V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
skyworker
V2EX  ›  Android

安卓上的安全性问题, 真是防不胜防

  •  
  •   skyworker · 2016-04-21 11:05:08 +08:00 · 14797 次点击
    这是一个创建于 3145 天前的主题,其中的信息可能已经有所发展或是发生改变。
    起因

    A 在论坛发帖:
    "今早一个同事安卓手机中招被转走 4500,收到一条短信,某某某,你的孩子在校期间行为规范打分如下,一个网址链接,我同事傻乎乎的点了,然后建行工资卡被转走 4500 ,还好他工资卡就 4500,真尼玛可怕"

    接下来讨论

    安卓还是很安全的守护者:
    "没这么牛的软件,一般事后都是要说的很玄乎,不能让人知道自己很傻的把帐号密码都填了,参见时不时的说有人被人一口迷烟然后无知觉的让做什么就做什么了的事件"

    "就跟以前被骗钱了都说被催眠了 ,其实都是事后发现自己蠢 编的借口,不可能点一下就没了 肯定自己操作了什么"


    真实情况如下

    "
    我来解释一下吧,重点是在于 Android 那个媒体解析漏洞
    发链接,你点,网页中包含触发漏洞的图片, GG
    当然短信验证码问题 5.0 以上不能拦截,只能读取
    然后 READ_PHONE_STATE 拿电话号码,或者发短信拿号码,当然请配合上面的漏洞利用
    在老系统中还能利用那个 apk 签名漏洞替换 settings.apk ,这样你的 XX 就跑在 System 权限下了哟。这个利用方式和当年 XP 在 Guest 用户下利用任务管理器取得管理员权限有异曲同工之妙
    接下来,可以利用些漏洞拿 root 权限,比如那个 Linux 内核的问题,想想 Towelroot
    最终 GG
    "

    下一步,赶紧准备把所有涉及钱的 APP 和手机卡都转移到肾机上.
    第 1 条附言  ·  2016-04-22 13:50:35 +08:00
    80 条回复    2016-10-26 17:28:44 +08:00
    greenskinmonster
        1
    greenskinmonster  
       2016-04-21 11:08:15 +08:00
    你是怎么知道是 “那个媒体解析漏洞” 的?
    skyworker
        2
    skyworker  
    OP
       2016-04-21 11:09:32 +08:00
    @greenskinmonster

    "我来解释一下吧" 这一段, 是论坛里面一个人的回帖
    phoneli
        3
    phoneli  
       2016-04-21 11:12:43 +08:00
    没有 root ,怎么可能那么简单拿到 root 权限?
    cst4you
        4
    cst4you  
       2016-04-21 11:12:50 +08:00
    老版本的问题, 只能怪厂商不作为. 系统不应该背这锅.
    H3x
        5
    H3x  
       2016-04-21 11:13:53 +08:00
    Stagefright 漏洞吧
    thxhtp
        6
    thxhtp  
       2016-04-21 11:17:12 +08:00
    意思就是在安卓上浏览网页都是危险行为? 怎么破
    honeycomb
        7
    honeycomb  
       2016-04-21 11:17:40 +08:00 via Android
    这就是为什么会有人吹捧 Nexus ,会叫 iv2ex ,因为这些手机有积极维护
    ershisi
        8
    ershisi  
       2016-04-21 11:18:56 +08:00
    首先,这个人的信息和资料已经泄露了。
    clino
        9
    clino  
       2016-04-21 11:19:02 +08:00
    看起来很多都是猜的
    把中标的网址发出来看看?
    skyworker
        10
    skyworker  
    OP
       2016-04-21 11:19:44 +08:00
    @thxhtp 买一个能随时升级最新版安卓的手机 OR 换肾机
    thxhtp
        11
    thxhtp  
       2016-04-21 11:20:35 +08:00
    @skyworker 才从肾机换到 MI 不到 3 天。
    skyworker
        12
    skyworker  
    OP
       2016-04-21 11:21:30 +08:00
    @clino

    xx 家长您好,这是我们学校开学安排。请家长关注 appmfl.com/j.htm?mNmFJ3zNQY [校讯通]
    21grams
        13
    21grams  
       2016-04-21 11:21:39 +08:00   ❤️ 3
    是否相信点个链接就能把钱转走是检验智商的唯一标准。
    9hills
        14
    9hills  
       2016-04-21 11:24:12 +08:00
    @skyworker 这个好像就是一个应用推广功能: http://appmfl.com/

