高级短信收费欺诈
恶意程序可以使用标准的 Android API 发送短信。短信可能会被发送到高级号码,向设备所有者收费,并为攻击者带来收入,就像 Lookout 在中描述的那样。
在 iOS 上,应用程序无法发送短信。
在 Android 上,应用程序必须持有 SEND_SMS 权限才能发送短信。此外,Android4.2 及更高版本要求用户同意才能将短信发送到付费号码,从而缓解了此威胁。
缓解
缓解 | 描述 |
---|---|
应用程序审查 | |
使用最近的 OS 版本 | 如 Google 的 Android 安全 2014 年度回顾报告中所述,从 Android 4.2 开始,用户必须在应用程序向高级号码发送短信之前准许此操作。[2] |
检测
正如Google Android 安全 2014 年度回顾报告 [2] 中所述,从 Android 4.2 开始,用户会被提示并且必须在应用程序向高级号码发送短信之前提供准许此操作。
在 Android 6.0 及更高版本中,用户可以通过设备设置屏幕查看哪些应用程序有权发送 SMS 消息,用户可以选择撤消权限。
- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论