这是一个创建于 1487 天前的主题,其中的信息可能已经有所发展或是发生改变。
如题,视频标题《来源不明的二维码 为何不要乱扫?》
https://www.bilibili.com/video/BV1ki4y1j7rZ
关注的其他 UP 主点赞了所以我被推送了。对于没看过视频的朋友,简单来说这里面这位白帽子做了一个操作就是手机扫了个二维码,然后手机就被提权了,被装了个恶意服务。
==============================================
我的安全知识是开发人员范畴,看到这个视频表示很怀疑。在我的知识范围内,二维码纯粹是作为字节和图片转换的渠道,也就是说神秘二维码也就是一串神秘字符串而已,就算二维码扫描调用了浏览器,浏览器底层还有安全机制,网站连不归自己管的 cookie 都拿不到,打开个网站就直接提权是不是危言耸听?
还是说我孤陋寡闻了,现在手机安全机制确实这么弱,随便扫个码就可能 GG ?
 |
1
exploretheworld 2020-10-18 03:42:58 +08:00 via Android
除非有 0day
|
 |
2
wunonglin 2020-10-18 03:51:48 +08:00
说来说去还是苹果大法好。
刚看了个今日说法,也是群发短信 apk 链接安装了隐藏应用。可能这就是所谓的开放吧 |
|
3
wunonglin 2020-10-18 03:52:33 +08:00
捏,这个
|
 |
4
horseInBlack 2020-10-18 03:55:48 +08:00  20
不是,这视频从头到尾讲了个啥嘛,特别是说到原理那一段,大意不就是手机系统都是复杂的,不能保证系统没有漏洞,有漏洞就会被利用,所以我们要小心
这叫什么原理嘛,这不全是废话吗,这和“人被杀就会死”有什么区别,有没实际案例和方法就空讲废话 底下评论里有人回复 しんかいもんか : “您好,请教一下,视频中的扫描二维码之后没刷出任何东西就被控制的这个是用类似 adb 控制的吗?视频中 url 没刷出来貌似 js 也跑不了吧?(刚刚闲的没事看了一下视频里二维码的内容是"http://192.168.43.224:8899")为啥就能被 adb 控制了呢?” 看样子是无线调试?那如果要实现这样的场景是不是先得用户开启系统开发者模式,然后开启无线调试,然后用户还要在手机上同意远程调试,同时远程操控者在终端执行操作才能实现? 那这样和我要入侵一台服务器,直接去到机房里把服务器重启、进入恢复模式、或者直接把硬盘拆走有什么区别 看这账号好像还是阿里公司的组织账号,有这时间危言耸听,不如先把自己公司的产品做做好 |
 |
5
germain 2020-10-18 04:09:35 +08:00
暂且把这个二维码忘掉。
那个大舌头讲的原理是:你访问一个来源不明的 URL,就会被安装 app 。问题是你也不是手机跳出来让你装啥你就装啥的,让你给什么权限你就给的吧。 所以“直接”黑入手机几乎是不可能的,除非楼上说的某 0day 被人掌握了。 |
 |
6
black11black OP @horseInBlack 我关注的 UP 主还挺把这个当回事的,我心里感觉也是挺逗,但是毕竟人家干别的的,不了解这个也正常。为了防止我孤陋寡闻,来 v2 求证一下。我感觉这就是新式的,所谓朋友圈大妈疯狂推的那种养生文,哗众取宠博人眼球,只不过发生在二三十岁的人身上,看评论区感觉挺搞笑的。
|
|
7
black11black OP 2
@wunonglin 我感觉这不是安卓的问题,也就不是苹果的优势,这能推导出苹果好的结论我也是没看懂
|
|
8
wunonglin 2020-10-18 04:20:23 +08:00 2
@black11black #7
在浏览器没有 0day 的情况下,在浏览器内是不可能控制手机的。 其次有个别安卓打开 apk 链接的时候会自动下载安装(如上述今日说法那样)。 但在 ios 的话,正常情况下安装任何软件都要跳转到 App Stroe,如没购买过甚至需要你输入密码,从而根本解决了手机会莫名安装 XXX 软件的问题。 如有说的不对可以指出来,虚心请教 |
|
9
black11black OP 1
@wunonglin 不用虚心求教,没什么意义,就算“个别安卓”做的特别渣,真的会自动下载,且自动安装,我不觉得它解包结束后会不经确认。
|
|
10
wunonglin 2020-10-18 04:25:26 +08:00
|
|
11
wunonglin 2020-10-18 04:26:07 +08:00
|
|
12
wunonglin 2020-10-18 04:29:29 +08:00
@black11black #9
全国 14 亿人,就算有 10 个上当都能成新闻了。 在中国安卓占比那么大,你不能要求每个人都那么“会玩”,这种诈骗恰恰针对的就是这些“不会玩”的人的。 你、我、跟在座的大多数人都不是它的目标人群 |
 |
13
felixcode 2020-10-18 04:41:15 +08:00 via Android 3
@wunonglin 越封闭的越容易做的更安全,没什么奇怪的,诺基亚 s40 比你的苹果还安全多了呢
|
|
14
