在商场等公共场所，经常有扫码下载APP送礼物等类似的活动，有人抱着“拿了实惠就把APP删除”的心理就扫了码，事实上，在看似简单无害的下载过程中，手机里的信息就已经泄露！
　　
　　日前，中国互联网安全大会在国际会议中心举行，360烽火实验室的工作人员就在大会上现场演示了，扫二维码下载APP时信息被泄露的过程，吸引了不少参会者的注意。
　　
　　360烽火实验室的工程师李平告诉作者，黑客可以将一个恶意获取他人信息的木马伪装成一款看起来正常的APP，大家在通过扫码下载的时候，手机上通讯信息以短信的形式发送给事先设置好的接收人手中，短短一两分钟内，手机通讯录和短信内容全部被窃取。

　　实验
　　
　　木马伪装APP如何窃取你的信息？
　　
　　1、推荐扫描看似无害二维码
　　
　　在中国互联网安全大会“特洛伊木马”的展台上，作者用手机扫取了实验所用的二维码。
　　
　　2、提示下载伪装后的应用软件
　　
　　扫完后手机页面出现一个链接，提示下载一款叫做“特洛伊木马”的应用。
　　
　　李平解释，由于是实验，他们把应用的名子起为“特洛伊木马”以提示参会者。但在实际中，应用的名字会被加以包装，看起来很正常，比如“高考分数查询APP”，“交友APP”等名称。
　　
　　3、安装提示暗藏窃取玄机
　　
　　和不少手机的社交应用一样，作者选取安装“特洛伊木马”应用后，手机提示“应用将读取您手机上的联系人”，才能进行下一步。作者选择了允许读取联系人的选项。
　　
　　4、手机信息被发送至另一手机上
　　
　　不到一分钟，作者手机上的通话记录以及短信内容全部被发送到了事先设置好的手机上面。在实验现场的显示屏幕上，能看到所有短信的内容，作者最近的通话人，通话人号码，通话次数等信息。
　　
　　提醒
　　
　　不要轻易扫码，拒绝读取信息选项是关键
　　
　　李平解释，在下载APP时，选择可读取联系人选项时，实际上是默认手机将个人信息以短信形式发送到事先设置好的设备上。
　　
　　事实上，现在流行的很多短信诈骗中都有一个下载链接，用户不小心下载安装后，手机上的信息也会不知不觉中发送给他人。一些不法分子可以通过分析短信的内容推断手机用户的人际关系和财产情况，十分危险。
　　
　　建议大家不要轻易扫取商家的二维码，也不要轻易点击短信发来的下载链接。在下载正规的官方APP时，如果联系人与APP使用无关，也不要轻易选择允许其读取个人的联系人和短信。
　　
　　火速转给家人知晓！

未经允许不得转载：网信浙江 » "扫二维码送礼品"的背后真相竟是这样！分分钟就会把自己"卖"了！