移动设备需警惕 陷阱就在你我身边

移动设备的崛起，让我们彻底摆脱了源自PC（台式机）的束缚，无论是购物、游戏、上网、视频、看书还是简单的文字处理都能在小小的手机屏幕上搞定。然而，就在我们享用移动设备便捷大餐的同时，也需要留意随之而来的安全陷阱。毕竟，我们的身家都已与手机绑定，一荣皆荣一损皆损。

隐藏在公共设施里的陷阱

出门在外，最尴尬的状况就是手机没电，身边也没有充电宝和充电器。此时，当一个可以免费使用的充电桩摆在你面前时，其诱惑力不言而喻。然而，在享受免费充电的同时，你是否怀疑过它们背后的安全隐患呢？

火车站里的免费福利

最近去过北京西站、天津站、石家庄站等火车站（也包括一些客运站和机场）的朋友可能都见过一项免费的“福利”：在很多醒目的地方都树立着可供很多人免费使用的充电桩（图1）。对于手机电力即将告罄且苦于没有任何补救措施的用户而言，充电桩就意味着救世主。

令人欣喜的是，这些充电桩同时提供了Micro USB和Lightning两种接口（图2），这意味着它可同时兼容Android和iOS两大阵营的智能手机/平板电脑。这种免费的充电服务应该是件好事啊，为何要拿在这里说？

原因就是，免费充电的背后，我们同样付出了一定的代价。

高速充电是有前提条件的

这种充电桩提供了2种充电模式：普通充电和快速充电。前者的充电效率极低，10分钟仅能为一款3000mAh的Android手机充进2%左右的电力。而选择快速充电后，同样的时间手机则可能补充10%左右的电力。

面对如此迥异的差距，相信绝大多数用户都会义无反顾地选择快速充电吧？但是，想让手机进入快充模式，就需要严格按照充电桩的说明提示进行操作。简单来说，就是Android手机必须开启USB调试模式，而iPhone则必须点击信任按钮（图3）。

问题来了，当Android手机使用充电桩进行快充时，你会发现手机里被自动安装进几款软件或游戏APP，哪怕你当时并没有打开数据流量，也没有接入Wi-Fi网络。这又是怎么回事呢？

本文涉及的充电桩身上USB线另一头连接的并非电源插座，而是类似安装着手机助手或豌豆荚的PC，当我们按要求开启USB调试模式之后，这个“PC”就会自动将指定APP传输进手机里并自动安装，同时开启充电阀门，以较大的输出电流给手机充电。

安装推广APP就是免费的代价

在畅充科技的充电桩上有着这么一行信息：“用户在使用高速充电服务的同时，设备将向用户推荐几款时下最热门的手机游戏或应用产品，用户可以自行选择使用或卸载”（图4）。

这很好理解。想通过视频软件（如优酷）免费看视频，就必须忍受一段时长不等的广告。充电桩在手机里安装的APP，就是类似视频软件里推送的广告，是设备提供商的一种盈利手段。有明确的告知，用户随后也能自行卸载，属于“周瑜打黄盖”的范畴，这本身没有什么问题。

问题是，Android手机开启USB调试模式（图5）、iOS设备选择信任之后，随之而来的潜在风险却不容忽视。

开启USB调试的隐患

对Android手机来说，USB调试模式就意味着最高等级的权限。开启该功能并连接PC后，小到应用安装/卸载、文件读写、个人信息（如联系人、通话记录、照片等）的获取以及文件存储位置的更改，大到重启关机、ROOT系统、破解锁屏密码，几乎没有这台PC办不成的事儿。

如果PC端染有专门针对Android系统的病毒木马，开启USB调试模式的Android几乎是一连接就会被感染。此时，除了个人隐私有泄露风险之外，一些恶意的病毒还能判断Android手机里安装的银行和支付类APP，并用假冒的版本替换原本，同时还能拦截用户收到的验证短信，再通过服务器转发的形式窃取用户银行账户中的资金。

充电桩属于公共性质的设备，周边人员流动大（图6），存在一定的监管盲区。一旦有黑客对其进行了入侵破解，植入存在安全隐患的APP，后果可想而知。此外，如果我们为了快速充电而打开了USB调试模式，充电完毕却忘记关闭，一旦手机丢失，你的锁屏密码就形同虚设，和手机绑定的各种支付类APP都会有被盗刷的风险。

因此，越是公共场合，对于那些免费的服务我们就越应该保持足够的警惕。像需要开启USB调试模式才能享受的快充服务，只有100%确认安全的情况下才能使用。对需要经常长途外出的用户而言，随身携带充电宝或充电器才是王道。