wunonglin 2020-10-18 04:58:15 +08:00
|
 |
15
ztmqg 2020-10-18 06:50:45 +08:00 via Android 7
在这里,安卓是原罪,国产是原罪
|
 |
16
ochatokori 2020-10-18 07:02:13 +08:00 via Android
@wunonglin #2 还记不记得这个今日说法是几月几号的,我想看看
|
|
17
wunonglin 2020-10-18 07:11:00 +08:00
@ochatokori #16
20170329,youtube 地址是 watch?v=rUZGPOjKOBc @ztmqg #15 不知道你听没听过一句话,能力越大责任越大。我不觉得国内厂商的技术能力解决不了这个问题(就事论事) ps: 在座有没有安卓开发的可以说下现在还会不会有那种自动下载安装或者装上去不在应用列表显示的吗? 因为我不用安卓很久了,不知道现在的还会不会这样,麻烦多谢 |
 |
19
eason1874 2020-10-18 07:24:30 +08:00 2
几年前 Android 确实出现过可以提权的浏览器漏洞,这跟二维码没关系,二维码只是恶意网址的传播方式,问题出在恶意网址的 JS 代码上面,有兴趣的去搜当年的文章看下吧。
这种漏洞本身就不多见,普通人遇到的情况就更少了。普通人遇到的更多的攻击类型是被忽悠安装了恶意 APP,国内安卓手机普遍允许安装未知来源的应用,对普通用户来说,这方面的安全性真的是远不如 iPhone 。 |
|
21
ochatokori 2020-10-18 09:04:00 +08:00 via Android 1
@wunonglin #17 我粗略地看一下,这个只说了从短信收到木马,貌似没提到静默安装。
在应用列表隐藏是可以的,谷歌拼音就能随便选择显不显示。自动下载,随便下。静默安装,2020 年了不是系统级应用或授权 root 就是 0day,但是可以弹出安装器让用户点击安装,不过这种情况神仙都救不了这个用户。 这个今日说法是 2017 年,那个时候倒是好像有不少 root 漏洞,各种一键 root 满天飞。 |
 |
22
nicevar 2020-10-18 09:12:01 +08:00
@wunonglin 你多大了?你知不知道当年 iOS 越狱安装软件就是一个精心构造的文件,Safari 打开之后 iPhone 就沦陷了
|
|
23
wunonglin 2020-10-18 09:14:01 +08:00
@ochatokori #21
对啊,我也觉得现在安卓的话装东西怎么都会弹出安装界面的。当然肯定有一部分人都是直接下一步(不熟悉电子产品的人,老人小孩或者诱骗等) 其实这种问题很好解决,限制自定义安装软件,全通过手机厂商的商城就行了。肯定有人问想自定义安装的,那就用 adb 就好啦,这样既能防止大众小白乱安装软件,又不妨碍玩机和开发的朋友。 |
|
24
nicevar 2020-10-18 09:15:01 +08:00
@eason1874 如果真是 0day 漏洞的话与安装未知来源应用没太大关系,只要黑客找到了漏洞,无论安卓还是 iPhone 都是一个样
|
|
25
wunonglin 2020-10-18 09:18:04 +08:00
|
|
26
wunonglin 2020-10-18 09:21:48 +08:00
|
|
27
nicevar 2020-10-18 10:07:27 +08:00
@wunonglin 不让升级回退不代表没有漏洞,照你这么说 tiff 漏点之后 iPhone 后面的版本就不应该被越狱了,还看什么全文,你回去看看你自己的原话,“但在 ios 的话,正常情况下安装任何软件都要跳转到 App Stroe,如没购买过甚至需要你输入密码,从而根本解决了手机会莫名安装 XXX 软件的问题”,这种漏洞 iOS 早就出现过了,而且企业证书的软件也不需要跳转 AppStore,另外谁跟你说浏览器没有 0day 就不能控制手机的? pdf 文件漏洞,媒体类型问题呢,但凡有溢出漏洞都可能让操作系统面临危险,这对 iOS 和 Android 来说都一样
|
 |
28
wingzhingling 2020-10-18 10:13:00 +08:00 via Android
@wunonglin 你的解决方案的问题也很明显,国内并没有统一的安卓应用商城,强行限制商城安装只会丧失实用性。
现在能做的只有非强制性的警告,至少“直接下一步”的人是装不了未知来源应用的。 |
|
29
wunonglin 2020-10-18 10:26:03 +08:00
|
 |
30
Osk 2020-10-18 10:32:55 +08:00 via Android 4
理论上:
扫描二维码,app 调用浏览器打开链接或打开 app 自身的模块。 app 的 webview 或自身有 0day 被利用,攻击人员借此获得 app 同等甚至更高的权限。 恶意人员对获取到的权限用另外的 0day 进行提升,植入恶意程序。 实际上: 扫描,看到一个 “点我看私:房:视频 /领百元红:包.apk”然后安装了。。。 安卓原罪,但也不能全怪安卓: 由于无法访问 play,打开了第三方源。再加上一些公司的 app 太流氓根本无法上架 play,你不开也得开,普通用户根本无法辨别这些。 安卓原罪二: 就理论上的那种攻击方式来说,手机一定有漏洞没补,你看看国内有几个是认真地在手机生命周期内给你推送了安全补丁的? |
