B 站看到了一个扫描二维码以后直接被黑入手机的视频，是不是危言耸听？

如题，视频标题《来源不明的二维码为何不要乱扫？》

https://www.bilibili.com/video/BV1ki4y1j7rZ

关注的其他 UP 主点赞了所以我被推送了。对于没看过视频的朋友，简单来说这里面这位白帽子做了一个操作就是手机扫了个二维码，然后手机就被提权了，被装了个恶意服务。

==============================================

我的安全知识是开发人员范畴，看到这个视频表示很怀疑。在我的知识范围内，二维码纯粹是作为字节和图片转换的渠道，也就是说神秘二维码也就是一串神秘字符串而已，就算二维码扫描调用了浏览器，浏览器底层还有安全机制，网站连不归自己管的 cookie 都拿不到，打开个网站就直接提权是不是危言耸听？

还是说我孤陋寡闻了，现在手机安全机制确实这么弱，随便扫个码就可能 GG ？

swulling

2020-10-18 22:55:01 +08:00

这么说吧，访问 URL 无需任何其他动作就能自动装上恶意软件的 0day，不管是安卓的还是 iOS 的还是 windows 的，普通人百分之九十九点九九九的情况下都碰不到这种攻击。

不能完全否认没有，但是你想碰到是不太可能的。

swulling

2020-10-18 22:57:06 +08:00

如果有这种 0day，保守估价 1000w 美金一个吧。有这本事谁放出来攻击普通人，放出来就会更快的被打上补丁，钱多烧的？

mokevip

2020-10-18 23:08:52 +08:00

帖子已经变成安卓党和苹果党的争执了。

我觉得哪个系统都一样，只是选择不同
苹果封闭是安全了，但真的什么都能如你意吗？真的？比如苹果税？
安卓开放是不安全，但是你可以安装任何你想要的，当然也包括病毒。

x86

2020-10-18 23:10:15 +08:00

和街头什么迷魂药骗钱似的，说白了就是自己蠢上当了硬要找台阶下什么扫一下就被骗了

dingwen07

2020-10-19 02:02:23 +08:00

安全意识是最重要的，不让随便一个 fishing 链接都能中招
二维码很大的安全隐患是很难抵御 MITM 攻击——攻击者直接覆盖一张上去

black11black

2020-10-19 02:06:59 +08:00

@dingwen07 大佬解释下为啥，图跟链接网址不是一样的。比如我用 chrome 浏览器，那主流网站不是基本没有 mitm 的问题了，阿里啥的

baobao1270

2020-10-19 08:36:37 +08:00

我猜测一下，应该是有个本地的 App(可能是系统自带的某某 UI 的魔改 App)监听了某个 HTTP 端口，可以通过 POST 请求来执行 adb 操作，本来是为了调试或者是实现某些功能的。但是由于该接口没有鉴权或者弱口令，导致被人利用来控制手机。

easonHHH

2020-10-19 09:20:55 +08:00

讨论技术实现可能性 ×
找理由尬吹苹果歪楼 √

mitong3269

2020-10-19 10:04:17 +08:00

以前央视有过报道点击链接可以“复制”出一个手机我两个朋友中招被盗刷 600 1w 都是指纹支付

mitong3269

2020-10-19 10:07:04 +08:00

@mitong3269 https://3g.163.com/dy/article/D7SA68S3051492T3.html

maskerTUI

2020-10-19 10:59:38 +08:00

粗略看了一下，哗众取宠成分比较大。
二维码解析的结果是 http://192.168.43.224:8899
手机看起来像是 2014 年发布的 Nexus 6，系统目测没有安装到最新的安全补丁，要想扫码就被获取手机控制权限必须需要一个 webview 提权漏洞，比如 CVE-2014-7911 这种提权漏洞。
大概就是，你得找一台至少是 5 年前的安卓低版本的买来后没更新过安全补丁的手机才能达到这个效果，

