備進(jìn)行Root時(shí)，最大的障礙是不同制造商的設(shè)備以及同一制造商不同型號(hào)的設(shè)備或者同一制造商同一型號(hào)的設(shè)備，由于系統(tǒng)版本不同，所以Root的方法也有差異。

互聯(lián)網(wǎng)可以提供幫助

幸好，強(qiáng)大的互聯(lián)網(wǎng)可以為我們提供幫助，以手機(jī)品牌、型號(hào)加上Root作為關(guān)鍵字，我們可以迅速找到如何Root當(dāng)前設(shè)備的詳細(xì)資料。除此之外，還有大量的應(yīng)用程序可以為我們提供幫助，各種所謂的“一鍵Root”的程序有的可以安裝在智能手機(jī)上直接運(yùn)行進(jìn)行Root，有的需要安裝在電腦上，然后將智能手機(jī)連接到電腦上，通過軟件自動(dòng)Root，簡單易用。

需要注意到是，Root和安裝第三方的定制ROM雖然通常不會(huì)帶來什么嚴(yán)重的問題，但是仍然建議在開始操作之前，提前通過互聯(lián)網(wǎng)收集一下相關(guān)的信息，了解清楚使用同一設(shè)備的用戶是否曾經(jīng)在Root和安裝我們準(zhǔn)備安裝的ROM后出現(xiàn)的問題及解決辦法，如果解決問題需要特殊的軟件，那么也應(yīng)該提前做好準(zhǔn)備。另外，安裝定制ROM將完全清除原來的系統(tǒng)，設(shè)備將重置到出廠狀態(tài)，所以我們必須在操作之前備份所有的重要數(shù)據(jù)。

通常，安裝一個(gè)定制ROM需要比較多的步驟，但是如果選擇的是CyanogenMod，那么可以考慮通過它的安裝程序進(jìn)行安裝，它將自動(dòng)執(zhí)行所有必要的步驟。問題是安裝程序僅適用于Galaxy和Nexus系列等少數(shù)的智能手機(jī)。不過，我們?nèi)匀豢梢酝ㄟ^wiki.cyanogenmod.org根據(jù)安裝指令手動(dòng)進(jìn)行安裝，由于CyanogenMod簡單易用并且操作界面友好，所以對(duì)于首次安裝定制ROM的用戶來說特別合適。

相關(guān)信息

不安全的Android版本

WebView安全漏洞影響Android 4.3版本以前所有的Android版本，約占世界各地活躍的Android設(shè)備的60%左右。舊的設(shè)備得不到更新，很大原因是由于很多設(shè)備無法獲得新版本的操作系統(tǒng)，生產(chǎn)廠商更愿意簡單地賣新設(shè)備而不愿意為舊設(shè)備提供更新。

最流行的Android定制ROM

CyanogenMod

支持最多的設(shè)備，最新的穩(wěn)定版本CyanogenMod 11基于Android 4.4，獲取軟件和更多相關(guān)的資訊可以訪問cyanogenmod.org。

OmniROM

一個(gè)CyanogenMod開發(fā)人員在CyanogenMod項(xiàng)目商業(yè)化后創(chuàng)立的ROM，基于Android 4.4。支持三星、HTC和LG的部分設(shè)備，更多資訊可以訪問omnirom.org。

Paranoid Android

用戶界面的設(shè)計(jì)為用戶提供了很大的自由度，按照官方的信息可以支持近20種設(shè)備，非正式信息為60種設(shè)備，更多相關(guān)的資訊可以訪問其網(wǎng)站aospa.co。

SlimROM

另類的Android純粹主義者版本，對(duì)純粹主義者來說，性能比一切都重要。獲取最新版本slimkat（4.4）可訪問slimroms.net。

iOS注意事項(xiàng)