    我觉得估计是下载个 apk ,你同事点了安装了吧。。。
    bk201
        15
    bk201  
       2016-04-21 11:25:03 +08:00
    我认为发短信验证码很蠢,绑定手机很烦,丢失手机很烦,又不安全。
    clino
        16
    clino  
       2016-04-21 11:25:53 +08:00
    @skyworker 现在这个链接显示的是"应用推广功能已下线!"
    之前估计是一个恶意应用下载,你同事下载了这个恶意的应用运行中招了应该是

    要养成习惯,所有的应用都从应用商店下载和更新,绝对不要自行下载安装和更新,应用自更新的也不要
    thxhtp
        17
    thxhtp  
       2016-04-21 11:26:33 +08:00
    @9hills 楼主意思是利用漏洞自动安装了吧
    9hills
        18
    9hills  
       2016-04-21 11:27:36 +08:00
    @thxhtp 这个网站能注册的,你可以注册下试试。。。没有那么高级
    takwai
        19
    takwai  
       2016-04-21 11:29:17 +08:00
    Google 对安卓安全性问题,还是积极修复的。

    主要是各种厂家定制的安卓,各种不跟进,各种落后导致的。
    skyworker
        20
    skyworker  
    OP
       2016-04-21 11:29:18 +08:00
    @9hills @clino 你的观点和"安卓还是很安全的守护者"很像, 但是真实的情景好像真的是用户只是看了短信, 因为安卓本身的漏洞, 木马就被后台静默安装, 静默 root ,后台转发验证短信了.

    这不是我同事, 只是 D 版的一个帖子, 我只是转述者.
    janxin
        21
    janxin  
       2016-04-21 11:30:42 +08:00
    这是不是应该怪安卓碎片化严重
    greenskinmonster
        22
    greenskinmonster  
       2016-04-21 11:33:46 +08:00
    @skyworker 我混 D 版啊,不过那帖子我都懒的看。
    你去看下楼主的帖子,他说了用户的手机是什么版本了吗?
    loading
        23
    loading  
       2016-04-21 11:36:13 +08:00
    用 nexus 亲儿子,最高版本系统,理论上要安全很多。
    苹果你用 iphone ,谷歌你也应该用 nexus 。
    hitmanx
        24
    hitmanx  
       2016-04-21 11:36:57 +08:00
    所以是来自 d 版带着爱咯?
    a40049
        25
    a40049  
       2016-04-21 11:37:00 +08:00
    来来来,请把那个链接发给我,我不怕死我来点。如果我被扣钱了我就当是孝敬骗子了,谁不发是小狗。
    BOYPT
        26
    BOYPT  
       2016-04-21 11:37:39 +08:00
    楼主的防不胜防意思就是“随便安装 APK ”吧?
    9hills
        27
    9hills  
       2016-04-21 11:38:23 +08:00
    @skyworker 你可以在这个网站注册一下,发布一个 app ,然后你点开看看会不会自动化安装

    多说无益,你试试就知道了。
    clino
        28
    clino  
       2016-04-21 11:40:27 +08:00
    @skyworker 如果你说的是对的话说明 appmfl.com 本身是个恶意的站点?
    因为如果只是 apk 是恶意的,攻击者有办法让 appmfl.com 的页面具备攻击能力吗?

    要不就这个用户点击链接用类似 ucweb 打开以后 ucweb 的下载以后自动安装 apk 的功能又打开了之类的情况
    wwqgtxx
        29
    wwqgtxx  
       2016-04-21 11:45:25 +08:00 via Android
    @skyworker 在安卓 5.0 以上的版本除非在 fastboot 模式下用电脑线刷,否则根本没办法 root ,我倒是好奇什么 app 能自己在手机端 root
    Fleeting
        30
    Fleeting  
       2016-04-21 11:45:29 +08:00 via Android
    来来来,不是最新系统,也 root 了,不怕死,尽管来试,看你能不能刷新我的认知观。。
    SpicyCat
        31
    SpicyCat  
       2016-04-21 12:07:35 +08:00
    @skyworker 我很好奇,如何做到 **静默 root**
    virusdefender
        32
    virusdefender  
       2016-04-21 12:09:14 +08:00
    据我的经验,没有那么高级,只是一个会回传电话和短信的木马而已,分析过 N 个了。
    dowlare
        33
    dowlare  
       2016-04-21 12:17:25 +08:00   ❤️ 2
    很奇怪这么多人对漏洞的认识,能拿到 root 权限的漏洞历史上也不止一两次了吧……
    漏洞这东西防不胜防, Android 碎片化导致这问题比 iOS 严重也不奇怪,不过我觉得这问题已经被 Google 重视了,以前系统都是跟系统版本号绑在一起的,不知道什么时候开始把安全补丁独立了出来。但是话又说回来,一天不解决碎片化问题这问题就无解啊
    vm
        34
    vm  
       2016-04-21 12:19:53 +08:00 via Android   ❤️ 1
    难道所有楼上当中只有一个人知道 stagefright 漏洞?
    greenskinmonster
        35
    greenskinmonster  
       2016-04-21 12:34:57 +08:00
    @vm stagefright 只是一种可能性而已。这个漏洞去年 8 月份爆出来,大厂一般在 12 月之前的安全更新中都修复了。
    另外该漏洞的实际应用案例有吗?我搜了下没怎么看到。

