关于安卓手机中毒被盗银行卡里的钱的新闻经常都能看到,这些新闻有一个惊人一致的表述就是:“受害人点击了某个不明来历的链接来,自动下载并安装病毒软件,钱就没了”。
安卓手机下载软件不是有确认按钮吗,下载完了再安装,也有确认按钮啊。
什么方法可以绕过系统的下载确认和安装确认这两个按钮?
1
loading 2015-05-02 09:36:23 +08:00 1
别说这个了,你认为他们手机里同时装好多个管家是他们知道的?
|
2
hpeng 2015-05-02 09:43:14 +08:00
root之后
|
3
nwpumaktub 2015-05-02 09:51:42 +08:00 via Android 2
@hpeng root之后也不会,刷机无数,root无数,安装软件无数,从没遇到过这样的;获取root权限还要确认呢,那种rec的root除外。
猜测真实的原因不这么说怎么才能上新闻呢,记者又怎么才能捞个新闻呢。 |
4
xzem 2015-05-02 09:53:54 +08:00 via Android
绝对不是root,也根本没有绕过用户确认,因为这些新闻记者对这方面不懂,采访的用户更不懂这些描述有问题,记者不懂这些又描述一遍,等到发新闻就成这样了
|
5
icylogic 2015-05-02 09:55:13 +08:00 via Android
原生不行,其他谁知道。
我有个有个思路是,如果你装了豌豆荚等第三方市场,给了它可以静默安装/升级软件的权限,那是不是伪装一下搞定豌豆荚什么的就可以? |
6
dahvlh 2015-05-02 10:03:59 +08:00 via iPad 8
可信度极低,就如同神奇的迷药一样大约都是受害人不好意思讲述自己受骗过程中的贪婪于愚蠢才主动失忆的。
|
7
yylzcom 2015-05-02 10:04:37 +08:00 via Android
应该是某些软件的静默安装模式
|
8
hpeng 2015-05-02 10:06:49 +08:00
@nwpumaktub 你没有遇到过root权限管理软件是很差的那种。不过新闻就是扯,肯定是受害人自己点的概率超过90%
|
9
jay_chiu 2015-05-02 10:07:22 +08:00
@yylzcom 静默安装需要root,系统自带的市场可以不需要root开启静默安装。但是这也只是市场里面,下载应用还是需要点击的。
当然如果你下载了一个伪装的软件,恰好这个软件本身需要root权限,你也给了他root权限,那他就会偷偷的干坏事。 |
10
9hills 2015-05-02 10:09:11 +08:00 via iPhone 1
不会,不过小白用户喜欢点所有叫确定的按钮
|
11
DT27 2015-05-02 10:11:32 +08:00
还有新闻说就用手机扫了个二维码,卡里钱就被盗了呢。。。新闻,看看就行了。
|
12
dong3580 2015-05-02 10:17:42 +08:00 via Android
手机出现过几次 国内某几个著名的公司 将推广的旅游或社交软件偷偷下载下来突然弹出个应用即将被替换的提示。当然会弹出安装界面,但是独特的方式让你很吃惊。
|
13
b821025551b 2015-05-02 10:29:56 +08:00
他们眼里的‘确定’按钮,如同我们眼里的'warning',都是忽略不计的233333
|
14
zhaoxiting1997 2015-05-02 10:43:27 +08:00 via Android
理论上是可行的,浏览器有远程执行命令的漏洞,然后root了,再然后请求root权限时又没有确认,就可以安装了。不过我从未见过这种情况。。。。
|
16
xrui 2015-05-02 10:54:00 +08:00 via Android
应该没有。。。我眼的里下载,确认下载,点开安装文件,把权限拉倒最下面,确认安装 ,打开。
这些步骤等于自动。。。。 root的那不是还得有(xprivacy和)supersu确认才行吗?没权限还能静默安装? |
17
zeinipiyan 2015-05-02 11:03:40 +08:00
听说过都市传说吗?
走在路上被人一拍肩膀,然后糊里糊涂的回家里把存折现金都给了别人 坐车上/在外面跟人说话,闻到一股气味,就昏过去了,醒来现金钱包都不见了 原因是因为蠢,被人骗了,不好意思跟家人交代,所以编了个神话,糊弄糊弄你 |
18
mind3x 2015-05-02 11:05:27 +08:00
你们想多了,一旦PC先中招,adb install百分之百静默安装不是妥妥的事。
还有就是各种来路不明的市场和论坛上的来路不明的破解游戏APK。 |
19
hjc4869 2015-05-02 11:13:10 +08:00 via iPhone
IE6还能不经确认直接安装百度全家桶呢。。
谁知道安卓浏览器有没有那样的漏洞,安卓本来就不怎么推送安全更新补丁,尤其是国内。。 |
20
azuginnen 2015-05-02 11:15:46 +08:00
最好的证明方式就是给出poc来,but,换个角度,如果有相关技术可以实现,管家类软件应该会广泛使用,来推广自己吧
|
21
zado 2015-05-02 11:23:58 +08:00
我觉得根本不是因为点了什么链接,而是手机里面早就安装了木马,点链接只是一个巧合.
