本周安全圈子热词:最佳安全博客TOP30、github数据泄露、 iOS 绕过屏锁漏洞、Linux按Enter键70秒获得root权限漏洞、傲游浏览器漏洞分析、GITC2016全球互联网技术大会召开。一起来看下详细的信息介绍吧~
【一、业界安全资讯】
* 值得收藏!国外最佳互联网安全博客TOP 30
如果你是网络安全从业人员,其中重要的工作便是了解安全行业的最新资讯以及技术趋势,那么浏览各大安全博客网站或许是信息来源最好的方法之一。最近有国外网站对50多个互联网安全博客做了相关排名,小编整理其中排名前30的安全博客,希望能给大家带来一些帮助。(via 聚安全)
https://jaq.alibaba.com/community/art/show?articleid=601
* 告急!GitHub 800万用户信息遭泄露
据国外一个科技博客发文透露,GitHub 的百万用户信息疑似从 GeekedIn(一个服务于开发者和雇佣者的平台) 的 MongoDB 泄露了。也许你的数据,我的数据,如果你是在软件行业,数以百万计的人的数据都已被泄露。(via oschina)
https://jaq.alibaba.com/community/art/show?articleid=610
* 约炮网站被黑,4.12亿用户数据曝光
成人约会和娱乐公司Friend Finder Network刚刚遭遇大规模数据泄密事件,导致4.12亿帐号信息泄露。这是Friend Finder Networks公司近年来遭受的第二次攻击。
该公司去年也曾因为遭到黑客攻击泄露400万用户帐号,其中包含了性取向和约炮记录等敏感信息。不过,通过初步分析可以发现,此次泄露的数据并未包含像2015年那样的敏感信息。三个最大的SQL数据库包含姓名、电子邮箱、上次访问记录和密码。该网站已经可以从数据库中提取99%的密码。另外,数据库中还包含了会员数据,包括某人是否为VIP会员、浏览器信息、上次登录使用的IP地址、用户是否曾经付费等。(via freebuf)
http://www.freebuf.com/news/119931.html
Friend Finder的几个网站的受害情况数据
* 美国部分Android手机竟将用户隐私数据回传至上海服务器!
美国出售的Android手机,居然会将用户的个人数据传回到中国上海的服务器?今天美国大量安全媒体就报道了这样一件事,美国人民听来大概是非常惊悚的!Kryptowire安全公司的专家发现美国在售某些品牌的Andriod手机的固件中存在后门,可在未经用户允许的情况下,将个人数据传输至中国服务器,包括短信全文、联系人、通话记录等信息。美国主要受这一固件影响的手机品牌为BLU,目前在Amazon和Best Buy上有售。
顺带一提,发布这份报告的Kryptowire公司,是由美国国防高级研究计划局 (DARPA) 和国土安全部 (DHS) 联合投资的公司,主要为美国国防、军事、情报机构提供移动应用程序的安全性分析、企业级移动设备安全解决方案等服务。这家公司都出动了,可见问题严重性。(via freebuf)
https://jaq.alibaba.com/community/art/show?articleid=602 
* 蔓灵花APT行动攻击报告
美国网络安全公司Forcepoint 近期发布了一篇报告,该报告主要披露了巴基斯坦政府官员最近遭到了来源不明的网络间谍活动。该报告描述了攻击者使用了鱼叉邮件以及利用系统漏洞等方式,在受害者计算机中植入了定制的AndroRAT,意图窃取敏感信息和资料。Forcepoint研究人员认为该组织与BITTER相关,而且可能还不止发起了这一起攻击事件。BITTER攻击始于2013年11月,且多年来一直未被检测到,目前攻击者背景尚未明确。相关APP信息包括提供关于印度和巴基斯坦之间的争议地区新闻的Kashmir News等。
我们针对该事件进行了进一步分析,发现中国地区也遭受到了相关攻击的影响,受影响单位主要是涉及政府、电力和工业相关单位,该组织至今依然处于活跃状态。截至目前我们已捕获到了33个恶意样本,恶意样本涉及Windows和Android多个平台,恶意样本的回连域名(C&C)共26个。(via 360安全卫士)
http://bobao.360.cn/news/detail/3747.html
* 特朗普当选后 用户涌向加密邮件服务商
据外媒报道,唐纳德·特朗普的意外当选对于提供终端到终端的加密邮件服务的公司来说或许是个好消息。 瑞士Protonmail公司今天宣布,在特朗普出乎意料地赢得美国总统大选后,该公司这周的注册人数较平时一周的注册人数增长了近两倍。不过该公司尚未透露具体的注册人数。Protonmail是世界最大的加密电子邮件服务提供商之一,目前已拥有超过200万用户。ProtonMail提供端对端的邮件加密方案。该公司部分运营资金一直依靠基金会或相关机构提供支持。(via cnBeta)http://www.cnbeta.com/articles/557365.htm
【二、移动安全】
* Android N如何限制重置密码以遏制勒索软件
Android N之前,通过操作设备管理器可以很容易地实现重置密码,只需调用设备管理器DevicePolicyManager提供的resetPassword(Stringpassword, int flags)接口,其中password为新的密码。
