8月8日苹果发布了 iOS 9.3.4,在该版本中苹果封杀了盘古在 iOS 9.2-9.3.3 工具中所使用的漏洞,不过似乎苹果还没有能够发现另外的安全漏洞。因为著名的 iOS 黑客和开发者 Luca Todesco,又开始在社交网络上分享他最新的破解成果了。今天他在 Twitter 上展示了一台成功越狱的 iOS 9.3.4 的 iPhone 6s,尽管盘古的越狱工具不适用于 iOS 9.3.4,不过这位黑客看来要证明 iOS 9.3.4 也依然有漏洞可寻。
西班牙安全研究员Salvador Mendoza发现了Samsung Pay的安全漏洞,这个漏洞一旦被利用,黑客将可以利用另一个设备来对受害者进行交易劫持。基于非接触式的支付系统,是许多较新的三星手机的标配,工作原理是将信用卡信息转化成为Token,使黑客不能从设备中盗取信用卡。但是,这些Token并没有人们想象中的那么安全。攻击者可以从三星设备中盗取Token,搭配其他的硬件就可以发起欺诈性的交易了,且漏洞的利用不存在任何的限制。
8月8日最新消息,据外媒报道,信息安全研究公司Check Point近期发现了4个使用高通处理器的安卓手机的重要安全漏洞。这些关于用户权限扩大的漏洞被称为“Quadrooter”,其影响范围广泛,全球超过9亿部安卓设备将受波及。黑客很可能利用这些漏洞诱导用户安装恶意App,同时在并不需要请求任何特殊权限的情况下完全控制受影响的安卓手机或平板,包括访问用户软件数据和控制麦克风话筒等硬件。据悉,谷歌自主品牌的Nexus 5X、Nexus 6和Nexus 6P,HTC旗下的One M9和HTC 10,以及三星Galaxy S7和S7 Edge都可能受到这一漏洞的影响。近期发布的黑莓DTEK50尽管被称作“最安全的Android智能手机”,也仍然没能幸免。
对此,高通的发言人表示该公司已经针对这些漏洞,向众多与高通有合作的手机制造商公开了芯片级的底层代码,并在今年4月到7月间发布了相关漏洞补丁。用户只要及时跟进谷歌按月发布的安卓系统安全更新,就不会受到该漏洞的影响。
【BlackHat 2016议题】如何通过盗取EMV卡的数据,让ATM机吐出5万美元
两名研究人员在2016美国黒帽大会上(Black Hat USA 2016 )推出了一种新的信用卡中间人攻击,能够在POS或ATM上拦截信用卡信息甚至PIN(个人信息认证密码)和CVV码(后三码)。
这两名来自NCR公司的研究人员(Nir Valtman和Patrick Watson)现场展示了他们的研究成果,让一台ATM机15分钟内吐出了50000美金。他们曾告诫生产EMV卡芯片的厂商必须给添加额外的保护层防止芯片密码像之前的磁条卡一样容易被克隆。但是没有产商理会他们的建议。
美国知名安全公司火眼(FireEye)在发布2016年第二季度低于预期的销售财报后,计划裁员300到400名员工。火眼是全球的最大的网络安全厂商之一,目前员工数超过3400名。火眼公司首席执行官Kevin Mandia向路透社透露,业务急剧下滑与去年网络安全市场的不断发展有直接关系,他列出两大主要问题:一是中国有关的网络攻击数量呈现减少的趋势,这部分业务来源很可能导致销售额下滑。二是勒索软件感染激增,但修复的成本却在减少。
卡巴斯基(PDF)和赛门铁克的研究人员发表报告,称发现了一个恶意程序平台,它的设计和执行是如此先进,只可能是由国家支持开发的。新的恶意程序被称为 ProjectSauron,是继Duqu、Flame、Equation和Regin之后的新国家级恶意程序。ProjectSauron 以二进制大对象(Binary Large Objects)方式编写,只在内存中运行,很难被杀毒软件检测出。很多恶意程序的指令控制系统会复用服务器、域名和IP,但ProjectSauron对于每一个攻击目标都使用不同的指令控制系统。研究人员掌握了30多个恶意程序攻击的目标,认为这只是冰山一角。
ProjectSauron最令人印象的一点是它窃取不联网计算机上数据的能力。它使用预先准备的USB驱动,利用Windows系统不可见的虚拟文件系统,悄悄收集插上USB的电脑上的数据。研究人员还没有完全搞清楚这一机制的工作原理,推测可能利用了尚未发现的0day漏洞。
每周安全技术
阿里聚安全漏洞扫描器有一项检测服务是检测APP的通用签名风险。Android系统要求安装的应用必须用数字证书进行签名后才能安装,并且签名证书的私钥由应用开发者保存。签名证书的生成也由开发者自己生成。在应用安装时会校验包名(package name)和签名,如果系统中已经存在了一个相同的包名和签名的应用,将会用新安装的应用替换旧的;如果包名相同但是签名不同,则会安装失败。如果多个APP使用相同的数字签名,会带来怎样的风险?
拥有大量粉丝的公众号的公信力,绝对会成为黑客的利用目标,一个偶然的机会得到了公众号接口的权限,发现很多「有趣的事」,据说还可以黑产。目前漏洞已经提交给微信号开发方完成修复,这篇文章主要告诫各位微信公众号开发人员关于WECHAT_APPID和WECHAT_APPSECRET的重要性。
企业在建设发展过程中,除了依赖各种技术手段,如安全加固手段(WAF、安全狗、主机卫士等),安全审计(日志分析、SDL等),安全检查(漏扫、渗透)等等,往往缺乏对企业人员的信息安全意识的培养。在这点上,弱口令也成为漏洞平台的热门焦点。
所以说,对于信息安全来说,个人信息安全和企业的信息安全是分不开的。企业个人设置的密码和设置密码规律在他们进行网络活动的时候是肯定会泄露出去的。实际的案例是盗QQ号、盗微信号、盗银行卡、各种勒索软件、比特币支付。种种案例无时无刻都在各行各业上演着,所以信息安全工程师应该做好准备,避免这些案例发生在自己所在的公司员工,减少不必要的损失。本文从技术手段、国内外社工库、代码等多方面详细介绍了企业社工的手段。
活动峰会
由阿里云安全和天池联合举办的首届阿里云安全算法挑战赛开始报名。这是天池算法系列大赛中,首个以“安全”为主题的算法赛事。各大高校、算法圈、安全圈、还有大隐隐于市的“最强算法战队”们,已经摩拳擦掌了。本次安全算法大赛的线上赛环节共分两个赛题——《Webshell通信检测》,和《钓鱼网站检测》,数据全部来自阿里云安全团队在实战中的积累,数据量将近100万条,大赛的赛题设置完全还原了阿里云安全团队的防御场景。本届参赛队伍将直面阿里云安全每天防御8亿次攻击的防御战场。需要安全+算法双剑合璧,才能完成挑战。
9月28日,报名战队将通过线上赛决出全国15强,15支参赛队伍全部有机会来到杭州,接受大咖导师团队的闭关培训,并在10月的24小时挑战赛中决出最终排名。超强的评审和导师阵容+35万奖金池+阿里云人才招聘绿色通道+冠军战队在杭州云栖大会主会场加冕,还不抓紧来报名!
我要报名!
