谷歌:新安卓系统Android 7.0 Root难度将加大
一直对用户root安卓系统不管不问的谷歌近日宣布:Android 7.0 (牛轧糖)将会安装一种新的开机验证功能,root难度会因该功能而加大。很多安卓用户会Root安卓系统以DIY自己的手机。在某种程度上,Root后的Android设备可以变得更安全——然而事实并非如此,越来越多恶意软件盯上了使用Android系统的个人和企业,由此引发的安全问题愈发突出。为此,谷歌为使Android 7.0 牛轧糖更加安全添加了一种称为verified boot的新特性,使得系统难以被root。
万万没想到:有人下载了Twitter Vine的完整源代码!
Vine是一个短视频分享服务,用户可以它分享一个时长为六秒的视频剪辑,推特在2012年10月份接受了这一服务并收购了其公司,也就是说用户在分享这个6秒的视频剪辑时可选择使用推特分享出去。但是它还有一些限制条件,用户只能使用Vine应用拍摄、分享视频,不能导入已有视频,并且时常只能限制在6秒。来自印度的漏洞赏金猎人Avinash在Vine中发现了一个漏洞,利用这个漏洞他可以下载一个包含有Vine完整源代码的Docker镜像,而且不会触发任何安全保护机制。
几美元的一根天线、一个无线发射器,还有几行Python代码,有了这些,黑客就可以在几十米开外主动地记录下你的用户名、密码、信用卡、你写的稿子,总之就是你用无线键盘输入的任何东西。黑客所利用的是一种无线键盘漏洞,这种漏洞无法轻易防范,而且很难想到。来自Bastille安全公司的研究人员率先发现了这一漏洞,并把它命名为KeySniffer。
Firefox 用户注意:LastPass 曝 0day 漏洞,账号能被恶意网站访问
LastPass是全球最流行的云密码管理工具之一。这款工具主打用户的互联网账号和密码管理,和1Pass很相似。在PC端,用户可以使用LastPass提供的浏览器插件对自己的账号密码进行管理,在手机端则是APP。
但近日有研究人员发现多个安全漏洞,比如用户浏览网站登录 ,原本它应该自动化填写好网站的账号和密码,但是它会把这段URL默认为Google的域名,并且填写Google的账号和密码。假设一台钓鱼服务器,在其网站目录下设置多个大厂商的静态登陆页面,只要LastPass访问该页面并且登陆后,账号和密码也就随之泄露。LastPass目前已经修复该漏洞,并且发表声明称这个漏洞只会影响到火狐的LastPass插件。
Chimera是一种勒索软件变种,出现于2015年11月,这种勒索软件是通过邮件的形式发给受害人的,邮件内中包含了前往Dropbox页面的链接。用户打开的这个链接页面就感染了Chimera勒索软件。一旦中招,就会被要求支付2.45比特币(大约是4113元)赎回遭到加密的文件。这些其实是勒索软件的常规手法,不过Chimera还会显示一则消息警告用户,如果不付钱的话,数据就会被公布到网上。
近日,暗网的一个RaaS (勒索软件即服务)门户网站运营者,Twitter用户名为“Janus”的黑客公布了Chimera勒索软件秘钥,并在一份声明中对自己的行为做出了解释。Janus窃取了他所能发现的所有Chimera勒索软件的秘钥,并将其上传到网络上,以此达到毁坏竞争对手“生意”的目的。秘钥泄漏后,深受Chimera勒索软件勒索的受害者,就再没必要向其交纳赎金。(Chimera勒索软件开发者估计此刻已哭晕在厕所…)
被DNC雇来调查该黑客事件的安全公司Crowdstrike,将入侵归罪到与俄罗斯政府有联系的2个黑客团伙上。包括Fidelis在内的其他安全公司也同意此观点。俄罗斯官方断然否认涉嫌了DNC数据泄露事件。
每周安全技术
7月13-14日在北京国家会议中心举办的阿里安全峰会上,共设立了12个分论坛,分论坛组成:电商金融系统与业务安全论坛、威胁情报论坛、漏洞研究论坛、云安全论坛、SRC与白帽子论坛、移动安全论坛、安全人才成长论坛、数据安全与信息泄露论坛、IT治理、风险与合规论坛、电子取证论坛等等,数十家领军企业参与、国内外顶级安全专家演讲,在电商金融安全,移动安全,威胁情报,人才培养,电子取证等热门安全行业问题进行深入探讨与交流,带来干货满满的技术分享。关于主会场及分论坛的内容整理文章及PDF均已第一时间在云栖社区发布,欢迎分享!
TaintDroid剖析之Native方法级污点跟踪分析
在前两篇文章中我们详细分析了TaintDroid对DVM栈帧的修改,以及它是如何在修改之后的栈帧中实现DVM变量级污点跟踪的。现在我们继续分析其第二个粒度的污点跟踪——Native方法级跟踪。编写文档几乎是与计算机和互联网接触的工作者的日常,在信息安全领域中,信息安全工程师编写渗透测试报告、漏洞分析文档是必备技能,同时也是家常便饭,文档编写时经常需要相关的截图来说明解释,而一款顺手强大、绿色免费截图神器正是我们作为安全研究爱好者所强烈渴求的。偶然地机会在v2ex看到levie开发的截图神器Snipaste,给人的感觉就是从未用过这么适合安全研究爱好者的截图神器,特别是它除一般截图所具有的功能之外的精确控制截图范围特点、代码选取转为图片特色、强大的图片编辑功能,总之是一款很赞的适合安全爱好者的截图神器。
下载地址:https://github.com/4ido10n/wooyun-drops-all-articles-package
3月,当美国国防部宣布与HackerOne合作邀请黑客参与“Hack the Pentagon”的漏洞奖励计划之后,让HackerOne再次成为业界焦点。以混迹于国内外各漏洞众测平台的经验,笔者详细分析了HackerOne的运营模式,从安全保密、漏洞奖励、专业合规性、法律界定性、用户体验等多个方面分享了自己独到的心得体验。
活动峰会
【新加坡之旅】阿里聚安全参展2016 RSAC APJ,安全能力输出至海外
7月20号~7月22号,阿里聚安全与支付宝国际风控一起参展在新加坡举办的RSA 2016亚太及日本会议,并在展会上首发移动安全国际版,为海外用户输出阿里巴巴的移动安全能力,标志着阿里聚安全国际化正式启程。此次RSA APJ展会,阿里聚安全(Alibaba JAQ Security)与支付宝国际风控(EBuckler)一起参展,所在展区吸引超过1000位参会者的关注和交流,数十家代理商希望深入沟通移动安全产品在东南亚地区的代理合作。阿里聚安全负责人习林作为本届RSA APJ的keynote speaker,进行题为《Traditional Security Expanding-Internet Business Security Coming》的演讲,分享阿里巴巴在互联网安全上积累的宝贵经验及“安全即业务”的新理念,引起与会者共鸣,当天参会人数近1000人,全场满座。
部分资讯及技术内容整理自网络,更多安全类文章,请访问阿里聚安全博客
