阿里聚安全一周一讯第41期出炉,和小编一起看下本周的移动安全热点吧!
一、安全资讯
Google 宣布攻破 SHA-1 加密:证明哈希值可与 PDF 文件内容冲突密码学大事件,Google 表示其已成功破解了 SHA-1 加密。尽管暂未披露其首次达阵的任何细节,Google还是放出了一个概念验证。根据既往的信息披露政策,他们将在 90 天后知晓详情。在此期间,你可以看看 Google 晒出的两份特制 PDF 文档,虽然它们拥有相同的 SHA-1 哈希值,但内容上却不尽相同。 需要指出的是,SHA-1 曾一度非常流行,但现在已经不太常见。因为专家们很早前就预测过,这项技术将很快被破解。近年来,业内已经逐渐疏远这项加密方法,转而采用更安全的替代品,比如 SHA-256。
7款Android应用被黑,数百万汽车面临被盗风险 在车联网时代,汽车制造商和第三方开发商竞相将智能手机演变成遥控器,允许驾驶员通过手机来实现车辆定位、开锁/解锁等功能。但在提供便携的同时智能手机也存在被黑客入侵的风险,一旦手机被黑那么所有通过网络控制的互联网汽车功能就落入了黑客的的掌控中。 近日,俄罗斯安全公司卡巴斯基的一组研究人员对 9 辆互联网汽车的 Android 应用(来自 7 家公司)进行了测试,这些应用的下载量已经超过几十万,甚至部分应用超过了 100 万。但研究人员表示,通过 Root 目标设备获得欺骗用户安装恶意代码,黑客能够使用卡巴斯基所测试的所有 7 款应用来定位车辆位置,解锁车门,甚至能够在某种情况下点火启动。
“木马下载器”伪装成Adobe Flash Player升级程序,攻击安卓用户 根据ESET研究所最新研究成果,发现了一种伪装成Adobe Flash Player升级程序的安卓恶意软件下载器。这一新型威胁主要使用“模仿用户点击” 这种技术来感染用户的设备,浏览社交媒体和成人网站信息。恶意程序安装后会呈现给受害者更具欺骗性的屏幕提示,诱骗他们在Android上可访问菜单中赋予其特殊权限,该权限可以允许其下载并执行额外的恶意软件程序。 尽管早在2011年Adobe就表示将停止为移动设备开发 Flash Player,2012年,Flash Player正式退出 Android 平台。但是仍然无法避免网络犯罪分子滥用它,来诱使不知情的用户下载并安装他们的恶意程序。通常情况下,攻击者主要通过一个精心设计、高度仿真的外观来诱使用户下载并安装该虚假的升级程序。
“网络美人计”的温柔一刀:全军因为它丧失了攻击力
大约在2016年7月,100多名以色列士兵的Android手机被敌方实施的“网络美人计”给黑掉了,敌方人员在社交媒体上假扮美女,用虚假的照片和个人信息勾引以军士兵。这些军人没有抵挡住“糖衣炮弹”,放松警惕,纷纷下载对方推荐的“冒牌”应用程序,导致手机被黑客控制却全然不知,然后黑客趁机进入他们的命令和控制服务器获取军事机密数据,此外,受感染的设备会被推送木马更新,这允许攻击者扩展他们的攻击能力。
截至目前,这项“网络美人计”的网络攻击活动仍然非常活跃,最近发生的大规模袭击事件就发生在本月,超过100名使用三星、HTC、LG和华为等品牌的以色列军人的Android设备受到影响,在这些遭受攻击的设备上大约有近9000文件被盗。但以色列国防军可能并非唯一的攻击目标。
加密网络的里程碑,HTTPS已保护过半的网络流量
实现HTTPS传输对网站有很多好处,不仅防止第三方窥探网络流量来保护他们的用户,并且防止内容劫持和Cookie窃取,还在Google中获得更好的排名,因为搜索巨头在其搜索算法中使用HTTPS作为信号。在没有提供HTTPS保护的网站上,看重隐私的用户根本不会注册登陆或者输入自己的信用卡信息。
互联网上大部分网站需要很长时间才能从HTTP转换到HTTPS,但是电子前沿基金会(EFF)一份报告显示,截至本月初,加密网络的举措达到了一个重要的里程碑,现在所有网络流量当中有一半是通过HTTPS进行保护。虽然这是一个好消息,但它仍然意味着互联网上还有一半的网络流量不受HTTPS协议保护,所以仍然有很多工作要做。
二、技术分享
国内 Android 手机典型勒索软件详情分析(附解锁方法)2017RSA大会第一天就是一系列关于Ransomware(勒索软件)的议题,而在刚刚过去的2016年,“MongDB数据库网络勒索事件”,“ElasticSearch数据库网络勒索 事件”,网络勒索问题已成为互联网安全的重点关注问题之一。
此前,某安全研究人员在知乎专栏爆料,某黑产团伙利用嵌入恶意代码的刷钻应用进行QQ盗号和恶意锁屏,感染用户高达八千人。近日,盘古实验室发现同一团伙传播的升级版恶意应用,企图锁屏用户移动设备,进行敲诈勒索。
针对Android沙盒的“中间APP攻击” Android for Work是Android的“沙盒”机制,它的目的是安全地存储企业资料。然后最近来自Skycure 的安全研究人员发现,Android for Work可以通过一种“中间app攻击”的方式被Hack。
如何对iOS应用进行修改并重新签名 在某些场景下,你可能需要在没越狱的iOS设备上运行修改过的iOS应用,特别是当手上已越狱的iPhone突然变砖,只能被迫升级到非越狱版本的iOS系统时,这种需求显得更加迫切。再如,你需要使用这项技术来动态分析测试应用程序,或者你可能需要使用GPS欺骗手段来绕过Pokemon的锁区限制,在非洲地区捕捉宠物小精灵,而又不想承担越狱带来的安全风险。无论是哪种情况,你都可以使用本文介绍的方法对某个经过修改的应用重新签名并在自己的设备上成功运行。需要注意的是,这种技术仅在应用程序不是经过FairPlay加密(即从应用商店上下载)时才能正常工作。
如何在.ipa文件上进行iOS代码注入
代码注入是将外部代码注入至现有软件系统的过程。通过本文,我将分享在iOS APPs上执行代码注入所需的工具和技术。使用Xcode工具可以部署一个用以展示iOS代码注入行为的实验。总体思路是创建一组独立的代码,与最终的APP打包,并以某种方式执行新的代码。
三、安全工具
github代码泄露扫描工具初探
这个项目算是为数不多全程使用python开发的一套web系统。开发中后台采用了flask+sqlalchemy+gunicorn+nginx+gevent+supervisor。爬虫则比较简单,只是用了简单的python网络模块,比如beautifulsoup。
勒索软件解密工具大全 文章共55个勒索软件解密工具,在这里我们几乎收集了所有已经发布的勒索软件解密工具,并且会依然持续不断的收集更新。但依然不能保证一定能解开您被加密的数据。解密工具能被开发出来,是因为勒索软件作者水平太差,导致在加密过程中密钥泄露。但随着勒索软件作者水平的不断提高,今后开发解密工具将会越来越困难。如果您已经中了勒索软件,可以通过里面的工具来试试运气。
新一代子域名爆破工具brutedns 一直相信不要重复造轮子这句话,但是如果可以造出来更好的轮子,我认为那就应该勇敢的去造。总结一下工具特点:人无我有,人有我优。
更多移动安全热点内容,请访问阿里聚安全官方博客
