对手机丢失后可能产生的危害的思考

黑吃黑 2015-07-13 10:16:00

0x00 前言


本文的目的是科普丢手机的危害,禁止非法利用,否则后果自负。 前阵子在某知名安全网站看到了“手机丢了以后,都会发生些什么?一篇文章”然后结合自己日常生活中使用手机过程中的安全隐患进行了一些自己的思考,然后有了这篇文章;因为我在原文章中并没有找到解决这些安全隐患的办法。最后我自己也提出了自己一些解决办法,同时也希望相关的应用厂商给出更好的安全防护措施!

0x01 事件的开始


如果你的手机丢了?你觉得在多短时间内补卡以及采取什么补救措施是最好的?一个小时?三个小时?还是,明天吧,反正今天找了好久没找到,说不定落在家里了……

看了上面的图我想大家都能明白这些是个人就玩的超级熟练的软件和智能手机的相关程度是怎样的,那你丢失手机之后的一段时间内,如果被别有用心的人捡到了,那么在短时间内,人家能得到些什么呢?

我们这里讨论的是大多数的情况,不讨论极个别的现象!大多数人的手机都是开着USB调的,因为我们平时会安装很多我们需要的应用软件。然后我们连接电脑直接使用工具进行破解手机屏幕锁,然后直接使用别人手机进行一些操作的行为,很多刷机软件有破解屏幕锁的功能!

这里补充一句,就算你没有开USB调试接口,也能打开你的手机!很多厂商提供恢复出厂设置的功能,比如联想手机,只要同时按住开机按键和音量键就可以绕过锁屏直接恢复出厂设置。至于其他品牌的手机百度一下也能找到恢复厂商设置的方法。

0x03 深入挖掘


先看下面的流程图,如果是那个捡到手机的人就是我,你觉得我能做到些什么?

  1. 很多人为了使用方便,很多应用都是不会退出的,都是把应用放到后台运行而已,用的时候直接打开就行,如果是这样就更方便了,比如QQ啊,支付宝之类的。
  2. 如果你使用完后退出了应用,只要我们重置密码就行了。

接着往下看:

下面是某些应用可以找回密码的过程截图:

登录微信

首先,看到的是微信找回密码的界面:

进行完一系列的操作之后,我们就得到了该用户的QQ帐号。或者得到更多邮件地址(极有可能得到QQ邮箱地址)之类的信息,信息越多,对接下来的操作或者更有用;

登录支付宝

这里吐槽一下支付宝钱包前几天刚刚升级的9.0版本,竟然把手势密码取消掉了?那样不是更方便人家直接进去了?虽然有些自己有指纹支付功能,但是现在很多安卓机子还是没有的!

如果你的支付宝没有退出,而且没有手势密码,那就自己进去更改支付密码就行了!

如果你已经退出支付宝,那直接重置登录密码就行了。

那么我们再来看一组图片:

如果我们退出了支付宝,当我们再次登录的时候,我们是看不到我们完整的支付宝号的,不过没事,依然可以重置密码:

这是支付宝的登录密码,成功,但是,问题来了,如果有更过分的人看到你支付宝有钱想花掉怎么办???你或许觉得支付宝登录密码算什么,还有支付宝密码呢!那么,支付宝密码是否安全呢???

当进行到这一步的时候我们要问了,得到QQ帐号能有什么用?你又不知道人家的密码,不还是干着急?或者说你都不知道人家的证件号,能有什么用?

登录12306账号

当然我们进行到这一步的时候,其实已经可以干一些事情了,比如,微博的密码什么的可以改了,或者有的人会用这样的手段给自己做一些广告,如果手机卡失主的微博够火的话,再比如,也可以在微信给自己打广告。

当然了,这确实是挺难的,我不会编程,不会写恶意木马,只是得到了他人的手机卡,但这并不表示我们真的就连一点点的机会都没有,我们知道现在好多软件都是相互关联,比如刚刚的微信就可以关联到QQ帐号,又或者随便一个软件、网站都关联着手机号码,邮箱等等。那我们要怎样才能得到更多的个人的信息呢?请看下图:

QQ找回密码来修改QQ密码也似乎不是不可以了哦。

因为我捡到的的手机极有可能就是密保手机,你觉得呢?

最后附上12306找回密码的过程截图:

柳暗花明又一村:终于找到证件号码

看到上面的这些图片(得到了证件号码,本人姓名)你是否可以大胆猜到我们还能干些什么呢?刚刚好像是哪个应用需要个人证件号来着?支付宝支付密码!