Vipcw95

2020-10-19 11:38:25 +08:00

禁止未知来源应用

nicevar

2020-10-19 12:10:09 +08:00

@eason1874 不是很少普通用户会遇到 0day 攻击，而是因为 0day 漏洞少，特别是在手机上，一旦出现最先受伤害的就是普通用户，诺基亚当年的蓝牙漏洞疯狂传播，坐个地铁手机一不小心摁了一下就被染上了，苹果的一个短信漏洞就大面积的普通用户手机受影响了，windows 时代就更不用说了，大流氓没有出现之前，普通用户任人宰割，当年天空网被挂马利用 0day 漏洞多少用户中招。
允许安装未知来源应用在你眼中的轻松开启，是需要找到设置一步步进入打开并启用，这跟 iOS 信任证书有多大的区别？能开启这个的人不会操作 iPhone 去信任证书？况且 8.0 以上系统已经不能永久开启了，需要动态请求。多数用户是开启的只是你那样认为，至少在我们的产品中上百万用户日志中，请求权限大部分用户并不会开启，这就是事实。一份礼物有什么可了解的，不就是个简单的音乐播放调用再加音量调节，一个 apk 你都自己安装运行了，除了音量恶意调节这跟别人发你一个视频你自己点开播放有多大区别？这软件在 8.0 以上适配都没做好。

mxT52CRuqR6o5

2020-10-19 12:43:32 +08:00

@nicevar
所以讲了那么多安卓安全的理论，那谁能解释一下今年大学开学的欧泡果奶事件

badcode

2020-10-19 13:00:32 +08:00

这个视频的观众是哪些人，目的是什么？

好玩，炫技，还是三连完事？

谁又知道呢

iyaozhen

2020-10-19 13:06:38 +08:00

@mxT52CRuqR6o5 那个就是自己安装的比如 app 名字取的劲爆点，而且是好友发的，短视频里面明显也能看见安装过程，还有各种风险提示

nicevar

2020-10-19 13:14:33 +08:00

@mxT52CRuqR6o5 这还需要什么解释，不就是自己安装了一个软件打开播放了一个音频文件？这跟以前大学里面手机突然外放有多大区别？只不过那个年代没有信息传播没有这么快，老师查错 u 盘放 av 的都有，也没这么多无聊的吃瓜的。那个 apk 只不过加了一个循环音量控制。

zoharSoul

2020-10-19 13:19:05 +08:00

@mxT52CRuqR6o5
那个就是自己装的. 有啥问题么?
连病毒都算不上的 app

eason1874

2020-10-19 13:38:05 +08:00

@nicevar #73 一份礼物.apk 只是一个传播例子，我不是让你了解这个应用有什么内容，是让你了解安卓的未知来源应用传播起来有多么容易。

安卓允许安装未知来源应用跟 iOS 信任证书有多大的区别？区别就是安卓用户未授权就安装未知来源应用的时候，系统会提示开启授权的方法并提供引导按钮，普通用户顺着点几下就开启并完成安装了。

而 iOS 打开企业签应用被拒绝的时候只有一个取消按钮，普通用户不专门去查资料根本不知道怎么信任证书。

你们产品数据不能说明用户不会开启这个权限，只能说明用户不愿意安装你们推荐的应用。我说多数用户允许安装未知来源应用的权限，是在说明用户在愿意安装的时候会很轻易安装成功，不是说用户是来者不拒的傻子。像我前面说的，要用户安装恶意应用是靠忽悠、诱导的，不是弹个提示用户就会点安装了。

如果你们产品真有上百万用户，那至少有一个负责安全的吧？你不信我说的，可以去问你们搞安全的。我虽然有几年没接触这块了，但我依然觉得你的了解远不如我，说实话，我没有说再多的兴趣，我们聊天像鸡同鸭讲，无法有效沟通。

secretman

2020-10-19 13:40:56 +08:00

@ztmqg 在这里，你就是个傻逼

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/716034

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.