B 站看到了一个扫描二维码以后直接被黑入手机的视频,是不是危言耸听?

2020-10-18 03:34:55 +08:00
 black11black

如题,视频标题《来源不明的二维码 为何不要乱扫?》

https://www.bilibili.com/video/BV1ki4y1j7rZ

关注的其他 UP 主点赞了所以我被推送了。对于没看过视频的朋友,简单来说这里面这位白帽子做了一个操作就是手机扫了个二维码,然后手机就被提权了,被装了个恶意服务。

==============================================

我的安全知识是开发人员范畴,看到这个视频表示很怀疑。在我的知识范围内,二维码纯粹是作为字节和图片转换的渠道,也就是说神秘二维码也就是一串神秘字符串而已,就算二维码扫描调用了浏览器,浏览器底层还有安全机制,网站连不归自己管的 cookie 都拿不到,打开个网站就直接提权是不是危言耸听?

还是说我孤陋寡闻了,现在手机安全机制确实这么弱,随便扫个码就可能 GG ?

9187 次点击
所在节点    问与答
109 条回复
exploretheworld
2020-10-18 03:42:58 +08:00
除非有 0day
wunonglin
2020-10-18 03:51:48 +08:00
说来说去还是苹果大法好。

刚看了个今日说法,也是群发短信 apk 链接安装了隐藏应用。可能这就是所谓的开放吧
wunonglin
2020-10-18 03:52:33 +08:00
捏,这个

<amp-youtube data-videoid="rUZGPOjKOBc" layout="responsive" width="480" height="270"></amp-youtube>
horseInBlack
2020-10-18 03:55:48 +08:00
不是,这视频从头到尾讲了个啥嘛,特别是说到原理那一段,大意不就是手机系统都是复杂的,不能保证系统没有漏洞,有漏洞就会被利用,所以我们要小心
这叫什么原理嘛,这不全是废话吗,这和“人被杀就会死”有什么区别,有没实际案例和方法就空讲废话

底下评论里有人回复
しんかいもんか : “您好,请教一下,视频中的扫描二维码之后没刷出任何东西就被控制的这个是用类似 adb 控制的吗?视频中 url 没刷出来貌似 js 也跑不了吧?(刚刚闲的没事看了一下视频里二维码的内容是"http://192.168.43.224:8899")为啥就能被 adb 控制了呢?”

看样子是无线调试?那如果要实现这样的场景是不是先得用户开启系统开发者模式,然后开启无线调试,然后用户还要在手机上同意远程调试,同时远程操控者在终端执行操作才能实现?
那这样和我要入侵一台服务器,直接去到机房里把服务器重启、进入恢复模式、或者直接把硬盘拆走有什么区别

看这账号好像还是阿里公司的组织账号,有这时间危言耸听,不如先把自己公司的产品做做好
germain
2020-10-18 04:09:35 +08:00
暂且把这个二维码忘掉。

那个大舌头讲的原理是:你访问一个来源不明的 URL,就会被安装 app 。问题是你也不是手机跳出来让你装啥你就装啥的,让你给什么权限你就给的吧。 所以“直接”黑入手机几乎是不可能的,除非楼上说的某 0day 被人掌握了。
black11black
2020-10-18 04:13:21 +08:00
@horseInBlack 我关注的 UP 主还挺把这个当回事的,我心里感觉也是挺逗,但是毕竟人家干别的的,不了解这个也正常。为了防止我孤陋寡闻,来 v2 求证一下。我感觉这就是新式的,所谓朋友圈大妈疯狂推的那种养生文,哗众取宠博人眼球,只不过发生在二三十岁的人身上,看评论区感觉挺搞笑的。
black11black
2020-10-18 04:14:21 +08:00
@wunonglin 我感觉这不是安卓的问题,也就不是苹果的优势,这能推导出苹果好的结论我也是没看懂
wunonglin
2020-10-18 04:20:23 +08:00
@black11black #7

在浏览器没有 0day 的情况下,在浏览器内是不可能控制手机的。

其次有个别安卓打开 apk 链接的时候会自动下载安装(如上述今日说法那样)。

但在 ios 的话,正常情况下安装任何软件都要跳转到 App Stroe,如没购买过甚至需要你输入密码,从而根本解决了手机会莫名安装 XXX 软件的问题。

如有说的不对可以指出来,虚心请教
black11black
2020-10-18 04:24:54 +08:00
@wunonglin 不用虚心求教,没什么意义,就算“个别安卓”做的特别渣,真的会自动下载,且自动安装,我不觉得它解包结束后会不经确认。
wunonglin
2020-10-18 04:25:26 +08:00
@black11black #7

另外能安装软件的方法是描述文件。

安装描述文件的软件,过程中会有一系列提醒,并且需要输入密码。

如果你认为这个软件有问题,且这都不能阻止你输入密码去安装,我也没话说
wunonglin
2020-10-18 04:26:07 +08:00
@black11black #9

但就是发生了,对吧?
wunonglin
2020-10-18 04:29:29 +08:00
@black11black #9

全国 14 亿人,就算有 10 个上当都能成新闻了。

在中国安卓占比那么大,你不能要求每个人都那么“会玩”,这种诈骗恰恰针对的就是这些“不会玩”的人的。

你、我、跟在座的大多数人都不是它的目标人群
felixcode
2020-10-18 04:41:15 +08:00
@wunonglin 越封闭的越容易做的更安全,没什么奇怪的,诺基亚 s40 比你的苹果还安全多了呢
wunonglin
2020-10-18 04:58:15 +08:00
@felixcode #13

现在民用最大的两个手机操作系统是 ios 和安卓,不太清楚你把塞班拿出来的意义是什么

ETC 吗?
ztmqg
2020-10-18 06:50:45 +08:00
在这里,安卓是原罪,国产是原罪
ochatokori
2020-10-18 07:02:13 +08:00
@wunonglin #2 还记不记得这个今日说法是几月几号的,我想看看
wunonglin
2020-10-18 07:11:00 +08:00
@ochatokori #16

20170329,youtube 地址是 watch?v=rUZGPOjKOBc


@ztmqg #15

不知道你听没听过一句话,能力越大责任越大。我不觉得国内厂商的技术能力解决不了这个问题(就事论事)


ps:
在座有没有安卓开发的可以说下现在还会不会有那种自动下载安装或者装上去不在应用列表显示的吗?

因为我不用安卓很久了,不知道现在的还会不会这样,麻烦多谢
pod
2020-10-18 07:14:31 +08:00
@ztmqg 其实就这件事而言刚好相反,苹果那边网页越狱很常见了
eason1874
2020-10-18 07:24:30 +08:00
几年前 Android 确实出现过可以提权的浏览器漏洞,这跟二维码没关系,二维码只是恶意网址的传播方式,问题出在恶意网址的 JS 代码上面,有兴趣的去搜当年的文章看下吧。

这种漏洞本身就不多见,普通人遇到的情况就更少了。普通人遇到的更多的攻击类型是被忽悠安装了恶意 APP,国内安卓手机普遍允许安装未知来源的应用,对普通用户来说,这方面的安全性真的是远不如 iPhone 。
ShuoHui
2020-10-18 08:07:16 +08:00
@ztmqg #15 笑死,别个讨论个优缺点,ETC 也能总结出“国产原罪”。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/716034

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX