本周安全热词:共享充电宝安全 | 惠普笔记本预装键盘记录器 | Android恶意软件每小时新增350 | 安卓O版本前不修复屏幕劫持漏洞 | http81僵尸网络预警
【资讯篇】
共享充电宝安全吗?
在共享充电宝面世之前,大家在车站机场看到的都是手机充电站。在今年315大会上,手机充电站被证实具有严重的安全隐患。它在给手机充电时,会诱导用户授权从而安装各种推广应用,当你授权充电站后,攻击者将可以通过充电站控制你的手机,通讯录、短信、照片随意翻看。并且这些应用往往会携带病毒木马,对手机带来极大的安全隐患。
手机充电站毕竟是台“电脑”,里面自带集成电路板,黑客想要利用很容易。但是巴掌大的充电宝,要怎么利用?小编提示大家,永远不要小瞧“科技的力量”。
笔者在本次试验中,植入了带有wifi功能模块的“Raspberry Pi Zero(树莓派)”,它其实是台小型计算机。将树莓派接到充电宝的锂电池上保持供电,再将充电宝的数据线内测接口直接接入树莓派,这样你的手机在“充电”的时候就是直接连接到树莓派上。用户授权信任后,手机上的所有信息都会被自动同步到树莓派的SD卡上,包括你的手机唯一标识码、通讯录、照片甚至是手机应用的账号密码……信息泄露的危险小编不再强调了。
小编教大家几个保护隐私的办法: 1、ios用户在没有数据传输需求的情况下,不要轻易点击“信任此电脑”,尤其是连接陌生设备的时候; 2、Android用户平时不要打开“开发者模式”,这个太可怕了; 3、使用充电宝前注意它的“完整性”,别用老旧、有破坏痕迹的充电宝。
惠普笔记本被爆预装键盘记录器!
用惠普笔记本的小伙伴们要注意了,你所输入的内容可能被静默记录!
瑞士安全公司Modzero的研究人员在检查Windows Active Domain的基础设施时发现惠普音频驱动中存在一个内置键盘记录器监控用户的所有按键输入。
这个记录文件位于公用文件夹C:\Users\Public\MicTray.log中,包含很多敏感信息如用户登录数据和密码,其它用户或第三方应用程序都可访问。因此安装到计算机上的恶意软件甚至是能物理接近计算机的人都能够复制日志文件并访问所有的用户按键、提取敏感数据如银行详情、密码、聊天日志和源代码。更有甚者,即使用户手动将这些本地明文文件删除,重启之后依然会再次出现。
该键盘记录器存在于 Conexant (科胜讯)提供的声卡驱动包里,该驱动包被预装在大量惠普笔记本中,包括惠普 Elitebook、ProBook、ZBook ,以及最新的 Folio G1 商务笔记本。
thehackernews.com/2017/05/hp-…
Android恶意软件野火般传播:每小时出现350个新的恶意应
事实证明,Google移动操作系统平台上感染了恶意程序的软件数量正以惊人的速度倍增。来自防病毒软件公司G Data的安全研究人员发现,今年第一季度已经出现超过75万个新的恶意应用,估计到2017年底,总数将会增长到惊人的350万个。
该报告进一步警告,这个问题在第三方手机制造商中特别广泛,因为这些厂商软件更新频率更低,而且有时会出现重大延迟,导致Android操作系统无法获得最新的安全更新和安全补丁。G Data研究人员还注意到,与今年相比,他们能够在2016年和2015年分别确定至少320万和230万个被恶意程序感染的应用程序。
鉴于全球10个手机中近9个在Android上运行,攻击者瞄准Android系统并不奇怪。所以如果你想要避免伤害,你必须确保你的手机定期更新到最新版本的Android,并只从官方应用商店下载应用程序。
Google称在发布“安卓O”新版本前不会修复屏幕劫持漏洞
数百万台安卓智能手机都遭受一个严重的“屏幕劫持”漏洞影响,黑客能窃取用户密码、银行详情以及帮助勒索软件app窃取钱财。
