问一下熊猫吃短信安全吗

不安全，智能手机更不安全，还是用功能机吧

会上传
不在意
我的短信还没有值钱到那个地步
只要控制不了我的手机 任何验证码泄露都无法影响

@Milonga 能拦截银行的短信验证码就够了，再通过黑产+社会工程学，偷你银行的钱太容易了

熊猫吃短信作者牛逼，本地特征库+算法搞定，所有不用传入服务器判定
其他一般都是由服务器判定

当然，没人会看你的短信，要你的短信，黑你的账号的

@yushiro 直接拦截支 /付 /宝什么的更容易偷 钱
而且还有聊天记 录什么的，也可以分析分析进行偷 钱，短 信和谁谈到了涉及钱之类的话题，然后可以接着往下说。比如谈到有需要用钱的地方尽管开口，被上传服务器分析，之后就来条短 信说需要用钱了，打 钱到...

@1002xin 对，丝不需要隐 私

把 app 的网络权限关了不就行了

@Wildstar 好像关了就不能用了吧
App 总要下载数据库

@jdjd 不会，iOS 的限制了在线更新模型，熊猫的模型是通过软件更新的方法更新的。
熊猫的联网功能是为了“准确性测试”存在的，如果有担忧的话直接关闭联网功能就行，并不会影响使用。

熊猫的问题是经常错乱，把本不应该过滤的短信给过滤了，粘贴到 APP 里一看还显示是正常短信。反之亦然。

iOS 11 允许软件上传短信内容到服务器，但仅且仅为本地软件判定之后觉得无法判断是否是垃圾的短信内容
熊猫吃短信有没有这么做不知道

@jdjd 安全的，具体看 v2 以前的帖子和作者自己的新浪微博

@Liir 同遇到+1

一直关着联网权限在用

如果楼主你担心安全，那就用离线的 SMS Filter+ by yicai yang 这个是要你自己定义过滤，我两个 app 都试过，自己定义的非常准确只是需要长时间累积，而熊猫则是自带规则唯一的问题就是偶尔有错杀

@abirdcanfly
@bao3
不过有没有这种可能，短信拦截上传短信不是通过 App 读取短信以后上传，而是通过 iOS 内置服务自动上传到第三方服务器
也就是说关闭 App 联网权限也还是会上传
当然这只是猜测

@Milonga 银行交易验证码呢？

@Liir 应该是那个号码曾经发过的短信被识别为垃圾短信，然后该号码就进了黑名单，之后该号码发的短信都被过滤掉了

@jdjd “而是通过 iOS 内置服务自动上传到第三方服务器 ”，这个猜想过于勉强了

@xummer 熊猫有这个机制么？如果有的话，显然很不合理啊。

@niklause 只有产生交易才会校验验证码 你告诉我一个短信过滤器从哪获得我的完整卡号交易密码

@Liir #19 这好像是 ios 的机制，好像是第一次这个号码如果因为垃圾短信被放进了过滤那一栏，那以后该号码发的所有短信都直接进过滤栏，除非先把这个号码的所有短信都删了，那下次就重新按是否为垃圾短信重新判断

@Milonga 配合社工啊兄弟。
知道你手机号了，然后看看你有没有在哪里登记过卡号，比如支付平台的数据库。
这样卡号+手机号+短信都有了。可以做的事情就多了

@Milonga 再不济，通过你的手机号去试各个厂商的账号系统。
支付宝微信可能搞不定，但是很多公司凭验证码就能登录了。。。特别特别多

@Removable 我把过滤短信都删了观察两天看看。

@waylybaye 有请熊猫吃短信的作者

@Liir #24 你可以找个不在你联系人里的号码先发个垃圾短信试试 →_→

@yushiro 可我银行卡里没钱

@tscat @so898 @ech0x @jdjd 各位别乱猜了 先了解一下 iOS 11 短信拦截是怎么实现的吧
https://yq.aliyun.com/articles/98864
t/366336

@oxoxoxox 那就和我想的一样啊
发送短信到服务器的是 iOS 内置的服务（文章里面说是信息 App ）
也就是说无论是否禁用第三方过滤垃圾短信 App 的联网权限，都无法禁止短信被上传到第三方服务器

回来看了下楼主的回复
有罪定论，散了散了

@oxoxoxox 我当然知道是怎么拦截的。。我只是在反驳那个人觉得自己的信息一文钱不值。。
验证码泄露都没关系？？？

@oxoxoxox “乱猜”是个什么鬼，我又不是没读过文档写过测试代码过来瞎掰的
这次框架本来就允许上传短信内容到服务器端，服务器能够知道短信发送者和短信内容
https://zhuanlan.zhihu.com/p/27560301
至于熊猫有没有上传这个事情，我是不知道，有心者安装一下截个网络包估计就能知道了，我是没这个闲心，毕竟塞尔达还有那么多神殿需要开呢

@Milonga 不说社工什么的，还可以通过其他短信记录什么的分析

本来苹果的意思是，第三方不知道收件人的手机号，还有一点安全可言，
但有很多奇葩的垃圾短信，开头是
尊敬的用户+你的电话号码，...

