阿里聚安全一周一讯第27期出炉!一起来看下本周安全圈子出现了哪些资讯信息吧~
【一、业内安全资讯】
* 大量苹果手机被锁且遭黑客勒索,QQ邮箱是源头?
近日,有多名用户反映,自己的AppleID突然被盗,导致iPhone被黑客远程设置为丢失状态,手机“变砖”无法使用,而邮箱或QQ则收到了黑客的敲诈信息,对方声称“解锁”手机需要交纳400元到800元的“解锁费用”。小编在微博上以“Apple ID被盗”为关键词进行搜索,从10月7日到10月16日为期十天的调查中,记者共统计了86名苹果账号被盗的微博用户,33人回复了记者,其中27人使用的是QQ邮箱,占比高达82%。(via 聚安全)
https://jaq.alibaba.com/community/art/show?articleid=560
* 告诉你被盗的iPhone是如何一步步被黑客解锁的
iPhone到底安不安全?这个梗已经讨论了很久了。而我今天要告诉大家的是,就算你的iPhone 6s设置了六位数字密码,并且还有touch ID的保护,黑客同样能够解锁你的手机。(via 安全客)
http://bobao.360.cn/news/detail/3670.html
* 刷脸支付可靠吗?最新木马Acecard分分钟窃取你的信息
随着计算机技术的发展,支付方式也发生了翻天覆地的变化,先是数字密码支付,到指纹密码支付,现在又发展到了人脸识别技术支付。人脸识别技术支付给用户提供了一种更为方便的支付方式,用户可用自拍验证身份信息,这看似非常安全,实则不然。黑客们已经找到这种安全方式的不安全之处了。
McAfee在其博客中表示,有安全研究员已经发现了一种新型的安卓银行木马,它会伪装成一个视频插件,比如Adobe Flash Player、色情APP、视频解码器等,然后要求受害者发送一张手持ID卡的自拍照。该木马的最新版本叫做Acecard,据卡巴斯基反恶意软件研究小组成员称,它们是目前危害性最大的安卓银行木马。(via 安全客)
https://jaq.alibaba.com/community/art/show?articleid=562
* 中国制造IOT设备遭恶意软件Mirai感染成为近期DDOS攻击主力
9月20日,安全名记Brian Krebs个人网站遭到流量达665Gbps,且持续多天的大规模DDOS攻击,最终被迫下线数日。9月21日,法国网络服务商OVH同样遭到DDOS攻击,OVH技术总监称攻击流量峰值曾达到1Tbps。
网络服务商Level3对Krebs网站的攻击进行调查后表示,DDOS攻击使用了多达150万被入侵设备组成的“僵尸网络”,其中大部份为中国大华(DAHUA)公司生产的网络摄像头。黑客利用这些在线设备持续访问Brian Kreb网站,形成大量请求流量,致其瘫痪。而对两起DDOS攻击进行分析调查的FLASHPOINT公司声称,中国另一家厂商雄迈科技生产的网络摄影设备由于存在漏洞,也被黑客用于发动DDOS攻击。安全防护商Akamai也证实,Krebs网站和OVH遭受的DDOS攻击来源可能为同一批受恶意软件Mirai感染的僵尸网络。(via 聚安全)
https://jaq.alibaba.com/community/art/show?articleid=561
【二、Android安全】
* 谁给了你第一个手机病毒?安卓手机病毒来源分析
用户手机的第一个病毒从何而来?这篇文章也许能给你答案。(via 猎豹移动安全实验室)
http://www.freebuf.com/articles/terminal/116583.html
* 新手科普:如何用kwetza给安卓应用加后门
这篇文章将会描述一种在Android可执行文件中种后门的方法。在接下来的动手操作部分,将使用到开源工具Kwetza。首先作者先介绍使用手工过程实现向现有Android应用植入后门的方式,其后作者再介绍并讨论Kwetza是如何自动完成这些手工步骤的。你可以通过Github repo找到Kwetza(via Freebuf)
* 使用Spade Apk后门Hack任意Andorid手机
在这篇文章中我们将学习另一种Hack Android手机的方法。这是Hacking Android用户把恶性文件与原APK结合的最无拘无束的方式。(via mottoin)
http://www.mottoin.com/90613.html
* 含富士康固件的Android设备或藏秘密“后门”
包含富士康固件的某些安卓设备可能会因OS 引导装载程序内的调试功能遭受攻击。该功能是一个“后门”,允许入侵者绕过验证程序通过USB访问脆弱的手机。该后门名为“Pork Explosion”。引导装载程序(启动Android OS的代码)中存在“后门”的原因是,多个OEM允许富士康创建生产并供应某些电子固件,用来聚合Android设备的所有部件。(via 聚安全)
https://jaq.alibaba.com/community/art/show?articleid=559
* 来自 McAfee Blog 的系列文章《如何测试 Android APP 的安全性》的前三部(via McAfee)
Part 1:https://blogs.mcafee.com/mcafee-labs/testing-android-application-security-part-1
Part 2:https://blogs.mcafee.com/mcafee-labs/testing-android-application-security-part-2
