V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
gdtv
V2EX  ›  问与答

安卓手机真的可以点击链接不经确认就安装并运行软件吗?

  •  
  •   gdtv · 2015-05-02 09:34:59 +08:00 · 5687 次点击
    这是一个创建于 3528 天前的主题,其中的信息可能已经有所发展或是发生改变。

    关于安卓手机中毒被盗银行卡里的钱的新闻经常都能看到,这些新闻有一个惊人一致的表述就是:“受害人点击了某个不明来历的链接来,自动下载并安装病毒软件,钱就没了”。
    安卓手机下载软件不是有确认按钮吗,下载完了再安装,也有确认按钮啊。
    什么方法可以绕过系统的下载确认和安装确认这两个按钮?

    44 条回复    2015-05-03 07:51:40 +08:00
    loading
        1
    loading  
       2015-05-02 09:36:23 +08:00   ❤️ 1
    别说这个了,你认为他们手机里同时装好多个管家是他们知道的?
    hpeng
        2
    hpeng  
       2015-05-02 09:43:14 +08:00
    root之后
    nwpumaktub
        3
    nwpumaktub  
       2015-05-02 09:51:42 +08:00 via Android   ❤️ 2
    @hpeng root之后也不会,刷机无数,root无数,安装软件无数,从没遇到过这样的;获取root权限还要确认呢,那种rec的root除外。

    猜测真实的原因不这么说怎么才能上新闻呢,记者又怎么才能捞个新闻呢。
    xzem
        4
    xzem  
       2015-05-02 09:53:54 +08:00 via Android
    绝对不是root,也根本没有绕过用户确认,因为这些新闻记者对这方面不懂,采访的用户更不懂这些描述有问题,记者不懂这些又描述一遍,等到发新闻就成这样了
    icylogic
        5
    icylogic  
       2015-05-02 09:55:13 +08:00 via Android
    原生不行,其他谁知道。
    我有个有个思路是,如果你装了豌豆荚等第三方市场,给了它可以静默安装/升级软件的权限,那是不是伪装一下搞定豌豆荚什么的就可以?
    dahvlh
        6
    dahvlh  
       2015-05-02 10:03:59 +08:00 via iPad   ❤️ 8
    可信度极低,就如同神奇的迷药一样大约都是受害人不好意思讲述自己受骗过程中的贪婪于愚蠢才主动失忆的。
    yylzcom
        7
    yylzcom  
       2015-05-02 10:04:37 +08:00 via Android
    应该是某些软件的静默安装模式
    hpeng
        8
    hpeng  
       2015-05-02 10:06:49 +08:00
    @nwpumaktub 你没有遇到过root权限管理软件是很差的那种。不过新闻就是扯,肯定是受害人自己点的概率超过90%
    jay_chiu
        9
    jay_chiu  
       2015-05-02 10:07:22 +08:00
    @yylzcom 静默安装需要root,系统自带的市场可以不需要root开启静默安装。但是这也只是市场里面,下载应用还是需要点击的。
    当然如果你下载了一个伪装的软件,恰好这个软件本身需要root权限,你也给了他root权限,那他就会偷偷的干坏事。
    9hills
        10
    9hills  
       2015-05-02 10:09:11 +08:00 via iPhone   ❤️ 1
    不会,不过小白用户喜欢点所有叫确定的按钮
    DT27
        11
    DT27  
       2015-05-02 10:11:32 +08:00
    还有新闻说就用手机扫了个二维码,卡里钱就被盗了呢。。。新闻,看看就行了。
    dong3580
        12
    dong3580  
       2015-05-02 10:17:42 +08:00 via Android
    手机出现过几次 国内某几个著名的公司 将推广的旅游或社交软件偷偷下载下来突然弹出个应用即将被替换的提示。当然会弹出安装界面,但是独特的方式让你很吃惊。
    b821025551b
        13
    b821025551b  
       2015-05-02 10:29:56 +08:00
    他们眼里的‘确定’按钮,如同我们眼里的'warning',都是忽略不计的233333
    zhaoxiting1997
        14
    zhaoxiting1997  
       2015-05-02 10:43:27 +08:00 via Android
    理论上是可行的,浏览器有远程执行命令的漏洞,然后root了,再然后请求root权限时又没有确认,就可以安装了。不过我从未见过这种情况。。。。
    aalska
        15
    aalska  
       2015-05-02 10:44:28 +08:00
    @dahvlh 同意
    xrui
        16
    xrui  
       2015-05-02 10:54:00 +08:00 via Android
    应该没有。。。我眼的里下载,确认下载,点开安装文件,把权限拉倒最下面,确认安装 ,打开。
    这些步骤等于自动。。。。
    root的那不是还得有(xprivacy和)supersu确认才行吗?没权限还能静默安装?
    zeinipiyan
        17
    zeinipiyan  
       2015-05-02 11:03:40 +08:00
    听说过都市传说吗?
    走在路上被人一拍肩膀,然后糊里糊涂的回家里把存折现金都给了别人
    坐车上/在外面跟人说话,闻到一股气味,就昏过去了,醒来现金钱包都不见了
    原因是因为蠢,被人骗了,不好意思跟家人交代,所以编了个神话,糊弄糊弄你
    mind3x
        18
    mind3x  
       2015-05-02 11:05:27 +08:00
    你们想多了,一旦PC先中招,adb install百分之百静默安装不是妥妥的事。

