作者:
黑吃黑
·
2015/07/13 10:16
0x00 前言
本文的目的是科普丟手機的危害,禁止非法利用,否則後果自負。 前陣子在某知名安全網站看到了“手機丟了以後,都會發生些什麼?一篇文章”然後結合自己日常生活中使用手機過程中的安全隱患進行了一些自己的思考,然後有了這篇文章;因為我在原文章中並沒有找到解決這些安全隱患的辦法。最後我自己也提出了自己一些解決辦法,同時也希望相關的應用廠商給出更好的安全防護措施!
0x01 事件的開始
如果你的手機丟了?你覺得在多短時間內補卡以及採取什麼補救措施是最好的?一個小時?三個小時?還是,明天吧,反正今天找了好久沒找到,說不定落在家裡了……
看了上面的圖我想大家都能明白這些是個人就玩的超級熟練的軟體和智慧手機的相關程度是怎樣的,那你丟失手機之後的一段時間內,如果被別有用心的人撿到了,那麼在短時間內,人家能得到些什麼呢?
我們這裡討論的是大多數的情況,不討論極個別的現象!大多數人的手機都是開著USB調的,因為我們平時會安裝很多我們需要的應用軟體。然後我們連線電腦直接使用工具進行破解手機螢幕鎖,然後直接使用別人手機進行一些操作的行為,很多刷機軟體有破解螢幕鎖的功能!
這裡補充一句,就算你沒有開USB除錯介面,也能開啟你的手機!很多廠商提供恢復出廠設定的功能,比如聯想手機,只要同時按住開機按鍵和音量鍵就可以繞過鎖屏直接恢復出廠設定。至於其他品牌的手機百度一下也能找到恢復廠商設定的方法。
0x03 深入挖掘
先看下面的流程圖,如果是那個撿到手機的人就是我,你覺得我能做到些什麼?
- 很多人為了使用方便,很多應用都是不會退出的,都是把應用放到後臺執行而已,用的時候直接開啟就行,如果是這樣就更方便了,比如QQ啊,支付寶之類的。
- 如果你使用完後退出了應用,只要我們重置密碼就行了。
接著往下看:
下面是某些應用可以找回密碼的過程截圖:
登入微信
首先,看到的是微信找回密碼的介面:
進行完一系列的操作之後,我們就得到了該使用者的QQ帳號。或者得到更多郵件地址(極有可能得到QQ郵箱地址)之類的資訊,資訊越多,對接下來的操作或者更有用;
登入支付寶
這裡吐槽一下支付寶錢包前幾天剛剛升級的9.0版本,竟然把手勢密碼取消掉了?那樣不是更方便人家直接進去了?雖然有些自己有指紋支付功能,但是現在很多安卓機子還是沒有的!
如果你的支付寶沒有退出,而且沒有手勢密碼,那就自己進去更改支付密碼就行了!
如果你已經退出支付寶,那直接重置登入密碼就行了。
那麼我們再來看一組圖片:
如果我們退出了支付寶,當我們再次登入的時候,我們是看不到我們完整的支付寶號的,不過沒事,依然可以重置密碼:
這是支付寶的登入密碼,成功,但是,問題來了,如果有更過分的人看到你支付寶有錢想花掉怎麼辦???你或許覺得支付寶登入密碼算什麼,還有支付寶密碼呢!那麼,支付寶密碼是否安全呢???
當進行到這一步的時候我們要問了,得到QQ帳號能有什麼用?你又不知道人家的密碼,不還是乾著急?或者說你都不知道人家的證件號,能有什麼用?
登入12306賬號
當然我們進行到這一步的時候,其實已經可以幹一些事情了,比如,微博的密碼什麼的可以改了,或者有的人會用這樣的手段給自己做一些廣告,如果手機卡失主的微博夠火的話,再比如,也可以在微信給自己打廣告。
當然了,這確實是挺難的,我不會程式設計,不會寫惡意木馬,只是得到了他人的手機卡,但這並不表示我們真的就連一點點的機會都沒有,我們知道現在好多軟體都是相互關聯,比如剛剛的微信就可以關聯到QQ帳號,又或者隨便一個軟體、網站都關聯著手機號碼,郵箱等等。那我們要怎樣才能得到更多的個人的資訊呢?請看下圖:
QQ找回密碼來修改QQ密碼也似乎不是不可以了哦。
因為我撿到的的手機極有可能就是密保手機,你覺得呢?
最後附上12306找回密碼的過程截圖:
柳暗花明又一村:終於找到證件號碼
看到上面的這些圖片(得到了證件號碼,本人姓名)你是否可以大膽猜到我們還能幹些什麼呢?剛剛好像是哪個應用需要個人證件號來著?支付寶支付密碼!
話說到這裡,手機丟了,真的可以過一天再去補卡嗎?真的是無所謂,先電腦上發個什麼手機丟失的說說什麼的嗎?真的就是很隨便的心態嗎?
如果確定自己的手機丟了,以最快的速度去掛失報停,趕緊去補卡,改掉相關應用的密碼,確保只是丟失手機的損失,而不是手機丟了,更多的東西丟掉了。
0x04 個人思考與建議
個人思考及安全防護
當我們按照完我們需要的應用程式後,應該把USB應用除錯關掉,那樣就算撿到手機用電腦也連線不了手機,自然也不能軟體解鎖手機,這樣就會安全許多。如果破解不了螢幕鎖就算用其他方法使手機恢復了出廠設定,但是裡面的應用也沒有了,他也無法獲取應用的登陸賬號。 我們的應用程式儘量不要使用我們的手機號來做登陸賬戶名,因為當對方不知道登陸賬戶名的時候就算有手機也重置不了密碼。如果你允許使用手機號來做為登入賬號,那麼就是太方便了,直接就重置密碼了!但是現實中很多人懶得記郵箱號,所以很多都是直接用手機號來作為登陸賬戶的,這是個不好的習慣!
對一些廠商的建議
我遇到的很多應用都是直接有手機號碼接收簡訊就能修改密碼,個人感覺還是有點不安全的,原因看上面已經明白了。 不過有些廠商已經做了點改變,我個人覺得還是比較好的,比如:
下面就是牛逼的時刻了:無論手機上面儲存有郵箱賬號還是手機能接收到簡訊,你都要輸入密保才能改密碼!!!牛逼吧,這樣真心是沒法改了!!!
(吐槽一下:這樣也有不好的時候,比如你自己把密保給忘了,那也是很蛋疼的,因為你自己也用不了)
0x05 結束語
這篇文章是我自己看了一些安全論壇上面的文章以後,自己的思考與感想,因為有些測試的方法一樣,所以裡面的一些描述文字和圖片就引用了原作者的,當然有些是我自己的文字描述和插圖。其實我沒有其他意思,就是來烏雲很久了,烏雲的無私奉獻的風氣讓我學到了很多,這篇文章就當是我分享自己的思考,望大家一起討論,一起學習。
本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!