防范手机APP黑客病毒木马准则

1. 收到短信或流行的Line/whatsapp好友信息，出现可点击的网址时，如果不是Google Play 或App Store 官方网站的，请与传送者确认是否安全才点选。

2. Android手机：Menu->设定->安全性->装置管理，请确认「未知的来源」没有勾起。除非你在做Android开发程式的测试，否则不建议勾选此项。

3. 检查你安装的Android APP，是否用了下述权限：

*PROCESS_OUTGOING_CALLS：权限代表可以得知你的拨号号码(包含你如果在一开始拨号，就用, 的等待机制，先把信用卡号、身份证字号、生日信息输入，都可以被有此权限的第三方程序拦截)、拦截你的拨号、或修改拨号号码、中断你的拨号。

* READ_SMS、WRITE_SMS、RECEIVE_SMS、SEND_SMS、WRITE_SMS。这些权限代表可以自动读取短信、自动送出短信、自动删除短信。

* READ_CONTACTS、READ_CALL_LOG：读取你的通讯录、读取你拨号的纪录。

正常的第三方app有些还是需要上述权限，但建议您可以与app开发者，详细请教你的隐私资料是否被传到服务器、如果有传到服务器，是匿名收集的?还是有针对特定性的收集?或相关功能是怎么运作的，如何保护你信息安全。

4. 安装防毒软体，Android手机防毒软体独立评比，可参考AV-TEST网站2013年8月最新版：http://www.av-test.org/en/tests/mobile-devices/android/jul-2013/

5. Call Saver APP 内建：165防诈骗、以及110报案电话，若真的遇到诈骗，赶紧拨打电话吧!

手机APP病毒木马攻击的步骤 (对技术细节了解者可阅读)

1. 利用社交工具以及人性的恐惧，比如收到好友传来的信息：「你的照片被偷拍了，快点选(地址)下载」、或是好奇心：「这是我最新的写真照，来看看吧(地址)」。

2. 使用者若没注意，就被引导下载病毒app。

3. 当开启该APP后，可读取你的通讯录，在后台偷偷发送短信给你的友人，利用友人间的信任感，加强病毒APP链接被点击的机率。

4. 电信运营商有一种小额支付的机制，当购买后，电信运营商会传回认证码要求使用者确认，(Android 的开放技术，允许第三方程序：自动送出短信、自动读取短信、自动删除短信)。因此这个病毒木马APP，可以做到自动消费、自动回传认证码，顺便再把相关的短信删除掉，让使用者在不知情的状况下，只有隔月收到帐单才知道已经当了冤大头。

5. 有些警觉性比较高的民众，会即时想拨打反诈骗电话、或者110报案专线。但Android有个开放技术，允许第三方app， 第三方app只要有这个权限 PROCESS_OUTGOING_CALLS ，就可以拦截你拨打的电话号码、或者把电话号码改掉、以及直接不启动拨号程序。因此黑客程式就可以让你拨打110时，拨打不出去。

我们在免费使用APP应用的时候，呼吁使用者，勿将个人资料，如信用卡号、身份证字号、生日等，直接储存成“我的最爱”的拨号规则，目的是避免在拨号过程中，直接带出整串的电话号码与个人资料，直接就被第三方程序所窃取。针对需要个人资料的客服电话，如果你不是在拨号规则里就存储了个人资料，而是采取互动过程的逐一输入个人资料代码，就不会受到PROCESS_OUTGOING_CALLS 权限影响而被第三方取走整串资料。

(责任编辑：)