 |
33
cmdOptionKana 2020-10-18 11:00:00 +08:00
@Osk 突然想到一个题外话,为啥安卓不积极打补丁会被喷,Windows 积极打补丁也被用户喷(很多人希望禁止体系统更新)
|
|
34
Osk 2020-10-18 11:14:22 +08:00 via Android
@cmdOptionKana 甜党和咸党区别而已吧🤣。
可能 Windows 太开放,运行环境过于复杂,Windows 补丁翻车概率太高,不安装一些奇奇怪怪的软件翻车机率会小得多。翻车太多就成新闻了。 而安卓本身算一个嵌入式系统,环境相对固定,app 受限,翻车机率小一点。但是补丁分发受控,可对大部分用户来说,只要还能装新的 apk 就不会骂娘,安不安全谁 care 。 另有厂商和 app 计划报废手机,几年一换,巧妙避开了系统版本过低(与安全更新无关)无法安装新 sdk 开发的 app 的问题,就没太多的反对声音了。 |
 |
35
zckevin 2020-10-18 11:44:42 +08:00
还有很多更可怕的 zero-click RCE,大家都别用手机了呗。担心被黑客用几百万刀的 0day 定点打击之前,先照镜子看看自己配不配。
|
 |
36
hafuhafu 2020-10-18 11:58:32 +08:00
这也能扯到安卓原罪。
|
 |
37
ditel 2020-10-18 12:34:02 +08:00 via Android
真的可以这么简单,为啥卸载个内置 app 还那么麻烦
|
 |
38
cherbim 2020-10-18 12:38:39 +08:00 via iPhone
自媒体日常制造恐慌,引起关注,
还有苹果大法好 |
 |
39
korvin 2020-10-18 13:35:55 +08:00 3
“当你在扫描二维码的同时,攻击者就可以获取到你手机的高权限”,听到这句话就可以直接关视频了。
|
 |
40
flynaj 2020-10-18 13:54:40 +08:00
@wunonglin #2 最有可能中招的就是苹果,苹果手机 root 不就是打开一个网站。大概率还是诱惑下载这种,利用的是人性弱点,不是系统漏洞,姘多多就是这样的。
|
 |
41
ddugujiujian 2020-10-18 14:02:26 +08:00 via iPhone 2
@flynaj 你用一个网页就能 root 苹果系统,你咋不上天呢
|
|
42
flynaj 2020-10-18 14:29:52 +08:00 1
@ddugujiujian #41 你没有越狱过苹果手机自然不明白。ios 在线越狱 搜一下。
|
 |
43
12101111 2020-10-18 14:43:03 +08:00 1
@ddugujiujian
PS4 破解就是用路由器或者 ESP8266 劫持 DNS 把 PS4 显示用户条款的网站重定向到破解网页,然后使用 Webkit 的漏洞提权到 root: https://ps4.gamex.vip/ 一般来说,一个 WebKit 的 0day + 一个 FreeBSD 的 0day 就可以攻破 PS4 的系统. https://www.psxhax.com/threads/exploiting-0-day-ps4-webkit-vulnerability-on-6-xx-firmwares-at-bheu-2020.8161/ iOS 的 Darwin 内核和 FreeBSD 不太一样,但是攻击的路线都是差不多的. |
 |
44
Cielsky 2020-10-18 14:46:32 +08:00 via Android
学会了,我马上用爱思助手给苹果装上几个软件,然后发布一条,黑客是如何不经 apple store 黑进 iOS 系统并装上软件的🐶
|
 |
45
treblex 2020-10-18 14:47:49 +08:00 via iPhone
国内的安卓厂商,ov 直接做成需要云账号的密码才能安装 app 了,好像华为也是
小米好像没这个限制,不过也没遇到啥问题,可能米粉儿刷机党比较多的原因吧,都比较能折腾(一直 beta+开发者模式 苹果的现在在用,自己写个 demo 想要测试下都倍儿难,还要开发者账号才能安装应用 应该都没啥太大的安全问题吧,现在拿 root 也没那么容易,好像都需要卡刷才行了 |
|
46
Cielsky 2020-10-18 14:53:35 +08:00 via Android
学会了,我马上用爱思助手给苹果装上几个软件,然后发布一条,黑客是如何不经 apple store 黑进 iOS 系统并装上软件的🐶
@wunonglin 我想你说的这些不熟悉电子产品的人直接下一步是下一步不了的,因为如果想下一步得先去打开允许未知来源安装的选项,这足以难倒一大批这种小白了 |
|
47
