本周热词:315大会 | 手机充电站风险 | 人脸识别秒破 | 手机预装恶意软件 | 手机银行高危漏洞 | 52GB信息泄露 | 10万美金找漏洞
--------------------------------------------------------------------------------
【3·15大会回顾,曝光的互联网安全风险有哪些?】
本周最受大家关注的热点就数央视的315晚会,曝光不良企业的同时,也对公众进行安全科普教育,已经成了每年315晚会的惯例。2015年曝光诈骗电话、手机实名制;2016年曝光吸话费恶意程序、公共免费WiFi风险;2017年曝光免费手机充电站安全风险、人脸识别被合成图片破解。相比往年的大会,今年曝光的企业和黑料如隔靴搔痒,着实令人感到尴尬!
1、免费手机充电站安全风险
使用免费手机充电站给手机充电,主要是充电站会诱导用户授权从而安装各种推广应用,当你授权充电站后,攻击者将可以通过充电站控制你的手机,通讯录、短信、照片随意翻看。并且这些应用往往会携带病毒木马,对手机带来极大的安全隐患。
为何手机充电会被攻击?
在安卓手机上,有一个模式叫做“USB调试模式”,它本身是用来方便安卓程序员开发和调试APP用的,是一个正常功能。开启该模式后,电脑就能够直接对手机进行任意操作:查看照片、聊天记录、收发短信、甚至是破解锁屏密码都不再是问题。免费手机充电站的攻击,则是针对开启了这个“USB调试模式”的安卓手机,从而进行的攻击。
当然iOS也不是安全的,当你的iPhone插上陌生设备时,手机会询问你是否信任该设备,如果你选择信任,同样就拥有了读取你手机上照片、联系人、安装APP等权限(但还是不会对你的手机安全造成影响)。
315晚会上,主持人展示了使用视频模拟的方式来破解人脸识别,巧的是,此前就有安全研究员在FIT互联网安全创新大会上展示的5种方法破解手法。传送门:www.leiphone.com/news/201703…
当然大家纷纷关心支付宝躺枪的问题,小编可以负责任的告诉你,支付宝只对在当前手机上用密码登录成功过的用户,才开放人脸登录。除了使用人脸识别外,支付宝还会通过人工智能、风控系统等对账后的使用情况进行安全监测,以确保用户账户安全。
支付宝承诺,任何通过照片或者处理过的动态照片,实现人脸登录,导致自己账户被盗的,支付宝会全额予以赔付。
相比315晚会上免费充电站给手机带来的威胁,下面的安全风险却直接是从你拿到新手机的那一刻起。
【两家企业的 38 部 Android 手机被预装了恶意程序】
移动安全公司 Check Point Software Technologie 报告,两家企业拥有的 38 部 Android 手机被发现预装了恶意应用。报告没有披露企业的名字。恶意应用不是厂商提供的官方固件的一部分,被认为是在供应链的某一处加入进去的。
这些 Android 手机属于众多品牌,包括三星和 LG 的多款手机,小米 4 和红米、中兴 x500、Oppo N3、vivo X6 plus、Nexus 5 和 5x、联想 S90 和 A850。
该公司的研究人员称,即使用户万分小心,也可能会在不知情下被恶意程序感染。这些恶意代码往往会控制感染设备,让受害者下载、安装、执行恶意软件,从而访问数据、拨打高额手机号码。
如何清除预装的恶意软件?
因为这些预安装的恶意软件都具有系统权限,所以很难删除。用户可以通过下面的方式将其清除:
1. 刷机,将设备恢复到无公害状态
2. 更新固件和ROM
3. 通过正规官方渠道购买手机
说起手机恶意软件,我们的科技巨头Google在近日捣毁了最大Android恶意软件家族之一Chamois,据外媒透露,Chamois恶意软件已经感染了上百万台设备。
【谷歌捣毁最大Android恶意软件家族之一Chamois】
Chamois恶意软件是一个对Android设备展开大范围广告欺诈的恶意软件,是Android生态系统迄今为止遇到过的最大的恶意软件家族之一,它能够通过多条途径传播。
它拥有大量令其特殊的功能,如它的代码会在4个不同的阶段使用不同的文件格式进行执行。这种多阶段的处理方式使得它变得更加复杂,而这意味着它们更难被发现。另外,Chamois家族软件还能通过模糊化和反分析技术来躲开检测。此外,它们还能使用一套定制、加密的方式来储存配置文件。
谷歌安全软件工程师对那些基于Chamois开发而出的恶意软件展开了分析,他们发现这些软件能够通过数种途径避开检测并尝试欺诈用户。于是,他们决定采用Verify Apps来屏蔽掉来自Chamois家族的恶意软件并将那些试图利用这些恶意软件破坏谷歌广告系统的人踢出去。
据了解,Chamois恶意软件看起来并不会出现在设备的软件列表中,更别提去卸载,这时候Verify Apps就起到了作用。通过这套工具,用户可以检测到设备内可能对其存有危害的软件并将其删除。不过目前,谷歌并未透露遭Chamois恶意软件感染的软件名字。
【国内手机银行安全体检:多款存在高危漏洞,可影响资金安全】
最近嘶吼收到一份来自工信部旗下泰尔终端实验室的研究报告,其针对国内多款手机银行APP进行安全测评,发现有数款存在严重安全隐患,结果不容乐观。
根据泰尔终端实验室的安全报告《金融客户端也会存在高危漏洞》显示,他们针对中国银行、中信银行、建设银行等国内多家大型商业银行的Android端手机银行APP进行分析后发现:此次测评的APP普遍存在高危漏洞,用户在进行转账交易时,黑客能够通过一定的技术手段劫持用户的转账信息,从而导致用户的转账资金被非法窃取。
通俗点说,就是当你被攻击者盯上后,你在使用中行、中信、建行等银行的手机银行Android APP进行转账,明明对方的卡号、姓名、开户行填写后反复检查没问题,短信提示也显示正确,但转完账一查交易记录,欸…刚刚的钱怎么转给一个陌生名字了?一脸懵逼。
当然,要实现这样的高难度骗局,也需要一定的条件,大家不用过于恐慌。为避免被恶意利用,漏洞细节暂未公开,泰尔表示已反馈到相关银行进行修补。 除篡改转账账号漏洞外,报告还提到,部分手机银行APP的关键组件没有界面劫持防护。攻击者可以在手机银行的登录、支付页面弹窗,伪造同样的界面,如果用户继续操作下去,填写的账号密码信息便全部泄漏给攻击者了。 小编提供几点安全建议:
1、从正规应用市场或官方网站下载APP
2、尽量选择安全口碑较好、用户权益保护良好的银行办理业务
3、谨慎使用手机银行APP执行转账等敏感操作,大额转账后应和对方确认
4、提高信息安全意识,保护个人隐私数据
上周国内闹的沸沸扬扬的“50亿信息泄露案”,查到原因是内鬼作案,犯罪嫌疑人曾在国内多家知名互联网公司工作,其泄露的50亿条公民信息中,可能包含多家互联网公司的用户信息。无独有偶,在近日美国也发生了一起重大的数据泄露事件,52GB的个人身份信息遭窃,甚至还有国防部下辖军人档案信息!