Android N之前版本可任意设置或重置设备密码不同的是,Android N中明确规定,第三方应用开发者只能使用DevicePolicyManager.resetPassword为无密码设备设置初始密码,而不能重置或清除已有的设备密码。若设备已有密码,当尝试调用resetPassword方法重置锁屏密码时,系统会抛出SecurityException异常,并提示“Admincannot change current password”AndroidN中对于resetPasswordAPI所添加的限制能阻止木马对已有锁屏密码的重置,从而使得部分勒索软件失效。(via 360安全卫士)
http://www.freebuf.com/articles/terminal/119316.html
* iOS 绕过屏锁漏洞:无需密码即可访问你的 iPhone 照片或消息
外媒 softpedia 上爆出一个惊人的大消息:iOS 中有一个严重的安全漏洞,任何人都可以借助它来绕过 Passcode 的保护来查看 iPhone 上的照片或阅读已有的消息,更可怕的是,即使你已经配置了 Touch ID,该方法同样适用。
这个漏洞是由 Siri 引起的,尽管苹果似乎知道了这个漏洞,但此漏洞尚未被修复,为了保证安全,不让大家看到自己手机里的小秘密,建议进行下面的操作:禁止在锁屏下使用Siri,在设置中找到“ Siri -> 锁屏访问 ”,关掉。(via 雷锋网)
https://jaq.alibaba.com/community/art/show?articleid=607
* Linux高危漏洞预警:按Enter键70秒获得root权限
Linux被发现高危漏洞(CVE-2016-4484),攻击者可以通过持续按下Enter键70秒钟来获取 root initramfs shell,进而破坏Linux boxes。
这个安全问题来源于Cryptsetup存在的一个漏洞(CVE-2016-4484)。Cryptsetup是在Linux统一密钥设置(Linux Unified Key Setup, LUKS)中用来加密磁盘的软件,而LUKS则是Linux系统中标准的磁盘加密。漏洞其实是出现在系统后Cryptsetup处理密码输入错误的时候,它会允许用户多次重试输入密码。而当用户输入错误93次后,程序就会给用户一个带root权限的shell(busybox)。也就是说,如果你重复93次输错密码,或者持续按回车键大概70秒,你就能够获得root initramfs (initial RAM filesystem) shell。获取shell之后,你就可以复制、修改或者破坏整个硬盘,或者也可以使用网络传输数据。(via E安全)
https://jaq.alibaba.com/community/art/show?articleid=605
【三、漏洞分析】
* 傲游浏览器漏洞系列(上)- 任意文件写入,UXSS(via 知道创宇)
http://paper.seebug.org/108/
* 傲游浏览器漏洞系列(下)- 客户端 SQL 注入和代码执行漏洞(via 知道创宇)
http://paper.seebug.org/109/
【四、安全工具】
* DeGuard:apk-deguard 在线APK反混淆工具
在线APK反混淆工具,理论上ProGurad 混淆的代码 80% 都可以恢复出来
* NJAS:不修改系统,不需要ROOT,不重打包来制造一个沙盒的工具
https://loccs.sjtu.edu.cn//gossip/blog/2016/11/15/2016-11-15/
* 一个在线检测 Android app 密钥的工具
* avmdbg -- 一个轻量级的 Android 虚拟机调试器
https://github.com/cheetahsec/avmdbg
* iRET:IOS 逆向渗透测试工具套件
iRET是一款iOS的逆向工程工具包,旨在自动化进行iOS的渗透测试相关任务。它自动执行许多常见任务
中文版:http://www.mottoin.com/91857.html
英文版:https://github.com/S3Jensen/iRET
【五、安全活动】
* GITC2016全球互联网技术大会
2016年11月24日-25日,GITC2016全球互联网技术大会将于北京国家会议中心隆重召开。
GITC2016将深度交流时下互联网技术热点,全面覆盖云、大数据、安全、运维、基础架构、移动互联网等热点专题进行主题演讲,同时将引入全球领先的AI、VR技术,让与会观众全方位领略、感受世界领先技术。全球预计将有超过2万名的业内技术从业者们欢聚一堂,与数百位最具影响力的行业领袖和技术领军人物共同学习、了解最新互联网技术趋势,分享和讨论互联网最新研究成果和前沿技术,探讨互联网技术如何定义未来。
安全专场
新网安法即将落定,主流互联网企业纷纷建立应急响应中心,安全正变得越来越是个事儿。如果一家企业现在还不关注安全,未来有一天,它很可能将被政府处罚、公众谴责、用户抛弃。GITC2016安全专场的专家们将讲述他们对企业安全的见解、应对攻击应急响应的经历、处理安全事故的最佳实践,以及如何将安全变成所在公司的强竞争能力。
