这是一个创建于 1491 天前的主题,其中的信息可能已经有所发展或是发生改变。
如题,视频标题《来源不明的二维码 为何不要乱扫?》
https://www.bilibili.com/video/BV1ki4y1j7rZ
关注的其他 UP 主点赞了所以我被推送了。对于没看过视频的朋友,简单来说这里面这位白帽子做了一个操作就是手机扫了个二维码,然后手机就被提权了,被装了个恶意服务。
==============================================
我的安全知识是开发人员范畴,看到这个视频表示很怀疑。在我的知识范围内,二维码纯粹是作为字节和图片转换的渠道,也就是说神秘二维码也就是一串神秘字符串而已,就算二维码扫描调用了浏览器,浏览器底层还有安全机制,网站连不归自己管的 cookie 都拿不到,打开个网站就直接提权是不是危言耸听?
还是说我孤陋寡闻了,现在手机安全机制确实这么弱,随便扫个码就可能 GG ?
 |
101
eason1874 2020-10-20 21:20:55 +08:00
@nnnToTnnn #93 我没说 CVE-2017-17171 是安卓的问题,后面的内容不是回复你的,是回复后面那位。我说更多用户更接触到的不是 0day 漏洞的攻击,而是被诱导安装未知来源应用,他一直把这两种攻击情况混淆来说,我说他分不清两种攻击,他说我分不清漏洞和攻击,我就给他举例。
|
|
102
eason1874 2020-10-20 21:34:43 +08:00
@nicevar 我说诱导安装,你说 ROM 捆绑,我说这两个根本不是一回事。你又说 ROM 捆绑不一定固化。请问我说捆绑一定固化了吗?你又自己强行加戏,树一个假靶子自己打。
我现在不是做黑产,挣的不是黑心钱。诱导安装是黑产特有的活吗?现在几乎所有大厂都干这活,我是接的大厂的任务。做移动端的能不了解这个情况?你又暴露了自己不懂装懂,我现在不仅怀疑你是不是做安全的,我怀疑你连移动端的运营都没有真正接触过。 你水平真强。 |
 |
103
nicevar 2020-10-21 12:33:23 +08:00
@eason1874 “不懂的是你,你连 ROM 捆绑都能以为是诱导安装”,你回去好好看自己的话行么?难道你是 3 秒钟记忆?自己说的话这么快就不承认了?你这人还真有意思,自己逗自己玩很过瘾是吧,加戏也不是你这样加的对么。
你自己都承认做诱导安装了,现在又给自己洗白了?这还不是黑心钱?你的逻辑就是大厂干黑心的事就不黑心了?我要是挣了这种钱我就痛快认了, 像你这样安慰自己还是真的少见。我懂不懂就你这样的根本没能力判断,我再怎么不懂,公司当年移动部门产品也是我跟另一个人开始做起来的,也参与过公司与 opda 和 dospy 这类的谈合作,在移动行业混过 10 多年,不像你盲目脑补就想证明一个假设我不懂,累不累。 |
|
104
eason1874 2020-10-21 21:48:12 +08:00
@nicevar 是我失忆还是你失忆啊?我说的是诱导安装,ROM 捆绑是你说的。
我在#83: “一两块钱一个安装的软件 APP,我个人累计收入超过十万了,现在每天新装都还超过 100 台,怎么诱导用户安装我会不懂吗?我全部都研究过,各平台的安装难度我有清晰的排名。” 你在#85:“懂不懂不是你说了算,你弄的这种我们十来年前就开始玩了,当时第一批去跟中关村卖手机刷机合作的就是我的同事,到后面他自己单干定制 ROM 捆绑” 看清楚了吗?这个帖子里,你是第一个提出 ROM 捆绑的,用来反驳我说你不懂诱导安装。我说你不懂诱导安装有问题吗?懂诱导安装的人会用 ROM 捆绑来反驳我说诱导安装?这完全不是一回事。 还有,我说大厂也有诱导安装,是在区分黑产的诱导安装。像抖音通过聊天功能把用户引流到多闪,这叫大厂的诱导安装。像外卖 APP 、电商 APP 、视频 APP 让用户发红包给朋友,对方登录 APP 后才可领取,这也叫大厂的诱导安装。 我研究的就是这些,懂了吗?如果你认为这是黑心钱,那我没什么好说,我只能承认你是全世界最白莲花的人。 诱导安装是现在国内外移动端厂商都有的活,你干移动端 10 年不懂这些,还用近十年前的刷机啊 ROM 啊的办法来理解 APP 推广,笑死人。 |