|
22
kerr92 2015-05-02 11:59:32 +08:00 via Android
唯一可以不经确认而在手机上自动安装的情况,是在电脑上用Play Store 233333
|
23
FSFA 2015-05-02 12:01:23 +08:00
手机脚本利用漏洞自动运行下载,pm静默安装
(猜的) |
24
StevenTong 2015-05-02 13:35:03 +08:00
root之后可以不确认...我手机上一直会无缘无故安装权限管理这个软件.好几次了,明明我有supersu.也不知道谁偷偷做了这件事
|
25
fengxing 2015-05-02 13:41:21 +08:00
理论上可以,不过,没见过这种情况...
|
28
mfaner 2015-05-02 17:35:09 +08:00
去年见到过,怀疑是系统漏洞以及微信传播。
|
29
likai 2015-05-02 18:04:09 +08:00
这个我还真碰到过。一开网络就自动下载 用的联想A360,除了在上面有个下载的向下箭头。没有任何提示,版本..4.0.3,除了关机。你都没办法取消下载,一开网络又会自动开始
|
30
chengzhoukun 2015-05-02 18:06:48 +08:00 via Android
我觉得不能随便打开usb调试,要不然360全家桶 、腾讯全家桶就进来了
|
31
243205964 2015-05-02 18:11:20 +08:00
安卓手机真那么不堪,早就被淘汰了。
|
32
mrjoel 2015-05-02 18:43:51 +08:00
我记得在10086.cn 无意点过一个广告,然后自动下载了一个apk文件(类似于url快捷方式),再结合浏览器调出app的方法,我估计还是可能
|
33
Quaintjade 2015-05-02 19:00:30 +08:00
@mind3x adb得先开启USB调试并信任电脑吧。。。
|
34
psyche08 2015-05-02 19:06:57 +08:00
即使没有root,低版本android上的漏洞也不少,有一部分就能做到临时root静默安装,用户全程无感。。
|
35
GhostFlying 2015-05-02 20:26:08 +08:00
@mrjoel url scheme 显然不能安装应用,这是设计好的 Feature,在没有漏洞的情况下,这个没有风险。
|
36
Lucups 2015-05-02 23:07:03 +08:00
要是真有这黑科技,大家还需要去各大APP商店做推广么?
直接发短信得了。 PS:有些记者真心是。。。自己没搞懂就报道,结果是误导大众。 |
37
datocp 2015-05-02 23:25:04 +08:00 via Android
记者吗要习惯,在那说得有声有色要不是懂点网络知识能分清说的宽带什么流量速率之类的换算吗。申请的4m宽带怎么才400kb?
自动安装的现在像 酷市场 play商店都是 应用内点击就直接安装了。 有时候定位到一些黄色网站还不是自动下来一应用,就差点击同意安装了。可是对很多用户来说手指一点就开始装了吧,更不知道怎么卸载。这种用户多的是,看看他们电脑装的那一堆360 qq 金山就知道了。 |
38
mind3x 2015-05-02 23:42:44 +08:00
@Quaintjade 是的,不过各种管家已经好心的要求用户确认过了...
|
39
Hyperion 2015-05-02 23:58:03 +08:00
http://drops.wooyun.org/papers/548
参考这个,中招前提: 0. 系统够旧。 1. 破手机你得root。 2. 安装了xxx 助手。 3. adb 能用。 条件之苛刻,还不如把目标对准爱乱装app 的小白&睁眼瞎,好多人看到弹出的东西第一个反应都是按确定和取消来离开,从来不知道按home 或者返回。 |
40
20150517 2015-05-03 00:22:16 +08:00 via Android
我有部旧手机,装了腾迅的市场,root过,我以为superuser要确认腾迅市场才能有root权限,事实证明腾迅肯定有绕过的办法,我明明禁止他使用root权限的,他照样的静默帮我升级app....
|
41
imyip 2015-05-03 00:24:42 +08:00 via Android
真实个案
我女朋友是有点电脑小白那种,一次她说看视频,然后我给我的笔记本她去看,我去洗澡,洗完澡回来我的电脑已经百度全家桶 这个情况发生不觉一次 问她,她说也不知道为什么装上的 |
42
allan1st 2015-05-03 00:56:51 +08:00
几乎是不可能的。我用智能机到现在唯一能够达到类似效果的是 iOS 4 (还是 5)时代的 jailbreakme.com 打开网页滑动解锁自动越狱,而现在已经是 2015 年了。。。如果还有能这样的手机系统早就会被淘汰了,怎么可能还有那么多人用?
当然当事人绝对不会承认是自己把帐号密码告诉骗子的,不仅仅是自我催眠,而是他承认了就没有理由向手机厂商要回损失的钱了,所以是坚决一口咬定的。 |
43
testisitok 2015-05-03 01:27:01 +08:00
赞成“相当于受骗后说有超级迷幻药”的解析
|