我以为99图库只是随便看看，结果差点授权了敏感权限：不确定就别点

前两天随手打开一个图片网站——标题写着“高清素材免费下”，界面干净、图片也挺好看。我只是想随便浏览几张图，结果页面突然弹出一个授权窗口：要“允许访问您的Google Drive、联系人和相机”。当时没多想就想点“允许”看看效果，幸好半秒钟反应过来，放下鼠标，心里一阵不妙：为什么看图需要这么多敏感权限？

这是一个容易犯的错：在好奇心和便捷之间，差一点把个人隐私和账户安全搞丢。把自己的经历和一些可操作的判断方法整理出来，给你做个参考，避免踩雷。

到底哪些是“敏感权限”？

存储/相册：读取或修改你手机/云端的文件。被滥用会泄露照片、证件等。
联系人、通话记录和短信：可能用于撒网式诈骗或社工攻击。
摄像头、麦克风：可实时窃听或拍摄。
位置：能追踪你的行踪。
访问邮箱、Google Drive、Gmail、日历等OAuth权限：意味着第三方可以读写你的邮件和文件，后果严重。
管理设备（设备管理员权限）或“永久后台运行”类权限：可能让恶意软件难以被卸载或持续监控。

如何判断那个授权窗口到底能不能点？

看来源：授权页面是不是来自你常用的域名或官方渠道？浏览器地址栏有没有安全锁（https），域名是否拼写正常？
注意权限清单：真正的“只看图片”的服务，通常只需要“读取图片/下载”之类有限权限。不合比例的请求（例如看图库却要访问联系人、Gmail）应立刻提高警惕。
看OAuth的详情页：如果是“用Google登录”或第三方应用请求Google权限，点击查看它将访问哪些具体项目，很多时候授权页面会列出“查看、编辑、删除”的级别。
查开发者信息：在应用商店、网站页脚或OAuth同意页，查开发者名字、隐私政策和联系方式。没有明确来源或只有一个陌生邮箱，风险偏高。
搜索评价与举报：先在搜索引擎或应用商店搜该站/应用的评价和讨论，看看有没有类似的安全问题报告。

如果已经点了，先别慌，按这几个步骤应对 1) 立即撤销授权

Google账户：打开 myaccount.google.com/permissions 或 “Google账户 > 安全 > 第三方访问权限”，找到可疑应用并移除它的访问权限。
浏览器扩展：chrome://extensions（或浏览器扩展管理）禁用或删除可疑扩展。
手机应用：安卓到设置 > 应用 > 找到应用 > 权限，收回不必要的权限；iPhone 到设置 > 隐私或直接点应用名称调整权限。
2) 卸载可疑应用或清除相关浏览器缓存/扩展。
3) 修改相关账户密码，优先改的是被授权的那个账号密码（例如Google）。
4) 做一次安全检查：查看账户最近的登录活动、已登录设备和会话，若发现陌生设备就登出并移除。Google的安全检查（myaccount.google.com/security-checkup）能一步看到风险项。
5) 开启两步验证（2FA），把简单的短信验证升级为更强的认证方式（Authenticator或安全密钥更好）。
6) 留意异常：检查邮件是否有异常转发规则、是否有未知订阅扣费、短信或邮件是否有异常登录提示。

怎样在日常避免再次发生？