某某大爷点了一个链接,结果手机中毒,被盗走几十万,相信这样的新闻报道大家应该都看到过吧。
对此我想问问各位程序员,真的有这么牛逼吗,点个链接就能中毒,如果这样的话,我的考虑给我爸妈换个苹果手机了,因为在我的印象中,只有安装了某个应用程序,并且打开后,他才有可能执行病毒
简单说,这种事情是潜在可能的,并且确实有发送,很多软件出于各种历史性的原因,有安全漏洞,可能会因为一个链接完成某些确认操作。
实际上能找到这样漏洞的组织一般不会把它简单的消耗在骗普通人钱上,拿这些漏洞去搞别的公司来钱快多了,所以其实也没那么必要担心
点个链接不会中毒吧,更多要警惕是操纵人心。虽然手机系统和浏览器安全,但是骗子可以诱导你一步一步转账。
之前也看过一个很夸张的短视频。受害者借电话给坏人打电话,坏人趁受害者不注意以极快的手法取出手机卡,最后把手机卡换给受害人,然后受害人银行卡的钱就被转走了。
- 理论上有可能,现实中基本没有
- 后台安装+监听的难度很高,实际上往往是骗人安装带毒app,然后伪装密码输入界面
- 一次性大额转账没那么容易
- 现实案例更多的是群发弱智短信广撒网捞小鱼,而不是精心策划逮住一只羊往死里薅
- 大爷/大妈+大额诈骗,十有八九是上当被骗主动打款,事后找借口为自己开脱(如拍花、迷魂药
感兴趣的话可以搜一下为什么诈骗短信看上去那么弱智
3 个赞
“我是秦始皇”已经不是骗子的极限了,后来又出了“我是灭霸”
如果有什么还未公开的0 day,说不定就有这样的效果。但是新闻里报道的一般都不是这种。
一般通过链接仿冒官方网站进行钓鱼(如XX节补贴、ZF补贴、夏季高温补贴),让你主动输入银行卡号密码和验证码,然后你的钱就被转走了。
或者下载诱导安装恶意软件或者屏幕分享控制软件,通过远程操纵手机/后台上传数据进行钱款转移。
不是说买苹果手机就保险了, 利用苹果FaceTime功能进行诈骗的新闻也不少见,警方都有宣传关闭FaceTime。
论上限的话还有零点击攻击,安卓和苹果都出现过,连点链接的步骤都省了,但是一般人遇不到,还是提高防诈骗意识更重要
点链接只是第一步吧。。剩下还得需要很多步骤才能获取更多信息
诈骗分子在作案之前,应该已经事先调查过,从选择跟谁下手,再到具体实施的手法,都已经摸透了,而且为了达到目的,手里一定积累了各种技术手段,不排除有专门的团队在一旁研究这些。
什么手机都有可能
单纯点链接应该不会发生这种事(除非有未公开的高危漏洞),重点还是要看后续的事情(比如引导用户执行某些行为,或者进入高仿的钓鱼网站之类的)
首先, 我理解楼主说的"毒"是指木马, 也就是能悄然获得手机控制权(全部/部分), 通过获得机主信息, 最终造成机主损失的工具.
那么, 坏消息是: 现在的木马甚至可以不用点击就能触发攻击.
谷歌的Project Zero在2021年12月记录了另一个漏洞利用程序,称为FORCEDENTRY。根据谷歌研究人员的说法,飞马向其目标发送了一条包含伪装为GIF图像的iMessage消息,但实际上包含JBIG2图像。Xpdf实现的JBIG2中的一个漏洞(在苹果的iOS手机操作系统中被重复使用)允许飞马在JBIG2流中构建一个模拟的计算机体系结构,然后用于实现零点击攻击。苹果在2021年9月的iOS 14.8中修复了该漏洞,编号为CVE-2021-30860
简单的说, 病毒利用了iphone的一个图片解析时的漏洞, 在用户只收到图片后(0点击), 利用几k的漏洞环境在手机内构建了一个模拟器, 并展开攻击.
此类攻击手段被称做"零点击漏洞"攻击. 它是要依赖于系统的一些漏洞才能发生的.
此类高级木马是通过多种组合方式展开攻击手段的, 包括社会工程(物理接触的方式), 只要从一个薄弱环节撕开一个口子, 然后就可以全面注入.
详情可以了解: 间谍软件“飞马”(Pegasus)
好消息是: 楼主也不需要过度担心, 如果即时更新系统(堵上漏洞), 并且手机不root/越狱(限权), 平时低调做人(避免被社工). 加上不随意安装不明来路的app(个人修养), 那么绝大多数情况下是安全的.
理论上有可能,利用浏览器的0day,但是点个链接直接中毒不太可能。
这么有价值的漏洞不会这么轻易地用在nobody身上,划不来。
这种点了就中毒的案例,基本上都是打开链接之后,自己又做了别的操作的。
顺便,知乎上经常被邀请回答类似的问题。点了个链接、扫了个二维码,担心得不得了。还有茫茫多怀疑手机被远控的 
不可能是新闻上所说的那种,肯定是点击链接下载App并且安装运行。
这种木马App可以或者键盘输入,屏幕截图,短信通话的权限。可以帮你修改银行的密码,有了银行密码就可以转钱了。
所以老人的话,iPhone还是很不错的。
旧一点性能差一点没关系