對手機丟失後可能產生的危害的思考
0x00 前言
本文的目的是科普丟手機的危害,禁止非法利用,否則後果自負。 前陣子在某知名安全網站看到了“手機丟了以後,都會發生些什麼?一篇文章”然後結合自己日常生活中使用手機過程中的安全隱患進行了一些自己的思考,然後有了這篇文章;因為我在原文章中並沒有找到解決這些安全隱患的辦法。最後我自己也提出了自己一些解決辦法,同時也希望相關的應用廠商給出更好的安全防護措施!
0x01 事件的開始
如果你的手機丟了?你覺得在多短時間內補卡以及採取什麼補救措施是最好的?一個小時?三個小時?還是,明天吧,反正今天找了好久沒找到,說不定落在家裡了……
看了上面的圖我想大家都能明白這些是個人就玩的超級熟練的軟體和智慧手機的相關程度是怎樣的,那你丟失手機之後的一段時間內,如果被別有用心的人撿到了,那麼在短時間內,人家能得到些什麼呢?
我們這裡討論的是大多數的情況,不討論極個別的現象!大多數人的手機都是開著USB調的,因為我們平時會安裝很多我們需要的應用軟體。然後我們連線電腦直接使用工具進行破解手機螢幕鎖,然後直接使用別人手機進行一些操作的行為,很多刷機軟體有破解螢幕鎖的功能!
這裡補充一句,就算你沒有開USB除錯介面,也能開啟你的手機!很多廠商提供恢復出廠設定的功能,比如聯想手機,只要同時按住開機按鍵和音量鍵就可以繞過鎖屏直接恢復出廠設定。至於其他品牌的手機百度一下也能找到恢復廠商設定的方法。
0x03 深入挖掘
先看下面的流程圖,如果是那個撿到手機的人就是我,你覺得我能做到些什麼?
- 很多人為了使用方便,很多應用都是不會退出的,都是把應用放到後臺執行而已,用的時候直接開啟就行,如果是這樣就更方便了,比如QQ啊,支付寶之類的。
- 如果你使用完後退出了應用,只要我們重置密碼就行了。
接著往下看:
下面是某些應用可以找回密碼的過程截圖:
登入微信
首先,看到的是微信找回密碼的介面:
進行完一系列的操作之後,我們就得到了該使用者的QQ帳號。或者得到更多郵件地址(極有可能得到QQ郵箱地址)之類的資訊,資訊越多,對接下來的操作或者更有用;
登入支付寶
這裡吐槽一下支付寶錢包前幾天剛剛升級的9.0版本,竟然把手勢密碼取消掉了?那樣不是更方便人家直接進去了?雖然有些自己有指紋支付功能,但是現在很多安卓機子還是沒有的!
如果你的支付寶沒有退出,而且沒有手勢密碼,那就自己進去更改支付密碼就行了!
如果你已經退出支付寶,那直接重置登入密碼就行了。
那麼我們再來看一組圖片:
如果我們退出了支付寶,當我們再次登入的時候,我們是看不到我們完整的支付寶號的,不過沒事,依然可以重置密碼:
這是支付寶的登入密碼,成功,但是,問題來了,如果有更過分的人看到你支付寶有錢想花掉怎麼辦???你或許覺得支付寶登入密碼算什麼,還有支付寶密碼呢!那麼,支付寶密碼是否安全呢???
當進行到這一步的時候我們要問了,得到QQ帳號能有什麼用?你又不知道人家的密碼,不還是乾著急?或者說你都不知道人家的證件號,能有什麼用?
登入12306賬號
當然我們進行到這一步的時候,其實已經可以幹一些事情了,比如,微博的密碼什麼的可以改了,或者有的人會用這樣的手段給自己做一些廣告,如果手機卡失主的微博夠火的話,再比如,也可以在微信給自己打廣告。
當然了,這確實是挺難的,我不會程式設計,不會寫惡意木馬,只是得到了他人的手機卡,但這並不表示我們真的就連一點點的機會都沒有,我們知道現在好多軟體都是相互關聯,比如剛剛的微信就可以關聯到QQ帳號,又或者隨便一個軟體、網站都關聯著手機號碼,郵箱等等。那我們要怎樣才能得到更多的個人的資訊呢?請看下圖:
QQ找回密碼來修改QQ密碼也似乎不是不可以了哦。
因為我撿到的的手機極有可能就是密保手機,你覺得呢?
最後附上12306找回密碼的過程截圖:
柳暗花明又一村:終於找到證件號碼
看到上面的這些圖片(得到了證件號碼,本人姓名)你是否可以大膽猜到我們還能幹些什麼呢?剛剛好像是哪個應用需要個人證件號來著?支付寶支付密碼!