还有不少短信，特别是那种垄断机构的，不注意包含隐私，很容易包含身 份 证 号，或者详细住址精确到门牌号的



而且大家不一定都想着被盗嘛，还可以通过分析你的短信，来给你精准营销啊，比如你收到了证券公司的验证码，那就把你的手机号卖给做理财的...

记得以前不少用 360 拦截骚扰电话垃圾短信的人说，自从用了 360，骚扰电话和垃圾短信都多了起来，搞得不得不继续用 360

@abirdcanfly
你看看 28 楼吧

@SourceMan 我怎么有罪定论了
你懂不懂什么叫有罪定论
我只是说出于保护自己的目的，要是觉得有可能泄露隐私，那就不要用

路上遇到一个推销房子的，让留一个手机号，我怕他拿去了打电话来推销房子，我不留，就叫有罪定论？

你既然是无罪定论，你就把你的隐私到处留阿，毕竟拿到你隐私的人，不一定非要拿你的隐私搞事情。

@jdjd #34 你自己 review 下你对于 iOS 短信拦截 API 的言论吧，不要激动，你 34 楼也是先入为主，我并非说的这个，2333，不多说，期待你的下个主题。

熊猫关了网络权限也能用。

@jdjd 你这样说我就很同意 而且深有同感 现在包括一些欺诈性质的推荐办信用卡短信还有网贷短信 每天都受到无数条 在享受便利的同时被人出卖

@ivmm
@Liir 短信脱敏放出来我们看看？

好像它根本就没有请求联网权限啊，在设置里面都找不到它

@3a3Mp112 都删了。就是银行发来的信用卡扣款信息，没有任何的附带广告内容。

@iiji86 我下了一个 sms filter+，也没有请求联网权限，熊猫没有下
不过 28 楼的回复解答了疑问
@SourceMan 我的言论就是如果有可能把短信传给第三方服务器，那就不用也罢，大环境就这样，一些公司本来就靠倒卖信息赚钱，就算公司不这样做，也难保不会有漏洞被别人黑了

除非你的短信内容里携带了可以定位到你是谁的信息，否则这个机制是安全的。
如果你想要一个纯净的、无服务端的关键词拦截，32 楼那篇知乎专栏里提供了，开源的你总可以放心吧。

如果你有时间，听听这期播客，就解答你的问题了 http://checked.fm/55

用 过滤 106 开头 和 放行包含验证码 这两条规则基本可以过滤掉 90%的垃圾短信。为什么是 106 开头去查一下相关政策就知道了。垃圾短信用机器分析学习没有意义。

不用就是
安全和效率总是要妥协一些的
何况短信目前基本就是接受验证码
过不过滤问题并不大
1.需要处理并且实时处理的短信,往往这个时候我本身就在等待这个短信
2.需要处理但并不需要实时处理,例如账单类,我本身一天至少会看一次
3.无需处理的短信,那就随它去了

@Liir 嗯，是 iOS 的机制导致的

有请作者亲自回答 @waylybaye

其实上面说的很清楚了，特别是给的几个链接，一定要我说的话，我也只是重复一下上面说过的：

1. 首先啊过滤器和主 App 是分开的两个进程，过滤器运行在一个没有网络，（理论上）没法向主 App 回传数据的沙盒中。
2. 所以过滤器过滤了多少个、什么内容的短信主 App 是不知道的。即使过滤器突破了沙盒限制偷偷告诉了主 App 内容，上面有人也提到了「熊猫吃短信」是不会请求网络权限的（除非你第一次主动提交样本时系统才会弹出是否允许网络访问）
3. iOS 确实有个机制是过滤器在本地不能判断时可以返回一个值，让系统把短信上传到服务器上进行判断。如果你不信开发者说的，求证也不难，你只要在 iTunes 库里找到 .ipa 文件，解压后找一个 `*.entitlements` 文件，要上传的话里面一定会配置一个上传到服务器的域名，比如下面腾讯的：

``` 4 <dict>
5 ,...<key>aps-environment</key>
6 ,...<string>production</string>
7 ,...<key>com.apple.developer.associated-domains</key>
8 ,...<array>
9 ,...,...<string>messagefilter:jprx.m.qq.com</string>
10 ,...</array>
```

其实我只关心能不能拦截 imessage 的垃圾短信。。。

@Wildstar 上面评论那么多，我也想说这个，网络权限不给不就完事了