treblex 2020-10-18 14:53:42 +08:00 via iPhone
评论里有用户科普说是 4.4 的漏洞
|
 |
48
imn1 2020-10-18 16:07:09 +08:00
这个视频我不会信(或者说对我发生概率极小),但我会给我老妈看
说话是分语境以及说话对象的,同一句话,说给不同的人听,可能意思区别很大,同样,同一个意思,说给不同的人听,可能要说不同的话 本站有个特色,很多较真的人,这里虽然是个技术社区,但无论 UI 界面及使用者,却相当多是发言偏好移动设备,更像是聊天式交流,聊天式交流里面求真,吵架几乎不可避免。这两天也被 diss 了,只是我懒得去吵 视频也一样,看看受众是什么人,即使是大厂纪录片,里面的内容也不一定是 100%精确的,能说清一些事,让看的人有一定程度感知,可能制作者的目的就达到了 回到这个视频,如果放在科普或者面向大众化的地方,我觉得是挺好的 如果放在科学研究、技术探讨的地方,估计就是批判了 这里如果要“求真地”讨论这个视频的内容,最好先排除作者本意、立场,仅仅讨论其中现象和技术层面的好 |
 |
49
opengps 2020-10-18 16:20:02 +08:00
二维码就是一段字符,这段字符可以是网址。视频里显然对于这个网址做了特别处理(好像是安卓系统的联网 abd 调试)
大街上的二维码,做成一个网址,引导下载东西已经算是恶意设计的极限了,不知道他总结的意思,算不算骗小白用户赚流量用 |
 |
50
alfchin 2020-10-18 16:24:48 +08:00 via iPhone
iOS14 确定做得到
核心在于那个链接,而不是二维码 |
|
51
horseInBlack 2020-10-18 16:26:29 +08:00
@imn1
因为我自己坚信某种药物有效但是短期内无法通过检验所以编造实验结果以此进行申请可以吗? 因为我知道某品牌路由器有安全漏洞为了不让家人使用对他们说这个品牌辐射大影响健康可以吗? 因为我确定伴侣出轨所以用小号诱导从而自己掌握证据可以吗? 我们可以坦然用不正确方式得到自以为正确的结果吗? 讲道理的方式方法当然很重要,就像对于物理学科研人员很重要,中学老师和科普作家也很重要,同样是中学物理老师教学水平也有高有低。但是就算他们讲课水平有高有低、传授的知识有难有易,至少不会如此故弄玄虚。 我觉得这种“科普”和玄学也没什么区别了。 |
 |
52
crab 2020-10-18 16:33:45 +08:00
有漏洞存在就行啊。早期 IE 网页木马不就是这样,或者某个服务溢出拿权限。
|
 |
53
Huelse 2020-10-18 17:01:44 +08:00
这种事我早已习以为常,非业内人士的指指点点绝大多数时候都很可笑
另外让我想起来 2 句话,最大的安全漏洞是人本身。大多数软件问题都是用户自己有意或无意间造成的( linus 说的)。 |
|
54
imn1 2020-10-18 17:26:15 +08:00
@horseInBlack #51
我前面有说 ------------- 如果要“求真地”讨论这个视频的内容,最好先排除作者本意、立场,仅仅讨论其中现象和技术层面的好 ------------- 有的地方法律,只要带有侮辱、恶意,就触犯诽谤罪,但有些地方,只要所述内容是真实的,不是虚构的,不论言辞是否带有侮辱或恶意,也不能判为诽谤罪 扯远了,回到这个,故弄玄虚只是一种表达方式,甚至包括恐吓也是,求真就是要排除这些,看他所说内容是否为真 如果不论他说的内容如何,把故弄玄虚、甚至恐吓等等的表达方式,都视为假,那就是立场讨论了 ============== -因为我自己坚信某种药物有效但是短期内无法通过检验所以编造实验结果以此进行申请可以吗? 无数据支持,或者长期的结果验证,无论怎么表述,都不能作为真假判断,不能 -因为我知道某品牌路由器有安全漏洞为了不让家人使用对他们说这个品牌辐射大影响健康可以吗? 虚构不存在的内容,假,立场不用讨论了 -因为我确定伴侣出轨所以用小号诱导从而自己掌握证据可以吗? ?这是讨论什么?如何举证有法律规定,这个纯粹是立场讨论? -我们可以坦然用不正确方式得到自以为正确的结果吗? 不能,但要看“不正确的方式”如何定义 -讲道理的方式方法当然很重要,就像对于物理学科研人员很重要,中学老师和科普作家也很重要,同样是中学物理老师教学水平也有高有低。但是就算他们讲课水平有高有低、传授的知识有难有易,至少不会如此故弄玄虚。 我觉得比较重要的点是,这个“故弄玄虚”是否已经变成内容的一部分,例如你所说的“路由器”那题,已经把“玄虚”变成“事实”的内容,求真时自然也要求证这部份 如果只是浅白描述、夸张描述的不同,倒不必直接打死,例如“不明扫码有风险”vs“不明扫码非常危险、马上中招”,搞技术的自然清楚这个“马上”概率很低趋于零;但对于一般人,感受高风险,提高自我警示级别未尝不可,尤其是已经上当的人,这个“马上”已经是“100%事实”了 父母教育子女“不要玩火,会烧死人的”,这显然是带恐吓的故弄玄虚表述,如果用非常科学的精确表述,该如何表述?效果如何?我相信最佳方式是引导孩子学习火这个发光发热的物理现象,学龄前儿童也这样引导么? 我的意思是,在什么场合讨论什么,如果讨论“火能不能短时间烧死人”就去科学社区,如果讨论该怎么教育孩子不要玩火就去教育社区,如果讨论“不要生火”就去社会或法制社区 在技术社区讨论“扫码被黑是否危言耸听”,结论是非常明显的;但在 B 站,我觉得没什么,搞技术的人去那里就不要较真程度或概率了,倒不如辅助引导“不明真相”的观众如何操作防范,教他们进阶知识好 |
