Poradniki

Jak zabezpieczyć smartfon — Android i iPhone

Kompletna lista ustawień bezpieczeństwa dla Androida i iPhone. Blokada ekranu, aktualizacje, uprawnienia aplikacji, backup i szyfrowanie.

Redakcja Bezpieczny Internet Ostatnia aktualizacja
Spis treści
  1. Ustawienia podstawowe — obowiązkowe dla każdego
  2. Silna blokada ekranu
  3. Automatyczne blokowanie
  4. Wyłącz powiadomienia na ekranie blokady
  5. Aktualizacje systemu — kluczowe, nie opcjonalne
  6. Uprawnienia aplikacji — audyt co kilka miesięcy
  7. Uprawnienia, które warto przejrzeć
  8. Weryfikacja dwuetapowa na koncie Google i Apple ID
  9. Ustawienia specyficzne dla Androida
  10. Google Play Protect
  11. Instalacja ze źródeł nieznanych
  12. DNS prywatny
  13. Ustawienia specyficzne dla iPhone
  14. Tryb blokady (Lockdown Mode)
  15. Dostęp do danych przy połączeniu USB
  16. Prywatne adresy Wi-Fi
  17. Aplikacje bankowe i płatności BLIK
  18. Backup telefonu
  19. Co zrobić teraz?

Twój smartfon to sejf z dostępem do konta bankowego, poczty, historii wiadomości, zdjęć dzieci i niemal wszystkich haseł. A większość osób zabezpiecza go prostym PIN-em lub — jeszcze gorzej — wzorem do odblokowania. W Polsce w 2024 roku liczba zgłoszonych przypadków przejęcia kont bankowych przez przejęcie telefonu (SIM swapping) wzrosła o kilkadziesiąt procent → SIM swapping — jak przestępcy kradną Twój numer telefonu.

Poniżej kompletna lista ustawień, przez którą warto przejść raz — i potem co kilka miesięcy zweryfikować.

Ustawienia podstawowe — obowiązkowe dla każdego

Silna blokada ekranu

To pierwsza linia obrony. Opcje od najsłabszej do najsilniejszej:

  • Wzór — najsłabszy. Badania pokazują, że wzory można odgadnąć obserwując ruch palca. Pozostawia też tłuste ślady na ekranie.
  • PIN 4-cyfrowy — lepszy, ale 10 000 kombinacji to mało. W trybie offline osoba z dostępem do urządzenia może próbować metodą brute force.
  • PIN 6-cyfrowy — 1 milion kombinacji. Dobra opcja dla większości.
  • Hasło alfanumeryczne — najsilniejsze. Jeśli używasz menedżera haseł na telefonie, warto.
  • Biometria (odcisk palca, twarz) — wygodna, ale pamiętaj: biometria odblokowuje telefon, nie autoryzuje operacji. Hasło do telefonu warto znać na pamięć.

Ustawienie blokady ekranu:

  • Android: Ustawienia → Bezpieczeństwo → Blokada ekranu
  • iPhone: Ustawienia → Face ID i kod lub Touch ID i kod

Automatyczne blokowanie

Ustaw, żeby telefon blokował się automatycznie po 30-60 sekundach braku aktywności. Nie po 5 minutach.

  • Android: Ustawienia → Wyświetlacz → Wygaszanie ekranu
  • iPhone: Ustawienia → Wyświetlacz i jasność → Automatyczna blokada

Wyłącz powiadomienia na ekranie blokady

Ktoś, kto weźmie twój telefon, nie musi go odblokowywać, żeby zobaczyć kod 2FA z SMS-a. Wyłącz podgląd treści powiadomień na ekranie blokady.

  • Android: Ustawienia → Powiadomienia → Powiadomienia na ekranie blokady → Ukryj treść powiadomień
  • iPhone: Ustawienia → Powiadomienia → Pokaż podgląd → Kiedy odblokowany

Aktualizacje systemu — kluczowe, nie opcjonalne

Luki bezpieczeństwa w systemach mobilnych są aktywnie wykorzystywane przez przestępców. Nie chodzi o hipotetyczne zagrożenia — zero-day exploity w Androidzie i iOS były sprzedawane za miliony dolarów i używane przez komercyjne firmy szpiegowskie (Pegasus, Predator).

Zasada: instaluj aktualizacje systemowe w ciągu 48 godzin od ich pojawienia się.