话说到这里,手机丢了,真的可以过一天再去补卡吗?真的是无所谓,先电脑上发个什么手机丢失的说说什么的吗?真的就是很随便的心态吗?

如果确定自己的手机丢了,以最快的速度去挂失报停,赶紧去补卡,改掉相关应用的密码,确保只是丢失手机的损失,而不是手机丢了,更多的东西丢掉了。

0x04 个人思考与建议


个人思考及安全防护

当我们按照完我们需要的应用程序后,应该把USB应用调试关掉,那样就算捡到手机用电脑也连接不了手机,自然也不能软件解锁手机,这样就会安全许多。如果破解不了屏幕锁就算用其他方法使手机恢复了出厂设置,但是里面的应用也没有了,他也无法获取应用的登陆账号。 我们的应用程序尽量不要使用我们的手机号来做登陆账户名,因为当对方不知道登陆账户名的时候就算有手机也重置不了密码。如果你允许使用手机号来做为登录账号,那么就是太方便了,直接就重置密码了!但是现实中很多人懒得记邮箱号,所以很多都是直接用手机号来作为登陆账户的,这是个不好的习惯!

对一些厂商的建议

我遇到的很多应用都是直接有手机号码接收短信就能修改密码,个人感觉还是有点不安全的,原因看上面已经明白了。 不过有些厂商已经做了点改变,我个人觉得还是比较好的,比如:

下面就是牛逼的时刻了:无论手机上面保存有邮箱账号还是手机能接收到短信,你都要输入密保才能改密码!!!牛逼吧,这样真心是没法改了!!!

(吐槽一下:这样也有不好的时候,比如你自己把密保给忘了,那也是很蛋疼的,因为你自己也用不了)

0x05 结束语


这篇文章是我自己看了一些安全论坛上面的文章以后,自己的思考与感想,因为有些测试的方法一样,所以里面的一些描述文字和图片就引用了原作者的,当然有些是我自己的文字描述和插图。其实我没有其他意思,就是来乌云很久了,乌云的无私奉献的风气让我学到了很多,这篇文章就当是我分享自己的思考,望大家一起讨论,一起学习。

评论

jye33 2015-07-13 10:29:15

楼主有社工经验吗?

黑吃黑 2015-07-13 10:43:28

@jye33 问过路上漂亮妹子的号码算吗?

瘦蛟舞 2015-07-13 11:06:58

指纹解锁了?

7

7dscan 2015-07-13 11:10:56

先解锁再说后面的吧。。

看什麼看 2015-07-13 11:12:53

很簡單的,解決方法就是密報手機專門買一個號碼,套餐選擇無月租的,專門接受短信,不帶出家門,不需要用智能機,諾基亞夠了,設置sim卡密碼。
帶出家門的手機,不用設置屏保密碼,設置sim卡的密碼,重啓要輸入sim卡密碼,
這樣撿到手機的人一時也進不了的,足夠你時間去掛失了。

黑吃黑 2015-07-13 11:18:25

@瘦蛟舞 不是每款手机都有指纹识别功能

找寻者 2015-07-13 11:18:25

不错,很好的思路,但IOS怎么破,这个拿来针对Android还是可以的,深层次的危害还是有的,再开发下

找寻者 2015-07-13 11:19:38

目前的安卓手机基本上都能强行绕过那些东西,再不济也能得到个手机- -#

黑吃黑 2015-07-13 22:52:12

@DSafeguard 兄台说的对,引用确实应该有标注才好,下次会注意。不过最重要还是分享的东西对读者有所帮助就好,这也是乌云精神之所在。

泪雨无魂 2015-07-14 20:51:55

6666 楼主是大牛,膜拜楼主啊,请楼主带我装逼带我飞。。。

黑吃黑 2015-07-14 23:10:18

@test 已有说明

黑吃黑 2015-07-14 23:10:45

@泪雨无魂 楼主不要开玩笑,你带我吧

黑吃黑 2015-07-14 23:21:14

@test 开头结尾都有说明,如果可以你可以先认真把文章看完再评论。

S

Sophone 2015-07-14 23:40:42

4月份的历史拿来当新闻。。。这也能上姿势库。。。也是醉了。。。

W

wefgod 2015-07-16 13:06:59

看了开头一段和结尾,freebuf这个字眼压根没出现。

黑吃黑

不是因为看到了希望才去努力,而是努力了才会看到希望!

twitter weibo github wechat

随机分类

Windows安全 文章:88 篇
Web安全 文章:248 篇
运维安全 文章:62 篇
神器分享 文章:71 篇
逆向安全 文章:70 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录