V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
black11black
V2EX  ›  问与答

B 站看到了一个扫描二维码以后直接被黑入手机的视频,是不是危言耸听?

  •  
  •   black11black · 41 天前 · 5840 次点击
    这是一个创建于 41 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题,视频标题《来源不明的二维码 为何不要乱扫?》

    https://www.bilibili.com/video/BV1ki4y1j7rZ

    关注的其他 UP 主点赞了所以我被推送了。对于没看过视频的朋友,简单来说这里面这位白帽子做了一个操作就是手机扫了个二维码,然后手机就被提权了,被装了个恶意服务。

    ==============================================

    我的安全知识是开发人员范畴,看到这个视频表示很怀疑。在我的知识范围内,二维码纯粹是作为字节和图片转换的渠道,也就是说神秘二维码也就是一串神秘字符串而已,就算二维码扫描调用了浏览器,浏览器底层还有安全机制,网站连不归自己管的 cookie 都拿不到,打开个网站就直接提权是不是危言耸听?

    还是说我孤陋寡闻了,现在手机安全机制确实这么弱,随便扫个码就可能 GG ?

    109 条回复    2020-10-22 11:53:15 +08:00
    1  2  
    eason1874
        101
    eason1874   38 天前
    @nnnToTnnn #93 我没说 CVE-2017-17171 是安卓的问题,后面的内容不是回复你的,是回复后面那位。我说更多用户更接触到的不是 0day 漏洞的攻击,而是被诱导安装未知来源应用,他一直把这两种攻击情况混淆来说,我说他分不清两种攻击,他说我分不清漏洞和攻击,我就给他举例。
    eason1874
        102
    eason1874   38 天前
    @nicevar 我说诱导安装,你说 ROM 捆绑,我说这两个根本不是一回事。你又说 ROM 捆绑不一定固化。请问我说捆绑一定固化了吗?你又自己强行加戏,树一个假靶子自己打。

    我现在不是做黑产,挣的不是黑心钱。诱导安装是黑产特有的活吗?现在几乎所有大厂都干这活,我是接的大厂的任务。做移动端的能不了解这个情况?你又暴露了自己不懂装懂,我现在不仅怀疑你是不是做安全的,我怀疑你连移动端的运营都没有真正接触过。

    你水平真强。
    nicevar
        103
    nicevar   38 天前
    @eason1874 “不懂的是你,你连 ROM 捆绑都能以为是诱导安装”,你回去好好看自己的话行么?难道你是 3 秒钟记忆?自己说的话这么快就不承认了?你这人还真有意思,自己逗自己玩很过瘾是吧,加戏也不是你这样加的对么。
    你自己都承认做诱导安装了,现在又给自己洗白了?这还不是黑心钱?你的逻辑就是大厂干黑心的事就不黑心了?我要是挣了这种钱我就痛快认了, 像你这样安慰自己还是真的少见。我懂不懂就你这样的根本没能力判断,我再怎么不懂,公司当年移动部门产品也是我跟另一个人开始做起来的,也参与过公司与 opda 和 dospy 这类的谈合作,在移动行业混过 10 多年,不像你盲目脑补就想证明一个假设我不懂,累不累。
    eason1874
        104
    eason1874   37 天前
    @nicevar 是我失忆还是你失忆啊?我说的是诱导安装,ROM 捆绑是你说的。

    我在#83: “一两块钱一个安装的软件 APP,我个人累计收入超过十万了,现在每天新装都还超过 100 台,怎么诱导用户安装我会不懂吗?我全部都研究过,各平台的安装难度我有清晰的排名。”

    你在#85:“懂不懂不是你说了算,你弄的这种我们十来年前就开始玩了,当时第一批去跟中关村卖手机刷机合作的就是我的同事,到后面他自己单干定制 ROM 捆绑”

    看清楚了吗?这个帖子里,你是第一个提出 ROM 捆绑的,用来反驳我说你不懂诱导安装。我说你不懂诱导安装有问题吗?懂诱导安装的人会用 ROM 捆绑来反驳我说诱导安装?这完全不是一回事。

    还有,我说大厂也有诱导安装,是在区分黑产的诱导安装。像抖音通过聊天功能把用户引流到多闪,这叫大厂的诱导安装。像外卖 APP 、电商 APP 、视频 APP 让用户发红包给朋友,对方登录 APP 后才可领取,这也叫大厂的诱导安装。

