search
尋找貓咪~QQ 地點 桃園市桃園區 Taoyuan , Taoyuan

阿里聚安全一周一訊 | 2017 RSA大會隆重舉行、蘋果36技術引海量刷單:中國iOS手游10億美元壞賬

阿里聚安全一周一訊第40期出爐。2017 RSA大會正在美國舊金山如火如荼地舉行,作為安全領域的頂級會議,RSA大會吸引了超過30000名與會者、眾多安全初創公司和大型供應商齊聚在此了解應對網路攻擊的最新策略。不妨和小編一起看下本周RSA大會的安全熱點。

點擊文末

「閱讀原文」,可查看完整的文章

一、RSA大會專題

[ 10家企業激烈角逐「創新沙盒」 UnifyID奪得第一 ]

創新沙盒一直是RSA最大的看點之一,通過創新沙盒比賽來鼓勵新創意及探索可能改變信息安全產業的新技術,某種程度上創新沙盒可以看成是整個網路安全行業的技術產品風向標,代表著網路安全未來創新的方向。

在創新沙盒比賽中,10家入圍企業經過激烈角逐,最終提供ID識別認證的UnifyID勝出,獲得「RSAC 2017最具創新安全初創企業大獎。

https://jaq.alibaba.com/community/art/show?articleid=758

[ RSA 2017展台上的那些威脅情報產品 ]

「威脅情報」從理念到產品再到客戶投入使用只用了短短几年時間,這些嗅覺敏銳的企業是如何佔得市場先機的呢?本文從本屆RSA大會上選出幾家有代表性的威脅情報廠商,介紹下他們是如何將理念付諸實際的

[RSA 2017:帶你了解10款國內熱門安全產品]

https://jaq.alibaba.com/community/art/show?articleid=763

[ RSA 2017:帶你了解40款國外熱門安全產品 ]

[ RSA 2017視頻合集 ]

二、安全資訊

[ 蘋果36技術引海量刷單:iOS手游10億美元壞賬 ]

蘋果為提高用戶體驗,對小額支付不進行驗證,用戶發起小於一定金額的消費訂單時,蘋果會直接向遊戲運營商發送「支付成功」憑證,遊戲運營商接收憑證後向用戶發貨。「蘋果36技術」是利用蘋果小額支付漏洞實現的刷單套利業務。該漏洞最終在2016年中期被曝光。初期,由於技術門檻較高,該漏洞並沒有迅速泛濫。但很快,該技術被分析、解剖、完善,在幾個月時間內形成了成熟的灰色產業鏈。

知情人士透露,小額刷單給公司造成的壞賬率約5%,而整個的遊戲公司,平均壞賬率約15%-20%。根據知名移動應用數據與分析平台App Annie提供數據,2016年,iOS區遊戲公司總收入超過50億美元,以此計算,遊戲公司iOS平台總壞賬約10億美元。無論是遊戲公司,還是蘋果,都收不到錢。但蘋果始終沒有更改這一規則。

https://jaq.alibaba.com/community/art/show?articleid=762

[ 企業Android vs iOS到底誰更安全?這才是答案 ]

現如今的智能手機已經完全形成了iOS和Android兩大陣營,關於這兩個系統的對比評價的說法非常多。iOS和Android系統各有優劣,喜歡哪個全憑自己,但是在安全性方面有一個普遍的共識是:iOS比Android要更加的安全可靠。真的是這樣嗎?本文為大家揭曉了答案。

https://jaq.alibaba.com/community/art/show?articleid=760

[ 暗網做生意不容易:黑市開搞漏洞獎勵計劃,最高獎勵10比特幣 ]

很多人不知道,安全是黑產都需要重視的話題。就在上周,大型暗網市場Hansa借鑒了許多公司的普遍做法,發布了漏洞賞金計劃,獎勵金額最高可達10比特幣,約合1萬美元。小編不禁感嘆,暗網也需要「白帽子」。

Hansa發布的這個獎勵計劃,既是害怕執法機關的查處(對網站所有者及其用戶身份的曝光),也是害怕其他黑客前來攪和,從這個層面來說,在暗網做生意還真是比一般的電商處境艱難許多。Hansa分別在網站和社交新聞站點Reddit上發布此消息。

[ 2016網路詐騙白皮書 ]

近幾年,隨著互聯網與傳統企業的廣泛融合,大眾人群對於網路的重度依賴,網路詐騙呈高發趨勢,不法分子也趨向於結成團伙作案,各環節日趨形成互不認識但分工協作、勾聯緊密的利益鏈條,被害人數眾多、損失金額巨大、取證偵查艱難。白皮書摘要:2016-老招出新牌,新招亮瞎眼;2017-精準化詐騙愈加流行,三四線城市與中老年群體是待宰肥肉。具體2016網路詐騙白皮書的數據及相關分析,請點擊鏈接。

二、技術分享

[ Android免Root環境下Hook框架Legend原理分析 ]

現如今,免Root環境下的逆向分析已經成為一種潮流!開發技術在更新迭代,軟體的逆向工程技術也在不停的更新,各位研究軟體安全的朋友們,你們跟上了時代的腳步嗎?

[ 使用符號執行技術解決Android Crackme ]

二進位分析框架提供給我們強大的自動化分析的方法。本文中,我們將看下Angr,一個python實現的用於靜態和動態分析的分析框架。它基於Valgrind的VEX中間層語言。使用一個精簡的載入器「CLE Loads Everything」,這個載入器不是完全精確的,但是能夠載入ELF/ARM的可執行文件,因此對於處理Android的原生庫有幫助。

[ 利用Whatsapp Web服務劫持Whatsapp賬戶 ]

Whatsapp帳號基於手機號碼。這意味著手機號碼就是你的用戶名,它也被用來認證。儘管從隱私的角度看這不是完美的,讓用戶不必再記住另一個密碼,他們可能會被重複使用,甚至更糟,通過釣魚攻擊泄漏。

[ 通過DIVA了解APP安全問題 ]

DIVA(Damn insecure and vulnerable App)是一個故意設計的存在很多漏洞的Android app,目的是為了讓開發、安全工程師、QA等了解Android app常見的一些安全問題,類似dvwa,也可以把它當成一個漏洞演練系統。

三、安全工具

[ 開發者福利:史上最全Android 開發和安全系列工具 ]

工欲善其事,必先利其器,Android開發者值得收藏的開發和安全系列工具

https://jaq.alibaba.com/community/art/show?articleid=759

[ Android里最好用的VPN工具匯總 ]

本文將告訴各位同學如何通過VPN來保護Android手機的隱私安全,你也許不需要花任何的錢,但免費的VPN應用也有其不足之處。

https://jaq.alibaba.com/community/art/show?articleid=756

[ 如何在Android上發送加密郵件?推薦這四大神器 ]

在移動網路安全意識增加的時代,大家都希望自己發送消息不被其他人偷窺。無論是公司的機密業務還是個人的敏感數據,都需要被加密。不過說到加密,這可是個技術活,不知道你會不會,本文提供4種神器,讓你輕鬆搞定這一切。

這四種方式都可以在Android平台上發送加密郵件。雖然發送方法有所不同,但都能起到加密的效果。

https://jaq.alibaba.com/community/art/show?articleid=752

移動安全 | 數據風控 | 內容安全 | 實人認證



熱門推薦

本文由 yidianzixun 提供 原文連結

寵物協尋 相信 終究能找到回家的路
寫了7763篇文章,獲得2次喜歡
留言回覆
回覆
精彩推薦