本周安全热词:Apple Pay |手机银行木马Svpeng | Android智能机厂商预装木马 | WannaCry制作者被抓| 新型 Android 间谍软件 Lipizzan | 美国大选投票机| 老司机谈鉴黄 | 美国《物联网安全改进法案》| FFmpeg漏洞分析|Brida 与app渗透
【安全资讯】
1、行业热点
Apple Pay移动支付也不安全?交易可被窃听篡改
在Blach Hat会议上,Positive Technologies的安全研究人员宣布,现在可以利用Apple Pay移动支付中存在的漏洞来发动攻击。Positive Technologies称已经发现了两个潜在的攻击媒介。
第一个攻击方式是需要越狱设备来进行工作的,这就意味着攻击者首先必须通过恶意程序来感染越狱设备,一旦感染了越狱设备,攻击者就可以将支付数据拦截到Apple服务器上。
第二个攻击方式不要求越狱,攻击者就可以拦截并/或伪造SSL流量,篡改交易数据,比如修改交易金额、币种,还有商品投递细节信息。
技术安全负责人已经向苹果公布了其调查结果,但同时也表示说,由于对安全链的组件有着重大的影响,所以修补程序的开发也并不简单。
手机银行木马Svpeng新变种,通杀所有Android版本,利用无障碍服务获得特权
2017年7月中旬,我们发现了著名的Svpeng(一种Android平台上的银行木马程序,trojan-banker.androidos.svpeng.ae)家族的一个新变种。在改进的版本中,网络罪犯分子为其添加了新的键盘记录功能,允许攻击者通过无障碍服务(Accessibility services)窃取用户输入的文本信息。
无障碍服务(也被称之为“残疾人模式”)通常是为残疾人用户或那些暂时无法与设备完全交互的用户提供的用户界面(UI)增强功能,比如正在开车的驾驶员。滥用此系统功能的特洛伊木马程序,不仅能够窃取安装在设备上的其他应用程序的输入文本信息,而且还授予自己更多的权限,抵制那些试图卸载该特洛伊木马程序的操作。
外媒曝部分Android智能机OEM厂商预装了Triada木马
尽管 Google 费了很大力气去提升 Android 的安全性,该平台仍然面对着相当尴尬且混乱的恶意软件问题。就在几天前,Google 安全人员披露了能够录制通话、拍摄照片、以及监视设备其它活动的‘Lippizan’恶意软件。
而现在,又有其它安全研究企业曝光了在一些国产智能机厂商的设备中发现了预装的 Triada 木马。
Zygote 在手机正常运行期间如此活跃,因此能够访问到几乎任意应用程序的内容。在最新变种中,该木马已获得沙盒机制的加持、被更新得无法追踪。
尽管设备制造商已被告知该恶意软件问题,但鉴于其主打低成本市场,预计它们不太可能会为这些设备推出任何安全更新。
国内厂商的智能摄像头曝出漏洞:至少17.5万设备可被远程攻击
安全研究员在多个常用智能摄像头中发现远程侵入漏洞,涉及 VStarcam、Loftek、以及 Neo IP camera。其中的 Neo IP camera 就是中国深圳厂商丽欧电子 (Neo Electronics)生产的智能摄像头设备,此次安全企业提供的报告中具体列出了丽欧电子 的两款产品:iDoorbell 以及 Neo Coolcam NIP-22 两种摄像头均存在缓冲区溢出问题,受影响的设备可以被攻击者远程入侵,执行任意代码并彻底接管。
CIA间谍软件曝光:可向苹果系统植入木马
上月中旬有报道称,维基解密网站公布了美国中央情报局(CIA)“Vault 7”秘密文件的部分内容。近日据外媒报道,同样是“Vault 7”秘密文件一部分的 Imperial 项目日前被维基解密曝光,证明 CIA 已经拥有向苹果系统磁盘映像植入木马的能力。而此次曝光还披露了 CIA 的三个间谍软件“Achilles”、“SeaPea”以及“Aeris”。
Google 安全专家成功拦截新型 Android 间谍软件 Lipizzan 传播
据外媒近日报道,Google 安全研究人员近期在 Google Play Store 中发现新型 Android 间谍软件 Lipizzan,允许黑客从移动设备中过滤任何类型数据,并将其作为监控工具使用。
Lipizzan 是一款多阶段间谍软件产品,与具备政府、情报机构背景的以色列安全公司 Equus Technologies 有关。研究人员在对恶意软件深入分析后表示,被感染应用经过两个阶段成功绕过 Google 过滤器进入应用商店下载。
第一个阶段,黑客将 Lipizzan 冒充合法应用(如 “ Backup ” 或 “ Cleaner ” 等应用),通过 Google Play 等多渠道传播。
第二阶段利用已知漏洞将目标设备数据过滤至命令与控制服务器。
2、安全人物阻击WannaCry病毒拯救了世界,他却被抓了
据Motherboard报道,英国网络安全研究人员马科斯-哈钦斯昨天下午被FBI拘捕,当时他正准备从拉斯维加斯飞回伦敦,这次哈钦斯来美国主要是为了参加黑帽子大会和DefCon黑客大会。此事被曝出后便引起了轩然大波,原来这位曾帮助全球电脑免受WannaCry病毒威胁的神奇小子也曾参与过病毒的制作和传播。
老司机谈鉴黄,新一代“鉴黄师”是如何养成的?
