本周热词:CCleaner用户感染丨 人民网评算法推荐丨阿里十大黑科技-内容安全检测技术 丨Equifax数据泄露致高管离职丨 Python 10 款恶意代码安装包丨美国国土安全部出手加速移动安全企业发展 丨色情低俗成部分客户端顽疾丨 CVE-2016-10191分析利用丨Code Arbiter 丨BlueBrone攻击综合分析报告
本周资讯top3:
警告:CCleaner被用于散播恶意软件,超过230万用户受到感染
CCleaner是一款免费的系统优化和隐私保护工具,目前已经拥有超过20亿次下载量。其由Piriform公司开发并最终被Avast所收购,用于帮助用户清理计算机系统以优化并增强性能表现。
根据Cisco Talos昨日发布的报告,如果大家曾经在今年8月15日到9月12日之间在自己的计算机上通过官方网站下载或者更新CCleaner应用,那么请务必当心——您的计算机已经受到入侵。
来自思科Talos小组的安全研究人员们发现,Avast公司所使用的下载服务器受到某些未知黑客的入侵,其利用恶意代码替换了该软件的原始版本,并在一个月左右时间之内将其散播至数百万用户当中。
这里强烈建议受到感染的用户将CCleaner软件更新至5.34或者更高版本,从而避免相关计算设备遭到入侵。目前最新版本的下载已经正式开放。
最新版本下载地址见网页
人民网三评算法推荐:警惕算法走向创新的反面
拥有精密算法和先进数据抓取技术的智能信息平台,为什么屡屡游走在法律的灰色地带而不能自拔?为什么总在打规则的擦边球?
技术的迭代与创新,确实容易突破法律的边界,踏入规则的“无人区”。正如经济学家熊彼特用“创造性破坏”来描述一些具有开创性的工作,突破现有秩序边界,甚至可能构成创新的前提条件。
然而这并不意味着,技术和算法就可以“为所欲为”,随意地突破秩序和规则的底线。一旦失去节制的美德,算法也可能误入歧途,甚至走向创新的反面。
避免算法走向创新的反面,需要完善相关法律法规,在执法过程中加强对侵权行为的处罚力度,保护原创者应得的回报;但更重要的,则是需要平台企业肩负起相应的社会责任,在为用户提供便利的同时,更要守住底线、把住红线,呵护整个社会的创新价值。
阿里系展示十大黑科技,内容安全检测技术上榜
“2017网络安全博览会暨网络安全成就展”(网络安全周)正式启动,打造主题 “网络安全为人民,网络安全靠人民”。
阿里巴巴分享了阿里系最新的“十大安全黑科技”包括了“支付宝刷脸支付”、“钱盾全局防钓鱼技术”、“天猫精灵-钱盾防骗智能机器人”、“反黄牛技术”,以及“酒店入住核身技术”、“物联网安全技术”、“御城河信息防控技术”、“声纹识别技术”、“内容安全检测技术”和基于数据安全能力沉淀总结并推广的“数据安全成熟度模型(DSMM)”。
内容安全检测技术基于深度学习技术以及阿里巴巴集团的海量数据支撑,通过训练算法模型能够精确的识别文本,图片和视频中的不良信息。致力于营造健康、文明、绿色的网络环境,“让你看到最美的世界”。内容安全检测技术从各种实际场景出发提供了图片智能鉴黄服务、视频智能鉴黄服务、ocr图文识别服务、图片暴恐涉政识别服务、图片敏感人脸识别服务、图片广告识别服务、文本反垃圾服务等覆盖互联网内容生态产业的最新前沿产品。查询结果支持秒回,准确率更是超过了99%。
移动安全资讯
【数据泄露】Equifax发生大规模数据泄露后 两名负责信息和安全的高管宣布离职
信贷机构Equifax发生大规模数据泄露致使1.43亿美国民众信息遭盗取后, 该公司两名负责信息和安全的高管宣布将离开。Equifax周五在新闻稿中宣布,Equifax首席信息官Susan Mauldin和首席信息官David Webb“将离开”。
