一位网安工程师的提醒,别再问“哪里有‘反差大赛’”了:先把这个权限关掉
最近又有一个“反差大赛”在社交平台上火起来——本是好玩互动,结果变成了很多人不经意把隐私交出去的陷阱。作为一名网安工程师,我看到最多的就是:用户为了上传或“参与活动”,给了一个app或网页“照片/文件/存储”权限,结果这些图片、视频被批量下载、打包,甚至带着位置信息、联系人信息被外泄或用于人脸识别、社工攻击。
所以这一次要点名一个最危险的权限:照片/媒体/文件访问权限(有的系统叫“存储权限”或“Files & Media”)。把它关了,至少能阻止大多数通过流量“收集私密内容”的套路。
为什么这个权限危险?
- 直接访问你的照片和文件:一旦允许,恶意应用可以读取并上传你手机中的图片、视频和文档。
- 携带隐私信息:照片可能包含EXIF位置信息、身份证件、聊天截图等,有利于跟踪或实施诈骗。
- 隐蔽同步/分享:某些应用会悄悄把内容传到云端或卖给第三方分析公司。
- 连锁风险:上传后可能被用于深度伪造、人脸库扩充或社工攻击对象库。
如何快速关闭或检视这个权限(常用平台操作)
- Android(步骤因厂商/版本稍有差别)
- 打开 设置 → 应用 → 选择目标应用 → 权限
- 找到 存储/文件与媒体/照片 与 视频,选择 拒绝 或 在使用时允许(更安全)。 或者:设置 → 隐私 → 权限管理(Permission Manager)→ 存储 → 查看并撤销不必要的权限。
- iPhone / iPad(iOS)
- 打开 设置 → 隐私与安全性 → 照片
- 选择具体应用,设为 “无” 或 “仅在使用时允许”。对需要拍照但不需要全部相册的app,选择“仅选定的照片”。
- 桌面浏览器(Chrome/Edge/Firefox 等)
- 访问设置 → 隐私与安全 → 网站设置(Site settings)
- 查找 文件访问/相机/麦克风/通知 等权限,阻止或对可疑网站选择“询问”。
- Google 帐号第三方应用授权(很重要)
- myaccount.google.com → 安全 → 第三方应用对账户的访问权限
- 检查并移除不熟悉或不再使用的应用授权,尤其是标注“可以访问您的Google云端硬盘/照片”的项。
如果你已经授权了,应当怎么做?
- 立刻撤销该应用或网站对照片/存储的访问权限。
- 检查应用是否上传了内容:查看应用内的历史、云端备份、第三方链接,必要时删除已上传的文件。
- 更换相关账号密码,并启用两步验证,防止进一步滥用。
- 若怀疑被泄露,通知可能受影响的联系人并监控异常登录、骚扰或诈骗。
- 考虑卸载可疑应用并用安全软件扫描手机。
如何判断一个活动/应用是否可信
- 要求的权限是否合理:一个小游戏要全部相册和联系人一般没有道理。
- 官方渠道和口碑:优先使用App Store/Google Play的官方下载页和高质量评论,注意开发者信息。
- 网页活动核实:检查域名、隐私政策、是否使用HTTPS、是否有清晰的上传说明与删除申诉渠道。
- 不要轻易通过第三方授权登录(OAuth)给陌生网站过多权限。
一句话建议(可直接照做) 关闭或限制“照片/文件/存储”权限,任何非必需的应用或活动都不要一次性全盘授权;遇到“把手机里最尴尬的发上来/反差大赛”之类的邀请,优先怀疑再参与。