|
55
eason1874 2020-10-18 21:08:08 +08:00
@nicevar #24 这个 0day 漏洞是跟安装未知来源应用没关系。其他楼有人说可能是 adb,其实也没关系,网址之所以是局域网,只是因为本地测试更方便而已。
我第二句是说,很少普通用户会遇到 0day 攻击,多数安卓用户会遇到的攻击是被诱导安装未知来源应用,比如啥美女直播 APK,啥红包 APK 。iPhone 普通用户就基本不存在这个问题,因为太封闭,就算上当了想安装也很麻烦,从难度上就劝退了。 |
|
56
nicevar 2020-10-18 21:13:51 +08:00
@eason1874 如果单指这个漏洞,那安卓系统得是多少年前的版本了,首先手机通过 ip 就能连接 adb 的都是很老的机器,而且 adb 需要开启开发者模式,能 wifi 连接更需要特别开启,修改系统设置或者安装 WiFiADB 这类软件,这种能算是普通用户?再就是 adb 现在手机一段时间都会自动关闭,所以你说的这些都不成立,普通用户连开启安装未知来源应用都不会开启,更别说开启开发者模式了。
|
 |
57
zxCoder 2020-10-18 21:18:19 +08:00 1
楼上有个苹果粉舌战群儒
|
|
58
eason1874 2020-10-18 21:27:50 +08:00
@nicevar #56 你看错了,我不是说普通用户会遇到这些攻击,我说的是 [很少] 普通用户会遇到 0day 攻击。
被诱导安装未知来源应用这个就多,这个是靠用户自己上当去安装,不是靠漏洞。 至于允许安装未知来源应用,这是绝大部分国产手机都能轻松开启的。在你还没开启的时候,随便点开一个 APK 就会告诉你还没开启,然后提示开启方法。所以多数国产安卓手机用户都是开启的。如果你不信,你可以去了解一下最近的 [一份礼物.apk] 事件,或者自己撸一个 APK 直接发给身边安卓机朋友,安装过程几乎可以说 100%畅通无阻。 |
 |
59
mxT52CRuqR6o5 2020-10-18 21:57:03 +08:00 via Android
并不是所有手机用户都能把手机用的跟极客一样明白的,很多人安个应用都安不明白
允许安装未知来源的应用会导致攻击安卓相比攻击 ios 会低一个门槛 否认这点,而把安装未知来源应用归因于用户蠢有点太何不食肉糜了 |
 |
60
kekxv 2020-10-18 22:18:15 +08:00 via iPhone
我就想知道,他这个漏洞能不能放出来帮我提权 root 一下🐶🐶🐶
|
 |
61
swulling 2020-10-18 22:55:01 +08:00 via iPhone
这么说吧,访问 URL 无需任何其他动作就能自动装上恶意软件的 0day,不管是安卓的还是 iOS 的还是 windows 的,普通人百分之九十九点九九九的情况下都碰不到这种攻击。
不能完全否认没有,但是你想碰到是不太可能的。 |
|
62
swulling 2020-10-18 22:57:06 +08:00 via iPhone
如果有这种 0day,保守估价 1000w 美金一个吧。有这本事谁放出来攻击普通人,放出来就会更快的被打上补丁,钱多烧的?
|
 |
63
mokevip 2020-10-18 23:08:52 +08:00
帖子已经变成安卓党和苹果党的争执了。
我觉得哪个系统都一样,只是选择不同 苹果封闭是安全了,但真的什么都能如你意吗?真的?比如苹果税? 安卓开放是不安全,但是你可以安装任何你想要的,当然也包括病毒。 |
 |
64
x86 2020-10-18 23:10:15 +08:00 via iPhone
和街头什么迷魂药骗钱似的,说白了就是自己蠢上当了硬要找台阶下什么扫一下就被骗了
|
 |
65
dingwen07 2020-10-19 02:02:23 +08:00 via iPhone
安全意识是最重要的,不让随便一个 fishing 链接都能中招
二维码很大的安全隐患是很难抵御 MITM 攻击——攻击者直接覆盖一张上去 |
|
66
black11black OP @dingwen07 大佬解释下为啥,图跟链接网址不是一样的。比如我用 chrome 浏览器,那主流网站不是基本没有 mitm 的问题了,阿里啥的
|
 |
67
baobao1270 2020-10-19 08:36:37 +08:00 via Android
我猜测一下,应该是有个本地的 App(可能是系统自带的某某 UI 的魔改 App)监听了某个 HTTP 端口,可以通过 POST 请求来执行 adb 操作,本来是为了调试或者是实现某些功能的。但是由于该接口没有鉴权或者弱口令,导致被人利用来控制手机。
|
 |
68
easonHHH 2020-10-19 09:20:55 +08:00
讨论技术实现可能性 ×