    @dowlare 由于 stagefright 的影响,现在 android 厂商不少有月度系统安全更新的方案了。

    现在三星想找个免解锁 root 方案难上加难,人家随便收条短信就 root 了,真是不公平啊。。。
    chengzhoukun
        36
    chengzhoukun  
       2016-04-21 12:39:36 +08:00
    现在基本上新的 android 机都有每月安全补丁,和 windows 一样




    另外趣火星这事也不是 android 的锅吧: http://drops.wooyun.org/papers/14917
    fyooo
        37
    fyooo  
       2016-04-21 12:44:23 +08:00 via iPad
    @honeycomb 确实

    即使买 nexus 手机的人还得会翻墙接受升级补丁。

    我宁愿忍受亲儿子的移动网络待机耗电巨大也不想 root ,因为怕我老婆玩我手机时不小心安装 app 后赋予其 root 权限。
    mikicomo
        38
    mikicomo  
       2016-04-21 12:48:12 +08:00
    有意思,想看看他到底是怎么个静默安装法[doge:]
    manhere
        39
    manhere  
       2016-04-21 12:50:26 +08:00 via iPhone
    分析了一堆,连个 exp 都没有。
    hahiru
        40
    hahiru  
       2016-04-21 12:51:42 +08:00 via Android   ❤️ 1
    其实事实是这样的,苹果普通用户可以正常通过官方渠道获得软件和系统 更新。安卓用户的官方软件渠道呢? Google play store 。然而谷歌是一个不存在的公司,所以用户多数会开启安装未知来源软件选项。那么锅该甩给某党才对。
    chengzhoukun
        41
    chengzhoukun  
       2016-04-21 12:57:23 +08:00 via Android
    @hahiru 我说你 gcd 的锅楼主还不同意,呵呵呵呵
    chengzhoukun
        42
    chengzhoukun  
       2016-04-21 12:58:12 +08:00 via Android
    打错,你->是
    @hahiru
    jejer
        43
    jejer  
       2016-04-21 12:58:30 +08:00
    D 版围观
    jacy
        44
    jacy  
       2016-04-21 13:06:47 +08:00
    主要是很多人智商普遍不高,不全怪安卓
    Shura
        45
    Shura  
       2016-04-21 13:23:51 +08:00 via Android
    Talk is cheap. Show me the code
    netfee
        46
    netfee  
       2016-04-21 13:25:16 +08:00 via Android
    @jacy 奏是奏是,明显不明来历的域名就不要瞎点了,还有应该有两个手机,一个专用于安全 /资金 /交易,另一个伺候各种全家桶。求攻破。
    gpw1987
        47
    gpw1987  
       2016-04-21 13:29:40 +08:00
    转发验证短信的这个我相信,你说点一下 4500 没了,我觉得速度没那么快,不过安卓系统的确平时需要维护好。
    Mutoo
        48
    Mutoo  
       2016-04-21 13:33:15 +08:00
    公开的未公开的 0day 漏洞一堆,就算你手机没有 root ,恶意的 app 也可以主动帮自己 root ,然后做自己想做的事,根本不需要你允许。
    livepps
        49
    livepps  
       2016-04-21 13:37:06 +08:00 via Android
    点个连接被盗走,这个应该是不可能的,除非是某个 app 内部连接。
    honeycomb
        50
    honeycomb  
       2016-04-21 13:39:12 +08:00
    @fyooo
    亲儿子的待机耗电可以通过爬梯子绕过,仅是爬梯子并不需要 superSU 或者解锁

