2019年，一名程序员在咖啡店连接免费WiFi后，手机中价值数十万美元的加密货币钱包被盗。这并非孤例，移动互联网的便利背后，隐藏着从设备到应用、从网络到隐私的连环漏洞。以下这份自检清单，聚焦于普通人最容易忽略的七个关键节点，帮你避免成为下一个受害者。

一、WiFi连接：警惕“免费”背后的陷阱

当你习惯性点击“连接”公共WiFi时，黑客可能正在同一网络下开启抓包工具。一个真实案例：某用户在机场使用名为“Free_Airport_WiFi”的网络登录银行账户，次日发现卡内余额被转空。正确的自检动作包括：关闭“自动连接”功能；连接前向工作人员确认官方SSID；避免在公共网络下进行支付或登录敏感账户；使用VPN对流量加密。

二、应用权限：你的日历、相机和麦克风在“裸奔”

一款手电筒应用索要通讯录权限，一个计算器申请读取短信——这类权限滥用极为普遍。2022年工信部通报的侵害用户权益APP中，超60%存在超范围索取权限问题。自检步骤：进入手机设置，逐项审查每个应用的权限列表；关闭“读取已安装应用列表”“读取通话记录”等非必要权限；对长期未更新或来源不明的应用直接卸载。

三、系统更新：延迟一星期，风险翻三倍

许多用户因担心“越更新越卡”而推迟系统更新。但数据显示，从安全漏洞公开到被大规模利用的平均间隔仅7天。2023年某安卓安全补丁修复的远程代码执行漏洞，在补丁发布后72小时内即出现攻击样本。建议：将系统更新设为“自动下载并安装”；至少保持每月手动检查一次；对厂商已停止支持的老旧设备（如出厂Android 9以下的机型），考虑更换或安装第三方安全固件。

四、密码管理：重复密码的代价可能是一次性全盘失守

一项调查显示，51%的用户在超过5个网站使用相同密码。当某小型购物网站被脱库，黑客会立刻用该密码尝试登录你的邮箱、微信和支付宝。自检方案：为每个重要账户（银行、社交、邮箱）设置独立且无规律的密码；使用开源密码管理器（如Bitwarden）生成并存储；对支持硬件密钥（如YubiKey）的账户启用双因素认证，短信验证码是最弱选项。

五、链接与附件：一个短链接能带你去非洲服务器

看似来自“10086”的短信：`【中国移动】您的积分即将失效，点击 t.cn/xxxxx 兑换礼品`——点击后跳转到钓鱼页面，要求输入手机号、身份证和银行卡号。真实案例中，受害者甚至被诱导安装木马APK。应对策略：不点任何陌生短链接；用官方APP或客服电话核实活动真伪；对要求“输入密码”“下载安装包”的页面一律拒绝。

六、蓝牙与NFC：常开状态等于给小偷留后门

在地铁站或商场的拥挤环境中，攻击者可通过蓝牙漏洞（如BlueBorne）或NFC（近场通信）窃取手机数据。自检：在不使用蓝牙耳机、手环时关闭蓝牙；关闭NFC（除非需要用手机支付）；避免在公共场合开启“可被发现”模式；对支持NFC的银行卡使用防盗刷卡套。

七、海量账号：注销僵尸账户比注册更重要

多数人注册过的邮箱、论坛、游戏账户超过20个，其中大量已弃用。这些僵尸账户一旦被攻击，可能成为社工库的数据源头。建议：定期在haveibeenpwned.com查询邮箱是否泄露；对不再使用的账户执行注销流程（而非仅卸载APP）；对必须保留但不再使用的账户更换高强度随机密码，并关闭所有授权。

结尾：三个最常踩的误区

• 误区一：认为“不连陌生WiFi就安全”。 事实上，公共网络下的DNS劫持、中间人攻击等风险，同样可能通过手机热点、USB共享等方式传播。正确做法是始终假设网络不可信，用VPN和HTTPS保护流量。
• 误区二：以为系统自动更新就万事大吉。 很多旧款手机在系统更新推送后，用户因“怕卡”手动取消。建议强制开启“自动下载安装”，除非是极少数已知的降级更新。
• 误区三：忽视“第三方应用市场”风险。 即使从官方商店下载，也要检查开发者是否经过验证、应用评分是否异常、请求权限是否合理。一个典型案例是伪装成“充电加速器”的应用，实则在后台挖矿。