找理由尬吹苹果歪楼 √ |
 |
69
mitong3269 2020-10-19 10:04:17 +08:00 via iPhone
以前 央视有过报道 点击链接可以“复制”出一个手机 我两个朋友中招 被盗刷 600 1w 都是指纹支付
|
|
70
mitong3269 2020-10-19 10:07:04 +08:00 via iPhone
|
 |
71
maskerTUI 2020-10-19 10:59:38 +08:00 1
粗略看了一下,哗众取宠成分比较大。
二维码解析的结果是 http://192.168.43.224:8899 手机看起来像是 2014 年发布的 Nexus 6,系统目测没有安装到最新的安全补丁,要想扫码就被获取手机控制权限必须需要一个 webview 提权漏洞,比如 CVE-2014-7911 这种提权漏洞。 大概就是,你得找一台至少是 5 年前的安卓低版本的买来后没更新过安全补丁的手机才能达到这个效果, |
 |
72
Vipcw95 2020-10-19 11:38:25 +08:00
禁止 未知来源应用
|
|
73
nicevar 2020-10-19 12:10:09 +08:00
@eason1874 不是很少普通用户会遇到 0day 攻击,而是因为 0day 漏洞少,特别是在手机上,一旦出现最先受伤害的就是普通用户,诺基亚当年的蓝牙漏洞疯狂传播,坐个地铁手机一不小心摁了一下就被染上了,苹果的一个短信漏洞就大面积的普通用户手机受影响了,windows 时代就更不用说了,大流氓没有出现之前,普通用户任人宰割,当年天空网被挂马利用 0day 漏洞多少用户中招。
允许安装未知来源应用在你眼中的轻松开启,是需要找到设置一步步进入打开并启用,这跟 iOS 信任证书有多大的区别?能开启这个的人不会操作 iPhone 去信任证书?况且 8.0 以上系统已经不能永久开启了,需要动态请求。多数用户是开启的只是你那样认为,至少在我们的产品中上百万用户日志中,请求权限大部分用户并不会开启,这就是事实。一份礼物有什么可了解的,不就是个简单的音乐播放调用再加音量调节,一个 apk 你都自己安装运行了,除了音量恶意调节这跟别人发你一个视频你自己点开播放有多大区别?这软件在 8.0 以上适配都没做好。 |
|
74
mxT52CRuqR6o5 2020-10-19 12:43:32 +08:00 1
@nicevar
所以讲了那么多安卓安全的理论,那谁能解释一下今年大学开学的欧泡果奶事件 |
 |
75
badcode 2020-10-19 13:00:32 +08:00 via Android
这个视频的观众是哪些人,目的是什么?
好玩,炫技,还是三连完事? 谁又知道呢 |
 |
76
iyaozhen 2020-10-19 13:06:38 +08:00
@mxT52CRuqR6o5 那个就是自己安装的 比如 app 名字取的劲爆点,而且是好友发的,短视频里面明显也能看见安装过程,还有各种风险提示
|
|
77
nicevar 2020-10-19 13:14:33 +08:00
@mxT52CRuqR6o5 这还需要什么解释,不就是自己安装了一个软件打开播放了一个音频文件?这跟以前大学里面手机突然外放有多大区别?只不过那个年代没有信息传播没有这么快,老师查错 u 盘放 av 的都有,也没这么多无聊的吃瓜的。那个 apk 只不过加了一个循环音量控制。
|
 |
78
zoharSoul 2020-10-19 13:19:05 +08:00
|
|
79
eason1874 2020-10-19 13:38:05 +08:00
@nicevar #73 一份礼物.apk 只是一个传播例子,我不是让你了解这个应用有什么内容,是让你了解安卓的未知来源应用传播起来有多么容易。
安卓允许安装未知来源应用跟 iOS 信任证书有多大的区别?区别就是安卓用户未授权就安装未知来源应用的时候,系统会提示开启授权的方法并提供引导按钮,普通用户顺着点几下就开启并完成安装了。 而 iOS 打开企业签应用被拒绝的时候只有一个取消按钮,普通用户不专门去查资料根本不知道怎么信任证书。 你们产品数据不能说明用户不会开启这个权限,只能说明用户不愿意安装你们推荐的应用。我说多数用户允许安装未知来源应用的权限,是在说明用户在愿意安装的时候会很轻易安装成功,不是说用户是来者不拒的傻子。像我前面说的,要用户安装恶意应用是靠忽悠、诱导的,不是弹个提示用户就会点安装了。 如果你们产品真有上百万用户,那至少有一个负责安全的吧?你不信我说的,可以去问你们搞安全的。我虽然有几年没接触这块了,但我依然觉得你的了解远不如我,说实话,我没有说再多的兴趣,我们聊天像鸡同鸭讲,无法有效沟通。 |
|
81
nicevar 2020-10-19 13:49:52 +08:00
@eason1874 确实是鸡同鸭讲,你对 Android 和 iOS 根本就不了解,特别是安全机制,当出现溢出类漏洞时与 Android 还是 iOS 都没有多大的区别,最简单的例子就是 iOS 早期的漏洞,一个精心构造的文件只要在浏览器一点击手机就会被控制了,根本不需要你确认什么,还有 iOS 的企业证书我不想跟你解释多了。一份礼物.apk 这种通过诱导用户主动安装运行的有什么好举例的?你见过诺基亚 s60 的蓝牙漏洞么,你知道它怎么实现的么?你在正常操作的手机的时候,突然一个误点击后面都是利用漏洞自动完成了,你在 Android 上见到了几个能做到这样的?再就是我就是某上市安全公司的。
