本周安全热词:网络安全法6月1日实施 | 阿里成CNNVD一级支撑单位 | App Store里的色情应用生态分析 | 新型攻击可控制任意版本 Android 设备 | 一张GIF引发的微信崩溃 | 三星S8虹膜识别系统可被绕过业 | 谷歌发布Google Play Protect
【资讯篇】
1、网络安全法将于2017年6月1日实施
第十二届全国人大常委会第二十四次会议于2016年11月7日表决通过了《中华人民共和国网络安全法》。法律进一步界定关键信息基础设施范围;对攻击、破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施;增加惩治网络诈骗等新型网络违法犯罪活动的规定等。该法自2017年6月1日起施行。
2、国家信息安全漏洞库(CNNVD)技术支撑单位颁奖典礼:阿里巴巴授牌为一级支撑单位
在贵阳大数据产业博览会大数据安全高层论坛举办期间,国家信息安全漏洞库(CNNVD)对网神信息技术(北京)股份有限公司和杭州安恒信息技术有限公司、上海三零卫士安全有限公司等7家表现突出的技术支撑单位进行了表彰,对阿里巴巴(中国)网络技术有限公司、新华三技术有限公司、北京匡恩网络科技有限责任公司等15家新增技术支撑单位进行了授牌,从而使得CNNVD技术支撑单位总数达到了54家,进一步涵盖国内知名互联网及安全厂商,加强联防联动的协同机制,提高安全保障能力。
国家信息安全漏洞库(CNNVD)运行管理中心在去年期间通过阿里聚安全对阿里安全进行了支撑能力考查,并举行了现场答辩。经专家组评议,并与相关单位沟通,确定“阿里巴巴(中国)网络技术有限公司”成为CNNVD一级技术支撑单位。中国信息安全测评中心张桂清副主任、李斌主任助理为新增的一级、二级技术支撑单位代表授牌。
3、App Store里的色情应用生态:伪装、诱导付费、窃取你的隐私信息
知道网络上快速致富的手段是什么吗?当然是和色情有关了,不管是出于合法目的还是非法诱导目的,色情内容都能快速吸引人们的注意力。
最近,趋势科技发现了Marcher木马利用色情应用的新一波攻击。安全专家们在iOS和Android平台上同时发现了大量使用中文用户界面的色情应用程序,有些甚至可以App Store上找到。目前已经有大量的潜在有害应用程序 (Potentially Unwanted Apps,PUA)正在通过色情网站、热门论坛及色情网站来进行传播。
安装潜在有害应用程序 (PUA)很可能会危及用户的隐私和本地系统的安全性,需要说明的是,这些PUA都是合法的应用程序,不过通常会在用户安装这些程序时被恶意软件或广告软件所盯上,试图利用社交工程来使用户安装额外的产品和服务。
趋势科技已经确定,这些色情应用目前正在快速地传播,并且还根据所传播的区域进行不同的伪装。除了色情应用本身的吸引力之外,调查还发现,程序分销商也在其中起到了推波助澜的作用, 到目前为止,趋势科技已经确定了两个合法的分销商正在分发数千个这些色情应用程序。
4、“ 斗篷与匕首 ” 新型攻击来袭,可滥用合法权限接管任意版本 Android 设备
据外媒 25 日报道,安全研究人员于近期发现一种新型攻击手段 Cloak and Dagger( “ 斗篷与匕首 ” ),允许黑客完全控制任意版本的 Android 设备( 包括最新版本 7.1.2 )、窃取私人敏感数据,其中包括击键与聊天记录、设备 PIN 码、在线帐户密码、OTP 动态口令与通讯录联系人信息等。
有趣的是,此攻击手段并非利用 Android 生态系统中的任何漏洞,而是滥用流行应用商城中广泛使用的合法权限访问 Android 设备上的某些功能。Cloak and Dagger 主要利用 Android 系统的两项基本权限:SYSTEM_ALERT_WINDOW( “ draw on top ” )、BIND_ACCESSIBILITY_SERVICE( “ a11y ” )。由于 Cloak and Dagger 无需利用任何恶意代码执行木马程序,因此黑客极易开发并提交恶意应用程序且不易被谷歌商店发现。
5、三星S8虹膜识别系统可被绕过, PIN 码登录更安全
三星Galaxy S8具有多种基于生物辨识的验证系统,包括脸部识别、指纹扫描器和虹膜扫描器,虹膜验证能让用户解锁设备并授权支付。但研究人员表示能通过出示受害者眼睛的图片绕过三星的虹膜扫描器。
解锁步骤:获取虹膜照片,通过激光打印机将照片打印出来,将接触透镜放在打印机上面模拟真实眼睛的弯曲度。将照片放在Galaxy S8的虹膜扫描器前面就能成功解锁设备。
