一位网安工程师的提醒,别再问“哪里有入口”了:一定要关掉这个权限;一定要关掉这个权限
标题不是危言耸听,很多安全事故的“入口”并非高深的漏洞,而是我们日常设备和账号里那些默认开启、权限过大的功能。作为一名网安工程师,见得最多的是攻击者通过不必要的权限、开放的服务或松散的共享设置一步步把门打开。下面列出最常被忽视但必须立刻关闭或收紧的项,以及实际可操作的检查清单,帮助你把常见入口一一关上。
关键权限与服务(为什么要关、怎么关)
-
无障碍权限(Accessibility)
-
为什么:一旦被滥用,可读取屏幕、模拟操作、绕过输入限制,手机银行木马常借此窃取控制权。
-
怎么做:Android—设置 > 应用 > 无障碍,移除不信任应用的无障碍权限;iOS—设置 > 辅助功能,检查第三方软件是否有异常访问需求。
-
设备管理/安装未知来源(Device Admin / Install unknown apps)
-
为什么:攻击者可通过此权限让恶意软件获得更高权限或阻止卸载。
-
怎么做:Android—设置 > 安全 > 安装未知应用,关闭来源;检查设备管理器(设备管理员应用),撤销不必要的管理员权。
-
开发者选项与USB调试
-
为什么:USB调试开启时,物理或部分远程访问即可执行命令、安装应用或导出数据。
-
怎么做:Android—设置 > 关于手机 > 连续点Build number关闭开发者选项,或直接在开发者选项中关闭USB调试。
-
相机、麦克风、位置、文件存取等敏感权限
-
为什么:大量应用请求远超功能所需的权限,窃取隐私或作为长期监听渠道。
-
怎么做:Android—设置 > 应用 > 权限;iOS—设置 > 隐私,逐个应用检查并关闭非必须权限。
-
应用在后台自启与后台刷新
-
为什么:后台运行的恶意进程可持续联网、同步数据或发动侧信道攻击。
-
怎么做:在系统的电池或应用管理里禁止不必要的自启/后台活动。
-
浏览器扩展与插件
-
为什么:扩展能访问网页内容、注入脚本、截取表单数据。
-
怎么做:仅保留可信扩展,定期审计并删除不常用或来源不明的扩展;浏览器内核更新后也要同步检查兼容扩展。
-
远程桌面、SSH、RDP、SMBv1 等远程服务
-
为什么:开放的远程服务是入侵者常用入口,老旧协议(如SMBv1)有已知高危漏洞。
-
怎么做:不使用时关闭RDP/SSH端口;在路由器和服务器上禁用SMBv1;对必须远程访问的服务使用VPN和强认证。
-
云端共享链接与第三方OAuth授权
-
为什么:误设为“任何人有链接即可访问”的文件分享,以及授予第三方过大权限,会把数据直接暴露出去。
-
怎么做:云盘审查所有公开链接,更改为仅指定账号可访问;审查并撤销不必要的第三方应用授权(Google/Dropbox/Slack等)。
-
家庭与路由器设置(UPnP、WPS、远程管理)
-
为什么:UPnP会自动为内部设备映射端口,WPS弱密码模式易被暴力破解,路由器远程管理若默认密码未改就是活门。
-
怎么做:关闭UPnP、禁用WPS、关闭路由器的远程管理功能,修改默认管理员密码并定期更新固件。
日常安全检查清单(建议今天就做)
- 检查并撤销手机上可疑的无障碍与设备管理员权限。
- 关闭开发者选项和USB调试(若不常用)。
- 清理应用权限:相机、麦克风、位置、短信、联系人等按需开启。
- 审计云盘的共享链接与第三方OAuth授权,删除不必要的公开链接。
- 在路由器上关闭UPnP与WPS,更新固件并修改默认密码。
- 禁用不必要的远程服务(RDP/SMBv1/SSH端口)或放到VPN内部访问。
- 审查浏览器扩展,删除来源不明或不再使用的扩展。
更进一步的防护(加分项)
- 开启多因素认证(MFA),优先对邮箱、云盘、远程访问服务启用。
- 使用密码管理器并为每个账号设定独特强密码。
- 定期打补丁:操作系统、应用、路由器固件都要保持最新。
- 备份关键数据并验证可恢复性。
- 对企业或团队环境,实施最小权限原则、定期审计权限与日志、启用异常行为告警。
结语 攻击者不需要“万能入口”,他们只需要你忽视的那一扇门。把这些常被放开的权限和服务关掉,等于是把通向你数据和设备的几扇门先锁好。把上面的清单当作日常保养的项目,把最危险的三项(无障碍权限、设备管理员/未知来源安装、USB调试)作为第一优先。做完这些,问“哪里有入口”的人会少很多,安全的边际成本也会急剧下降。
需要按系统的具体操作步骤(Android/iOS/Windows/macOS/路由器)吗?我可以把每个平台的逐步设置写成一份可直接照着执行的指南。
