引用:
原帖由 小文 于 2015-9-21 22:24 发表
安卓你不点就不会中招,iOS是点不点都中招,安卓的安全性还是好多了
原帖由 小文 于 2015-9-21 22:24 发表
安卓你不点就不会中招,iOS是点不点都中招,安卓的安全性还是好多了
原帖由 @红叶 于 2015-9-21 21:49 发表
如果没装支付宝呢
原帖由 @koakon 于 2015-9-21 22:53 发表
支付宝支付密码怎么泄露了呢。
假如只是截取了短信。就是通过手机短信转发获得验证码进行消费。不是要消费密码吗?
原帖由 @beterhans 于 2015-9-21 22:24 发表
短信拦截软件
不是android的问题 是你自己 允许了那个 apk拦截短信才这个样子的
但是苹果不允许 短信和电话拦截 导致一直没发做 黑名单 屏蔽 没发做来电归属 被人一直骂。
这也是 可以 黑名单 可以来电归属的代价
原帖由 blocparty 于 2015-9-22 06:50 发表
posted by wap, platform: Meizu 魅蓝
这种情况支付宝的保险会赔吗
原帖由 @小文 于 2015-9-21 22:24 发表
安卓你不点就不会中招,iOS是点不点都中招,安卓的安全性还是好多了
原帖由 稀土部队 于 2015-9-22 06:38 发表
posted by wap, platform: nubia Z7 Mini
苹果官方的拨号系统为什么不能自带来电归属
原帖由 小文 于 2015-9-21 22:24 发表
安卓你不点就不会中招,iOS是点不点都中招,安卓的安全性还是好多了
原帖由 @小文 于 2015-9-21 22:24 发表
安卓你不点就不会中招,iOS是点不点都中招,安卓的安全性还是好多了
原帖由 iPad 于 2015-9-22 08:32 发表
posted by wap, platform: iPhone
文片终于说了回实话,以前都是反串
原帖由 Pires 于 2015-9-22 09:22 发表
posted by wap, platform: GOOGLE Nexus 4
不是从play下载软件吧,在官方市场不可能下到有毒软件除非真的非常垃圾
原帖由 @yi_huan 于 2015-9-22 09:26 发表
我不理解,苹果如果不越狱,从Appstore下载软件,怎么可能被截取短信?
原帖由 无印凉粉 于 2015-9-22 09:29 发表
仔细看,点了诈骗短信里的链接
原帖由 @小文 于 2015-9-22 09:38 发表
不一定需要被截取短信,你在AppStore下载了被XCodeGhost感染的app,你不就中招了吗?虽然这个“病毒”其实干不了什么,但你还是中招了这个事实无法改变。
安卓是点了恶意链接才中招,苹果是正常从AppStore下载也中招,所以,安卓安全性更好,完美的逻辑。
原帖由 @Pires 于 2015-9-22 09:40 发表
短信软件play上下的?只要不是非常垃圾的市场都不会放出有毒软件下载的
原帖由 @yi_huan 于 2015-9-22 09:42 发表
我理解了,iOS虽然下载了含病毒的软件,但由于苹果系统的安全机制,病毒也不能发挥作用是不是?那我就放心了
原帖由 无印凉粉 于 2015-9-22 08:59 发表
说ios没有来电归属地的,一定不是用的国行。
原帖由 @小文 于 2015-9-22 09:44 发表
太认真了吧。。。和你坛气氛格格不入啊,喷了。
原帖由 稀土部队 于 2015-9-22 05:51 发表
posted by wap, platform: nubia Z7 Mini
自己不能试试?
支付宝点忘记密码,只凭一个短信是更改不了密码的。
楼主这个帖子的动力值得讨论。
原帖由 小文 于 2015-9-22 09:38 发表
posted by wap, platform: Chrome
不一定需要被截取短信,你在AppStore下载了被XCodeGhost感染的app,你不就中招了吗?虽然这个“病毒”其实干不了什么,但你还是中招了这个事实无法改变。
安卓是点了恶意链接才中 ...
原帖由 @VEVAN 于 2015-9-22 10:51 发表
干不了什么?自欺欺人...