    @Mutoo
    所以我们有月度安全更新,当然厂家不肯跟进这种锅用户肯定不想背
    zhanshi
        51
    zhanshi  
       2016-04-21 13:44:49 +08:00
    @honeycomb 翻墙解决不了吧,搜索一下, http://bilibi.li/2015/06/22/fix-cell-standby-battery-drain-on-android-l/ 得 root 后用 xposed 来解决的。
    honeycomb
        52
    honeycomb  
       2016-04-21 13:54:17 +08:00
    @zhanshi

    明白你的意思了

    在 marshmallow 里,这个特性被禁用,但可以通过开启开发者的"始终开启移动数据网路"选项而启用

    所以“亲儿子的待机耗电可以通过爬梯子绕过”的陈述好像还是对的
    aliuwr
        53
    aliuwr  
       2016-04-21 14:14:36 +08:00
    @fyooo 设置 Root 管理软件默认拒绝就好了。
    watermeter
        54
    watermeter  
       2016-04-21 14:21:38 +08:00 via Android
    公开的未公开的 0day 漏洞一堆,就算你手机没有 越狱,恶意的 app 也可以主动帮自己 越狱 ,然后做自己想做的事,根本不需要你允许。
    icedx
        55
    icedx  
       2016-04-21 14:25:48 +08:00
    安卓媒体解析漏洞 可关不到浏览器的事情
    dong3580
        56
    dong3580  
       2016-04-21 14:32:29 +08:00
    @wwqgtxx
    包括 5.0 么?
    gdtv
        57
    gdtv  
       2016-04-21 14:37:39 +08:00
    跪求该病毒作者来入侵我的小米手机,帮我 root 了我的小米手机,妈的去小米官网提交解锁申请好几天了还解锁不了
    icedx
        58
    icedx  
       2016-04-21 14:37:56 +08:00   ❤️ 1
    我来解释一下吧,重点是在于 Android 那个媒体解析漏洞 //媒体解析漏洞只在媒体库生效, 只有当媒体文件被手动保存到存储器里后才能生效
    发链接,你点,网页中包含触发漏洞的图片, GG //...
    当然短信验证码问题 5.0 以上不能拦截,只能读取 //又说错了 这个直接可以读的
    然后 READ_PHONE_STATE 拿电话号码,或者发短信拿号码,当然请配合上面的漏洞利用 // READ_PHONE_STATE 在中国拿不到的
    在老系统中还能利用那个 apk 签名漏洞替换 settings.apk ,这样你的 XX 就跑在 System 权限下了哟。这个利用方式和当年 XP 在 Guest 用户下利用任务管理器取得管理员权限有异曲同工之妙 //这个需要很多不同的版本的 apk
    接下来,可以利用些漏洞拿 root 权限,比如那个 Linux 内核的问题,想想 Towelroot //你都运行在 system 下了还要什么 root 权限 哪个 Linux 内核漏洞啊 能说一下么
    最终 GG //...
    这个基本就是微信公众号的姿势水平 你要是想搞个大新闻 还是图样
    真不敢相信楼主 2 万的 UID 能发出这样的帖子
    已 Block 楼主
    maskerTUI
        59
    maskerTUI  
       2016-04-21 14:41:58 +08:00
    “应用推广功能已下线!”,有样本吗?分析一样,说不定还能爆了骗子的菊花。
    这个简单点说就是一个短信拦截马,而受害者在无防范的情况下点了下载和安装。
    媒体解析漏洞跟静默安装并没有八毛钱关系。
    zhangdawei
        60
    zhangdawei  
       2016-04-21 16:21:48 +08:00
    略扯,链接放出来看看
    9hills
        61
    9hills  
       2016-04-21 16:36:29 +08:00
    @watermeter 求越狱工具,小米 4c 官方申请解锁一直不给过!
    wwqgtxx
        62
    wwqgtxx  
       2016-04-21 21:59:14 +08:00
    @dong3580 包括
    Dennypalace
        63
    Dennypalace  
       2016-04-21 22:39:21 +08:00
    这新闻不错,比较有国内小编的风范,感觉啥都说了,一阵风吹过然后就钱没了,简明扼要,但具体啥情况就没说了,一个基本的事情应该是 when , where , what , how 这些构成吧。
    Halry
        64
    Halry  
       2016-04-21 22:46:12 +08:00
    @fyooo 给 supersu 设个 pin 就好有什么难的
    pimin
        65
    pimin  
       2016-04-22 00:19:10 +08:00 via Android
    安全问题,从来没有绝对。
    当年 iOS 访问个网址就越狱和这个 Google 这个漏洞一样容易利用。并不能说谁比谁更安全。
    但是传得这么神奇,利用起来难度多高稍有点常识的人都知道得多少个巧合凑在一起才可能发生。
    而如此高难度的攻击手段一般不会用在普通用户身上,因为你不值漏洞的钱,因为攻击你导致攻击手段暴露是得不偿失的,我都替黑客觉得不值。
    快捷支付转钱走要有卡号和验证码,卡号泄露的渠道真是非常非常少,先考虑一下是不是手机早已沦陷。
    如果要故事有说服力,第一时间我会求证手机型号 ROM 版本,然后想办法获取 exp 用来研究或者提交样本,而不是通过 YY 讲一个看似合理的故事。
    qwerasdf
        66
    qwerasdf  
       2016-04-22 02:13:08 +08:00
    unknownservice
        67
    unknownservice  
       2016-04-22 10:30:25 +08:00
    求 root 神器啊, z5p 耗电如尿崩,又不想解锁,求拯救!
    azh7138m
        68
    azh7138m  
       2016-04-22 12:10:11 +08:00
    @vm 那个漏洞利用起来很麻烦啊,视频中提到了原版短信应用,国内厂商对短信应用定制又那么多,而且也没看到有人发实际利用的案例出来
    dangbiao1991
        69
    dangbiao1991  
       2016-04-22 12:23:26 +08:00
    PC 端点个链接,就能弹计算器这个你们都知道吧?
    Android 端为什么就不能有?

