eason1874

eason1874

V2EX 第 442190 号会员,加入于 2019-09-20 09:28:34 +08:00
今日活跃度排名 1114
eason1874 最近回复了
38 分钟前
回复了 stardustree 创建的主题 投资 有什么适合 5 万元半年左右的理财方案?
同意楼上银行存款产品的观点。

去支付宝或者狗东金融之类的大平台买银行存款产品,收益普遍在 3.5%~4.5%,保本保息,跟 5%差的那两三百块随便省省就出来了,没必要为两三百块去操心。

如果能接受不保息,就拿 4 万买存款,拿 1 万去买表现好的中低风险基金。这样配置,万一基金亏了也就亏几百块,存款利息正好可以对冲掉,保本但没收益。如果基金继续表现好,就能达到 5%以上收益。
1 小时 7 分钟前
回复了 Raven316 创建的主题 问与答 有精神方面疾病能结婚生孩子吗
双方自愿结婚应该不成问题,生育可能不行,去问下民政部门吧。
@nicevar #85 通过 0day 之类的漏洞攻击,这是技术的活。通过诱导安装未知来源应用进行攻击,这是社工的活。我研究的是后一种。

我很懂漏洞跟攻击的区别,不懂的是你,你连 ROM 捆绑都能以为是诱导安装。通过 ROM 捆绑实现攻击的那叫供应链攻击,或者叫供应链投毒,跟诱导安装甚至都不是一个类型。正因为你不懂,所以你以为我不懂。

我话说完了,你可以继续硬拗了,不过我不会回复了。不客气地说,就你这水平搞移动安全,当你的产品用户还不如裸奔。
@nnnToTnnn #84 这种攻击方式是存在的。几年前安卓浏览器出现过提权漏洞,打开恶意网页,别安装软件,连 root 都能被获取。视频作者在评论区说了不是 adb,大概率是那类漏洞。

@nicevar #85 说你不懂装懂还不认,你说的 ROM 捆绑跟我说的诱导安装完全是两回事,在传播层面是完全不同的渠道。你要真是安全公司的,那你知识储备是相当低。诱导安装是不是恶意攻击的一部分,你稍微去问下真正搞安全的就知道了。我看你这不懂装懂的模样,怕是也拉不下来面子去问了,我给你提供几条信息你自己去找资料吧,别硬装了。

CVE-2017-17171 华为手机漏洞:攻击者通过诱导用户安装恶意的 APK,并通过特定权限预装应用发起攻击。

2019-12-23 红雨滴团队:发现多起疑似针对韩国地区 Android 用户的恶意代码攻击活动。攻击者通过将恶意安卓应用伪装成韩国常用移动应用,从而诱导受害者安装使用。

360 烽火实验室:为了诱导用户下载安装运行,勒索软件通常会伪装成各种极具诱惑力、通过不正规手段牟利的软件,例如游戏外挂、代刷、盗版应用、WIFI 密码破解、抢红包等等,这些软件拥有一定的用户群与传播途径,勒索软件正是利用了其易吸引用户、传播快的特点玩起了“假面游戏”。

腾讯安全:病毒木马伪装成银行应用、系统应用、照片等方式诱导受害者进行安装,通过隐藏图标潜伏在用户手机,激活设备管理器导致无法卸载,最后通过监控手机的银行短信验证码,实现窃取用户银行卡里的金钱。
@nicevar #81 视频里的 0day 攻击跟诱导安装未知来源应用本就是两回事。

我第一个评论说的“这种漏洞本身就不多见,普通人遇到的情况就更少了。普通人遇到的更多的攻击类型是被忽悠安装了恶意 APP”,前后是转折关系。你理解错了。

然后我第一次回复你又明确说了“这个 0day 漏洞是跟安装未知来源应用没关系”,“多数安卓用户会遇到的攻击是被诱导安装未知来源应用”。你还一直混淆这两种攻击。

一两块钱一个安装的软件 APP,我个人累计收入超过十万了,现在每天新装都还超过 100 台,怎么诱导用户安装我会不懂吗?我全部都研究过,各平台的安装难度我有清晰的排名。

现在是你不懂。你说你是某上市安全公司的,我不知道你负责什么方向,但我可以确定你的工作内容不涉及传播。
@nicevar #73 一份礼物.apk 只是一个传播例子,我不是让你了解这个应用有什么内容,是让你了解安卓的未知来源应用传播起来有多么容易。

安卓允许安装未知来源应用跟 iOS 信任证书有多大的区别?区别就是安卓用户未授权就安装未知来源应用的时候,系统会提示开启授权的方法并提供引导按钮,普通用户顺着点几下就开启并完成安装了。

而 iOS 打开企业签应用被拒绝的时候只有一个取消按钮,普通用户不专门去查资料根本不知道怎么信任证书。

你们产品数据不能说明用户不会开启这个权限,只能说明用户不愿意安装你们推荐的应用。我说多数用户允许安装未知来源应用的权限,是在说明用户在愿意安装的时候会很轻易安装成功,不是说用户是来者不拒的傻子。像我前面说的,要用户安装恶意应用是靠忽悠、诱导的,不是弹个提示用户就会点安装了。

如果你们产品真有上百万用户,那至少有一个负责安全的吧?你不信我说的,可以去问你们搞安全的。我虽然有几年没接触这块了,但我依然觉得你的了解远不如我,说实话,我没有说再多的兴趣,我们聊天像鸡同鸭讲,无法有效沟通。
17 小时 59 分钟前
回复了 yuhuofeihe 创建的主题 全球工单系统 阿里云会把同 IP 注册的账号判定为同人账户?
阿里云不是第一次这样,是一直这样。

如果客户多,可以搞个阿里云代理商,这样就不存在同不同人了。
18 小时 1 分钟前
回复了 real3cho 创建的主题 iPhone 官网 iPhone 全线在售机型都已加入“环保计划”
前两天就看到有人说了。

苹果价值观:环保加钱可及。
19 小时 38 分钟前
回复了 nbsn 创建的主题 程序员 求助方案企业微信自助服务机器人的实现
没有程序员,不说预算,能有什么方案呢。

直接去买那些云客服服务吧,QQ 、微博、公众号、APP 、网站等多终端接入,知识库、预处理、热点问题等啥功能都有,也不贵,小规模用起来就几千块一年。
23 小时 33 分钟前
回复了 xiaofine1122 创建的主题 Chrome chrome 插件模拟请求 bilibli api 错误问题
都上浏览器了,直接操作 dom 简单了事
关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1071 人在线   最高记录 5168   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 10ms · UTC 22:07 · PVG 06:07 · LAX 15:07 · JFK 18:07
♥ Do have faith in what you're doing.