NoVoice恶意软件通过Google Play感染230万台安卓设备
一种名为NoVoice的新型安卓恶意软件在悄然绕过官方安卓应用商店Google Play的审核后,已感染超过230万台设备。该恶意软件利用旧版安卓系统中的已知漏洞获取root权限,并专门针对WhatsApp窃取用户数据。此次大规模感染事件引发了严峻质疑——当经过审核的应用商店也无法提供可靠保障时,用户究竟该如何保护自身安全。
NoVoice如何入侵您的设备
NoVoice成功上架Google Play,这意味着数百万用户在误以为下载的是正规应用的情况下安装了它。安装完成后,该恶意软件利用旧版安卓系统中未修补的漏洞提升权限并获取root访问权限。root权限至关重要,因为它赋予攻击者与操作系统本身相同级别的设备控制权。凭借这一权限,恶意软件可以读取文件、拦截通信,并绕过原本能阻止未授权访问的安全控制机制。
该恶意软件的主要攻击目标是WhatsApp。通过root权限,NoVoice可以读取设备上存储的WhatsApp消息数据库,访问通过该应用分享的媒体文件,并有可能提取账户凭据。对于数百万将WhatsApp用于个人交流、财务讨论或敏感通信的用户而言,这对其隐私构成了直接威胁。
为何旧版安卓漏洞至今仍构成威胁
此次攻击活动中更令人忧虑的一点是,NoVoice利用的是已知旧漏洞,而非零日漏洞。这些安全缺陷早已公开披露,谷歌也已发布补丁进行修复,有些甚至已过去数年。该恶意软件之所以仍能奏效,是因为相当一部分安卓用户仍在运行过时的软件。
造成这一现象的原因是多方面的:部分设备制造商推送安全更新的速度迟缓;较旧的手机可能已完全停止接收更新;许多用户也不能及时安装更新,原因或是习惯使然,或是设备并未以清晰的方式提示更新。其结果是形成了一个持续存在的攻击面,即便底层漏洞已广为人知,恶意软件作者依然能够屡屡得手。
NoVoice在被检测发现之前已积累了230万次下载,这一事实也暴露了应用商店自动审核机制的局限性。谷歌内置的恶意软件扫描系统Google Play Protect未能及时识别该威胁,以致感染大范围扩散。
这对您意味着什么
如果您使用安卓设备,尤其是近期未曾更新的设备,此次事件正是重新审视自身安全状况的契机。NoVoice事件揭示了以下几点:
- 应用商店并非万无一失。 官方分发渠道能降低风险,但无法消除风险。恶意软件确实会通过正规应用商店抵达用户手中。
- root级别的访问权限会改变一切。 一旦恶意软件在您的设备上获得root权限,许多常规防护措施便会失效。威胁不再只是一个应用越权请求权限,而是一段几乎拥有完全控制权的软件。
- 即时通讯应用是高价值攻击目标。 WhatsApp在本地存储了大量敏感个人数据,使其成为任何能够访问文件系统的恶意软件的诱人目标。
- 未修补的设备面临叠加风险。 每一个未被修补的漏洞都是一扇敞开的大门,攻击者可以反复穿越,NoVoice正是明证。
近期安装过陌生应用,或长时间未更新安卓软件的用户,应立即运行安全扫描并检查已安装的应用程序。如果您通过WhatsApp进行敏感通信,请注意,存储在已受攻击设备上的本地数据可能已遭访问。
降低风险的实际操作步骤
NoVoice恶意软件攻击事件提醒我们,移动安全需要持续关注,而非一次性的单一行动。以下几个实际步骤可以有效降低您的风险敞口:
保持安卓软件更新。 安全补丁正是针对NoVoice所利用的此类漏洞而发布的。如果您的设备支持,请开启自动更新,并定期检查设备是否存在未自动安装的更新。
定期检查应用权限。 进入设备设置,审查哪些应用拥有存储、通讯录、麦克风等敏感权限的访问权。撤销一切不必要的权限授予。
对安装内容保持审慎。 即便是在Google Play上,安装应用前也应留意下载量、用户评价、开发者信誉以及应用上架时间。发布时间较短、历史记录有限的新应用风险更高。
尽可能使用加密通讯工具。 虽然加密无法保护已存储在受攻击设备上的数据,但端对端加密通讯应用能够限制传输过程中可能遭到拦截的信息。
考虑使用移动安全应用。 多家信誉良好的安全厂商提供安卓安全应用,可扫描恶意软件并标记可疑行为,在操作系统内置防护之外提供额外的检测层。
与NoVoice相关的230万次感染,是移动安全被视为可有可无时所产生后果的直观印证。运行过时软件的安卓用户,或对应用安装缺乏审慎态度的用户,依然面临与此次攻击如出一辙的威胁。保持软件更新,并以审慎态度对待应用安装,是普通用户可采取的最有效防御手段之一。