|
|
82
mxT52CRuqR6o5 2020-10-19 13:57:25 +08:00
|
|
83
eason1874 2020-10-19 14:13:21 +08:00
@nicevar #81 视频里的 0day 攻击跟诱导安装未知来源应用本就是两回事。
我第一个评论说的“这种漏洞本身就不多见,普通人遇到的情况就更少了。普通人遇到的更多的攻击类型是被忽悠安装了恶意 APP”,前后是转折关系。你理解错了。 然后我第一次回复你又明确说了“这个 0day 漏洞是跟安装未知来源应用没关系”,“多数安卓用户会遇到的攻击是被诱导安装未知来源应用”。你还一直混淆这两种攻击。 一两块钱一个安装的软件 APP,我个人累计收入超过十万了,现在每天新装都还超过 100 台,怎么诱导用户安装我会不懂吗?我全部都研究过,各平台的安装难度我有清晰的排名。 现在是你不懂。你说你是某上市安全公司的,我不知道你负责什么方向,但我可以确定你的工作内容不涉及传播。 |
 |
84
nnnToTnnn 2020-10-19 14:27:12 +08:00
@nicevar
@eason1874 @swulling @imn1 @wunonglin 还有很多人,我就不统一回答了。 环境 - andorid 6.0 相信没有比 6.0 还低的版本(官方的 google 应用) - 未开启 root 权限 - 未开启开发者选项 流程 谈论视频中的攻击方式过程 大概攻击方式如下。 1. 扫描二维码。 2. 植入对应的 exe 程序。 前置条件。在一台全新的手机中,未植入任何木马后门的情况下。 常用的扫码方式。 1. 采用微信扫描二位码 2. 采用支付宝扫码二维码 3. 采用其他方式扫码二维码 例如本身的扫码程序中存在漏洞,可以进行栈溢出攻击。这是一种攻击方式,但是事实上图中的二维码内容并非栈溢出,所以不是这种攻击方式。 未开启开发者,所以不存在远程调试攻击。 -------------------------- 看了一下内容 “http://192.168.43.224:8899”, 大概是写了一个扫码器,然后打开这个地址,静默安装软件。这个应该不算病毒,大概算自动更新? |
|
85
nicevar 2020-10-19 16:26:41 +08:00
@eason1874 自己连攻击和漏洞这种基本概念搞不清楚,我再怎么说都没用,诱导安装当年最出名的就是我的第一家单位,最不要脸被人骂的狗血喷头的就是了。
懂不懂不是你说了算,你弄的这种我们十来年前就开始玩了,当时第一批去跟中关村卖手机刷机合作的就是我的同事,到后面他自己单干定制 ROM 捆绑,我提供过短时间技术支持,现在不少早期 Android 的 ROM 都是我弄出来的,但是我没从这上面挣过钱,首先是我自己过不去,再就是当时我自己开发的 APP 每个月收入也很多,没必要挣这种钱。 |
 |
86
eric96 2020-10-19 17:16:26 +08:00
@horseInBlack "人被杀就会死" 查猪名言
|
 |
88
ic2y 2020-10-19 18:51:22 +08:00 2
正巧,我以前搞过类似的工作内容,先说结论:通过扫描一个二维码,手机被黑是完全可能的。
下面以安卓为例,其实 ios 也有类似的可能性。 以前在 360 实习的时候,做那种自动化检测安卓漏洞的工具。也了解到了一些 CVE 漏洞的原理。 当时见的比较多是安卓 5.x 版本的 mediaserver 服务漏洞,mediaserver 服务负责提供视频、影音的播放解析服务,还有专辑封面、mp3 标签解析等等功能。 早期的安卓的 mediaserver 服务权限很高,而且代码很烂,有很多 RCE 级别的漏洞,可以执行任意代码。 当时我测试的时候,就直接调用播放器播放特制的恶意视频,就能起到攻击效果。 在实际场景下,通过让受害者扫描二维码打开网页,或者发送彩信的方式,就足以控制受害者的手机。 即使受害者不主动播放,某些漏洞也会自动触发;因为有些漏洞是在视频格式解析、音乐的 tag 标签解析的环节等存在堆栈溢出、等等问题,通过精心构造 mp3 或者 mp4 等媒体文件,可以实现任意代码执行。 只要网页打开,就可以触发定制的恶意代码。苹果的 ios 的话,也是同理,不过 ios 不开源,相对封闭性比较高。 |
|
89
ic2y 2020-10-19 18:54:57 +08:00 2
搜索 https://www.cvedetails.com/google-search-results.php?q=mediaserver+&sa=Search 可以看到历史上 mediaserver 服务相关的 CVE 漏洞。 安卓和 IOS 都是有类似问题,但是 一般 这种 RCE 级别的漏洞利用,都是很值钱的。一般不会随便用在普通人身上,前几年的时候,看到有公司收购这种漏洞,IOS 的 RCE 漏洞,收购价 100 万美元。
|
 |
90
