在商場等公共場所,經常有掃碼下載APP送禮物等類似的活動,有人抱著“拿了實惠就把APP刪除”的心理就掃了碼,事實上,在看似簡單無害的下載過程中,手機裏的資訊就已經洩露!
日前,中國網際網路安全大會在國際會議中心舉行,360烽火實驗室的工作人員就在大會上現場演示了,掃二維碼下載APP時資訊被洩露的過程,吸引了不少參會者的注意。
360烽火實驗室的工程師李平告訴作者,駭客可以將一個惡意獲取他人資訊的木馬偽裝成一款看起來正常的APP,大家在通過掃碼下載的時候,手機上通訊資訊以短信的形式發送給事先設置好的接收人手中,短短一兩分鐘內,手機通訊錄和短信內容全部被竊取。
實驗
木馬偽裝APP如何竊取你的資訊?
1、推薦掃描看似無害二維碼
在中國網際網路安全大會“特洛伊木馬”的展臺上,作者用手機掃取了實驗所用的二維碼。
2、提示下載偽裝後的應用軟體
掃完後手機頁面出現一個連結,提示下載一款叫做“特洛伊木馬”的應用。
李平解釋,由於是實驗,他們把應用的名子起為“特洛伊木馬”以提示參會者。但在實際中,應用的名字會被加以包裝,看起來很正常,比如“高考分數查詢APP”,“交友APP”等名稱。
3、安裝提示暗藏竊取玄機
和不少手機的社交應用一樣,作者選取安裝“特洛伊木馬”應用後,手機提示“應用將讀取您手機上的聯繫人”,才能進行下一步。作者選擇了允許讀取聯繫人的選項。
4、手機資訊被發送至另一手機上
不到一分鐘,作者手機上的通話記錄以及短信內容全部被發送到了事先設置好的手機上面。在實驗現場的顯示螢幕上,能看到所有短信的內容,作者最近的通話人,通話人號碼,通話次數等資訊。
提醒
不要輕易掃碼,拒絕讀取資訊選項是關鍵
李平解釋,在下載APP時,選擇可讀取聯繫人選項時,實際上是默認手機將個人資訊以短信形式發送到事先設置好的設備上。
事實上,現在流行的很多短信詐騙中都有一個下載連結,用戶不小心下載安裝後,手機上的資訊也會不知不覺中發送給他人。一些不法分子可以通過分析短信的內容推斷手機用戶的人際關係和財産情況,十分危險。
建議大家不要輕易掃取商家的二維碼,也不要輕易點擊短信發來的下載連結。在下載正規的官方APP時,如果聯繫人與APP使用無關,也不要輕易選擇允許其讀取個人的聯繫人和短信。
火速轉給家人知曉!
未經允許不得轉載:網信浙江 » "掃二維碼送禮品"的背後真相竟是這樣!分分鐘就會把自己"賣"了!