Equifax此前表示,该公司相信黑客通过Apache Struts的软件漏洞入侵其系统。这个漏洞的补丁是在3月份提供的,而Equifax则表示其在五月份遭遇黑客攻击,引起批评者质疑Equifax是否及时修复软件漏洞。
Equifax还没有澄清当数据被盗时是否修复了这一漏洞。
jaq.alibaba.com/community/art/show?articleid=1083
【Python】Python PyPI 被发现含有 10 款恶意代码安装包
斯洛伐克国家安全局( NBU )研究人员近期在编程语言 Python 的第三方存储库 PyPI 中发现 10 款含有恶意代码的 Python 安装包,旨在感染目标主机系统、窃取用户敏感信息。
攻击者主要使用一种被称为 “误植域名” 的技术,即在上传类似合法程序安装包至索引时( 例如:“ urlib ” 而并非 “ urllib ” ),PyPI 存储库不会执行任何类型的安全检查或审计,因此攻击者在线传播这些模块并不困难。另外,攻击者还会将恶意代码植入软件安装脚本,以便快速感染目标用户系统。
由于这些软件安装包的恶意代码基本相同,因此它们的功能大同小异。不过,尽管在安装脚本 setup.py 时将会被植入恶意代码,但它们对于主机系统来说相对无害。
安全专家除了要求 Python 程序人员检查他们的软件安装包是否遭受感染外,还建议他们在下载 Python 安装包时避免使用 “ pip ”(一个 Python 包安装程序),因为 pip 不支持加密签名。
【企业】美国国土安全部频频出手,加速移动安全企业发展
在移动计算安全方面,政府机构面临的挑战不仅来自传统的软件漏洞,还包括可通过移动应用程序获取的大量不同的服务。9月6日,Kryptowire公司与红帽公司获得了国土安全部(DHS)第二份价值190万美元的合同,以确保应用程序整个开发周期的安全性。两年前,国土安全部科技局便开始积极推动移动应用程序的验证和威胁防护,而且还授予Kryptowire公司合同,以开展风险评估、漏洞分析及移动应用备案等工作。Kryptowire公司产品副总裁汤姆?詹嘉礼表示,过去的工作重点是测试第三方应用程序。新的合同将对处于研发过程中的移动应用程序进行分析,以便能够在应用程序出现于用户设备或应用商店前发现安全或隐私问题。
科技局还授出了其他三项有关移动应用安全研究的合同:
1、高通技术公司获得184万美元,用于演示验证如何将移动应用安全性集成到设备的硬件。
2、合技术研究中心获得145万美元合同,用于开发混合移动设备云环境,以检测恶意和易受攻击的应用程序,并构建基于设备的行为监控服务,以实时动态跟踪审核应用程序的行为。
3、Apcerto公司获得164万美元的合同,用于开发基于预定义标准的应用程序评级解决方案,并创建协调整个移动应用安全流程的协调框架。
【企业】为何色情低俗成部分客户端顽疾?人民网评:不能让算法决定内容
以今日头条、一点资讯为代表的智能新闻客户端,凭借强大的算法、先进的数据抓取技术,能够精准分析并解读用户的阅读习惯和兴趣,从而为用户提供量身定制的新闻产品,满足了个性化的需求,顺应了阅读分众化的时代潮流。
然而技术红利的背后,也有阳光照不到的地方。传播色情低俗内容,还只是智能新闻平台在内容分发方面所面临的难题之一。再比如未经科学验证的健康知识、夸大其词的广告、只为博眼球的标题党、过于情绪化的观点乃至毫无用处的信息,都时常出现在智能平台首页的推荐当中。
内容的野蛮生长,在任何一个时代都存在,其背后有更深层次的经济社会根源乃至人性的因素,不能完全由哪个平台来“背锅”。然而也必须承认,在互联网时代,特别是大数据技术和算法时代,这种野蛮生长被加快了、放大了、凸显了。
这些问题,也许最终还是要从算法本身入手解决。据了解,有些智能平台已经意识问题的严重性,正在开发更先进的技术和算法,超越事后处罚的传统方式,尝试在信息传播的前端加强对内容的把关。或者超越“眼球新闻”,将更多有价值的评价标准引入新闻产品的分发过程。此外,“人机结合”有可能是另一种值得尝试的路径。
