V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
牛客网
black11black
V2EX  ›  问与答

B 站看到了一个扫描二维码以后直接被黑入手机的视频,是不是危言耸听?

  •  
  •   black11black · 2 天前 · 5400 次点击

    如题,视频标题《来源不明的二维码 为何不要乱扫?》

    https://www.bilibili.com/video/BV1ki4y1j7rZ

    关注的其他 UP 主点赞了所以我被推送了。对于没看过视频的朋友,简单来说这里面这位白帽子做了一个操作就是手机扫了个二维码,然后手机就被提权了,被装了个恶意服务。

    ==============================================

    我的安全知识是开发人员范畴,看到这个视频表示很怀疑。在我的知识范围内,二维码纯粹是作为字节和图片转换的渠道,也就是说神秘二维码也就是一串神秘字符串而已,就算二维码扫描调用了浏览器,浏览器底层还有安全机制,网站连不归自己管的 cookie 都拿不到,打开个网站就直接提权是不是危言耸听?

    还是说我孤陋寡闻了,现在手机安全机制确实这么弱,随便扫个码就可能 GG ?

    102 条回复    2020-10-20 21:34:43 +08:00
    1  2  
    eason1874
        101
    eason1874   37 分钟前
    @nnnToTnnn #93 我没说 CVE-2017-17171 是安卓的问题,后面的内容不是回复你的,是回复后面那位。我说更多用户更接触到的不是 0day 漏洞的攻击,而是被诱导安装未知来源应用,他一直把这两种攻击情况混淆来说,我说他分不清两种攻击,他说我分不清漏洞和攻击,我就给他举例。
    eason1874
        102
    eason1874   24 分钟前
    @nicevar 我说诱导安装,你说 ROM 捆绑,我说这两个根本不是一回事。你又说 ROM 捆绑不一定固化。请问我说捆绑一定固化了吗?你又自己强行加戏,树一个假靶子自己打。

    我现在不是做黑产,挣的不是黑心钱。诱导安装是黑产特有的活吗?现在几乎所有大厂都干这活,我是接的大厂的任务。做移动端的能不了解这个情况?你又暴露了自己不懂装懂,我现在不仅怀疑你是不是做安全的,我怀疑你连移动端的运营都没有真正接触过。

    你水平真强。
    1  2  
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2911 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 13:58 · PVG 21:58 · LAX 06:58 · JFK 09:58
    ♥ Do have faith in what you're doing.