    我研究的就是这些,懂了吗?如果你认为这是黑心钱,那我没什么好说,我只能承认你是全世界最白莲花的人。

    诱导安装是现在国内外移动端厂商都有的活,你干移动端 10 年不懂这些,还用近十年前的刷机啊 ROM 啊的办法来理解 APP 推广,笑死人。
    nicevar
        105
    nicevar   37 天前
    @eason1874 “不懂的是你,你连 ROM 捆绑都能以为是诱导安装”这话你怎么不解释了呢?脸肿了就开始胡言乱语?明明自己把 ROM 捆绑跟诱导安装强行扯一块,我描述他去干 ROM 捆绑的事,你理解成什么了?你就开始幻想我把 ROM 捆绑当成诱导安装,结果呢是自己不懂,ROM 里面可以放置一些应用让用户选择安装,还一直在那吹嘘自己懂传播,懂成你这样还是真的少见。
    你自己承认诱导安装挣了钱,然后又说“诱导安装是不是恶意攻击的一部分,你稍微去问下真正搞安全的就知道了。”之后就开始解释你的诱导安装是很合理的,因为大厂也这样干,大厂推广的时候不要脸的时候多的去了,被喷的时候少么?我看你不仅是失忆还有点憨,我不是白莲花,但是我要是挣了这样的钱我就大方承认这种方式很狗,不会像你一样极力解释我这很合理,好像没有对用户造成影响一样。
    我们跟移动运营商合作的时候多的去了,你最有喜感的就是自我感觉良好,那么多年了推广一丁点量挣了几个钱还以为自己真懂推广了,你不知道 ROM 推广几天的量够你好几年么,还笑死人呢,我看是笑不出来吧。
    eason1874
        106
    eason1874   37 天前
    @nicevar 第一,是你把 ROM 捆绑跟诱导安装扯在一起。你在#85 的原话我都贴出来了,你看不到吗?你说我不懂诱导安装,说这种你十来年前就在玩了,然后拿刷机 ROM 捆绑来说。然后我告诉你这不是一回事。你居然好意思反过来说我是扯在一起的。有意思。

    第二,“诱导安装是不是恶意攻击的一部分,你稍微去问下真正搞安全的就知道了”,在这句话的前面我说有一种攻击方式是诱导安装,你说我分不清漏洞和攻击,我就让你去问下搞安全的这是不是攻击的一部分,这很难理解吗?

    诱导安装攻击之所以是攻击,是因为安装的东西是木马。现在各种大厂都有 APP 通过发红包的方式诱导安装,但安装的是正经 APP,所以不算攻击,而且诱导方式不是假面,所以我说搞这些推广不是赚黑心钱。这很难理解吗?

    你 ROM 推广是我几年的量,这跟我说的诱导安装有什么关系呢?顾左右而言他,你硬扯到 ROM 这块,我说这两者不是一回事,你又说是我扯到一起的,真有意思。

    再说一次,这个帖子第一次提到 ROM 捆绑的是你在#85 的评论,是在说我不懂诱导安装之后的话。你但凡有点自信就回去看看你自己的评论,看看是谁失忆。
    nicevar
        107
    nicevar   37 天前
    @eason1874 你这人真是真脑子转不过来么?那我现在跟你说明白了,首先 ROM 捆绑软件有两种处理方式,第一种是不要脸的做法就是直接固化到 ROM 里面,第二种是放在 ROM 里面显眼的地方,让用户自己选择安装,而且比较容易触发,这属于诱导行为。你呢,完全不懂,然后就蹦出“不懂的是你,你连 ROM 捆绑都能以为是诱导安装”,之后还胡言乱语一大堆,你真心不是搞笑么?顾左右而言他的不是你一直在做的事。
    其他我不想跟你多说了,圆茄子不进油盐啊。
    eason1874
        108
    eason1874   37 天前
    @nicevar 是是是,你全都对,你是进油盐的圆茄子,我不是。我错了。诱导安装非常不要脸,我给国内外几个大厂推广 APP,这些大厂也不要脸,我也不要脸。你非常要脸。
    eason1874
        109
    eason1874   37 天前
    @nicevar 我认完错了。不过我最后还是要更正你一次,通过 ROM 分发的 APP 跟诱导安装是两个渠道,两回事,不管预装还是预置。
    1  2  
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2672 人在线   最高记录 5268   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 16ms · UTC 11:03 · PVG 19:03 · LAX 03:03 · JFK 06:03
    ♥ Do have faith in what you're doing.