这个漏洞源于一个名为 “SYSTEM_ALERT_WINDOW” 的新权限,它能让app出现在设备屏幕和其它app上方。让Facebook Messenger悬浮于手机屏幕并收到新消息提醒时使用的也是这个功能。
谷歌计划在“安卓O”版本中解决这个问题,通过创建一个名为“TYPE_APPLICATION_OVERLAY”的限制性权限拦截位于任何关键系统窗口顶部的视窗,从而能让用户访问设置并拦截展示告警视窗的app。
最糟糕的事情是,谷歌声称在发布“安卓O”版本之前不会修复这个漏洞,而新版本计划于今年第三季度发布。而最最糟糕的事情是数百万用户仍然还在等待来自原始设备制造商的安卓N版本的更新,也就是说多数安卓用户将至少在一年的时间里持续遭受勒索软件、广告软件和银行木马的袭击。
http81僵尸网络预警:专门攻击摄像头,国内5万台设备已沦陷
自2016年9月曝光以来,Mirai蠕虫首度迎来新同伴。根据360网络安全研究院监测,从今年4月16日开始,有一个新的IoT僵尸网络在HTTP 81端口进行大范围传播。
这个僵尸网络利用一组公开不久的OEM摄像头安全漏洞进行传播,由于是OEM贴牌设备,许多品牌摄像头也受影响,漏洞作者评估有超过1250个不同厂商、型号的摄像头受影响,通过Shodan估算目前互联网上有超过15万设备易被攻击。
http81僵尸网络的扩张极为迅猛。经过前期初步试探,在4月16日-24日9天时间内,它开始全网疯狂扫描寻找问题摄像头,每日扫描至少150万次,最多的一天用57400个IP扫描了将近270万次。其主要分布在国内,目前已经感染了超过5万台摄像头,量级正在接近Mirai。
【技术篇】
在iOS应用程序中使用Frida绕过越狱检测
Frida是一个可以hook App的动态代码工具包,可以向Windows、macOS、Linux、iOS、Android和QNX的本机应用程序中注入JavaScript或自己的库代码。Firda众多不同的使用场景,花样繁多的启动方式,包括各种强大的API和方法,让它成为开发者建立自己安全分析的首选工具。它可以使用命令行界面或类似frida-trace的工具来跟踪底层函数。同时还可以使用C、NodeJS或Python绑定完成更复杂的任务。
在本篇博客中,我们将会介绍在iOS应用程序中使用Frida绕过越狱检测。即使你从来没有使用过Frida,这篇文章也将会作为进入移动安全开发和分析的入门指南。
学点算法搞安全之HMM(上篇)
隐式马尔可夫(HMM),也称韩梅梅,广泛应用于语音识别、文本处理以及网络安全等领域,2009年I Corona ,D Ariu ,G Giacinto三位大神关于HMM应用于web安全领域的研究论文,让HMM逐渐被各大安全厂商重视。本篇重点介绍HMM最常见同时也比较基础的基于url参数异常检测的应用。
学点算法搞安全之HMM(下篇)
上篇我们介绍了HMM的基本原理以及常见的基于参数的异常检测实现,这次我们换个思路,把机器当一个刚入行的白帽子,我们训练他学会XSS的攻击语法,然后再让机器从访问日志中寻找符合攻击语法的疑似攻击日志。
如何逆向苹果定位服务协议?
笔者对自己在Whereami工作时对苹果公司的位置服务如何运作很感兴趣。由于Little Snitch一直拦截locationd,因此我了解到该协议是通过locationd处理的。由于macOS目前具有系统完整性保护 (SIP) 功能,因此通过proxychains检查流量的普通方式不起作用了。另外一种方法就是将Charles设置为iOS设备的中间人代理。看到多数是由设备背景连线通信产生的流量,于是我得到了想要的东西即一个位置服务请求。
-------------------------------------------------------- 以上是本周的安全周刊,想了解更多内容,请访问阿里聚安全官方博客
