V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
iOct
V2EX  ›  问与答

iOS的系统,扫描带有攻击信息的二维码会中招么?

  •  
  •   iOct · 2013-11-28 14:54:46 +08:00 · 4314 次点击
    这是一个创建于 4011 天前的主题,其中的信息可能已经有所发展或是发生改变。
    前两天看到电视上在说有人的支付宝余款被莫名的转走,金额非常大。说是因为被害人通过手机扫描了一个二维码,而这个二维码里面含带了相关的攻击网站信息,使用者在不知情的情况下,手机会访问到该钓鱼网站,自动下载相关的应用程序并安装,同时该软件会拦截所有发送至用户的短信和电话(此时被害人的手机上是不会显示有任何消息或者电话的)并转发至指定的接收人这里。对方就是通过这种办法把支付宝里面的钱给转掉的。
    我的问题是,这种办法是不是对安卓系统是有效的(没怎么用过安卓的系统,不确定),但是iOS不受影响?
    15 条回复    1970-01-01 08:00:00 +08:00
    neodreamer
        1
    neodreamer  
       2013-11-28 14:58:27 +08:00 via Android
    自动下载应用并安装?

    受害人自己乱点的吧。
    lichao
        2
    lichao  
       2013-11-28 14:58:55 +08:00
    人笨才是主因,别赖手机
    mille
        3
    mille  
       2013-11-28 15:02:58 +08:00
    “...自动下载相关的应用程序并安装...”

    在未越狱的iOS设备上,这是不成立的。
    已越狱的设备不予置评,出来混迟早要还。
    Android未root的也应该不会有问题,root绝壁中招。
    manhere
        4
    manhere  
       2013-11-28 15:04:04 +08:00
    @neodreamer @lichao
    android下面确实已经有网页木马了 可以自己悄悄安装
    黑圈有人用AndroRat搞出来了
    iOct
        5
    iOct  
    OP
       2013-11-28 15:12:47 +08:00
    @neodreamer
    @lichao
    其实不一定说人笨,毕竟二维码比起显性的网址来说,就更隐蔽了。无法查别
    一个我能想象的场景就是:比如某网站搞App推广,只要扫二维码下载了app就送什么什么,但是该网站已经被黑客渗透了,通过在二维码内增加钓鱼网站的方式,就肯定能抓到不少用户.
    其实我就想确定,是否未root的安卓系统或者未越狱的iOS系统是不会发生这种被私自安装应用的这种事情的?
    GordianZ
        6
    GordianZ  
    MOD
       2013-11-28 15:56:16 +08:00
    扫二维码肯定不会中毒,傻叉应用(例如微信)自己打开链接才是关键……
    ihacku
        7
    ihacku  
       2013-11-28 16:15:34 +08:00
    @neodreamer Android之前webview爆过漏洞 只要访问链接就可以种马
    9hills
        8
    9hills  
       2013-11-28 16:22:47 +08:00
    @mille root也不会的,浏览器也不申请root权限,安装还是要浏览器自己后台静默安装才行
    9hills
        9
    9hills  
       2013-11-28 16:23:57 +08:00
    @manhere 给个链接,我试试我的Android能中么
    txx
        10
    txx  
       2013-11-28 17:34:17 +08:00
    @iOct 如果是用iOS 企业账号的话 倒是有可能 扫完了弹出是否安装....
    fox
        11
    fox  
       2013-11-28 17:42:06 +08:00
    似乎企业应用是可能的。当然也要你操作。
    meta
        12
    meta  
       2013-11-28 20:02:48 +08:00
    这个跟二维码有什么关系?直接给你个链接或者就藏在一张图片后面,你去点了安装难道不是一样的。
    a2z
        13
    a2z  
       2013-11-28 21:12:33 +08:00
    谁说ios没越狱不可以的,有mobile权限就能干很多事情了……
    mobile safari的洞还是不少的,参见今年的pwn2own里面的中国队
    liuyi_beta
        14
    liuyi_beta  
       2013-11-28 21:56:30 +08:00
    @iOct 对于未越狱的iOS设备,是没法安装非官方的app的。这里假设这个二维码是一个App store的连接,扫描后手动打开app store, 然后安装该程序(假设该程序是木马程序,而且通过了App store的审核,这种可能性太小了。。。),然后打开程序运行,程序开始干坏事儿,但是首先它必须向你申请各种权限,而且即使这样它能干的事儿也不多,苹果对app的权限管理相当严格。所有楼主的假设就目前的技术手段来说是根本不可能的。
    还有一种可能是该app有企业签名,这种情况下可以不通过App store而手动安装,然后这种企业签名的app带有木马和后门的可能性。。。。貌似还是不可能,它同样需要申请权限,而且能干的事儿很少很少。
    综上所述,对于未越狱的iOS设备,压根儿不需要担心安全问题,Apple已经做得很好了。
    noir
        15
    noir  
       2013-11-28 22:55:01 +08:00
    @GordianZ 为什么我的微信不会自动打开链接?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5441 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 06:40 · PVG 14:40 · LAX 22:40 · JFK 01:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.