昨天在后台捣鼓新刷的安卓系统,突然想起论坛在传那个Supower重制版。随手在浏览器里一搜,结果蹦出来十几个下载链接,每个都写着"官方正版"——这事儿我太熟了,立马闻着坑味儿了。
第一步:下载文件踩连环坑
先点开排第一的"高速下载站",好家伙,刚点下载按钮就跳出个硕大的红包弹窗。我反手就点了浏览器右上角的小叉叉——这招对付流氓软件百试百灵。转头换个论坛链接,下到一半突然弹出请求设备管理员权限,吓得我直接断网卸载。
- 坑1:捆绑全家桶 - 那些带"高速下载""极速版"的按钮全是埋伏
- 坑2:后台提权 - 没启动就要控制手机?准没好事
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
第二步:手动查包验明正身
后来蹲到个自称原作者的帖子,我捏着鼻子用虚拟机开下载。下完的apk长按属性一看,240MB体积居然没数字签名?!果断连上电脑用哈希工具校验,跟作者公布的md5一对:好嘛末尾三位数对不上!这要是真装了,怕不是得给我手机开个后门菜市场。
绝招:沙盒里遛毒
祭出吃灰的测试机,把可疑安装包扔进沙箱跑。果然露馅:这玩意儿偷摸申请二十多项权限,连读取通话记录都要。更骚的是它在桌面生成透明图标,点了就弹赌博广告——合着是披着系统工具皮的广告喷射机。
折腾完这三轮,总算从网友发的网盘角落里扒到干净的包。现在用着倒是挺稳,但下次再遇到这种野生资源,我肯定:
1. 只用作者原始发布渠道
2. 必查哈希值三道保险
3. 沙盒里先遛三天再说
昨天测试时弹的赌博广告差点没给我送走,现在锁屏壁纸还是"澳门赌场"!