吃流量不吐骨头的下载陷阱

虽然各大Android品牌手机都会预装自家的应用商店，但遇见一些小众应用或非APP资源时我还是习惯直接通过浏览器下载。但是，如今浏览器下载时，却往往存在着吃流量不吐骨头的下载陷阱。

最不靠谱的下载渠道

在PC上，我们寻找资源时大都直接通过浏览器搜索下载，而这一习惯自然也被很多用户延续到了手机领域。然而，如果你还觉得手机浏览器下载只是简单的“搜索→发现资源→点击下载按钮→完成”这种流程，那也就离掉进陷阱不远了。因为，浏览器下载已经逐渐成为了最不靠谱的下载渠道。

资源站点的陷阱

以安兔兔这款跑分软件为例，很多手机应用商店存在版本更新不及时的问题，所以不少用户就会尝试直接通过浏览器搜索下载（图7）。

但是，第一页的搜索结果往往是推广资源，虽然屏幕上显示的是安兔兔APP的图标，但你要是点击“下载”按钮进入下载页，在这个页面里涉及的下载按钮却都指向了百度手机助手/PP助手等APP（图8）。

换句话说，你本次下载所耗费的6MB～8MB流量就这么被浪费了（图9）。如果当前使用的是Wi-Fi还好说，但要是数据流量可就欲哭无泪了。

因此，浏览器搜索推荐的下载资源是很不靠谱的，对安兔兔这种比较知名的APP，建议大家还是直接搜索安兔兔官网，在官网寻找该APP的下载地址（图10），避免成为搜索引擎推广策略的牺牲品。

浏览器本身的陷阱

问题来了，在APP官网下载就一定靠谱了吗？答案是不一定，因为不同的浏览器都有所谓的“战略合作伙伴”，在用户选择下载时也会有意无意地将目标指向到手机助手类的APP上。以UC浏览器为例，当我们选择下载时会弹出“高速下载”和“立即下载”两个选项（图11），如果你选择了高速下载，那下载的资源都会被换成PP助手；只有点击立即下载，才能下载我们所需要的资源。

谨慎通过二维码下载

浏览器（正规网站）替换下载资源，最多是浪费我们的时间和流量，对信息财产安全的威胁不大。但是，轻信扫描二维码，我们就将面临极大的安全风险了。

在公交车站的灯箱广告、街头小贩发送的广告传单上，都会印有APP的二维码（图12），免去了用户搜索和输入下载链接地址的繁琐，手机一扫就能直接下载。此外，我们在超市或商厦门口，还会遇到所谓的关注有礼，扫描某品牌的推广二维码就能赠送纸巾、饮料等礼品，看起来是一件很占便宜的事情，但其背后潜藏的风险，你又是否注意过呢？

二维码的生成没有任何技术含量，我们可以将任意网址制作为二维码供他人扫描登录。因此，很多不法分子就将主意打到了二维码身上，将植入了病毒木马APP的下载地址或恶意网站的链接放在生成平台里，并将这些“含毒”的二维码替换到海报等公共场所的宣传二维码上，一旦有人下载就可截获手机用户的银行卡号、密码等敏感信息，进而盗刷支付宝或银行卡。

因此，我们在扫描二维码时一定要提高风险防范的意识，只有确认二维码是出自正规渠道且100%安全后再扫码（图13）。如果你不懂如何辨别，则可选择快拍二维码、360安全卫士等加入了监测功能的专业扫码工具进行二维码扫描。

手机里的链接陷阱

我们经常能收到内含网站链接的短信，这些短信或者打着10086等运营商的旗号，或者属于中奖提醒，反正内容极具诱惑力（让你点击）。然而，这些由字符串组成的网址，往往会让你陷入各种骗局。

暗藏“杀机”的链接

在网上我们经常能看到这类新闻：收到好友婚礼请柬的短信，点击里面的链接后卡里的XXXX钱就不翼而飞了（图14）。实际上，与链接相关的陷阱早已有之。比如几年前用电脑打开QQ好友发来的网址，就极易被引入暗藏病毒木马的网站，一登录就中招（代价大都是账号被盗）。只是步入移动时代后，手机被链接陷阱“坑”的流程出现了较大的变化。

简单来说，如果手机访问了某个内含病毒木马的网站，很难被直接感染。但是，在短信、QQ或其他聊天通讯界面中的链接，点击后系统会以默认浏览器打开，而这些链接陷阱对应的大都不是某个网站，而是某款APK文件的下载地址。

因此，当你点击这个链接后就自动激活了浏览器的下载功能（图15）。问题就出在这里，此时下载的APK内藏木马，一旦安装就算完成了中毒和激活木马的过程。那么，黑客又是如何利用这个APK实现盗取我们财产的呢？

