一周一讯 | 安卓破解版 Pokémon Go?DroidJack 木马开始蔓延、Struts2 漏洞利用工具 Devmode 版发布(附源码)

阿里聚安全
1,195 阅读7分钟
原文链接: jaq.alibaba.com

安卓破解版Pokémon Go?DroidJack木马开始蔓延

最近,风头正劲的Pokémon Go(口袋妖怪Go)当之无愧成为了安卓和iphone中最受欢迎的游戏。它在市场上获得了巨大的名气和社会影响力,风靡全球。然而,目前该应用只在美国、新西兰、英国和澳大利亚正式上线。为了下载这款热门手游的APK,用户需要利用“side-load”刷机模式,以改变他们安卓的核心安全设置,这样他们的设备才能安装上不可信来源的应用。网上有许多下载Pokémon Go的教程,但其实它们可能会在你的安卓手机上装一个后门,最终变成黑客的肉鸡。

小米手机发现漏洞允许远程安装恶意程序

小米开发的 Android 定制系统 MIUI 发现了一个高危漏洞,允许中间人攻击者在目标设备上以系统权限远程执行任意代码。小米已经释出了修正版本,推荐用户立即升级。发现漏洞的IBM研究人员公布了漏洞的细节:漏洞存在于MIUI的分析包中,使用该分析包的应用都易被中间人远程执行代码,研究人员在包括内置浏览器在内的多个应用中发现了漏洞,如果应用有系统级权限,那么攻击者就能以系统级权限执行代码。漏洞存在的主要原因是MIUI的应用升级是通过HTTP连接。

亚马逊泄露8万多名Kindle用户密码?

每天都不断地有数据泄露事件发生,这次轮到亚马逊了。Twitter用户0x2Taylor前天刚刚宣布攻入了亚马逊的一台服务器,据说这台服务器上包含80000多名Kindle用户的登录信息,或者叫登录凭证。这算是个重磅消息了吧?有Kindle设备的小伙伴不在少数,这则消息很值得关注。


OurMine,专黑CEO和名人的“安全”小组

黑帽子的黑客行为涉及间谍、犯罪、破坏活动。白帽子则使用黑客技术保护、发现安全漏洞以供修复。也有让人迷惑的那种:黑帽子外面披着一层白纱,或者非常混杂,以至于自己都忘记了自己的属性。过去几周,一个自称为OurMine的小组就属于上面说的第三类黑客。前不久,OurMine小组表示对入侵谷歌CEO Sundar Pichai的推特和Quora账号负责,在入侵事件中,小组使用他的帐号,向其50万粉丝发布了“已遭入侵”和“我们只是在测试你的安全性”两条推文。

Pichai只是该小组最近的目标之一,他们在当上周一也攻击了风险投资人Mark Suster,而且曾经攻击过Mark Zuckerberg和其姐姐Randi Zuckerberg的推特账号、Spotify创始人Daniel Ek、亚马逊CTO Werner Vogels和演员Channing Tatum。OurMine甚至在自家的网站OurMine.org上公开吹嘘这些攻击。当然,它在这一网站上自称为“安全小组”,提供个人和企业级的安全检查,网站扫描的价格为Paypal支付1000美金,全公司审计的价格则为5000美金。

谷歌Chrome加入防篡改系统,可抵御量子计算机攻击

不知道大家是否了解谷歌Chrome浏览器的金丝雀(Canary)版本,(目前仍是测试版)给用户提供了一个实验级别的特性——防篡改系统,它能保护用户加密传输的数据,抵御来自量子计算机的攻击。

在过去的十年里,IBM、英特尔和微软等公司,一直致力于开发一个功能强大而全面的量子计算机,以便能够处理大规模的数据。量子计算机,顾名思义,它的力量是以量子位或者量子比特来计量的。虽然目前我们只能处理少量的量子位,但是在不久的将来,这些量子计算机足够攻克用于保护HTTPS和TLS流量的加密算法。一旦黑客或者国家机构记录下现在的重要流量内容,然后等待将来出现足够强大的量子计算机就可以解密这些流量。谷歌工程师说,他们意识到了保护加密流量的重要性。为了对以后的数据进行保护,谷歌在Chrome里创建了一个名为“新希望(New Hope)”的项目。

每周安全技术

拥有300万安装量的应用是如何恶意推广刷榜的?

随着移动端应用市场数量爆炸式增长,App推广和曝光率也越来越难,自然App刷榜也就形成了一条产业链,哪里有需求哪里就有生财之道!

近期,阿里移动安全发现一款应用,该应用官方的一个版本捆绑了多个病毒,目的是对GooglePlay商店应用刷榜和刷大量未知应用安装量。该病毒在该设备锁屏时对设备rootroot成功后向系统目录植入“刷榜僵尸”病毒,“刷榜僵尸”对指定应用在GooglePlay商店上恶意刷量,同时还会诱骗用户安装“下载者”病毒,“下载者”病毒会在设备屏幕亮起状态会弹出广告页面,若用户触碰广告页面推广的应用将会自动安装运行。该病毒技术相当成熟我们对恶意应用的证书对比,惊人的发现并非被重打包!

CTF中那些脑洞大开的编码和加密

玩CTF的小伙伴也许会遇到类似这样的问题:表哥,你知道这是什么加密吗?其实CTF中脑洞密码题(非现代加密方式)一般都是各种古典密码的变形,一般出题者会对密文进行一些处理,但是会给留一些线索,所以写此文的目的是想给小伙伴做题时给一些参考,当然常在CTF里出现的编码也可以了解一下。

Struts2漏洞利用工具Devmode版发布(附带源码)

上个月月中Struts2的漏洞预警才出,这次最新的远程代码执行漏洞已经马不停蹄地赶来了。不过这次的漏洞,发生在devMode模式下——先前官方就已经告知用户,需要在网站正式上线前将devMode关闭,所以相关devMode模式下的漏洞提交已不再获得官方确认。当Struts2开启devMode模式时,将导致严重远程代码执行漏洞。如果WebService 启动权限为最高权限时,可远程执行任意命令,包括关机、建立新用户、以及删除服务器上所有文件等等。

活动峰会

阿里巴巴首届在线技术峰会

首届阿里巴巴在线技术峰会来袭,7月19日-21日20:00-21:30在线参加,足不出户,9位阿里技术大V,议题涵盖电商架构、安全、数据处理、数据库、多应用部署、营销互动技术、Docker持续交付与微服务等一线实战经验。本次阿里聚安全的议题是:《阿里聚安全在互联网业务中的创新实践》——阿里聚安全是阿里巴巴16年风险防控技术结晶,在业务安全弹性、安全性、高可用性、成本可控性等方面积累了大量经验,本主题将覆盖阿里聚安全架构、安全模型和大数据风控引擎的实践。

目前报名人数已近5000人,小伙伴们,你还在等什么!报名地址:https://yq.aliyun.com/webinar/join/23?spm=5176.8108239.375075.1.FKOJBZ

avatar
文章
阅读
粉丝