PTT推薦

Re: [情報] 令客服人員落淚的畫面

看板MobileComm標題Re: [情報] 令客服人員落淚的畫面作者
allen900727
(帥到臉在痛)
時間推噓15 推:15 噓:0 →:46

原文恕刪

抱著好奇心來玩一下
測試在虛擬機中操作

http://i.imgur.com/63QGPjK.jpg

這個chrome有電話跟簡訊權限
光在裝的時候就想笑了
附一下原版的權限
http://i.imgur.com/Qyfl1gq.jpg

再來套件名稱不一樣可以共存
正版
http://i.imgur.com/gseyDoB.jpg

偽裝版(?
http://i.imgur.com/ATsz04g.jpg

安裝成功後再桌面會出現chrome的icon
按了之後會消失
然後通知欄會有常駐通知
http://i.imgur.com/ze7gR6i.jpg

大概是這樣
目前還沒看出有什麼影響


-----
Sent from JPTT on my Vivo 1813.

--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.77.205.162 (臺灣)
PTT 網址
※ 編輯: allen900727 (42.77.205.162 臺灣), 03/28/2020 01:21:36

trywish 03/28 01:25內文有說會大量發送簡訊呀。本身看是不是會跑比特幣

trywish 03/28 01:25還是惡意廣告吧。

應該是沒有跑比特幣 使用率不高

tom282f3 03/28 01:28https://i.imgur.com/JN6WYGj.png

tom282f3 03/28 01:28他們網站還會判斷你是Android還是iOS

tom282f3 03/28 01:30後者會跳轉到一個404的域名XD

剛剛拿哀配用他會說什麼你的帳戶受到限制ww

trywish 03/28 01:30發送簡訊除了散佈外,還一種是隱藏的小額付費,或者

trywish 03/28 01:31接送簡訊認證碼,做人頭帳戶吧。所以金錢還算小事,

tom282f3 03/28 01:31Virustotal檢測報告 https://bit.ly/3dyPhaP

trywish 03/28 01:31被當人頭戶,那賠的不知道多少。

teddy1209 03/28 01:32我是有同學好像點了 帳單變一萬多

幫QQ

※ 編輯: allen900727 (42.77.205.162 臺灣), 03/28/2020 01:35:09

whatisapity 03/28 02:28Google早就該做個安裝App前顯示簽署的機制了

whatisapity 03/28 02:28現在Google一直唬爛非Play就不安全

whatisapity 03/28 02:28卻死也不給用戶自行確認發行者的基本功能

whatisapity 03/28 02:28擺明就只是想綁架使用者而已

whatisapity 03/28 02:28嘴巴上說安全,其實根本更危險

whatisapity 03/28 02:28「不明來源」就是個低能到無以復加的垃圾設計

whatisapity 03/28 02:28這個設計只是讓使用者更危險而已

tom282f3 03/28 02:33會在隨便一個網站下載APK安裝的人

tom282f3 03/28 02:33也不會檢查package name吧

roman80010 03/28 02:38還好我都不看簡訊

roman80010 03/28 02:39所以ios沒問題哦

whatisapity 03/28 02:41還有就是原Po貼的圖不是簽名,只是套件名稱

whatisapity 03/28 02:41套件名稱可以輕易作偽,但是簽名幾乎不可能

whatisapity 03/28 02:41Android不會允許簽名不符合的APK覆蓋舊的應用

whatisapity 03/28 02:42所以這個假Chrome沒用一樣的名稱去更新Chrome

whatisapity 03/28 02:42因為一定會安裝失敗

whatisapity 03/28 02:43偽裝版要有一樣的名稱一定是可以辦到的

whatisapity 03/28 02:43但是攻擊就會失敗

qazwsx85519303/28 03:13我是不相信會會安裝這種東西的人會去看簽名啦…

myfred77 03/28 08:24認真文一定要推一下!

athraugh 03/28 08:35推實驗, 之前也有看到簡訊,不過看到要下載就 跳過

athraugh 03/28 08:35了, 原來裡面是這樣內容!

la8day 03/28 10:04中國很多有上架的垃圾app也都會要電話和簡訊權限

la8day 03/28 10:04即使看應用根本八竿子打不著

CloserJ 03/28 11:41

pttgigo 03/28 13:46推實驗精神

whatisapity 03/28 15:16雖然稍早已經有講過了,但還是再強調一下

whatisapity 03/28 15:16有實驗精神是好事,但這篇有些觀念是錯的

whatisapity 03/28 15:16請不要模仿

whatisapity 03/28 15:16套件名稱≠簽名

whatisapity 03/28 15:16簽名是可以拿來判斷真偽的,但是套件名稱不行

whatisapity 03/28 15:16拜託各位以後別拿套件名稱去判斷真偽= =

tom282f3 03/28 15:21不是啊 你套件名稱一樣也會因為手機裡已經有chrome

tom282f3 03/28 15:21簽署不對 就沒辦法安裝了啊

tom282f3 03/28 15:25這篇的APK就是套件名稱不一樣 他也根本沒有想取代

tom282f3 03/28 15:25手機裡的chrome 光是套件名稱就分得出差別了

whatisapity 03/28 15:32我知道,這些我前面都有講啊...

whatisapity 03/28 15:32但是套件名稱絕對不能叫做簽名,這是很嚴肅的事

whatisapity 03/28 15:32今天的例子或許可以這樣判斷

whatisapity 03/28 15:32但是你不能因為這個題目可以用錯誤的方法解答

whatisapity 03/28 15:32以後就繼續用這個錯誤又危險的方法

whatisapity 03/28 15:33要是下次的攻擊是偽裝成你還沒裝的App呢?

tom282f3 03/28 15:35你說的沒錯 認同你

tom282f3 03/28 15:35不過我也不覺得會從來路不明的網站上安裝APK的人會

tom282f3 03/28 15:35花時間在意這個XD

allen900727 03/28 17:28阿抱歉 我知識方面有誤解 我修改一下XD

※ 編輯: allen900727 (42.77.205.162 臺灣), 03/28/2020 17:28:40

IOU9527 03/28 17:30要更新chrome根本不可能直接叫你下載apk

attitudium 03/28 22:27推實驗

ZnOnZ 03/29 01:50Google play好像蠻安全的

MoneMizuno 03/29 12:03套件名稱可以偽裝,簽名(數位簽章)不行,除非拿

MoneMizuno 03/29 12:03到私鑰