Re: [情報] 令客服人員落淚的畫面

作者allen900727 (帥到臉在痛)

看板MobileComm

標題Re: [情報] 令客服人員落淚的畫面

時間Sat Mar 28 01:20:50 2020

原文恕刪抱著好奇心來玩一下測試在虛擬機中操作 http://i.imgur.com/63QGPjK.jpg

這個chrome有電話跟簡訊權限光在裝的時候就想笑了附一下原版的權限 http://i.imgur.com/Qyfl1gq.jpg

再來套件名稱不一樣可以共存正版 http://i.imgur.com/gseyDoB.jpg

偽裝版（？ http://i.imgur.com/ATsz04g.jpg

安裝成功後再桌面會出現chrome的icon 按了之後會消失然後通知欄會有常駐通知 http://i.imgur.com/ze7gR6i.jpg

大概是這樣目前還沒看出有什麼影響 ----- Sent from JPTT on my Vivo 1813. -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.77.205.162 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1585329653.A.BC3.html ※ 編輯: allen900727 (42.77.205.162 臺灣), 03/28/2020 01:21:36

→ trywish : 內文有說會大量發送簡訊呀。本身看是不是會跑比特幣 03/28 01:25

→ trywish : 還是惡意廣告吧。 03/28 01:25

應該是沒有跑比特幣使用率不高

推 tom282f3 : https://i.imgur.com/JN6WYGj.png 03/28 01:28

→ tom282f3 : 他們網站還會判斷你是Android還是iOS 03/28 01:28

→ tom282f3 : 後者會跳轉到一個404的域名XD 03/28 01:30

剛剛拿哀配用他會說什麼你的帳戶受到限制ww

→ trywish : 發送簡訊除了散佈外，還一種是隱藏的小額付費，或者03/28 01:30

→ trywish : 接送簡訊認證碼，做人頭帳戶吧。所以金錢還算小事，03/28 01:31

→ tom282f3 : Virustotal檢測報告 https://bit.ly/3dyPhaP03/28 01:31

→ trywish : 被當人頭戶，那賠的不知道多少。03/28 01:31

推 teddy1209 : 我是有同學好像點了帳單變一萬多03/28 01:32

幫QQ ※ 編輯: allen900727 (42.77.205.162 臺灣), 03/28/2020 01:35:09

→ whatisapity : Google早就該做個安裝App前顯示簽署的機制了 03/28 02:28

→ whatisapity : 現在Google一直唬爛非Play就不安全 03/28 02:28

→ whatisapity : 卻死也不給用戶自行確認發行者的基本功能 03/28 02:28

→ whatisapity : 擺明就只是想綁架使用者而已 03/28 02:28

→ whatisapity : 嘴巴上說安全，其實根本更危險 03/28 02:28

→ whatisapity : 「不明來源」就是個低能到無以復加的垃圾設計 03/28 02:28

→ whatisapity : 這個設計只是讓使用者更危險而已 03/28 02:28

推 tom282f3 : 會在隨便一個網站下載APK安裝的人 03/28 02:33

→ tom282f3 : 也不會檢查package name吧 03/28 02:33

推 roman80010 : 還好我都不看簡訊 03/28 02:38

→ roman80010 : 所以ios沒問題哦 03/28 02:39

→ whatisapity : 還有就是原Po貼的圖不是簽名，只是套件名稱 03/28 02:41

→ whatisapity : 套件名稱可以輕易作偽，但是簽名幾乎不可能 03/28 02:41

→ whatisapity : Android不會允許簽名不符合的APK覆蓋舊的應用 03/28 02:41

→ whatisapity : 所以這個假Chrome沒用一樣的名稱去更新Chrome 03/28 02:42

→ whatisapity : 因為一定會安裝失敗 03/28 02:42

→ whatisapity : 偽裝版要有一樣的名稱一定是可以辦到的 03/28 02:43

→ whatisapity : 但是攻擊就會失敗 03/28 02:43

推 qazwsx855193: 我是不相信會會安裝這種東西的人會去看簽名啦… 03/28 03:13

推 myfred77 : 認真文一定要推一下！ 03/28 08:24

推 athraugh : 推實驗，之前也有看到簡訊，不過看到要下載就跳過 03/28 08:35

→ athraugh : 了，原來裡面是這樣內容！ 03/28 08:35

推 la8day : 中國很多有上架的垃圾app也都會要電話和簡訊權限 03/28 10:04

→ la8day : 即使看應用根本八竿子打不著 03/28 10:04

推 CloserJ : 讚 03/28 11:41

推 pttgigo : 推實驗精神 03/28 13:46

→ whatisapity : 雖然稍早已經有講過了，但還是再強調一下 03/28 15:16

→ whatisapity : 有實驗精神是好事，但這篇有些觀念是錯的 03/28 15:16

→ whatisapity : 請不要模仿 03/28 15:16

→ whatisapity : 套件名稱≠簽名 03/28 15:16

→ whatisapity : 簽名是可以拿來判斷真偽的，但是套件名稱不行 03/28 15:16

→ whatisapity : 拜託各位以後別拿套件名稱去判斷真偽= = 03/28 15:16

推 tom282f3 : 不是啊你套件名稱一樣也會因為手機裡已經有chrome 03/28 15:21

→ tom282f3 : 簽署不對就沒辦法安裝了啊 03/28 15:21

推 tom282f3 : 這篇的APK就是套件名稱不一樣他也根本沒有想取代 03/28 15:25

→ tom282f3 : 手機裡的chrome 光是套件名稱就分得出差別了 03/28 15:25

→ whatisapity : 我知道，這些我前面都有講啊... 03/28 15:32

→ whatisapity : 但是套件名稱絕對不能叫做簽名，這是很嚴肅的事 03/28 15:32

→ whatisapity : 今天的例子或許可以這樣判斷 03/28 15:32

→ whatisapity : 但是你不能因為這個題目可以用錯誤的方法解答 03/28 15:32

→ whatisapity : 以後就繼續用這個錯誤又危險的方法 03/28 15:32

→ whatisapity : 要是下次的攻擊是偽裝成你還沒裝的App呢？ 03/28 15:33

推 tom282f3 : 你說的沒錯認同你 03/28 15:35

→ tom282f3 : 不過我也不覺得會從來路不明的網站上安裝APK的人會 03/28 15:35

→ tom282f3 : 花時間在意這個XD 03/28 15:35

→ allen900727 : 阿抱歉我知識方面有誤解我修改一下XD 03/28 17:28

※ 編輯: allen900727 (42.77.205.162 臺灣), 03/28/2020 17:28:40

→ IOU9527 : 要更新chrome根本不可能直接叫你下載apk 03/28 17:30

推 attitudium : 推實驗 03/28 22:27

推 ZnOnZ : Google play好像蠻安全的 03/29 01:50

→ MoneMizuno : 套件名稱可以偽裝，簽名（數位簽章）不行，除非拿 03/29 12:03

→ MoneMizuno : 到私鑰 03/29 12:03