Re: [情報] 令客服人員落淚的畫面

allen900727 發表於 2020/3/28 上午1:20:50

看板MobileComm標題Re: [情報] 令客服人員落淚的畫面作者

allen900727

(帥到臉在痛)時間Mar 28 01:20:50 2020推噓15 推:15 噓:0 →:46

PTT推薦

原文恕刪

抱著好奇心來玩一下
測試在虛擬機中操作

http://i.imgur.com/63QGPjK.jpg

這個chrome有電話跟簡訊權限
光在裝的時候就想笑了
附一下原版的權限
http://i.imgur.com/Qyfl1gq.jpg

再來套件名稱不一樣可以共存
正版
http://i.imgur.com/gseyDoB.jpg

偽裝版（？
http://i.imgur.com/ATsz04g.jpg

安裝成功後再桌面會出現chrome的icon
按了之後會消失
然後通知欄會有常駐通知
http://i.imgur.com/ze7gR6i.jpg

大概是這樣
目前還沒看出有什麼影響

-----
Sent from JPTT on my Vivo 1813.

※ PTT留言評論

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.77.205.162 (臺灣)

※ PTT 網址

※ 編輯: allen900727 (42.77.205.162 臺灣), 03/28/2020 01:21:36

→

trywish 03/28 01:25內文有說會大量發送簡訊呀。本身看是不是會跑比特幣

→

trywish 03/28 01:25還是惡意廣告吧。

應該是沒有跑比特幣使用率不高

推

tom282f3 03/28 01:28https://i.imgur.com/JN6WYGj.png

→

tom282f3 03/28 01:28他們網站還會判斷你是Android還是iOS

→

tom282f3 03/28 01:30後者會跳轉到一個404的域名XD

剛剛拿哀配用他會說什麼你的帳戶受到限制ww

→

trywish 03/28 01:30發送簡訊除了散佈外，還一種是隱藏的小額付費，或者

→

trywish 03/28 01:31接送簡訊認證碼，做人頭帳戶吧。所以金錢還算小事，

→

tom282f3 03/28 01:31Virustotal檢測報告 https://bit.ly/3dyPhaP

→

trywish 03/28 01:31被當人頭戶，那賠的不知道多少。

推

teddy1209 03/28 01:32我是有同學好像點了帳單變一萬多

幫QQ

※ 編輯: allen900727 (42.77.205.162 臺灣), 03/28/2020 01:35:09

→

whatisapity 03/28 02:28Google早就該做個安裝App前顯示簽署的機制了

→

whatisapity 03/28 02:28現在Google一直唬爛非Play就不安全

→

whatisapity 03/28 02:28卻死也不給用戶自行確認發行者的基本功能

→

whatisapity 03/28 02:28擺明就只是想綁架使用者而已

→

whatisapity 03/28 02:28嘴巴上說安全，其實根本更危險

→

whatisapity 03/28 02:28「不明來源」就是個低能到無以復加的垃圾設計

→

whatisapity 03/28 02:28這個設計只是讓使用者更危險而已

推

tom282f3 03/28 02:33會在隨便一個網站下載APK安裝的人

→

tom282f3 03/28 02:33也不會檢查package name吧

推

roman80010 03/28 02:38還好我都不看簡訊

→

roman80010 03/28 02:39所以ios沒問題哦

→

whatisapity 03/28 02:41還有就是原Po貼的圖不是簽名，只是套件名稱

→

whatisapity 03/28 02:41套件名稱可以輕易作偽，但是簽名幾乎不可能

→

whatisapity 03/28 02:41Android不會允許簽名不符合的APK覆蓋舊的應用

→

whatisapity 03/28 02:42所以這個假Chrome沒用一樣的名稱去更新Chrome

→

whatisapity 03/28 02:42因為一定會安裝失敗

→

whatisapity 03/28 02:43偽裝版要有一樣的名稱一定是可以辦到的

→

whatisapity 03/28 02:43但是攻擊就會失敗

推

qazwsx85519303/28 03:13我是不相信會會安裝這種東西的人會去看簽名啦…

推

myfred77 03/28 08:24認真文一定要推一下！

推

athraugh 03/28 08:35推實驗，之前也有看到簡訊，不過看到要下載就跳過

→

athraugh 03/28 08:35了，原來裡面是這樣內容！

推

la8day 03/28 10:04中國很多有上架的垃圾app也都會要電話和簡訊權限

→

la8day 03/28 10:04即使看應用根本八竿子打不著

推

CloserJ 03/28 11:41讚

推

pttgigo 03/28 13:46推實驗精神

→

whatisapity 03/28 15:16雖然稍早已經有講過了，但還是再強調一下

→

whatisapity 03/28 15:16有實驗精神是好事，但這篇有些觀念是錯的

→

whatisapity 03/28 15:16請不要模仿

→

whatisapity 03/28 15:16套件名稱≠簽名

→

whatisapity 03/28 15:16簽名是可以拿來判斷真偽的，但是套件名稱不行

→

whatisapity 03/28 15:16拜託各位以後別拿套件名稱去判斷真偽= =

推

tom282f3 03/28 15:21不是啊你套件名稱一樣也會因為手機裡已經有chrome

→

tom282f3 03/28 15:21簽署不對就沒辦法安裝了啊

推

tom282f3 03/28 15:25這篇的APK就是套件名稱不一樣他也根本沒有想取代

→

tom282f3 03/28 15:25手機裡的chrome 光是套件名稱就分得出差別了

→

whatisapity 03/28 15:32我知道，這些我前面都有講啊...

→

whatisapity 03/28 15:32但是套件名稱絕對不能叫做簽名，這是很嚴肅的事

→

whatisapity 03/28 15:32今天的例子或許可以這樣判斷

→

whatisapity 03/28 15:32但是你不能因為這個題目可以用錯誤的方法解答

→

whatisapity 03/28 15:32以後就繼續用這個錯誤又危險的方法

→

whatisapity 03/28 15:33要是下次的攻擊是偽裝成你還沒裝的App呢？

推

tom282f3 03/28 15:35你說的沒錯認同你

→

tom282f3 03/28 15:35不過我也不覺得會從來路不明的網站上安裝APK的人會

→

tom282f3 03/28 15:35花時間在意這個XD

→

allen900727 03/28 17:28阿抱歉我知識方面有誤解我修改一下XD

※ 編輯: allen900727 (42.77.205.162 臺灣), 03/28/2020 17:28:40

→

IOU9527 03/28 17:30要更新chrome根本不可能直接叫你下載apk

推

attitudium 03/28 22:27推實驗

推

ZnOnZ 03/29 01:50Google play好像蠻安全的

→

MoneMizuno 03/29 12:03套件名稱可以偽裝，簽名（數位簽章）不行，除非拿

→

MoneMizuno 03/29 12:03到私鑰

同系列文章

[情報] 令客服人員落淚的畫面

```
28 
```
首Povarcs：請大家告訴家裡的爸爸媽媽爺爺奶奶外公外婆叔叔嬸嬸伯伯伯母姑姑姑丈阿姨姨丈舅舅舅媽哥哥姊姊弟弟妹妹隔壁鄰居早餐店阿姨... 你他媽的不要再手賤去點那個網址！！！！！ #親愛的是詐騙啊

其他人也閱讀了

PTT 熱門相關