如何偵測並移除手機上的 Spyware
Spyware 可在你的 iPhone 或 Android 上靜默運作數月。了解如何識別警示信號、調查疑似感染,以及移除 spyware 和防止再次感染的步驟。
Spyware 可在你的 iPhone 或 Android 上靜默運作數月。了解如何識別警示信號、調查疑似感染,以及移除 spyware 和防止再次感染的步驟。
手機 spyware 的設計是隱形的。與 ransomware 不同——ransomware 會立即宣告自己的存在——spyware 對攻擊者的價值完全取決於受害者不知道它的存在。最複雜的 spyware,例如商業級監控工具,可以在現代硬件上運作數月而不產生任何明顯症狀。然而,大多數 spyware 和 stalkerware 工具會留下行為痕跡,當被注意並調查時,可以揭示感染。
電池耗盡是後台監控活動最可靠的指標之一。Spyware 持續監控麥克風和相機、定期透過網絡傳輸數據,並處理位置更新——即使手機螢幕關閉,所有這些都會消耗電池電量。之前能撐一整天但現在到下午初就需要充電的手機,在使用習慣或最近安裝的合法應用程式沒有任何變化的情況下,值得調查。同樣,閒置時(面朝下放在桌子上)明顯發熱的手機,可能正在後台處理惡意代碼。
流動數據使用量激增是另一個關鍵指標。傳輸通話錄音、訊息內容或持續位置更新的 spyware 會產生可在月度使用統計中看到的可測量數據流量。在運營商應用程式或「設定」→「流動網絡」(iOS)/「設定」→「網絡」→「數據使用量」(Android)中查看,尋找在後台消耗數據但你預期不會使用流動數據的應用程式。消耗數百兆字節的未知應用程式或系統進程是嚴重的警示信號。
如果你注意到警示信號,系統性調查可以幫助確認或排除感染。從所有已安裝應用程式的完整審查開始。在 iPhone 上,前往「設定」→「一般」→「iPhone 儲存空間」,審查列出的每個應用程式。在 Android 上,前往「設定」→「應用程式」→「查看所有應用程式」——關鍵是還要查看「設定」→「應用程式」→「三點選單」→「顯示系統應用程式」,以顯示可能從預設列表中隱藏的應用程式。尋找任何不熟悉的內容,尤其是具有通用名稱(例如「系統服務」、「手機管理員」、「裝置健康」)且你不記得安裝的應用程式。
對於 iOS,如果已啟用,請在「設定」→「私隱與安全性」→「應用程式私隱報告」中查看過去一週哪些應用程式存取了你的相機、麥克風、通訊錄和位置。任何在意外時間存取麥克風或相機的應用程式都值得進一步調查。在 Android 上,私隱儀表板(「設定」→「私隱」→「私隱儀表板」)提供類似功能。此外,審查配置描述檔(iOS),在「設定」→「一般」→「VPN 與裝置管理」——任何未知的描述檔都可以用來安裝根憑證,允許 HTTPS 流量攔截。
對於在 Android 上進行更技術性的調查,在開發者選項中審查正在運行的進程(「設定」→「關於手機」→點選「版本號碼」7次→「開發者選項」→「正在運行的服務」)可顯示所有活躍的後台進程。CPU 或記憶體使用量高的未知服務值得懷疑。對於有理由相信自己可能被複雜的國家支援 spyware 針對的 iPhone 用戶(記者、社運人士、高管),Apple 的「封閉模式」是一種有意義的防禦——它大幅限制了零點擊漏洞利用可用的攻擊面。
移除 spyware 的方法取決於其類型和複雜程度。對於 stalkerware 類型的應用程式——透過實體存取安裝的商業監控工具——識別並刪除特定應用程式通常已足夠。然而,對於可能已利用作業系統漏洞嵌入系統進程的更複雜 spyware,或在任何無法自信識別並移除特定 malware 的情況下,恢復原廠設定是最可靠的修復方法。
在 iPhone 上執行恢復原廠設定之前,請確保你有 iCloud 備份或 iTunes/Finder 中的加密本地備份。如果可能,從已知的乾淨狀態進行備份——理想情況下在你注意到感染的當天,或從早於任何可疑症狀的舊備份中進行。重設後,從備份恢復而非進行全新設定,除非你有理由相信備份本身已被入侵。iOS 恢復原廠設定:「設定」→「一般」→「傳輸或重置 iPhone」→「清除所有內容和設定」。
在 Android 上,恢復原廠設定在「設定」→「一般管理」→「重置」→「恢復原廠數據」執行。重設後,避免重新安裝可能是感染媒介的來自未知來源或側載的 APK 的應用程式。如果你懷疑感染是透過對你裝置的實體存取引入的——有人在你的手機解鎖時秘密安裝了 stalkerware——請在重設後立即更改鎖定螢幕 PIN 碼並啟用生物特徵認證。如果裝置是企業裝置,請通知你的 IT 部門,以便他們調查其他裝置是否也可能被入侵。
大多數手機 spyware 感染——尤其是 stalkerware——需要對解鎖裝置的實體存取,或受害者自願安裝惡意應用程式(通常透過 phishing 攻擊或社會工程學)。這兩種攻擊媒介都可以透過持續應用基本安全做法來預防。實體安全、只運行來自官方商店的應用程式,以及保持更新的手機,對絕大多數 spyware 攻擊具有高度抵抗力。
裝置的實體安全是預防 stalkerware 的最重要措施。將手機放在你身上或鎖定的地方——在任何你有理由擔心秘密存取的環境中,切勿將其解鎖且無人看管。當你必須短暫離開手機時,手動鎖定它,而非依賴自動鎖定計時器。使用強效的 PIN 碼或密碼,而非圖案鎖定,因為圖案鎖定通常可從螢幕上的手指污跡推斷出來。
對於透過網絡傳遞的 spyware,關鍵的預防措施是:保持 iOS 或 Android 完全更新以修補已知漏洞;只從 App Store 或 Google Play 安裝應用程式;切勿點擊 SMS、電郵或通訊應用程式中你未特別期待的連結;以及使用手機 VPN 加密你的流量並防止網絡級注入攻擊。對於高風險類別的用戶——高管、記者、法律專業人士、社運人士——啟用 iOS 封閉模式可提供額外保護,防止不需要任何用戶操作的零點擊攻擊。