专家表示获取虹膜数据有多种方法,包括从用户自己发布在互联网上的高清图片等。另外一种方法就是通过带有夜间拍摄模式或禁用红外滤光器的数码相机为目标用户的眼睛拍照。但三星发布评论认为目前市场已经没有捕捉红外光的相机了,对机主的虹膜进行高分辨捕捉,然后偷取他的手机,再打印出来借助隐形眼镜尝试解锁,想想这有多复杂多困难。小编温馨提示:PIN 码登录更安全哦~
6、谷歌发布基于机器学习的Android APP安全检测系统:Google Play Protect
Google Play作为众所周知的在线应用市场,因为审查制度的松散,经常会有一些恶意软件伪装成其他应用混入其中。
近日,谷歌为Android用户带来了一个好消息。在Google I/O2017大会上,谷歌发布了一种新的机器学习Android APP安全检测系统:Google Play Protect,他可以通过机器学习和APP使用情况来分析识别出APP的恶意行为。新的系统内置于Google Play Store中,用户无需另外下载安装。它时刻在后台运行,保护用户手机、数据和APP的安全。在未来几周,所有的Android用户均可体验到Google Play Protect的功能。
7、新型字幕攻击:多款播放器远程命令执行,全球约2亿用户受影响
Check Point的研究员近日发现了一个新的攻击界面——视频字幕文件,通过构造畸形的字幕文件,可以成功触发播放器远程命令执行漏洞,攻破用户系统。VLC、Kodi (XBMC)、Popcorn-Time和Stremio等播放器都存在该漏洞,目前有2亿用户受影响。
攻击者会使用各种方法,也称为“攻击向量”来实行网络攻击。这些攻击方法大致可以分为两大类:攻击者诱骗用户访问恶意网站,或者欺骗用户在电脑上运行恶意文件。
【技术篇】
8、Android中带你开发一款自动爆破签名校验工具kstools
本文主要介绍了一个通过hook需要爆破应用的pms服务,拦截获取签名信息的方法,来做到全局爆破签名校验功能逻辑,这个工具可以解决以往需要手动的反编译app来进行破解,有了这个工具,完全可以一键化操作功能,无需在进行反编译破解操作了
9、内网穿透——Android木马进入高级攻击阶段
移动互联网时代的到来,企业内部数据越来越有价值。近年来,黑客以移动设备为跳板,入侵企业内网,窃取企业数据资产的趋势愈发明显。近日,烽火实验室发现一批感染了一种名为“MilkyDoor”的恶意代码,这是继去年6月份首次出现的“DressCode”[1]恶意代码后,又一种利用移动设备攻击企业内网的木马。然而,与“DressCode”不同的是,“MilkyDoor”不仅利用SOCKS代理实现从攻击者主机到目标内网服务器之间的数据转发,而且利用SSH(Secure Shell)协议穿透防火墙,加密传输数据,进而实现数据更隐蔽的传输。
SSH协议[2]又称为安全外壳协议,其使用的传输机制是TCP/IP,通常使用的都是服务器的TCP端口22,并对经过连接传输的数据进行加解密操作。可以使用SSH对其他应用程序在别的TCP端口建立的TCP/IP传输进行加密与解密。这一过程称为端口转发。利用SSH转发,其他一切基于TCP的不安全协议都可以变得安全。
10、Pwn2own漏洞分享系列:利用macOS内核漏洞逃逸Safari沙盒
在Pwn2own 2017 比赛中,苹果的macOS Sierra 和 Safari 10 成为被攻击最多的目标之一。在此次比赛过程中,尽管有多支战队成功/半成功地完成了对macOS + Safari目标的攻破,然而360安全战队使用的漏洞数量最少,而且也是唯一一个通过内核漏洞实现沙盒逃逸和提权,并完全控制macOS操作系统内核的战队。在这篇技术分享中,我们将介绍我们所利用的macOS内核漏洞的原理和发现细节。
11、关于反调试&反反调试那些事
iOS在逆向和保护的过程中,总会涉及到反调试和反反调试的问题,这篇文章主要是总结一下几种常见的反调试手段以及反反调试的方法。
12、Secure iOS application development
iOS 应用中最常见的漏洞收集,以协助 iOS 开发者开发更安全的应用
13、开源扫描仪的工具箱:安全行业从业人员自研开源扫描器合集
Scanners-Box是来自github平台的开源扫描仪的集合,包括子域枚举,数据库漏洞扫描程序,弱密码或信息泄漏扫描仪,端口扫描仪,指纹扫描仪和其他大型扫描仪,模块化扫描仪等。
-------------------------------------------------------- 以上是本周的安全周刊,想了解更多内容,请访问阿里聚安全官方博客