miku831 2020-10-19 23:08:02 +08:00
CVE 漏洞 经常看到安卓版本更新会提到啊
|
|
91
eason1874 2020-10-20 00:09:22 +08:00
@nnnToTnnn #84 这种攻击方式是存在的。几年前安卓浏览器出现过提权漏洞,打开恶意网页,别安装软件,连 root 都能被获取。视频作者在评论区说了不是 adb,大概率是那类漏洞。
@nicevar #85 说你不懂装懂还不认,你说的 ROM 捆绑跟我说的诱导安装完全是两回事,在传播层面是完全不同的渠道。你要真是安全公司的,那你知识储备是相当低。诱导安装是不是恶意攻击的一部分,你稍微去问下真正搞安全的就知道了。我看你这不懂装懂的模样,怕是也拉不下来面子去问了,我给你提供几条信息你自己去找资料吧,别硬装了。 CVE-2017-17171 华为手机漏洞:攻击者通过诱导用户安装恶意的 APK,并通过特定权限预装应用发起攻击。 2019-12-23 红雨滴团队:发现多起疑似针对韩国地区 Android 用户的恶意代码攻击活动。攻击者通过将恶意安卓应用伪装成韩国常用移动应用,从而诱导受害者安装使用。 360 烽火实验室:为了诱导用户下载安装运行,勒索软件通常会伪装成各种极具诱惑力、通过不正规手段牟利的软件,例如游戏外挂、代刷、盗版应用、WIFI 密码破解、抢红包等等,这些软件拥有一定的用户群与传播途径,勒索软件正是利用了其易吸引用户、传播快的特点玩起了“假面游戏”。 腾讯安全:病毒木马伪装成银行应用、系统应用、照片等方式诱导受害者进行安装,通过隐藏图标潜伏在用户手机,激活设备管理器导致无法卸载,最后通过监控手机的银行短信验证码,实现窃取用户银行卡里的金钱。 |
|
92
eason1874 2020-10-20 00:27:47 +08:00
@nicevar #85 通过 0day 之类的漏洞攻击,这是技术的活。通过诱导安装未知来源应用进行攻击,这是社工的活。我研究的是后一种。
我很懂漏洞跟攻击的区别,不懂的是你,你连 ROM 捆绑都能以为是诱导安装。通过 ROM 捆绑实现攻击的那叫供应链攻击,或者叫供应链投毒,跟诱导安装甚至都不是一个类型。正因为你不懂,所以你以为我不懂。 我话说完了,你可以继续硬拗了,不过我不会回复了。不客气地说,就你这水平搞移动安全,当你的产品用户还不如裸奔。 |
|
93
nnnToTnnn 2020-10-20 08:51:15 +08:00
@eason1874 #91 CVE-2017-17171 和安卓本身没关系,安卓不背这个锅,这个是华为的漏洞,而且这个似乎是参数未正确校验的。 你不能拿着别人代码改了,然后说别人的代码有漏洞,这显然不对把?
|
 |
94
StrorageBox 2020-10-20 09:39:46 +08:00
我愿意花 5000 元以上来购买这个技术,上不封顶,谁能实现请来开价,android 版本 6 以上,覆盖华为小米 ov 魅族锤子一加,这 7 个主要品牌即可。(扫码,静默安装,安装后不出现在应用列表)这三个点都满足即可。有这技术还研究个屁的热更新组件化,楼上一堆装极客的真搞笑。
|
|
95
ic2y 2020-10-20 11:40:16 +08:00
@StrorageBox 你说楼上装极客我就不同意了。我从事过一键 root 相关开发工作,大家在讨论问题,为什么要装呢?
这个 POC 开发起来很难,但是理解、参考不是特别难。 而且,某个特定的利用手段一旦开始广泛使用,被发现和修复的概率就会大大增加。 官方已知的问题都逐月修复了,未修复的可利用手段都是很珍贵的。另外,你的 5000 块是远远不够的。https://zerodium.com/program.html 看看这里的报价分级,最高 250 万美金,高价值目标定向使用。 |
|
96
StrorageBox 2020-10-20 13:47:47 +08:00
@ic2y 你只看到 5000 你看不到上不封顶?话都看不全就别闹了
|
|
97
StrorageBox 2020-10-20 13:52:53 +08:00
@ic2y 觉得简单容易?你做出来啊,做出来我买,250W 美金我不知道,250W 人民币我觉得值,你觉得简单这 250W 人民币你赚不赚,还是那句话,上不封顶,嘴里说着简单做不出来不是装是什么
|
|
98
StrorageBox 2020-10-20 14:14:55 +08:00
@ic2y 而且我又不是说所有楼上都是装极客,你可真能杠
|
|
99
nicevar 2020-10-20 14:36:41 +08:00
@eason1874 你死鸭子倒是挺嘴硬,谁跟你说 ROM 捆绑一定就要安装,你是不是自己当流氓诱导安装习惯了?你以为所有的软件都会固化到 rom 里去?有些 app 放到特定的文件夹让用户选择安装知道吗?还好意思说我装模作样,你玩得那些什么诱惑安装多少年前 windows 玩剩下的,还以为自己很高级,挣点黑心钱还以为自己水平了得是么?我的知识量储备再低也比你这种货色强好几倍,你看我那句话说过诱导安装不是攻击的一部分?你回去好好看我说的话,是不是没词了自己树个靶子打着好玩?你搜索了半天就放出这几条信息,好还意思让我去看?
|
Select Language