APK感染的木马读取用户手机号设备串码发送给黑客→黑客使用用户手机号登录支付宝、微信、银行等APP→黑客选择忘记密码，以手机验证码的形式重置密码→木马拦截本应由用户手机接收的短信验证码，并将其发送给黑客→黑客修改密码成功→黑客重新登录支付宝等APP→重复上面操作重置支付密码→完成转账。

听起来很繁琐，但在专业人士面前，这个流程仅是分分钟的事（图16）。总之无论是前文提到的二维码陷阱，还是本章节的链接陷阱，其原理大都如此。

如何才能跳过陷阱

了解了手机中毒（木马）的原理，我们就能做到有的放矢了。而基本思路则是，不让手机偷偷摸摸地安装未经允许的应用程序（APK文件）。

比如，我们可以进入手机“设置→安全”界面，找到并关闭“未知来源”的选项（图17）。关闭它之后，当手机遇到非应用商店下载的APK文件时，在安装前会弹出禁止安装的提醒，除非你点击了“解除禁止”（图18），通常情况下安装会失败（如果手机已ROOT则可能无法阻止）。

如果你觉得这一道保险还不够用，还能进入手机“设置→应用→默认应用设置”，将默认浏览器替换成UC等第三方浏览器。而选择的标准则是，在浏览器设置中可关闭“自动安装”功能的选项（图19）。这样做的目的是，无论是二维码还是短信里的链接网址，它们都会触发默认浏览器进行下载，当我们关闭了浏览器“自动安装”的选项时，这些染毒的APK不会被静默安装，与未知来源配合能起到最大限度的安全防护作用。

源自红包的陷阱

如今，几乎所有的社交类APP都推出了抢红包功能，而很多用户每天最大的乐趣，就是和身边的朋友比比看谁抢的红包更多。如果你沉溺于疯狂抢红包的节奏中，那么距离掉进红包陷阱也就不远了。

谨慎使用红包神器

红包热催生了很多所谓的“抢红包神器”，由于这类APP不被官方认可，所以很难找到官方性质的下载渠道。问题是，从论坛、中小下载网站搜到的资源，很多抢红包神器都被植入了恶意代码，轻则读取我们的个人信息，重则直接盗取财产。因此，小编对大家的建议是，此类应用能不用就不用，如果非要使用，一定选择比较权威的下载平台。

红包变成图片陷阱

正常的红包，当我们点击红包图标后应该能直接看到红包的金额（图20），并被自动转存到钱包里。然而，现在却出现了一种“红包图片”，并以此进行盗取用户财产的案例。

简单来说，我们收到的并非钱包，而是被包装成收到钱包的图片（图21），当用户点击拆开红包后，弹出来的并非红包金额，而是直接跳转到了一个暗藏病毒木马的网页。它会提示使用QQ账号登录，但等我们登录之后则会弹出“此账户已经领取”的提示，需要换个QQ再尝试（图22）。实际上，当我们输入QQ账户信息的一瞬间，用户名密码等信息就已被这个网页记录下来了，这也就意味着你的账号已丢。

同理，微信中也不乏和红包有关的陷阱，其具体表现也是领取红包时要求输入收款人的信息，比如姓名、手机号、银行卡号等。总之，凡是需要输入个人信息才能领取的红包，都是骗人的！遇到这种红包，第一时间关闭网页基本就能避开风险，如果我们按要求输入了个人信息，或是下载安装了某个APK，那我们能做的就只剩下和黑客抢时间了。

介绍完与手机相关的陷阱，接下来我们再来看看与笔记本有关的潜在危险吧。

笔记本的选购猫腻

和手机相比，笔记本算是移动计算平台中的“大家伙”，也是保证“生产力”的最佳平台。虽然潜藏在笔记本身边的陷阱没有手机那么多，但依旧有很多细节需要我们留意。

经典的李鬼李逵骗局

手机的价格、配置相对透明，只要懂得区分山寨机和翻新机，基本不会出现什么疏漏。然而，笔记本存在各种子型号，相关的技术术语也更为复杂，这就给了商家偷梁换柱、以次充好的机会。

不久以前北京朝阳百脑汇就发生了这么一起案例。某用户指明要某电商平台19999元配置的戴尔外星人（Alienware）笔记本（图1），然而却被商家忽悠，加价换成了所谓的“外星人高配版”。用户回家后发现该机器无法运行exe文件，而机器竟然是山寨机（实为未来人类旗下的一款机型）（图2）。随后用户找到百脑汇，经过一番扯皮后补差价终于换成了真正的外星人笔记本。回家使用经常出现不稳定的现象，事后通过检测，该机器竟是一部二手笔记本……