話說到這裡,手機丟了,真的可以過一天再去補卡嗎?真的是無所謂,先電腦上發個什麼手機丟失的說說什麼的嗎?真的就是很隨便的心態嗎?
如果確定自己的手機丟了,以最快的速度去掛失報停,趕緊去補卡,改掉相關應用的密碼,確保只是丟失手機的損失,而不是手機丟了,更多的東西丟掉了。
0x04 個人思考與建議
個人思考及安全防護
當我們按照完我們需要的應用程式後,應該把USB應用除錯關掉,那樣就算撿到手機用電腦也連線不了手機,自然也不能軟體解鎖手機,這樣就會安全許多。如果破解不了螢幕鎖就算用其他方法使手機恢復了出廠設定,但是裡面的應用也沒有了,他也無法獲取應用的登陸賬號。 我們的應用程式儘量不要使用我們的手機號來做登陸賬戶名,因為當對方不知道登陸賬戶名的時候就算有手機也重置不了密碼。如果你允許使用手機號來做為登入賬號,那麼就是太方便了,直接就重置密碼了!但是現實中很多人懶得記郵箱號,所以很多都是直接用手機號來作為登陸賬戶的,這是個不好的習慣!
對一些廠商的建議
我遇到的很多應用都是直接有手機號碼接收簡訊就能修改密碼,個人感覺還是有點不安全的,原因看上面已經明白了。 不過有些廠商已經做了點改變,我個人覺得還是比較好的,比如:
下面就是牛逼的時刻了:無論手機上面儲存有郵箱賬號還是手機能接收到簡訊,你都要輸入密保才能改密碼!!!牛逼吧,這樣真心是沒法改了!!!
(吐槽一下:這樣也有不好的時候,比如你自己把密保給忘了,那也是很蛋疼的,因為你自己也用不了)
0x05 結束語
這篇文章是我自己看了一些安全論壇上面的文章以後,自己的思考與感想,因為有些測試的方法一樣,所以裡面的一些描述文字和圖片就引用了原作者的,當然有些是我自己的文字描述和插圖。其實我沒有其他意思,就是來烏雲很久了,烏雲的無私奉獻的風氣讓我學到了很多,這篇文章就當是我分享自己的思考,望大家一起討論,一起學習。
相關文章
- 交換機可能產生的問題分析(轉)
- Symantec:調查稱半數丟失的智慧手機被找回
- 對數字孿生的思考
- 唯一索引操作可能產生的鎖索引
- 對“微信十年產品思考”的思考
- chkdsk 後資料丟失的恢復方法
- 對中國自發產生的軟體企業的思考——(0)題記 (轉)
- 轉載:一個清華學生留學香港後對人生的思考
- 聯機重做日誌丟失的恢復
- Linux 萬用字元可能產生的問題Linux字元
- 全部控制檔案丟失後的完全恢復(轉)
- 【技術人生】工程師面對新質生產力的思考和選擇工程師
- 產品設計背後的心理學思考
- 對中國自發產生的軟體企業的思考——(4)管理和人:微觀 (轉)
- MySQL 字串轉double轉換棧幀(可能丟失精度)MySql字串
- 對HashMap的思考及手寫實現HashMap
- 諾獎得主對記憶機制的顛覆性發現:找回“丟失”的記憶
- 蘋果的遊戲機夢,可能是從 25 年前這款失敗產品開始的蘋果遊戲
- js window.location.href之後,session丟失的問題JSSession
- 找回丟失的檔案
- github 丟失的本地提交Github
- 丟失聯機重做日誌檔案的恢復
- 資料庫自增主鍵可能產生的問題資料庫
- 中興通訊智慧手機生產鏈探祕
- Go 對 Python 產生的衝擊GoPython
- 計算機隨機數的產生 (轉)計算機隨機
- Citi Research:iPad將在與競爭對手的交鋒中丟失市場份額iPad
- 數字化轉型背景下精益生產的思考
- 【ASK_ORACLE】Oracle表決磁碟丟失後的恢復方法Oracle
- 磁碟格式化後丟失的檔案怎麼恢復
- oracle歸檔日誌丟失後的資料庫恢復Oracle資料庫
- 經常儲存這幾種照片的人請注意!一旦手機丟失,後果難以想象
- TEMP表空間的檔案丟失或損壞後的恢復
- tsm的admin口令丟失
- rman恢復--丟失聯機重做日誌的恢復
- Llama3可能是產生幻覺最多的小模型模型
- 一場“失敗”的突破:淺談《最後的生還者2》“失敗”的根源
- 高效產生不重複的隨機數隨機