起因

A 在论坛发帖:
"今早一个同事安卓手机中招被转走 4500,收到一条短信,某某某，你的孩子在校期间行为规范打分如下，一个网址链接,我同事傻乎乎的点了，然后建行工资卡被转走 4500 ，还好他工资卡就 4500,真尼玛可怕"

接下来讨论

安卓还是很安全的守护者:
"没这么牛的软件，一般事后都是要说的很玄乎，不能让人知道自己很傻的把帐号密码都填了，参见时不时的说有人被人一口迷烟然后无知觉的让做什么就做什么了的事件"

"就跟以前被骗钱了都说被催眠了 ,其实都是事后发现自己蠢 编的借口,不可能点一下就没了 肯定自己操作了什么"

真实情况如下

"
我来解释一下吧，重点是在于 Android 那个媒体解析漏洞
发链接，你点，网页中包含触发漏洞的图片， GG
当然短信验证码问题 5.0 以上不能拦截，只能读取
然后 READ_PHONE_STATE 拿电话号码，或者发短信拿号码，当然请配合上面的漏洞利用
在老系统中还能利用那个 apk 签名漏洞替换 settings.apk ，这样你的 XX 就跑在 System 权限下了哟。这个利用方式和当年 XP 在 Guest 用户下利用任务管理器取得管理员权限有异曲同工之妙
接下来，可以利用些漏洞拿 root 权限，比如那个 Linux 内核的问题，想想 Towelroot
最终 GG
"

下一步,赶紧准备把所有涉及钱的 APP 和手机卡都转移到肾机上.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课