|
105
nicevar 2020-10-22 09:54:21 +08:00
@eason1874 “不懂的是你,你连 ROM 捆绑都能以为是诱导安装”这话你怎么不解释了呢?脸肿了就开始胡言乱语?明明自己把 ROM 捆绑跟诱导安装强行扯一块,我描述他去干 ROM 捆绑的事,你理解成什么了?你就开始幻想我把 ROM 捆绑当成诱导安装,结果呢是自己不懂,ROM 里面可以放置一些应用让用户选择安装,还一直在那吹嘘自己懂传播,懂成你这样还是真的少见。
你自己承认诱导安装挣了钱,然后又说“诱导安装是不是恶意攻击的一部分,你稍微去问下真正搞安全的就知道了。”之后就开始解释你的诱导安装是很合理的,因为大厂也这样干,大厂推广的时候不要脸的时候多的去了,被喷的时候少么?我看你不仅是失忆还有点憨,我不是白莲花,但是我要是挣了这样的钱我就大方承认这种方式很狗,不会像你一样极力解释我这很合理,好像没有对用户造成影响一样。 我们跟移动运营商合作的时候多的去了,你最有喜感的就是自我感觉良好,那么多年了推广一丁点量挣了几个钱还以为自己真懂推广了,你不知道 ROM 推广几天的量够你好几年么,还笑死人呢,我看是笑不出来吧。 |
|
106
eason1874 2020-10-22 10:38:57 +08:00
@nicevar 第一,是你把 ROM 捆绑跟诱导安装扯在一起。你在#85 的原话我都贴出来了,你看不到吗?你说我不懂诱导安装,说这种你十来年前就在玩了,然后拿刷机 ROM 捆绑来说。然后我告诉你这不是一回事。你居然好意思反过来说我是扯在一起的。有意思。
第二,“诱导安装是不是恶意攻击的一部分,你稍微去问下真正搞安全的就知道了”,在这句话的前面我说有一种攻击方式是诱导安装,你说我分不清漏洞和攻击,我就让你去问下搞安全的这是不是攻击的一部分,这很难理解吗? 诱导安装攻击之所以是攻击,是因为安装的东西是木马。现在各种大厂都有 APP 通过发红包的方式诱导安装,但安装的是正经 APP,所以不算攻击,而且诱导方式不是假面,所以我说搞这些推广不是赚黑心钱。这很难理解吗? 你 ROM 推广是我几年的量,这跟我说的诱导安装有什么关系呢?顾左右而言他,你硬扯到 ROM 这块,我说这两者不是一回事,你又说是我扯到一起的,真有意思。 再说一次,这个帖子第一次提到 ROM 捆绑的是你在#85 的评论,是在说我不懂诱导安装之后的话。你但凡有点自信就回去看看你自己的评论,看看是谁失忆。 |
|
107
nicevar 2020-10-22 11:43:55 +08:00
@eason1874 你这人真是真脑子转不过来么?那我现在跟你说明白了,首先 ROM 捆绑软件有两种处理方式,第一种是不要脸的做法就是直接固化到 ROM 里面,第二种是放在 ROM 里面显眼的地方,让用户自己选择安装,而且比较容易触发,这属于诱导行为。你呢,完全不懂,然后就蹦出“不懂的是你,你连 ROM 捆绑都能以为是诱导安装”,之后还胡言乱语一大堆,你真心不是搞笑么?顾左右而言他的不是你一直在做的事。
其他我不想跟你多说了,圆茄子不进油盐啊。 |
|
108
eason1874 2020-10-22 11:50:38 +08:00
@nicevar 是是是,你全都对,你是进油盐的圆茄子,我不是。我错了。诱导安装非常不要脸,我给国内外几个大厂推广 APP,这些大厂也不要脸,我也不要脸。你非常要脸。
|
Select Language