来源:http://bbs.ichunqiu.com/thread-8857-1-1.html?from=ch
大家好。
因为在西二期附近有很多人喊“扫码就免费水果”,“扫码就免费泰迪熊”并且在地铁上很多人求你扫描它的二维码,所以我本来想写关于二维码代码注入攻击。
我在准备二维码代码注入攻击的PoC,我下载了8个扫描二维码app, 但是在安装这种app的时间我发现他们的权限太夸张了。
怎么可能为了扫描一个二维码你需要读取联系人信息和读取通话记录!!!!!
按照我的理解为了扫描一个二维码你只需要打开摄像头, 不需要别的。
以下的两片有两个特色。
在下一个片,我们能看到“Has passed security check”(已经通过了安全检查),我不知道这个安全检查过程怎么样,但是如果一个用户看已经通过安全检查,他什么都不考虑,他只安装。
下一片是很幽默的,这个APP需要用摄像头,但是我们可以看到打开摄像头权限不在乐 哈哈哈哈 :)。
根据上面的, 如果我是攻击者为什么要制造一个恶意二维码(因为代码注入攻击依赖扫描二维码app,所以这个攻击不是百分之一百有效的),反正我可以把恶意app给目标者然后获取更多信息并且这个攻击情况更有效的(用社会工程的供不应求或社会确认,目标者不关心app的权限,他知点击ok)。
有可能现在有很多人自己问,为什么伊万发这个帖?
我的回答简单:
第一个原因是因为我要你们不忘记罪犯每天工作,每天研究,每天发现新的方法为了欺骗我们。 我们大家都必须”保持警惕” (WE ARE PRIVACY AWARE) 。
第二个原因是因为我要给你们一个任务。 今天你们读完这个帖,你们应该教另外一个人(你们的父母,同学,同事,朋友,女朋友,男朋友,爱人等等)如何安全安装一个app,如何看app的权限和权限代表什么, 而且不注意看app的权限的风险。
我们都一起可以建立一个安全的互联网.
网友评论