  • iPhone: Ustawienia → Ogólne → Uaktualnienia → włącz automatyczne aktualizacje bezpieczeństwa
  • Android: Ustawienia → System → Aktualizacje systemu; włącz też Aktualizacje systemu Google Play (poprawki bezpieczeństwa bez czekania na producenta)

Wsparcie a bezpieczeństwo:

  • iPhone otrzymuje aktualizacje przez 6-7 lat. iPhone 12 (2020) nadal otrzymuje poprawki w 2026.
  • Android zależy od producenta. Samsung Galaxy oferuje 4 lata aktualizacji OS + 5 lat poprawek bezpieczeństwa. Tańsze telefony chińskich producentów często kończą wsparcie po 2 latach.

Jeśli twój telefon nie otrzymuje już aktualizacji bezpieczeństwa — czas na wymianę lub przynajmniej minimalizację danych na nim.

Uprawnienia aplikacji — audyt co kilka miesięcy

Aplikacje żądają uprawnień, których często nie potrzebują. Latarka pytająca o dostęp do kontaktów? Gra chcąca mikrofonu? To powinno zapalić czerwoną lampkę.

Uprawnienia, które warto przejrzeć

Lokalizacja — prawa aplikacji powinny mieć tylko te, które naprawdę potrzebują wiedzy gdzie jesteś: Mapy, aplikacja do zamawiania jedzenia (Glovo, Pyszne.pl), aplikacja pogodowa. Sklep z aplikacjami, gry, komunikatory — nie.

Ustaw: Lokalizacja tylko gdy używam aplikacji (nie „Zawsze”).

Mikrofon — tylko komunikatory (WhatsApp, Messenger) i aplikacje do nagrywania. Gry? Nie.

Aparat — aplikacje do zdjęć, komunikatory z video. Gry losowe? Nie.

Kontakty — komunikatory mają podstawę, bo synchronizują kontakty. Ale wiele aplikacji handlowych też pyta o kontakty — żeby mapować twoją sieć społeczną w celach reklamowych.

SMS — tylko aplikacja do SMS-ów i aplikacje bankowe (do odczytywania kodów 2FA). Więcej nie.

Jak sprawdzić na Androidzie: Ustawienia → Aplikacje → Uprawnienia aplikacji (widok po uprawnieniu, nie po aplikacji — wygodniejszy do audytu).

Na iPhone: Ustawienia → Prywatność i ochrona → każda kategoria uprawnień osobno.

Weryfikacja dwuetapowa na koncie Google i Apple ID

To najważniejsze zabezpieczenie po samej blokadzie ekranu. Kto przejmie twoje konto Google lub Apple ID — przejmuje dostęp do wszystkich aplikacji, zakupów i backupów.

  • Konto Google: myaccount.google.com → Bezpieczeństwo → Weryfikacja dwuetapowa
  • Apple ID: Ustawienia → [twoje imię] → Hasło i zabezpieczenia → Uwierzytelnianie dwuczynnikowe

Najlepiej używać aplikacji uwierzytelniającej (Google Authenticator, Authy) zamiast SMS-ów — SMS-y są podatne na SIM swapping → SIM swapping — jak przestępcy kradną Twój numer telefonu. → Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć

Ustawienia specyficzne dla Androida

Google Play Protect

Wbudowany skaner złośliwego oprogramowania. Powinien być włączony domyślnie. Sprawdź: Google Play → ikona profilu → Play Protect → Skanuj aplikacje.

Instalacja ze źródeł nieznanych

Domyślnie zablokowana i tak powinna zostać. Instalacja APK spoza Google Play jest głównym wektorem infekcji złośliwym oprogramowaniem na Androidzie.

Sprawdź: Ustawienia → Aplikacje → dostęp specjalny → Instalowanie nieznanych aplikacji. Żadna aplikacja nie powinna mieć tego uprawnienia, chyba że świadomie je przyznałeś (np. F-Droid).

DNS prywatny

Android 9 i nowszy obsługuje szyfrowanie DNS (DNS-over-TLS). Włącz: Ustawienia → Sieć i internet → DNS prywatny → Wybierz dostawcę. Wpisz 1.1.1.1 (Cloudflare) lub dns.google (Google).

Szyfrowany DNS utrudnia operatorowi sieci śledzenie, które strony odwiedzasz.

Ustawienia specyficzne dla iPhone

Tryb blokady (Lockdown Mode)

Dla osób narażonych na zaawansowane ataki (dziennikarze, aktywiści, prawnicy z wrażliwymi sprawami). Wyłącza wiele funkcji (linki, podglądy, niektóre aplikacje) na rzecz ekstremalnego bezpieczeństwa. Ustawienia → Prywatność i ochrona → Tryb blokady.

Dla przeciętnego użytkownika niepotrzebne — warto wiedzieć, że istnieje.