看着很熟悉是吗？没错，这种经典案例曾经常在中关村和很多电脑城出现，以低价引来顾客，再以各种理由诱导顾客更换不了解的型号，最终实现偷梁换栋、加价销售的目的。

线上线下比价必不可少

就购买笔记本而言，CFan的建议是直接从笔记本品牌的天猫旗舰店、京东、苏宁等知名电商的自营店网购。如果所住区域物流不畅必须选择线下，那也一定要拿目标产品和电商同配置产品进行比价，上下浮动5%属于正常，差异太大就直接换个商家吧。

考虑到线下购买笔记本猫腻较多，建议大家提前下载一款绿色版的AIDA64保存在闪存盘，验机时运行这个程序，重点检查一下CPU、显卡、内存和硬盘的规格是否正确。通过存储设备→SMART中的参数（图3），我们还能通过硬盘的通电时间和开关机次数判断机器是否为新。

还有一些误会因素

实际上，上面这个案例中也存在一些误区。首先，未来人类谈不上“上寨”，它是蓝天电脑（CLEVO）在内地授权贴牌销售的品牌。此外，像机械革命源自清华同方、雷神/机械师/魔法师源于海尔、炫龙/战神出自神舟，这些借势游戏本的新兴品牌背后都有传统PC品牌的影子（图4）。只是未来人类的Logo和外星人有些像，再加上销售人员的忽悠，才致使用户上当。

此外，上面案例还谈到了笔记本无法运行exe文件的问题。这属于用户电脑知识不过硬的范畴。很多笔记本为了节省成本，并没有预装正版的Windows，讲究点的预装个麒麟系统（Linux），不讲究的就装个DOS，自然无法运行我们熟悉的桌面程序，需要重新安装系统之后才能正常使用。

子型号之间存在隔阂

前面提到了，智能手机的版本差异无非是内存大小、存储容量的多少以及网络的支持，不仅容易区分，各版本在体验上的差别也不大。

然而，笔记本厂商为了满足不同预算、需求的用户，往往会将一款机型的潜力挖掘到极致，于是就出现了无数子型号。问题是，子型号很容易将用户绕晕，而不同型号之间的性能也可能存在极大差异。

我们以惠普暗影精灵II代为例，这是一款定位中端的游戏本，主打炫酷外观和较为强悍的性能。需要注意的是，这款游戏本拥有3种显卡可选（图5），围绕着每种显卡还衍生出了标配和高配等诸多型号。

我们都知道，游戏本80%的实力取决于显卡，而暗影精灵II代的GTX960M、GTX965M和RX460的性能差异很大（见表）。简单来说，GTX960M的性能垫底，而RX460的性能则介于GTX960M和GTX965M之间。

暗影精灵II代3款显卡理论性能对比

显卡型号 GTX960M GTX965M RX460

3DMark11-P 4888 7729 7969

3DMark11-X 1803 2491 1644

3DMark-Firestrike 4041 5253 5274

3DMark-Firestrike EX 2006 2508 2350

问题就出现在这里。很多用户都是通过广告、媒体评测之后才来关注某款产品，如果我们想当然以为所有暗影精灵II代都配备了GTX965M，而你购买的却是GTX960M的版本，无疑会极为郁闷。总之，型号越多，配置越乱，一些别有用心的商家就越容易浑水摸鱼，让你以高配价格买到低配产品，所以选购此类产品之前一定要提前做好功课。

特色功能低配难享

为了体现“差异化”的竞争策略，很多笔记本会尝鲜一些新技术/功能，比如英特尔3D实感摄像头就成为了ThinkPad旗下E550的主打卖点之一（图6）。然而实际情况却是，只有配备酷睿i5或i7的中配/高配版E550才标配了这种3D摄像头，而基于酷睿i3定制的低配版，则无缘享受3D摄像头“刷脸”解锁的便捷和趣味的实感游戏。

与这种3D摄像头类似的，还有诸如指纹识别、标配PCIE通道的SSD、2K或更高分辨率的屏幕等等。这些唬人的卖点，同样不是所有型号都能受用。如果你是冲着某项功能而来，就需要提前鉴别好笔记本子型号之间的异同了。

小 结

看到这里，相信你已经开始重视起潜藏在我们身边的各种陷阱了吧？对手机而言，不要相信“天上掉馅饼”，挖掘手机自带安全类APP的各项功能，通常就能将危险拒之门外。而笔记本相关的陷阱，就需要我们静下心做好功课，在选购时坚持本心（不要轻易被忽悠成别的机型）即可。