蘋果公司非常希望在用戶心目中樹立一個(gè)iOS操作系統(tǒng)不具備任何安全隱患的形象，因此，不久之前明確禁止在App Store中發(fā)布防病毒應(yīng)用程序，原因是類似的應(yīng)用程序可能會(huì)導(dǎo)致用戶懷疑iOS有病毒。由于蘋果公司都有應(yīng)用程序的檢查，比Google公司更嚴(yán)格，而且正常情況下用戶只能夠通過App Store下載應(yīng)用程序，因而，iPhone和iPad基本上沒有出現(xiàn)什么破壞性的應(yīng)用程序，但是這并不意味著iOS是沒有漏洞的，在更新到8.3最新版本時(shí)蘋果公司發(fā)布的更新信息顯示修復(fù)近60個(gè)安全漏洞，其中包括瀏覽器引擎WebKit的安全漏洞，該漏洞導(dǎo)致關(guān)鍵字可以通過遠(yuǎn)程代碼執(zhí)行攻擊。

幸運(yùn)的是蘋果公司的大部分設(shè)備都能夠獲得最新的系統(tǒng)更新，即使設(shè)備已經(jīng)很舊。當(dāng)然，這可能產(chǎn)生舊設(shè)備運(yùn)行緩慢等另外的一些問題，但是總的來說安全漏洞可以得到很好的解決。拒絕更新或者是已經(jīng)越獄的iOS設(shè)備仍然存在風(fēng)險(xiǎn)。

值得注意到是，iOS開發(fā)者克雷格發(fā)現(xiàn)，和Android一樣iOS的WebView也存在一些問題，在iOS中WebView同樣用于應(yīng)用程序顯示網(wǎng)頁內(nèi)容，不過蘋果使用的WebKit引擎比Google的版本要穩(wěn)定一些，只是應(yīng)用程序顯示網(wǎng)站時(shí)將能夠經(jīng)由WebView獲得用戶輸入到網(wǎng)站的數(shù)據(jù)，理論上講這種機(jī)制可以被攻擊者利用，因此克雷格建議輸入敏感數(shù)據(jù)時(shí)應(yīng)該切換到Safari瀏覽器中再進(jìn)行操作。

安全的Windows Phone

基本上，Windows Phone很少出現(xiàn)安全問題，即使此前發(fā)現(xiàn)的安全漏洞，也沒有被實(shí)際利用過。這是因?yàn)樵摬僮飨到y(tǒng)的市場占有率非常小，只有約2.5%，這使得黑客覺得攻擊該系統(tǒng)沒有意義。

另一個(gè)原因在于，微軟對(duì)于應(yīng)用程序的安全性要求比較高。根據(jù)AV-TEST的安全專家麥克·摩根斯坦的研究，微軟對(duì)于應(yīng)用程序的檢查比蘋果公司更嚴(yán)格，并且不同于臺(tái)式機(jī)，微軟對(duì)于Windows Phone應(yīng)用程序的運(yùn)行方式有嚴(yán)格的限制。即使一個(gè)人能夠訪問到應(yīng)用程序，也無法攻擊系統(tǒng)。此外，微軟還對(duì)移動(dòng)設(shè)備系統(tǒng)定期進(jìn)行更新，所以對(duì)于安全意識(shí)比較高的用戶來說，Windows Phone是一個(gè)不錯(cuò)的選擇。

相關(guān)信息

近四分之一的蘋果設(shè)備不安全

最新的iOS 8.3是唯一安全的版本，但是所有使用中的蘋果移動(dòng)設(shè)備約有22%沒有得到更新。

不通過應(yīng)用程序登錄網(wǎng)站

在Mydealz應(yīng)用程序中打開Saturn網(wǎng)站，問題來了，iOS的Web視圖模塊將允許該應(yīng)用讀取輸入到網(wǎng)站中的所有數(shù)據(jù)，其他打開網(wǎng)站的應(yīng)用程序都是如此，所以我們不應(yīng)該通過應(yīng)用程序打開并登錄網(wǎng)站，特別是在輸入敏感信息之前，必須切換到Safari瀏覽器進(jìn)行操作。

IE瀏覽器移動(dòng)版是安全的

在電腦上Internet Explorer（IE）不可能被認(rèn)為是最安全的瀏覽器，但是在Windows Phone中則不同：通過應(yīng)用程序和瀏覽器下載文件是導(dǎo)致智能手機(jī)出現(xiàn)安全漏洞的根源，而Windows Phone不會(huì)出現(xiàn)類似的問題，因?yàn)樗膽?yīng)用程序只能從官方的應(yīng)用商店下載。