原帖由 @小文 于 2015-9-22 10:57 发表
那你说说XCodeGhost能干什么呗,现在网上说得煞有介事的恐吓文太多了,还真想看看有什么新的说辞。
原帖由 小文 于 2015-9-22 10:57 发表
posted by wap, platform: Chrome
那你说说XCodeGhost能干什么呗,现在网上说得煞有介事的恐吓文太多了,还真想看看有什么新的说辞。
原帖由 @FoxfoO 于 2015-9-22 12:27 发表
网易云音乐需要读取通讯录权限,我不知道一个音乐软件干嘛要读通讯录,所以被我关了。
原帖由 @VEVAN 于 2015-9-22 13:15 发表
http://drops.wooyun.org/papers/9024
这里对源码的分析和自建服务器模拟恶意行为的攻击实例,自己看吧
懒得看的就看下总结好了:
Response方法中根据服务器下发的不同数据,解析成不同的命令执行,根据我们分析,此样本大致支持4种远程命令,分别是:设置sleep时长、窗口消息、url scheme、appStore窗口。
通过4种远程命令的单独或组合使用可以产生多种攻击方式:比如下载安装企业证书的App;弹AppStore的应用进行应用推广;弹钓鱼页面进一步窃取用户信息;如果用户手机中存在某url scheme漏洞,还可以进行url scheme攻击等。
虽然文章里只模拟了上面四种,但通过url scheme可以做的事情太多了。
对了,unity的开发包也中刀了,貌似同一个人(组织)干的,这回可是跨平台了,大家都小心吧。
原帖由 @VEVAN 于 2015-9-22 13:15 发表
http://drops.wooyun.org/papers/9024
这里对源码的分析和自建服务器模拟恶意行为的攻击实例,自己看吧
懒得看的就看下总结好了:
Response方法中根据服务器下发的不同数据,解析成不同的命令执行,根据我们分析,此样本大致支持4种远程命令,分别是:设置sleep时长、窗口消息、url scheme、appStore窗口。
通过4种远程命令的单独或组合使用可以产生多种攻击方式:比如下载安装企业证书的App;弹AppStore的应用进行应用推广;弹钓鱼页面进一步窃取用户信息;如果用户手机中存在某url scheme漏洞,还可以进行url scheme攻击等。
虽然文章里只模拟了上面四种,但通过url scheme可以做的事情太多了。
对了,unity的开发包也中刀了,貌似同一个人(组织)干的,这回可是跨平台了,大家都小心吧。
原帖由 kives 于 2015-9-22 13:20 发表
posted by wap, platform: iPhone
放屁,还用URL schame能做的事情太多了,喷了,这api是苹果公开给开发者的,以苹果的尿性自己去想想能做多少事
原帖由 小文 于 2015-9-22 13:33 发表
posted by wap, platform: Chrome
一个一个说
下载安装企业证书的App:这无需中什么木马,这是一个正常的操作,用于企业应用部署,但现在确实被你国互联网企业用来当盗版app分发了。不是说这个没问题,但这个和木 ...
原帖由 @VEVAN 于 2015-9-22 13:47 发表
自动安装企业证书相当于帮你开了一扇关不上的门,而且还不是你自己选择的。
重要的是这些远程命令组合起来的用法,比如楼上的,欺骗性和威胁都非常大。
原帖由 小文 于 2015-9-22 13:56 发表
posted by wap, platform: Chrome
自动安装是做不到的吧,现在xx助手也都是访问一个URL,然后弹出一个对话框问你要不要安装
原帖由 @VEVAN 于 2015-9-22 14:03 发表
我说的是证书,既然跳过了APPSTORE,XX助手的名称什么的,如果是真实攻击的话会被改掉的。
原帖由 beterhans 于 2015-9-22 00:10 发表
posted by wap, platform: iPad
人家可以点击忘记密码
原帖由 @VEVAN 于 2015-9-22 13:39 发表
程序行为层面的合法不代表软件没有恶意,结合虚假提示或钓鱼页面,再发你一个alipay的URL schame(当然这个url绝对绝对合法,就是一个跳转支付嘛)会发生什么,能做些什么,大家想象咯...
PS.理性讨论,嘴巴干净点
原帖由 VEVAN 于 2015-9-22 13:47 发表
自动安装企业证书相当于帮你开了一扇关不上的门,而且还不是你自己选择的。
重要的是这些远程命令组合起来的用法,比如楼上的,欺骗性和威胁都非常大。
| 欢迎光临 TGFC Lifestyle (http://bbs.tgfcer.com/) | Powered by Discuz! 6.0.0 |
