安卓上的安全性问题, 真是防不胜防

2016-04-21 11:05:08 +08:00
 skyworker
起因

A 在论坛发帖:
"今早一个同事安卓手机中招被转走 4500,收到一条短信,某某某,你的孩子在校期间行为规范打分如下,一个网址链接,我同事傻乎乎的点了,然后建行工资卡被转走 4500 ,还好他工资卡就 4500,真尼玛可怕"

接下来讨论

安卓还是很安全的守护者:
"没这么牛的软件,一般事后都是要说的很玄乎,不能让人知道自己很傻的把帐号密码都填了,参见时不时的说有人被人一口迷烟然后无知觉的让做什么就做什么了的事件"

"就跟以前被骗钱了都说被催眠了 ,其实都是事后发现自己蠢 编的借口,不可能点一下就没了 肯定自己操作了什么"


真实情况如下

"
我来解释一下吧,重点是在于 Android 那个媒体解析漏洞
发链接,你点,网页中包含触发漏洞的图片, GG
当然短信验证码问题 5.0 以上不能拦截,只能读取
然后 READ_PHONE_STATE 拿电话号码,或者发短信拿号码,当然请配合上面的漏洞利用
在老系统中还能利用那个 apk 签名漏洞替换 settings.apk ,这样你的 XX 就跑在 System 权限下了哟。这个利用方式和当年 XP 在 Guest 用户下利用任务管理器取得管理员权限有异曲同工之妙
接下来,可以利用些漏洞拿 root 权限,比如那个 Linux 内核的问题,想想 Towelroot
最终 GG
"

下一步,赶紧准备把所有涉及钱的 APP 和手机卡都转移到肾机上.
14621 次点击
所在节点    Android
80 条回复
greenskinmonster
2016-04-21 11:08:15 +08:00
你是怎么知道是 “那个媒体解析漏洞” 的?
skyworker
2016-04-21 11:09:32 +08:00
@greenskinmonster

"我来解释一下吧" 这一段, 是论坛里面一个人的回帖
phoneli
2016-04-21 11:12:43 +08:00
没有 root ,怎么可能那么简单拿到 root 权限?
cst4you
2016-04-21 11:12:50 +08:00
老版本的问题, 只能怪厂商不作为. 系统不应该背这锅.
H3x
2016-04-21 11:13:53 +08:00
Stagefright 漏洞吧
thxhtp
2016-04-21 11:17:12 +08:00
意思就是在安卓上浏览网页都是危险行为? 怎么破
honeycomb
2016-04-21 11:17:40 +08:00
这就是为什么会有人吹捧 Nexus ,会叫 iv2ex ,因为这些手机有积极维护
ershisi
2016-04-21 11:18:56 +08:00
首先,这个人的信息和资料已经泄露了。
clino
2016-04-21 11:19:02 +08:00
看起来很多都是猜的
把中标的网址发出来看看?
skyworker
2016-04-21 11:19:44 +08:00
@thxhtp 买一个能随时升级最新版安卓的手机 OR 换肾机
thxhtp
2016-04-21 11:20:35 +08:00
@skyworker 才从肾机换到 MI 不到 3 天。
skyworker
2016-04-21 11:21:30 +08:00
@clino

xx 家长您好,这是我们学校开学安排。请家长关注 appmfl.com/j.htm?mNmFJ3zNQY [校讯通]
21grams
2016-04-21 11:21:39 +08:00
是否相信点个链接就能把钱转走是检验智商的唯一标准。
9hills
2016-04-21 11:24:12 +08:00
@skyworker 这个好像就是一个应用推广功能: http://appmfl.com/

我觉得估计是下载个 apk ,你同事点了安装了吧。。。
bk201
2016-04-21 11:25:03 +08:00
我认为发短信验证码很蠢,绑定手机很烦,丢失手机很烦,又不安全。
clino
2016-04-21 11:25:53 +08:00
@skyworker 现在这个链接显示的是"应用推广功能已下线!"
之前估计是一个恶意应用下载,你同事下载了这个恶意的应用运行中招了应该是

要养成习惯,所有的应用都从应用商店下载和更新,绝对不要自行下载安装和更新,应用自更新的也不要
thxhtp
2016-04-21 11:26:33 +08:00
@9hills 楼主意思是利用漏洞自动安装了吧
9hills
2016-04-21 11:27:36 +08:00
@thxhtp 这个网站能注册的,你可以注册下试试。。。没有那么高级
takwai
2016-04-21 11:29:17 +08:00
Google 对安卓安全性问题,还是积极修复的。

主要是各种厂家定制的安卓,各种不跟进,各种落后导致的。
skyworker
2016-04-21 11:29:18 +08:00
@9hills @clino 你的观点和"安卓还是很安全的守护者"很像, 但是真实的情景好像真的是用户只是看了短信, 因为安卓本身的漏洞, 木马就被后台静默安装, 静默 root ,后台转发验证短信了.

这不是我同事, 只是 D 版的一个帖子, 我只是转述者.

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/273309

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX