刚刚收到的钓鱼短信，号码显示 10086，伪基站干的？

号码居然显示 10086，是伪基站干的吗？域名是 l0086tvz.cc ，查询 whois 在万网注册，各位先玩玩。

2017-11-22 21:37:02 +08:00

看到这个问题，我突然想到，现在那么多国产 app 都要求短信权限，会不会有 app 流氓到通过网络推送短信到用户手机，并伪造来源号码呢？操作起来貌似不困难，把收到的信息编辑到短信收件箱中并加上指定号码即可。。。

xiaoz

2017-11-22 21:39:15 +08:00

@pq 没搞明白，是怎么伪造来源的。

0ZXYDDu796nVCFxq

2017-11-22 21:42:51 +08:00

@pq 并不能伪造得很像，太多途径可以发现
而且，App 发布出去后，那真的是百分百的证据确凿

bukip

2017-11-22 21:49:13 +08:00

l 不是 1

2017-11-22 21:57:57 +08:00

@xiaoz 这有什么不明白的？大多国产 app 获取的短信权限，基本上等同于系统内置的短信应用，完全可以随心所欲地操纵短信呀。

所以我，电话和短信都是专用一个手机，绝对不装任何国产 app，或许是我过度恐慌了吧，但万一呢。。。

Mac

2017-11-22 22:12:54 +08:00

伪基站只能侵害 2G 网络

zj299792458

2017-11-22 22:15:35 +08:00

@xiaoz 直接读写短信数据库不行么

miyuki

2017-11-22 22:33:51 +08:00

@Mac 但是貌似会降级攻击吧？

Coande

2017-11-23 00:11:25 +08:00

想知道是怎么检查到不是手机浏览的

leafleave

2017-11-23 00:46:56 +08:00

是伪基站，移动联通都会碰到。

just1

2017-11-23 00:52:47 +08:00

@Coande ua，分辨率

Lentin

2017-11-23 01:52:29 +08:00

安卓不 root 的话貌似还没有写入到短信数据库的权限

rosu

2017-11-23 07:08:03 +08:00

@pq 直接拒绝短信权限。以及，你应该担心的不是他后天发短信，然后读取验证码吗？

shakoon

2017-11-23 08:21:52 +08:00

@Lentin 不 root 也可以写入短信的，最常见的例子是各数据迁移 app

justfindu

2017-11-23 09:07:51 +08:00

这个伪基站没做好, 不能发送长短信可怕

zjp

2017-11-23 09:26:24 +08:00

@pq 读取和发送短信的权限并不能写入短信，写入短信需要另外申请成为"短信"应用，一般是备份软件用到这功能

leoplanee

2017-11-23 10:05:21 +08:00

伪基站其实很实用化了
之前朋友的公司在一个广场搞活动
请了做这行的人去现场一台金杯里面放着设备
群发短信
所有人都吸引过去了。

chenyiping1995

2017-11-23 16:18:17 +08:00

@pq #1 #5
@zj299792458 #7
@shakoon #14

Android 4.4 开始就不能免 root 写短信数据库了，除非你把它设置为 “短信” 应用。

https://i.loli.net/2017/11/23/5a16839d8d425.png

这步操作是要用户许可的，而且提示跟权限要求完全不一样。

否则，用户给予的只有读短信的许可。

chenyiping1995

2017-11-23 16:21:25 +08:00

https://i.loli.net/2017/11/23/5a1684d98ea73.png

补张图。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/408688

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.