阿里聚安全一周一讯第38期出炉,一起来看本周的安全热点吧~
一、安全资讯
Android“启动模式”漏洞曝光:或致设备被窃听Android 曝光了一个严重的“启动模式”漏洞,尽管攻击者需要通过复杂的过程来入侵调制解调器和监听通话,但 IBM 团队已经证实了漏洞利用的可行性。好消息是,Google 已经修复了 Nexus 6 / 6P 智能机上的这一“高危漏洞”,此前攻击者可以通过 USB 连接,在启动过程中接管板载调制解调器,随后窃听电话和拦截移动数据包。
https://jaq.alibaba.com/community/art/show?articleid=721
关于微信“藏蛟”漏洞情况的通报
近日,国家信息安全漏洞库(CNNVD)收到关于微信Android客户端访问控制错误漏洞(CNNVD-201701-100)的情况报送,微信Android客户端存在访问控制错误漏洞(CNNVD-201701-100)。该漏洞是由于微信客户端收藏功能未做权限校验,使得攻击者可以在普通权限的情况下,通过本地木马或者恶意APP获取该客户端的数据库文件,通过某种方式解密该文件后进而获得用户的隐私信息并上传到远程服务器。目前,微信官方已在6.5.3及以上版本修复了该漏洞,对于历史版本也以Android热补丁技术修复了该漏洞。
https://jaq.alibaba.com/community/art/show?articleid=723
帮FBI破iPhone的安全公司竟被黑?900G数据失窃!
根据国外媒体的最新报道,曾帮助美国联邦调查局解锁iPhone的以色列著名安全公司Cellebrite(这是一家以入侵移动手机为主要业务的公司)遭到了黑客的非法入侵,并泄露了大约900GB的机密数据。目前,Motherboard已经获取到了部分泄露数据,其中包括公司的客户信息、数据库、以及大量与Cellebrite产品有关的技术细节。就此看来,黑客也会有被黑的那一天!
https://jaq.alibaba.com/community/art/show?articleid=725
美国电竞平台ESEA被黑,百万玩家数据泄露
在1月7日的时候,著名的数据泄露索引服务公司LeakedSource,宣布他们的数据库新增了150万条来自ESEA的资料。今天ESEA(美国大型三方电竞平台)确认了这一消息的真实性,并且发布一个公告表示,在12月27日的时候,曾有黑客首次联系他们,并索要十万美金赎金,不然就卖掉他获得的用户数据,ESEA 在确认了黑客的消息之后,咨询了法律委员会,修补了安全漏洞,并于30日通知了玩家,他们资料可能已经被泄露。
被泄露的数据包括许多注册信息,如注册日期、城市、州或省、最后一次登陆、用户名、真实姓名、生日、电话等等。”不过值得注意的是,尽管这些用户数据均可能面临泄露,但是密码并未存储在服务器的数据记录中,因此可以确保其安全。而且泄露的数据记录为bcrypt哈希值,玩家数据可能并未被利用,但是不排除黑客可能利用电邮、电话等方式进行网络钓鱼套取用户密码。
https://jaq.alibaba.com/community/art/show?articleid=718
影子经纪人放出Equation Group61个文件,并宣布退出(含下载)
在Shadow Brokers售卖黑客工具再一次失败后,放出最后一批Equation Group的文件,并宣布退出。该黑客组织今天发布了一条推文,并在他们的网站(托管在ZeroNet匿名主机服务提供商)上发布了一篇文章。他们表示无力出售这些从Equation Group(为NSA提供服务专门对国外进行间谍活动的组织)那边窃取的黑客工具和漏洞利用代码。从2016年8月开始,他们兜售的方式有拍卖、众筹、打包出售,但六个月的时间,Shadow Brokers只卖了8,500美元。
此外,Shadow Brokers将重点放在与其商业模式相关的风险上,并表示在不久之后他们将删除与其相关的账户,避免被溯源。这个神秘团体也承认,自由倾销和“政治谈话”都是是一个不错的营销方式,可以引起更多的人关注他们的黑客工具。 http://bobao.360.cn/news/detail/3916.html
黑客的定制刑罚:穿戴Wi-Fi干扰器替代狱中服刑
英国总警司加文·托马斯,最近声称被定罪的黑客应该穿戴Wi-Fi干扰器替代狱中服刑,以确保他们无法连接到互联网。托马斯表示,这是正确的惩罚黑客的方式,每年可以节省大笔费用。目前,英国一名监狱囚犯平均每年要消耗政府开支38000英镑,而无线网络干扰器会便宜很多。
此外,加文·托马斯认为,被定罪的黑客往往仅需服刑数年时间,出狱之后他们往往重操旧业,但佩戴Wi-Fi无线干扰器,他们可以被剥夺上网的权利,同时安心进行自我的再教育。
托马斯坦言对被定罪的黑客安装Wi-Fi干扰器,可能会遇到各方面的阻碍,部分人权组织已经暗示会采取措施,防止这种惩戒办法实施。另外,无线网络干扰器也无法阻止黑客使用其它方式上网,比如使用网线连接网卡和路由器上网。
https://jaq.alibaba.com/community/art/show?articleid=722
FBI、CIA、NSA联合发布俄罗斯干涉美国选举评估报告中文解密版
美国国家情报总监办公室已经发布一份“评估俄罗斯在近期美国总统大选中的活动与意图”报告的解密版本,这份报告由FBI、CIA与NSA共同编写。目前现任总统巴拉克·奥巴马与新任总统唐纳德·特朗普都已经收到该份报告的机密版本。这份报告对我国的网络空间安全、网络空间信息管理和舆论监管有一定的参考价值!