    还有就是各种来路不明的市场和论坛上的来路不明的破解游戏APK。
    hjc4869
        19
    hjc4869  
       2015-05-02 11:13:10 +08:00 via iPhone
    IE6还能不经确认直接安装百度全家桶呢。。
    谁知道安卓浏览器有没有那样的漏洞,安卓本来就不怎么推送安全更新补丁,尤其是国内。。
    azuginnen
        20
    azuginnen  
       2015-05-02 11:15:46 +08:00
    最好的证明方式就是给出poc来,but,换个角度,如果有相关技术可以实现,管家类软件应该会广泛使用,来推广自己吧
    zado
        21
    zado  
       2015-05-02 11:23:58 +08:00
    我觉得根本不是因为点了什么链接,而是手机里面早就安装了木马,点链接只是一个巧合.
    kerr92
        22
    kerr92  
       2015-05-02 11:59:32 +08:00 via Android
    唯一可以不经确认而在手机上自动安装的情况,是在电脑上用Play Store 233333
    FSFA
        23
    FSFA  
       2015-05-02 12:01:23 +08:00
    手机脚本利用漏洞自动运行下载,pm静默安装
    (猜的)
    StevenTong
        24
    StevenTong  
       2015-05-02 13:35:03 +08:00
    root之后可以不确认...我手机上一直会无缘无故安装权限管理这个软件.好几次了,明明我有supersu.也不知道谁偷偷做了这件事
    fengxing
        25
    fengxing  
       2015-05-02 13:41:21 +08:00
    理论上可以,不过,没见过这种情况...
    xiaojj
        26
    xiaojj  
       2015-05-02 14:54:28 +08:00
    @hjc4869 恩,天底下就苹果的浏览器是没有任何漏洞的
    hjc4869
        27
    hjc4869  
       2015-05-02 15:52:27 +08:00
    @xiaojj 忘记iPad 2最初是怎么被越狱的吗。。
    mfaner
        28
    mfaner  
       2015-05-02 17:35:09 +08:00
    去年见到过,怀疑是系统漏洞以及微信传播。
    likai
        29
    likai  
       2015-05-02 18:04:09 +08:00
    这个我还真碰到过。一开网络就自动下载 用的联想A360,除了在上面有个下载的向下箭头。没有任何提示,版本..4.0.3,除了关机。你都没办法取消下载,一开网络又会自动开始
    chengzhoukun
        30
    chengzhoukun  
       2015-05-02 18:06:48 +08:00 via Android
    我觉得不能随便打开usb调试,要不然360全家桶 、腾讯全家桶就进来了
    243205964
        31
    243205964  
       2015-05-02 18:11:20 +08:00
    安卓手机真那么不堪,早就被淘汰了。
    mrjoel
        32
    mrjoel  
       2015-05-02 18:43:51 +08:00
    我记得在10086.cn 无意点过一个广告,然后自动下载了一个apk文件(类似于url快捷方式),再结合浏览器调出app的方法,我估计还是可能
    Quaintjade
        33
    Quaintjade  
       2015-05-02 19:00:30 +08:00
    @mind3x adb得先开启USB调试并信任电脑吧。。。
    psyche08
        34
    psyche08  
       2015-05-02 19:06:57 +08:00
    即使没有root,低版本android上的漏洞也不少,有一部分就能做到临时root静默安装,用户全程无感。。
    GhostFlying
        35
    GhostFlying  
       2015-05-02 20:26:08 +08:00
    @mrjoel url scheme 显然不能安装应用,这是设计好的 Feature,在没有漏洞的情况下,这个没有风险。
    Lucups
        36
    Lucups  
       2015-05-02 23:07:03 +08:00
    要是真有这黑科技,大家还需要去各大APP商店做推广么?