    不要以为自己智商高就不会中木马。
    dangbiao1991
        70
    dangbiao1991  
       2016-04-22 12:24:59 +08:00
    哦,对, IOS 也是可以有的。
    shellexy
        71
    shellexy  
       2016-04-22 21:00:21 +08:00
    @fyooo @honeycomb 连接电脑来 adb shell ​ settings put global captive_portal_server g.cn 解决网络验证问题是不需要 root 权限的,
    不过,就算没 root 也应该禁止从未知源安装软件吧,另外 supersu 也可以设置为静默拒绝的,
    shellexy
        72
    shellexy  
       2016-04-22 21:01:56 +08:00
    @hahiru 国产手机似乎基本都有自带应用市场(虽然质量不一定高),不需要允许未知来源
    shellexy
        73
    shellexy  
       2016-04-22 21:05:02 +08:00
    @unknownservice 见咱前面那个帖子,再不行就用 adb shell 上去 settings put global captive_portal_detection_enabled 0
    shellexy
        74
    shellexy  
       2016-04-22 21:10:44 +08:00
    @pimin 在那个漏洞补上后,还是有好长一段时间里有人利用企业版 app 来让受害者在 iphone 点击个链接确认就能安装上第三方恶意软件,所以就“鱼唇地点了条链接就中招了”这事来说, iphone 和 android 其实是一样的。
    shellexy
        75
    shellexy  
       2016-04-22 21:13:19 +08:00
    @clino 前一阵发现有国产视频 app 会开启一个自动点击确认安装的辅助功能,目的是实现非 root 下自动安装他推广的 app (没去确定会不会顺带自动把未知来源也打开)
    clino
        76
    clino  
       2016-04-22 21:15:34 +08:00
    @shellexy 楼主说的是点击网页链接,所以如果自动安装应该去看中标手机的浏览器
    shellexy
        77
    shellexy  
       2016-04-22 21:15:37 +08:00
    @dangbiao1991 近期的 ios 版本改变了点击链接就能安装企业版 app 的做法,但是似乎还是有人利用这个来诱使受害者安装推广 app 甚至恶意 app
    shellexy
        78
    shellexy  
       2016-04-22 21:20:42 +08:00
    @clino 嗯,
    另外,有些受害者并不知道自己点掉按钮其实就是确定安装软件的意思,所以有时会明明自己已经安装了 app 却还一口咬定“什么都没做就”,
    曾经上过 XX 新闻的 XX 手机病毒也是宣称受害者们手机收到条短信就如何,后来被证实是点击链接安装了木马。
    所以咱还是相信楼主的那个人更可能是安装到了会读取短信的木马。
    stardust21
        79
    stardust21  
       2016-04-23 16:50:34 +08:00
    和系统无关,安全性问题都是防不胜防的,当你觉得放一万个心的时候,应该就是最容易中招的时候
    woyaojizhu8
        80
    woyaojizhu8  
       2016-10-26 17:28:44 +08:00
    @pimin 攻击普通用户,会导致攻击手段暴露?我怎么觉得就算攻击了用户也搞不清楚你是用什么手段的,因此不会暴露呢
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1013 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 19:47 · PVG 03:47 · LAX 11:47 · JFK 14:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.