写在最前面:
最近恰逢双十一,取快递的时候看到快递小哥摆在地上满满的快递盒,突然想到快递上这么多信息,很容易泄露,于是有了这篇文章,算是个小科普文章吧,算不上什么社工教程,一共分了五个场景(原谅我想象力有限,主要讲的是泄露地理位置。滑稽滑稽)。建议转给身边不是从事安全行业的人也看看。
场景一:
“小明出差了,在商场里看到一只可爱的布娃娃,拍下了照片上传到了QQ相册、....,照片发出去不久就有人(A某)发消息问他今天在某地玩的是否开心....,小明心里一阵疑惑,忽然。。心里一阵MMP”
分析:
为什么A某会知道小明去了哪里?
原来小明在拍照、上传的时候做了下面这两件错事:
相机开启了保存地理信息的功能:
以QQ相册为例
上传图片时,小明选择了“上传原图”:
PS:为了保持图片清晰度,大多数人会选择上传原图。
在上传图片处有个“画质”选项,可以选择上传图片的画质:
当上传图片非“原图时”,获取到该图片的其他用户通过特殊软件查看该图片可以分析其携带的信息:
右下角显示“未知原始性”:
说明这张图片不是原图
而当小明上传的原图使用该工具打开后:
信息量变大了:
然后通过经纬度进行查询:
(随便找了个经纬度,手动滑稽。)
这样一来,A某就知道了小明去了哪里。
场景二:
“双11到了,小明买了许多快递,过了几天,快递小哥’小明你的快递到了,在家吗?‘,小明:‘我不在家,放门口/水表箱吧’。小明下班后开心的取回了快递,晚饭后顺便将快递盒丢进了楼下的垃圾桶。“
分析:
快递盒子上1,2,3分别泄露了小明的"姓名"、”电话“、”家庭住址“ ,要知道,并非所有的快递都会对用户的信息进行打码,而你买东西的时候更不知道店家发的什么快递。
场景二中,小明泄露个人信息的点:
(1)放在门口的快递
(2)丢进拉近桶的纸盒
通常丢进垃圾桶后,如果没有人拿走,通常这些垃圾是直接到了垃圾站进行处理。
如果有人想捡废纸盒卖钱,则他们会在你丢完后过去捡走,而后卖给废品回收站。而最终买走这些纸盒的人是不是废品回收站的人就不一定了(我记得社工技巧里面有一个就叫“垃圾搜索”),在国内,平时的快递就挺多的,到了双十一更多了,所以这可能也是一个泄露个人信息的位置。
当小明遇上A某进行社工时,A某可能就是捡走或者用手机拍下快递面单的人。姓名+手机号+住址 结合某些特定数据库,可能小明就被A某掌握了大量信息。
场景三:
”小明平时在家喜欢上网,出门在外更是手机不离手。这天在外面玩的小明收到一条信息,提示小明会员到期了可以从下面的链接查看详情,小明心想‘刚冲的会员怎么这么快到期了?’,于是点开了这个链接,但是似乎什么也没看到,于是切换到游戏继续玩了起来。随后A某就知道了小明的去处“
分析:
为什么查看一条短信就会被知道去处呢?
问题出在了这个URL上,根据这个URL长度,容易看出来是一个经过短链接处理的URL,对一些执行恶意目的的人来说,他们可以借助普通人的低防备+好奇心理,将恶意的具备获取用户地理位置的站点功能链接进行缩短,当用户点击了这个连接后,A某就可以在后台接收到小明的地理信息了。
详细信息:
查看位置,根据获取到的经纬度直接调用地图进行定位:
(随手一点,手动滑稽)
场景四:
”小明今天下载了个APP,但似乎APP有点问题,允许了所有权限,但点进去闪退了。而此时A某成功得到了小明的地址。“
分析:
我们都知道,新安装的APP,在启动时总会问我们”是否允许程序访问XXX权限“,而最常见的一项就是获取定位信息,而你如果不给它授权它就不让你用(流氓)
A某正是利用该功能成功获取到了小明的住址。
场景五:
“小明喜欢在QQ上结交各种朋友,好友数量自然也不少,这天小明上线后,A某与小明寒暄了两句,A某便知道了小明的位置”
分析:
(滑稽)
小明在他的设置中开启了”个人状态“中的”我的地理位置与天气“
导致A某从他的个人信息处可以看到他的位置和天气:
同时在聊天时对方还可能使用了某些特殊的QQ,例如”XXX-QQ显IP“
------------------------------------------------------------------------------
PS:
这篇文章作为本公众号【科普】类的第一篇文章,后面除了正常的技术文章分享外,会间歇性的发一些面向大众的科普文章,主要看心情hhh。
“觉得还行的话,动动手指转发给更多人看见吧。”
------------------------------------------------------------------------------
免责声明
本文中提到的漏洞利用Poc和脚本仅供研究学习使用,请遵守《网络安全法》等相关法律法规。