    直接发短信得了。

    PS:有些记者真心是。。。自己没搞懂就报道,结果是误导大众。
    datocp
        37
    datocp  
       2015-05-02 23:25:04 +08:00 via Android
    记者吗要习惯,在那说得有声有色要不是懂点网络知识能分清说的宽带什么流量速率之类的换算吗。申请的4m宽带怎么才400kb?
    自动安装的现在像 酷市场 play商店都是 应用内点击就直接安装了。
    有时候定位到一些黄色网站还不是自动下来一应用,就差点击同意安装了。可是对很多用户来说手指一点就开始装了吧,更不知道怎么卸载。这种用户多的是,看看他们电脑装的那一堆360 qq 金山就知道了。
    mind3x
        38
    mind3x  
       2015-05-02 23:42:44 +08:00
    @Quaintjade 是的,不过各种管家已经好心的要求用户确认过了...
    Hyperion
        39
    Hyperion  
       2015-05-02 23:58:03 +08:00
    http://drops.wooyun.org/papers/548
    参考这个,中招前提:

    0. 系统够旧。
    1. 破手机你得root。
    2. 安装了xxx 助手。
    3. adb 能用。

    条件之苛刻,还不如把目标对准爱乱装app 的小白&睁眼瞎,好多人看到弹出的东西第一个反应都是按确定和取消来离开,从来不知道按home 或者返回。
    20150517
        40
    20150517  
       2015-05-03 00:22:16 +08:00 via Android
    我有部旧手机,装了腾迅的市场,root过,我以为superuser要确认腾迅市场才能有root权限,事实证明腾迅肯定有绕过的办法,我明明禁止他使用root权限的,他照样的静默帮我升级app....
    imyip
        41
    imyip  
       2015-05-03 00:24:42 +08:00 via Android
    真实个案
    我女朋友是有点电脑小白那种,一次她说看视频,然后我给我的笔记本她去看,我去洗澡,洗完澡回来我的电脑已经百度全家桶
    这个情况发生不觉一次
    问她,她说也不知道为什么装上的
    allan1st
        42
    allan1st  
       2015-05-03 00:56:51 +08:00
    几乎是不可能的。我用智能机到现在唯一能够达到类似效果的是 iOS 4 (还是 5)时代的 jailbreakme.com 打开网页滑动解锁自动越狱,而现在已经是 2015 年了。。。如果还有能这样的手机系统早就会被淘汰了,怎么可能还有那么多人用?
    当然当事人绝对不会承认是自己把帐号密码告诉骗子的,不仅仅是自我催眠,而是他承认了就没有理由向手机厂商要回损失的钱了,所以是坚决一口咬定的。
    testisitok
        43
    testisitok  
       2015-05-03 01:27:01 +08:00
    赞成“相当于受骗后说有超级迷幻药”的解析
    sanddudu
        44
    sanddudu  
       2015-05-03 07:51:40 +08:00 via iPhone
    @allan1st 那个是利用的 PDF 漏洞,其实还是挺危险的,越狱之后官方源也提供了修复补丁
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2574 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 10:49 · PVG 18:49 · LAX 02:49 · JFK 05:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.