Dostęp do danych przy połączeniu USB

Gdy podłączasz iPhone do niezaufanego komputera, pojawia się pytanie „Zaufaj temu komputerowi?”. Zawsze wybieraj Nie ufaj na publicznych lub nieznanych komputerach. Możesz też włączyć: Ustawienia → Face ID i kod → Akcesoria USB — wyłącz dostęp po godzinie bezczynności.

Prywatne adresy Wi-Fi

iOS przydziela losowy adres MAC dla każdej sieci Wi-Fi — utrudnia śledzenie twojej lokalizacji przez właścicieli sieci. Jest domyślnie włączone. Sprawdź: Ustawienia → Wi-Fi → [sieć] → Prywatny adres Wi-Fi.

Aplikacje bankowe i płatności BLIK

Polskie aplikacje bankowe (PKO BP iPKO, mBank, ING, Santander) mają własne zabezpieczenia biometryczne i PIN-y. Kilka zasad:

  • Ustaw biometrię lub PIN w aplikacji bankowej — nie polegaj tylko na blokadzie telefonu
  • BLIK — nigdy nie podawaj kodu BLIK osobie, która sama się do ciebie odzywa. Prawidłowy scenariusz: ty inicjujesz płatność, wpisujesz kod w terminalu lub na stronie. Odwrotnie — to oszustwo → Oszustwo na BLIK — jak działają i jak się bronić
  • Włącz powiadomienia push dla każdej transakcji — to szybki alert o nieautoryzowanych operacjach
  • mObywatel — zabezpiecz go PIN-em aplikacji, nie tylko blokadą ekranu

Backup telefonu

Zaszyfrowany backup to siatka bezpieczeństwa na wypadek kradzieży lub awarii. → Kopie zapasowe danych — reguła 3-2-1 dla domu

  • iPhone: iCloud automatycznie backupuje, gdy telefon jest podłączony do ładowania i Wi-Fi. Sprawdź: Ustawienia → [imię] → iCloud → Kopia w iCloud.
  • Android: Ustawienia → System → Kopia zapasowa → Kopia zapasowa Google. Lub lokalnie przez kabel USB i Android File Transfer.

Jeśli podejrzewasz, że telefon jest już zainfekowany, przejdź do Jak usunąć wirusa z telefonu — przewodnik krok po kroku.

Co zrobić teraz?

  1. Zmień PIN ekranu na 6-cyfrowy lub hasło alfanumeryczne — jeśli masz wzór lub 4-cyfrowy PIN.
  2. Sprawdź aktualizacje systemu — zainstaluj wszystkie dostępne poprawki bezpieczeństwa.
  3. Włącz 2FA na koncie Google lub Apple ID — jeśli jeszcze tego nie zrobiłeś, zrób to teraz. → Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć
  4. Zaudytuj uprawnienia aplikacji — sprawdź, które aplikacje mają dostęp do lokalizacji i mikrofonu. Usuń niepotrzebne uprawnienia.
  5. Wyłącz podgląd powiadomień na ekranie blokady — szczególnie kody SMS 2FA nie powinny być widoczne bez odblokowywania.

Najczęściej zadawane pytania o jak zabezpieczyć smartfon

Czy Android jest bezpieczniejszy od iPhone, czy odwrotnie?

Oba systemy są bezpieczne, gdy są aktualne. iPhone ma bardziej restrykcyjny ekosystem (App Store kontrolowany przez Apple) i dłuższe wsparcie (6-7 lat). Android jest bardziej otwarty, co daje większą elastyczność, ale też więcej możliwości instalacji złośliwego oprogramowania spoza sklepu.

Jak sprawdzić czy mój telefon nie jest zainfekowany?

Sygnały ostrzegawcze to nadmierne zużycie baterii i transmisji danych, aplikacje których nie instalowałeś, telefon rozgrzewa się w spoczynku. Zainstaluj aplikację bezpieczeństwa (na Androidzie — Google Play Protect jest wbudowany). Na iPhone bez jailbreaka złośliwe oprogramowanie jest bardzo rzadkie.

Co zrobić gdy zgubiłem telefon?

Android — wejdź na android.com/find i zaloguj się kontem Google, możesz zdalnie zablokować lub wyczyścić telefon. iPhone — iCloud.com, Znajdź mój, możesz zablokować PIN-em lub wyczyścić zdalnie. Działasz, jeśli telefon był online. Dlatego weryfikacja dwuetapowa na koncie jest kluczowa.

Nie daj się oszukać w sieci

Praktyczne poradniki, niezależne testy i jasne porównania — wszystko po polsku, bez marketingowej ściemy.

Czytaj poradniki Sprawdź narzędzia