你以为在看“爆料”，其实在被偷走你的验证码：一定要关掉这个权限

你以为在看“爆料”，其实在被偷走你的验证码：一定要关掉这个权限

最近一类骗局特别猖獗：看似无害的“爆料”“内幕”“免费会员”等内容引导你点击链接或安装小程序／APP，弹出来的请求往往是“为了自动登录/一键验证，请允许读取短信/通知/辅助功能”。一旦同意，对方就能自动抓取你收到的验证码，轻而易举登录或转走你的账户资产。下面把这类攻击的原理、常见迹象和一套可立即执行的自查与防护步骤整理好，照着做能大幅降低风险。

这类攻击怎么做的

• 申请读取短信（SMS）权限：能直接读取收到的验证码短信。
• 请求通知访问：把二次验证通知内容截取下来。
• 打开辅助功能（Accessibility）或悬浮窗权限：模拟操作、自动粘贴验证码或截屏。
• 诱导你安装带有设备管理员或配置描述文件的APP：难以卸载或持续偷取信息。
• SIM 换卡（SIM swap）与短信中继：通过运营商社会工程学或内部渠道接管手机号。

常见征兆（怀疑被盯上时先观察这些）

• 有 APP 要求“读取短信/通知/辅助功能/悬浮窗”但功能上并不需要。
• 收到莫名其妙的验证码或登录通知，自己没有发起操作。
• 设备出现异常弹窗、自动跳转、安装了不认识的应用。
• 无法卸载某个应用或发现“设备管理”里有陌生权限。

立刻可以做的自查与关闭步骤（安卓为主，iOS 也在后文） 1) 立刻检查并撤销可疑权限

• 设置 > 应用 > 特殊权限（或应用与通知 > 特殊应用访问）：
• 通知访问：关闭不信任的应用。
• 在其他应用上层显示（悬浮窗/显示在其他应用上）：关闭。
• 无障碍服务（Accessibility）：关闭陌生或不需要的服务。
• 设置 > 应用 > [某应用] > 权限：拒绝 SMS、通讯录、位置等敏感权限。
• 设置 > 安全 > 设备管理应用：移除未知的设备管理员权限。

2) 卸载可疑应用并清理

• 删除近期安装过且来源不明的应用（尤其非官方商店或通过 QR/链接安装的 APK）。
• 若某应用顽固无法卸载，先在设备管理员中取消其管理权限，再卸载。

3) 更改二次验证方式

• 把重要账号的 SMS 验证改为 TOTP（Authenticator 应用）或硬件安全密钥（YubiKey、安全密钥）。
• 推荐工具：Google Authenticator、Authy、Microsoft Authenticator；密码管理器自带 TOTP（1Password、Bitwarden）。

4) 锁定手机号与防范 SIM 换卡

• 给 SIM 卡设置 PIN（运营商客服可协助）或开启号码锁定服务。
• 向运营商申请额外的账户保护（例如“入网口令”或限制变更方式）。

5) 检查并保存恢复码

• 对支持的服务生成并保存一次性恢复码（offline 保存），以备无法收到短信时用。

iOS 专属检查点

• 设置 > 信息 > 文本消息转发：确认没有授权给陌生设备。
• 设置 > 通用 > 描述文件与设备管理：删除不明描述文件。
• 检查已安装应用及通知权限，删除不需要或可疑的应用。

账户安全补救（如果怀疑已经被窃）

• 立刻修改受影响服务的密码，并对所有重要服务启用非短信的二次验证方式。
• 在账号安全页面查看登录历史和已授权设备，撤销可疑会话与第三方应用授权。
• 若怀疑 SIM 被劫持，立刻联系运营商并报失该号码。

简短自检清单（3分钟）

• 拿起手机：设置→应用→特殊权限，关闭“通知访问”“悬浮窗”“无障碍”中不认识的项。
• 设置→应用→权限，撤销各应用的短信权限。
• 删除最近安装的陌生应用。
• 把重要账号的短信验证码换成 Authenticator 或安全密钥。
• 给手机号设置 SIM PIN、联系运营商加固。

一句话提醒：任何要“读取短信/通知/辅助功能”的请求，都要怀疑其目的。那些看起来免费或者“自动登录更方便”的功能，往往代价是把验证码和账号主动交给陌生人。现在就花几分钟检查你的权限，比事后补救要容易得多。