https://jaq.alibaba.com/community/art/show?articleid=715
二、技术分享
移动安全
阿里聚安全攻防挑战赛第三题Android PwnMe解题思路
阿里聚安全攻防挑战赛已正式落下帷幕,在正式赛第三题中,遇到android app 远程控制的题目。本文带你一探究竟,如何攻破这道题目。
https://jaq.alibaba.com/community/art/show?articleid=713Android签名机制简介
签名机制是Android系统相对于Linux独有的安全机制,本文将对该机制做详细介绍。
http://www.mottoin.com/95168.html逆向分析 apk 算法的完整过程
此次逆向的 apk 为 tmri_10101_1461033981072_release.apk (pass: 3qun) ,首先把 apk 安装在模拟器上,然后抓包分析网络流量,把 apk 拖进模拟器中之后安装并设置代理,虽然 app 走的 http 但是抓到的包全是乱码,所以在内部肯定对流量进行了加密操作。
http://paper.seebug.org/178/mach portal漏洞利用的一些细节
前不久GP0的研究员Ian Beer公布了针对iOS 10.1.1的漏洞细节及利用代码,通过结合三个漏洞获取设备的root shell。之后意大利研究员@qwertyoruiopz在此基础上加入绕过KPP保护的漏洞利用并发布了完整的iOS10越狱。
Ian Beer已经对漏洞的成因和利用做了相关描述,这里将不再阐述,本文介绍一些利用的细节以及可能的改进建议。
实人认证
阿里巴巴直播防控中的实人认证技术
直播作为近来新兴的互动形态,已经成为近几年最风生水起的行业之一。12月1日,由国家网信办发布的,媒体认为“史上最严”的《互联网直播服务管理规定》正式开始施行。《规定》要求直播平台按照“后台实名、前台自愿”的原则,对用户进行移动电话号码等真实身份信息认证。而对于网络主播们,《规定》更要求通过审核身份证件等更为严格的方式进行认证登记。
而这些网络直播在进行实人认证时,需要对包括姓名、证件号、生物属性、手机和位置等要素进行识别,如何在提高用户体验的同时准确的判断账号背后真实的人,也是目前困扰着各大公司的一大难题。本文让大家了解下阿里巴巴的实人认证技术。
https://jaq.alibaba.com/community/art/show?articleid=720
视频推荐
来看一部追踪被盗手机的纪录片《Find My Phone》
来自荷兰的电影系学生安东尼·范德梅尔(Anthony van der Meer)曾有过手机被盗经历,他的iPhone被偷后,就算用苹果手机中的Find my iPhone服务也没用,小偷早就把iPhone中的SIM卡换掉并下线。即使报警也是石沉大海,无法失而复得。由此,面对这个大多数人都可能会碰到的遭遇,安东尼非常好奇:到底什么样的人会偷手机?这些手机最终会到哪儿?带着这些疑问,他精心设计了一场追踪手机盗贼的戏,并把其拍摄成了记录片《寻找我的手机》。
三、安全工具
内网渗透的一些工具和平台汇总
在日常的渗透过程中,都会有自己趁手的工具集合,有开源的有私有的,不管什么样的工具组合,能够达到最佳的渗透效果就是好工具,本文分享一点自己在内网渗透中惯用的开源工具和平台。
Beyondtrust发布免费的物联网安全扫描器:RIoT
2016年顶级开发工具排行榜
NeverSSL,帮你在网速不佳的时候访问HTTPS网址
SSL是WiFi冲浪的安全保障,越来越多的网站在启用SSL,用户也应当尽可能地使用,但是在少数特殊情况下,由于网速欠佳,或者什么其他原因,安全浏览器无法打开默认访问的https地址,这时候NeverSSL可以救急,帮浏览器跳转到没有加密的Http网址。
四、安全活动
“阿里聚安全算法挑战赛”报名开始
“阿里聚安全算法挑战赛”是阿里巴巴集团安全部2017年最新推出的年度盛事,是“阿里聚安全攻防挑战赛”的姊妹赛事,将联结大数据和安全两大领域,展现大数据对于安全监测和防御的重要性。 本届主题是“独‘聚’匠心”,旨在汇聚安全行业精英,为更多的网络安全行业从业人员、爱好者提供展示平台,鼓励那些如工匠般精益求精、匠心独运的“巨匠”,让大家更好的了解网络安全意义的重大,共建网络安全。
本场大赛分为三个挑战任务,分别为《人机行为识别》《SQL注入检测》《社区反垃圾》,三道赛题权重相同。自正式开赛起,将分别提供三道赛题的评测,并根据三道赛题最优成绩加权取总分进行排序。三道赛题均分为第一赛季和第二赛季,两个赛季都在天池平台同时进行,要求参赛者在线进行数据分析和处理,最终排行TOP5的队伍将受邀参加决赛答辩会。
tianchi.shuju.aliyun.com/mini/alibab…
更多安全技术分享及资讯热点,请访问阿里聚安全博客
