最容易被放过的权限,别再问“哪里有官网”了:一定要关掉这个权限
很多人习惯把手机当作万能钥匙,随手安装各种“有用”的小工具。可正是有一个权限,最容易被大家忽视、最容易被恶意软件利用——那就是 Android 的“无障碍服务(Accessibility Service)”权限。别再以为问“哪里有官网”就能万无一失:有了这个权限,任何会欺骗界面的应用都能在你的手机上演戏,伪装成官网、伪装成系统弹窗,悄悄完成你的操作。
这权限到底能干什么?
- 无障碍服务本来是为了帮助视力或行动不便的用户(例如读屏、自动化操作、辅助点击)而设计,权限非常强:可以读取屏幕内容、监听触摸和按键、模拟点击、在其他应用上执行操作、监测通知等。
- 恶意应用拿到它后,就能自动填写并提交表单、模拟确认下载与安装、读取并窃取验证码或敏感信息,甚至把自己的界面叠加在官方界面之上,骗你输入账号密码。
常见滥用场景(别掉以轻心)
- 银行或支付类木马:利用无障碍自动在后台操作转账、批准支付或更改设置。
- 钓鱼覆盖(overlay)+ 无障碍:先用覆盖层伪装官网登录页,再用无障碍读取你输入的内容或自动点击“登录”。
- 自动授权恶意安装:在你不知情时自动点击“安装”或“允许”按钮,安装更多有害软件。
- 窃取通知和验证码:结合通知监听,直接读取短信或验证码,绕过短信双因素验证。
为什么大家会轻易放过这个权限? 很多应用会用“要更好使用体验”“需要辅助功能才能运行”之类理由来请求无障碍权限。看到“能更方便地帮你自动化操作”的说明,很多人就直接开了。再加上普通用户对系统设置不熟悉,检查权限也不常做,结果给了攻击面。
如何检查并关闭(以常见 Android 手机为例)
- 检查方法一:设置 -> 无障碍(Accessibility) -> 在“服务”或“已安装的服务”里,查看哪些应用被允许使用无障碍功能,逐一关闭你不信任或不认识的。
- 检查方法二:设置 -> 应用和通知 -> 高级 -> 特殊应用访问 -> 无障碍访问权限,逐项核查。
- 如果发现可疑应用同时没有在主屏幕或应用列表中显示,但又有权限,立刻卸载并复查系统安全设置。
- 确认关闭后,重启手机让设置生效。
被滥用的迹象(若出现,赶紧处理)
- 手机出现莫名其妙的弹窗或自动跳转页面。
- 短时间内电量或流量异常下降,后台有不明应用活跃。
- 账号频繁出现异常登录或收到安全提示。
- 应用自动执行点击、弹出授权窗口时被自动同意。
更安全的替代方案与习惯
- 只有在明确知道用途且来自可信来源(例如官方应用、知名厂商)时,才授予无障碍权限;授予前想一想:这个功能真的需要模拟点击或读取屏幕吗?
- 用官方渠道下载应用(Google Play,厂商应用商店),并看清应用权限说明与评论。
- 对于自动填充、密码管理等功能,优先使用主流密码管理器或系统自带的 Autofill,而不是随便给未知应用无障碍权限来做“自动填充”。
- 将双因素认证由短信改为基于应用的(如 Google Authenticator、Authenticator)或硬件钥匙,减少短信验证码被截取的风险。
- 定期检查权限(建议每月一次),卸载不常用或不明来源的应用,开启 Play Protect 或等效安全功能。
- 若怀疑设备被攻破,先断网,卸载可疑应用,必要时备份并恢复出厂设置。
结语 这个权限比绝大多数人想象的更危险。知道官网在哪里没有错,但在权限面前,做到“不给可疑应用任何机会”更管用。现在就花两分钟去手机设置里看一眼无障碍服务,关掉那些不应该有的权限,并告诉身边的朋友:别再问“哪里有官网”了,先关掉这个权限。