【美国52GB个人身份信息泄露:国防部、沃尔玛、花旗集团等都未能幸免】
近日,网络安全专家兼微软区域主管Troy Hunt在博客上披露了他收到的一份多达52GB的数据库资料。内容包含近3400万美国人的个人身份信息(PII),且覆盖种类多样——从姓名、职位,邮箱、电话到公司盈利情况,雇员数量等林林总总,甚至还有国防部下辖军人档案信息!
在安全状况频出的今天,发生数据泄漏的问题并不是什么稀罕事,不过本次爆料里还是有诸多看点值得一提。
首先,这批数据的来源是世界商业信息服务公司巨头——邓白氏(Dun&Bradstreet),不熟悉的同学可以去Google一下该公司的体量。邓白氏前不久受到了由Ethisphere颁发的“2017全球最具商业道德公司”的提名(当然现在听上去可能有些讽刺),并且曾在2015年以1.25亿美元收购了NetProspex——一家服务于各大机构,提供B2B数据管理的公司。NetProspex宣称自己“拥有多元化的数据处理流程,依托世界最大的商业数据库并无缝对接用户的市场系统。”但无论如何,证据显示本次泄漏的数据库就是当时交易的一部分,邓白氏对此也予以了承认。
其次,泄漏的数据细节详尽,价值不菲。诸如姓名、职称、职能、工作邮件、电话号码,甚至工作单位的盈利情况,员工数量等条目都在列。这些内容将大大提升泄漏数据的价值,相信会有不少人愿意凭借此类信息为精准的市场营销造势,比如针对特定公司人群的邮件宣传之类。更何况当年邓白氏也是为了这些数据花了好大一笔银子。据找到的两年前的一本手册来看,一家公司查看50万条记录约需要花费20万美元,而这次泄漏的内容里单单不同的邮件地址就包含近3380万条!
再次,泄漏的数据中包含了美国国防部的人员资料,有超过10万条,其中各种职能超过1万条,如职业军人,情报分析人员,弹药专家,化学工程师等。紧随其后的国家部门是美国邮政系统,有超过88000条员工记录,然后美国陆军,空军和退伍军人事务部共计76000条左右记录。考虑到当前复杂的安全态势,这点是相当令人担忧的——Hunt表示自己看到这些资料后第一时间想到的就是ISIS的悬赏名单。
不过本次事件的主角似乎并不打算就此接锅。尽管邓白氏承认了遭泄数据库是他们所有,但是也同样表示自身系统并没有遭到入侵。事实上,他们认为泄漏数据的格式与文件类型与他们提供给客户的相同,而且他们已经将类似的信息出售给超过“上千家公司”,言下之意一目了然。
聊了这么多负能量的事情,最后小编告诉各位iOS安全工程师们一个好消息!
【巨额奖金在向你招手!这款iOS应用悬赏10万美金找漏洞】
过去两年间,关于iOS 系统漏洞的消息层出不穷,大家都能明显得到一个结论:iOS 系统不再那么“安全”了!而为了提升iOS 系统的安全性和用户体验,许多企业纷纷展开行动,推出自己的“漏洞悬赏”项目。
开发商 Agilebits为其iOS 密码管理应用 1Password开出高额奖金,如果你能找到这款应用的漏洞(一般为0day漏洞),最高奖励10万美金。
在此之前,这种类型的“漏洞悬赏”项目的赏金通常只有 2.5 万美元。当然,即便是2.5万的奖金在漏洞悬赏项目中也不算低的了,此次,该公司把赏金提高了三倍,足见其重视程度和漏洞的价值(亦或说是漏洞挖掘难度)。
如何进行漏洞挖掘呢?
该漏洞悬赏项目指定了一个特定的账号,白帽子黑客必须去入侵它并挖掘出符合要求的漏洞,提交漏洞报告并以此获得奖金。当然,大多数用户不会像这个特定账户一样遭到攻击者攻击,但是这对服务自身而言是一个很好的测试行为。随着密码管理器的日益流行,1Password想要证明其服务是安全可靠的。
以上是本周的移动安全资讯周刊,详细的报道内容,请访问阿里聚安全官方博客