在互联网高速发展的今天,直播平台,内容社区,视频网站等UGC/PGC平台蓬勃发展,如雨后春笋般出现。但巨大的安全隐患也接踵而至,内容审核成为企业最关键的一道防火墙。企业招聘大量的内容审核专员来应对包括色情、暴力、犯罪等多个方面的不良内容。其中鉴黄师可能是最神秘也最令人遐想的岗位了。阿里聚安全 小编专访了负责阿里内容安全(阿里绿网)的资深赛车手——来自阿里安全多媒体算法团队的唐秋。常年战斗在一线的他,是如何学习高超的驾驶技巧?
第一代鉴黄师正如大家所想的那样,通过一双肉眼鉴别淫秽图片和视频。但这份工作并不轻松,他们每天需要完成海量的图片视频鉴别。因此长时间从事这份工作,不仅对身体是一种摧残。观看太多的色情作品,甚至扭曲的色情作品,还会对心理造成极大的创伤,影响正常的性生活和婚姻关系。
在人工鉴黄成本上升和互联网日益猖獗的色情信息的环境下,第二代“鉴黄师”应运而生。
第二代“鉴黄师”从人工鉴黄演变到机器智能鉴黄,通过人工智能、深度学习和大数据样本等技术,千万张正常图片与色情图片的训练模型,最终生成一个智能鉴黄模型。
3、安全时政
美国大选投票机在eBay上出售 其中包含65万选民个人信息
当65万田纳西人在孟菲斯地区投票时,他们可能没有想到他们的个人资料最终会在拉斯维加斯凯撒皇宫的黑客会议上被展示出来。美国投票制度的优势在“笨重”的投票机,有助于防止大规模黑客入侵。但是,美国政府工作人员会将旧的投票设备拍卖给公众。
这次黑客们从eBay上购买了退役的ExpressPoll-5000投票机,他们发现政府工作人员没有将设备当中存储的选民信息抹去,这台机器当中存储了在田纳西州谢尔比乡村投票的65万4517人的个人记录,不仅包括名字,地址和生日,还包括政党信息,以及他们是否投票缺席,是否被要求提供身份证明等信息。
美国政府拟立法改进物联网安全:禁止硬编码密码、已知漏洞必须修复
美国参议院四位参议员Warner、Gardner、Wyden和Daines最近提交一项名为《物联网安全改进法案》(the Internet of Things Cybersecurity Improvement Act of 2017,简称IoT-CIA)的草拟法案,旨在加强物联网厂商对设备安全性的投入。
这项法案不是针对所有物联网设备,只是适用于美国政府内部使用的设备,因此不大可能会有大的反对意见,通过立法几率很大。而通过之后,由于行业自身没有标准,它也可以成为既定事实的监督标准。
【技术分享】
<首发> FFmpeg任意文件读取漏洞分析
FFmpeg是一套目前非常流行的可以用来记录、转换数字音频、视频,并能将其转化为流的开源计算机程序。它提供了录制、转换以及流化音视频的完整解决方案。目前有非常多的视音频软件或是视频网站、手机 APP 都采用了这个库,但是这个库历史上曝出的漏洞也非常之多。这次的漏洞是利用了ffmpeg可以处理 HLS 播放列表的功能,在 AVI 文件中的 GAB2字幕块中嵌入了一个 HLS 文件,然后提供给ffmpeg进行转码,在解析的过程中把它当做一个 XBIN 的视频流来处理,再通过 XBIN 的编解码器把本地的文件包含进来,最后放在转码后的视频文件当中。
Brida:将frida与burp结合进行移动app渗透测试
Brida是Burp Suite一个插件,它可以将Burp和Frida结合起来使用,这样就可以根据你的需求修改移动端app与服务器的通信流量。当分析移动app时,无法截取通信数据包,无法获得数据包一些隐藏的内容,所以就有想法写一个能够截取移动数据包的软件,于是Brida就产生了。
别无所求!网络安全线上资源大全
这是一份超霸道的网络安全知识与网络安全资源列表,其中涵盖了数据威胁,数据泄露、书籍、工作、公司和风险投资的线上资源。
这些网络安全信息列表,可以帮助那些无法抽身工作的IT人员利用度假的空闲时间,仅用随身携带的手机或平板电脑,就可轻松查阅到丰富的网络安全事件、数据、统计等等。
--------------------------------------------------------
以上是本周的安全周刊,想了解更多内容,请访问阿里聚安全官方博客