转载 http://drops.wooyun.org/papers/7050
这篇文水分有点多,但是流程图很不错,有空可以脱水一下。
0x00 前言
本文的目的是科普丢手机的危害,禁止非法利用,否则后果自负。 前阵子在某知名安全网站看到了“手机丢了以后,都会发生些什么?一篇文章”然后结合自己日常生活中使用手机过程中的安全隐患进行了一些自己的思考,然后有了这篇文章;因为我在原文章中并没有找到解决这些安全隐患的办法。最后我自己也提出了自己一些解决办法,同时也希望相关的应用厂商给出更好的安全防护措施!
0x01 事件的开始
如果你的手机丢了?你觉得在多短时间内补卡以及采取什么补救措施是最好的?一个小时?三个小时?还是,明天吧,反正今天找了好久没找到,说不定落在家里了……
看了上面的图我想大家都能明白这些是个人就玩的超级熟练的软件和智能手机的相关程度是怎样的,那你丢失手机之后的一段时间内,如果被别有用心的人捡到了,那么在短时间内,人家能得到些什么呢?
我们这里讨论的是大多数的情况,不讨论极个别的现象!大多数人的手机都是开着USB调的,因为我们平时会安装很多我们需要的应用软件。然后我们连接电脑直接使用工具进行破解手机屏幕锁,然后直接使用别人手机进行一些操作的行为,很多刷机软件有破解屏幕锁的功能!
这里补充一句,就算你没有开USB调试接口,也能打开你的手机!很多厂商提供恢复出厂设置的功能,比如联想手机,只要同时按住开机按键和音量键就可以绕过锁屏直接恢复出厂设置。至于其他品牌的手机百度一下也能找到恢复厂商设置的方法。
0x02 深入挖掘
姓名
身份证号
手机号
微信 -> QQ
QQ -> QQ邮箱 -> 12306
百度帐号 -> 贴吧回复 -> QQ号
支付宝转账 -> 部分姓名
先看下面的流程图,如果是那个捡到手机的人就是我,你觉得我能做到些什么?
首先利用USB调试或者厂商的开发工具解开手机锁。
利用短信验证重置微信密码,进入微信看到关联的QQ号,重置QQ密码。
此外,如果安装百度贴吧/百度云之类的软件可以获取到百度帐号。
在百度帐号中搜索贴吧回复的历史,可能能找到例如楼主已粉,请发*********@qq.com诸如此类的消息。
利用QQ邮箱和手机尝试重置12306密码,获取身份证号等信息。
顺带一题,现在12306用手机号也能登录了,尤其在最近的12306不绑定手机无法购票的那阵谣言后。
获取到身份张号和手机后可以通过“短信验证-验证身份证号”的方式重置支付宝的支付密码。
0x03 个人思考与建议
个人思考及安全防护
当我们按照完我们需要的应用程序后,应该把USB应用调试关掉,那样就算捡到手机用电脑也连接不了手机,自然也不能软件解锁手机,这样就会安全许多。如果破解不了屏幕锁就算用其他方法使手机恢复了出厂设置,但是里面的应用也没有了,他也无法获取应用的登陆账号。 我们的应用程序尽量不要使用我们的手机号来做登陆账户名,因为当对方不知道登陆账户名的时候就算有手机也重置不了密码。如果你允许使用手机号来做为登录账号,那么就是太方便了,直接就重置密码了!但是现实中很多人懒得记邮箱号,所以很多都是直接用手机号来作为登陆账户的,这是个不好的习惯!
对一些厂商的建议
我遇到的很多应用都是直接有手机号码接收短信就能修改密码,个人感觉还是有点不安全的,原因看上面已经明白了。 不过有些厂商已经做了点改变,我个人觉得还是比较好的。
下面就是牛逼的时刻了:无论手机上面保存有邮箱账号还是手机能接收到短信,你都要输入密保才能改密码!!!牛逼吧,这样真心是没法改了!!!
(吐槽一下:这样也有不好的时候,比如你自己把密保给忘了,那也是很蛋疼的,因为你自己也用不了)
0x04 结束语
这篇文章是我自己看了一些安全论坛上面的文章以后,自己的思考与感想,因为有些测试的方法一样,所以里面的一些描述文字和图片就引用了原作者的,当然有些是我自己的文字描述和插图。其实我没有其他意思,就是来乌云很久了,乌云的无私奉献的风气让我学到了很多,这篇文章就当是我分享自己的思考,望大家一起讨论,一起学习。
参考资料
[1] 对手机丢失后可能产生的危害的思考