技术分享
【首发】CVE-2016-10191 FFmpeg RTMP Heap Buffer Overflow 漏洞分析及利用
FFmpeg是一个著名的处理音视频的开源项目,使用者众多。2016年末paulcher发现FFmpeg三个堆溢出漏洞分别为CVE-2016-10190、CVE-2016-10191以及CVE-2016-10192。网上对CVE-2016-10190已经有了很多分析文章,但是CVE-2016-10191尚未有其他人分析过。本文详细分析了CVE-2016-10191,是学习漏洞挖掘以及利用的一个非常不错的案例。
在 RTMP协议中,最小的发送数据包的单位是一个 chunk。客户端和服务器会互相协商好发送给对方的 chunk 的最大大小,初始为 0x80 个字节。一个 RTMP Message 如果超出了Max chunk size, 就需要被拆分成多个 chunk 来发送。在 chunk 的 header 中会带有 Chunk Stream ID 字段(后面简称 CSID),用于对等端在收到 chunk 的时候重新组装成一个 Message,相同的CSID 的 chunk 是属于同一个 Message 的。
在每一个 Chunk 的 Message Header 部分都会有一个 Size 字段存储该 chunk 所属的 Message 的大小,按道理如果是同一个 Message 的 chunk 的话,那么 size 字段都应该是相同的。这次漏洞的起因是对于属于同一个 Message 的 Chunk的 size 字段没有校验前后是否一致,导致写入堆的时候缓冲区溢出。
【蓝牙】基于蓝牙协议漏洞的BlueBrone攻击综合分析报告
近期,物联网安全公司 Armis Labs 披露了一个攻击向量 BlueBrone,称攻击者可利用一系列与蓝牙相关的安全漏洞,在一定场景下可实现对具有蓝牙功能的远端设备的控制,进而窃取受害者数据,进行中间人攻击以及在感染一个设备后蠕虫式感染其它设备,且此攻击方式无需向用户申请认证授权,具有较大的危害性。
蓝牙协议是中短距离无线通信采用的常用协议,但由于其规则庞大、架构复杂、功能模块繁多,且一些功能允许厂商自定义,直接导致很多蓝牙设备并未选择相对安全的加密通信方式;另外,一些设备由于自身性质原因,无法执行特定身份认证过程(例如蓝牙耳机无法执行“密钥输入”安全模式,因为耳机设备上就没有可供键盘输入的接口) 。这是造成此次蓝牙安全威胁的两大直接原因。
由于很多用户日常习惯默认开启蓝牙设备,便于攻击者扫描进而获得地址;另外在手机、电脑等设备中蓝牙地址与无线WiFi地址很接近或完全相同,使得攻击者很容易通过嗅探无线网络数据包进而推出目标蓝牙设备的地址。
不像其它驱动一样,每个操作系统都只有一个蓝牙协议栈,这导致一个漏洞的发现将会影响一系列基于此系统的设备。
【Android】Android Studio源码扫描工具:Code Arbiter
Android应用代码漏洞扫描工具主要是在应用打包完成后,对应用进行解包扫描。而专门针对Android Studio中的源码进行漏洞扫描的工具则较少,且覆盖的漏洞种类不全,很难满足安全检测的需求,Android Code Arbiter就是为弥补上述缺陷而产生的。该工具依托FindBugs插件,根据Find Security Bugs为蓝本进行更改,以扩展jar包的形式在FindBugs上运行。
详情以及链接见↓↓↓
-------------------------------------------------------
以上是本周的安全周刊,想了解更多内容,请访问阿里聚安全官方博客