Part 3 :https://blogs.mcafee.com/mcafee-labs/testing-android-application-security-part-3
* Android 7.1开发者预览版开放下载
想要获得和Pixel/Pixel XL中相同的系统版本吗?Google宣布Android 7.1开发者预览版于前日正式开放下载,尽管并非是完全版本更新但依然带来了一些新功能,包括对Daydream VR平台和GIF键盘的支持,开放制作圆形图标的相关资源和应用快捷方式(通过长按获得类似于3D Touch的使用体验)。(via Google)
https://jaq.alibaba.com/community/art/show?articleid=565
【三、iOS安全】
* Introspy-iOS - 用于辅助了解 iOS 运行时状态的工具(via Github)
https://github.com/integrity-sa/Introspy-iOS/releases
* Facebook 开源的 WebDriverAgent(via Github)
https://github.com/facebook/WebDriverAgent
【四、安全漏洞】
* Android Linux kernel 安全漏洞
Android及其他产品中的ION子系统使用的Linux kernel 4.0.3之前版本的arch/arm64/mm/dma-mapping.c文件中存在安全漏洞,该漏洞源于程序没有初始化数据结构。本地攻击者可利用该漏洞获取内核内存的敏感信息。(via cnnvd)
http://www.cnnvd.org.cn/vulnerability/show/cv_id/2016100157
* Android AOSP Mail 电子邮件信息泄露漏洞
AOSP Mail的email/provider/AttachmentProvider.java 文件在Android4.x到4.4.4,5.0.x到5.0.2,5.1.x到5.1.1,6.x到2016-10-01,7.0到2016-10-01不能保证某些值为整型,通过构造路径名称导致任意附件读取。(via seebug)
https://www.seebug.org/vuldb/ssvid-92476
* Chrome Address Bar URL Spoofing on IOS
Chrome浏览器地址栏欺骗漏洞(CVE-2016-1707)。URL Spoofing漏洞可以伪造一个合法的网站地址。攻击者可以利用这个漏洞对用户发起网络钓鱼攻击。(via seebug)
https://www.seebug.org/vuldb/ssvid-92469
* 漏洞预警:joomla,ja-k2-filter-and-search 组件0day 注入漏洞
近日,国外安全研究员Dimitrios Roussis和 Evangelos Apostoloudis 发现joomla的ja-k2-filter-and-search组件存在SQL注入漏洞。目前,该漏洞还没有在任何国际性的网站上面被发现或发表,此外,组件开发人员也没有被告知这一关键问题。因此,该漏洞被认为是一个0Day。(via Freebuf)
【五、安全活动峰会】
* GeekPwn 2016嘉年华即将开幕
GeekPwn是全球首个关注智能生活的安全极客(黑客)赛事平台,是最前沿的国际化智能安全社区。本次GeekPwn除了在上海的年度嘉年华(10月24日),还将新增美国硅谷分赛场(10月23日)。为了给予选手更多荣誉,除了丰厚的奖金( 初始奖金池500万元人民币)和进入极棒名人堂的机会,GeekPwn嘉年华还将评选多个年度最佳奖项,奖励出类拔萃的极客天才。2016年GeekPwn嘉年华大胆革新,除传统“智能生活”的项目外,引入了人工智能、机器人以及现实对抗等新方向,形成了四大全新比赛项目,打破边界,召唤天才极客,超越自我,挑战世界。更多嘉年华信息请访问GeekPwn官网。(via GeekPwn)
* 安全之战:QCon上海2016开幕
频繁爆发的漏洞让安全的江湖掀起了阵阵腥风血雨,很多网站纷纷中招,被黑客入侵造成了各种重大损失,自网络诞生以来,就不缺乏黑和白的对抗,技术上的较量客观上推动了科技的进步,但是这种较量总会为许多互联网的用户带来灾难,随着时代的发展,科技条件在进步,身边越来越多的设备可以通过网络被访问到,随之而来的是安全隐患大增,这是一场攻与防的终极较量,也是一场矛与盾的顶级对抗。
10 月 20~22 日举行的 QCon 上海 2016 上,“安全之战”专题将从代码服用攻击与防御、企业级风险感知体系、企业核心数据安全和企业安全防御体系等层面,全面解析安全的挑战与应对之道。(via Freebuf)
http://www.freebuf.com/news/116667.html* 阿里云安全算法挑战赛暨24小时大赛落幕!英雄榜榜单在此!
就在过去的10月13&14日,一场没有硝烟的战争,在阿里巴巴西溪园区神秘登陆,28位年轻的安全工程师,在此拉响了安全防护警报赛之声。
本场大赛包括线上选拔赛的两道赛题《钓鱼网站检测》和《WebShell通信检测》,以及24小时极限挑战赛赛题《入侵检测》。数据全部来自阿里云安全团队10多年来真实防御场景中所积累的数据。赛题的设置还原了安全实战,让参赛者了解算法在安全领域中的重要性,并切身体验到阿里云安全从业者在日常工作中是如何帮助用户防御每天8亿次的攻击。(via 阿里云安全)
* 更多安全资讯及安全技术,请访问阿里聚安全博客
