一周一讯 | iOS & Mac OS X 逆向工程学习资源汇总、阿里聚安全攻防挑战赛报名开启分享本周最新的安全资讯热点

阿里聚安全一周一讯第33期出炉，分享本周最新的安全资讯热点、技术干货和安全工具！一起来看详细的内容吧~

一、安全资讯

* 一群极其注重隐私的人士，开发了一款超级安全的Android系统

Tor项目的开发人员设计出了一种安全的Android手机原型，这个基于Tor网络的Android手机使用了CopperheadOS、Orbot和orWall，而开发人员设计这个原型的目的就是为了帮助用户保护自己的隐私信息，并且防止用户感染移动端的恶意软件。

https://jaq.alibaba.com/community/art/show?articleid=642

* 国际网络警察？美国或将允许FBI攻击世界上任何一台计算机

《41号修订案》是美国新通过的法律，这项法律让美国的联邦调查局和其他机构只需要一张搜查令，就能通过黑客手段入侵五台以上的电脑，搜查令不需要电脑所在地的法官颁布，而是改为由犯罪发生地的法官颁布。这也就意味着，从今天开始，对于美国的情报机构和执法部门而言，同时入侵多台计算机的攻击活动将更加容易得到法官的批准。

jaq.alibaba.com/community/a…

* 超过100万谷歌账户被Gooligan安卓恶意软件窃取

使用Google账号的用户要当心！一个新的Android恶意软件(Gooligan恶意软件)已经感染超过100万Google帐户，每天大约有13,000台安卓设备被感染。Gooligan恶意软件可以窃取存在漏洞的Android设备上存储的电子邮件地址和身份验证令牌。借助这些信息，攻击者可以劫持您的Google帐户，并从Google应用（包括Gmail，Google相册，Google文档，Google Play，Google云端硬盘和Google套件）访问您的敏感信息。

jaq.alibaba.com/community/a…

* 每秒400G新型僵尸网络攻击，美国或将再次遭遇大规模断网？

根据美国免费CDN服务商CloudFlare发布的一篇博文中表示，其发现美国西海岸很可能将成为另一波大规模DDoS攻击的攻击目标。不过这一次作为攻击手段的僵尸网络与此前曾打击Dyn DNS并导致Twitter、Amazon以及PayPal等主流网站数小时内无法访问的Mirai僵尸网络有所不同。

攻击方首先利用朝九晚五式攻击模式进行自身能力测试，随后将攻击模式转为24小时全天候侵扰。这套新的僵尸网络基本等同于或者强于Mirai僵尸网络。经过观察，其中高强度攻击流量的峰值可达到172 MBps，这意味着每秒发送约100万个数据包或者每秒400 Gb数据。

jaq.alibaba.com/community/a…

* 索尼80款监控摄像头存秘密后门，IoT设备的加速沦陷

索尼生产的80款网络摄像头中存在硬编码的登陆凭证信息，由于是静态的身份凭证，一旦被破解，就可以被Mirai等恶意软件用来控制设备，从而发动大规模的DDoS攻击。这些存在漏洞的摄像头都来自Sony Professional Ipela Engine系列的IP摄像头。而这些摄像头都是索尼针对专业市场的安全摄像头，价格都比较高，用户群体主要是企业和政府机关。索尼官方则已经放出固件更新，建议广大用户及时升级到最新版本的固件。

https://jaq.alibaba.com/community/art/show?articleid=651

二、技术分享

Android

* APP漏洞扫描器之未使用地址空间随机化

阿里聚漏洞扫描器有一个检测项叫未使用地址空间随机化技术, 该检测项会分析APP中包含的ELF文件判断它们是否使用了该项技术。如果APP中存在该项漏洞则会降低缓冲区溢出攻击的门槛。本文主要介绍该项技术的原理和扫描器的检测方法。

https://jaq.alibaba.com/community/art/show?articleid=640

* 浅入浅出 Android 安全系列文章（共六篇）

本系列文章浅入浅出的分析介绍了Android 所涉及到的一些安全知识，包括Android架构安全的基础知识、Linux内核层安全等，适合Android入门的小伙伴们去逐步了解学习。

详细文章目录如下：
1、Android 架构安全的基础知识：github.com/wizardforce…

2、Linux 内核层安全：github.com/wizardforce…

3、本地用户空间层安全：github.com/wizardforce…

4、框架层安全：github.com/wizardforce…

5、应用层安全：github.com/wizardforce…

6、安全的其它话题：github.com/wizardforce…

* 轻松自制flyme悬浮球

最早使用悬浮球的手机应用应该是苹果，现在市面上大多Android手机也都支持了该功能。本文是一篇关于制作类似于flyme悬浮球的教程，写的非常详细，并且给出了示例代码。感兴趣的小伙伴可以学习下~

halfstackdeveloper.github.io/2016/11/27/…

iOS

* iOS & Mac OS X逆向工程学习资源汇总

包含调式分析、System ABIs、编程语言学习资源、进阶学习、相关工具、有用的代码库，资源非常详尽，值得收藏！

pewpewthespells.com/re.html

* 大规模重构——重写 Instagram Feed 的经验之谈

在 Instagram 团队重写他们全新的 iOS Feed 的过程中，他们积累了大量的经验，遇到的坑无疑已经超出了他们的预料，比如说集合视图、差异化 (Diffing) 以及冗长代码所带来的危险之处。在本次 try! Swift 讲演之中，Ryan Nystrom 向我们分享了如何才能进行一次成功的重构，并且向我们介绍了 Instagram 的一个很赞的开源组件：IGListKit。

realm.io/cn/news/try…

* 用 Swift 搭建一个微型编译器

对绝大多数开发者来说，尽管我们每天都要与编译器打交道，然而实际上编译器对我们来说仍然像一个神秘的黑盒。在本次 try! Swift 的讲演中，Samuel Giddins 从头搭建了一个全新的微型编译器，用来编译他自制的一门编程语言，从而借此去学习编译器的基本工作机制。他还讲述了 Swift 是如何为复杂问题（例如语义解析、词法分析和代码生成）提供优雅的解决方案的。最后，我们将实现一门全新的编程语言，并完成对它的编译工作！

realm.io/cn/news/try…