【阿里聚安全·安全周刊】500美元可暴力破解iPhone 7鎖屏密碼 | 機器人"番茄殺手"出現

本周安全熱詞

▼

500美元暴力破解iPhone 7丨GhostClicker安卓幽靈丨機器人殺手丨蘋果密鑰曝光丨銀行木馬覆蓋租車程序丨Android 8.0 發布丨0day漏洞漲價丨iOS 10.3.1 ziVA內核漏洞利用

1、一種500美元設備可暴力破解iPhone 7鎖屏幕密碼

根據一個視頻顯示，一個價值500美元的小型設備利用了蘋果iPhone 7和iPhone 7 Plus獨一無二的新漏洞，暴力破解iPhone 7鎖屏幕密碼，並且一次最多破解三個手機的iOS鎖屏密碼。

YouTuber用戶「EverythingApplePro」提供了這個破解演示視頻，他指出，這種漏洞在舊版設備，如iPhone 6或iPhone SE上無效。此外，它僅適用於iOS 10.3.3或最新的iOS 11測試版。

詳情鏈接：http://jaq.alibaba.com/community/art/show?articleid=1037

2、IO Active破解了一台機器人：將之變為揮舞螺絲刀的番茄殺手

各界百餘名人工智慧與機器人專家聯名向聯合國遞交了一封公開信，要求其嚴格限制殺戮機器人的開發。而總部位於西雅圖的網路安全公司 IO Active，近日亦指出了一個令人不安的事實 —— 當前市面上許多機器人，都非常容易被破解、並導致潛在的傷害。除了工業機器人，IO Active 也強調了不可忽視家庭機器人的安全，比如 Universal Robots、Softbank Group Corp、以及 UBTech Robotics 公司的相關產品（分別代表美、日、中三國企業）。

為了展示機器人被黑客入侵后的網路安全隱患，IO Active 發布了一條雖然簡短、但卻令人毛骨悚然的演示視頻。在給被黑的 UBTech 小型自治機器人遞上一把螺絲刀之後，其可迅速變身為一個可怕的番茄殺手。

IO Active 表示，其已於今年早些時候，向這些公司發去了 50 個以上的已知隱患警告。遺憾的是，這些公司並沒有嚴肅對待，IO Active 這才試圖通過發布報告來喚起業界的注意。

詳情鏈接：http://jaq.alibaba.com/community/art/show?articleid=1046

3、GhostClicker? 幽靈般的安卓點擊欺詐應用

最近，我們發現了一個影響十分廣泛的自動點擊廣告軟體，事實上，我們了解到Google Play有多達340個這樣的應用程序，其中一個名為「阿拉丁冒險世界」的，甚至被下載了500萬次。這些廣告嵌入式應用程序的類型包括休閒遊戲，提升設備性能實用程序，如清理工具和加速器，文件管理器，QR及條形碼掃描程序、多媒體錄像機、播放器、設備充電器和GPS /導航等相關應用程序。

我們對這些廣告軟體的檢測主要依賴於GhostClicker（ANDROIDOS_GHOSTCLICKER.AXM），因為它的自動點擊程序往往都是隱藏在谷歌最流行的應用程序和應用程序介面（API）的Google移動服務（GMS）中。GhostClicker也可以隱藏在Facebook廣告的軟體開發工具包（SDK）中。它將自己嵌入這兩個偽裝成一個名為「logs」的軟體，我們猜測這可能是為了避免冒充合法的應用程序組件會引起懷疑。

廣告是移動生態系統中的無害主義者。然而，GhostClicker則展示了廣告軟體如何進行入侵，當然更不用說擠占設備的資源 – CPU，電池和互聯網數據等。另外其還可能在不知情或者同意的情況下收集個人信息，，使用戶的隱私處於危險之中。除此之外，廣告軟體還可以將用戶暴露於那些遠不止是廣告軟體的真正的惡意軟體中。

詳情鏈接：http://jaq.alibaba.com/community/art/show?articleid=1038

【iOS】Secure Enclave解密密鑰曝光 蘋果「不理」

本周早些時候，黑客 xerub 發布了 Secure Enclave Processor 固件的「解密密鑰」。當時我們就已經提醒過用戶，接下來會有一場關於這個固件「解密密鑰」的風波。用戶大可以放心，這個解密密鑰不會影響到 Secure Enclave 的安全。蘋果方面好像也不會對此採取什麼特別的措施。

Secure Enclave 是獨立於主處理器和整個系統的。它有自己的固件，獨立更新，斷絕與主處理器之間的一切聯繫。設備對 Secure Enclave 所做的事情是一無所知的。

蘋果非常自信，認為對 Secure Enclave 固件的分析不會影響到任何加密密鑰、支付標記、指紋數據和其他安全保存在這個協處理器加密內存中的信息。

詳情鏈接：http://jaq.alibaba.com/community/art/show?articleid=1035

【安卓】Android銀行木馬Faketoken更新，利用屏幕重疊竊取銀行信息

卡巴斯基實驗室的安全研究人員發現了一個名為Faketoken的Android銀行木馬的新版本，它可以檢測並記錄受感染設備，並在諸如計程車預訂程序上覆蓋真實界面以竊取銀行信息。

目前，這個被稱為Faketoken.q的銀行木馬新版本，正在以批量簡訊的形式向大量用戶進行分發，提示用戶下載惡意軟體的圖像文件。

而一旦下載了，惡意軟體將會安裝必要的模塊和主要的payload，隱藏其快捷方式圖標，並開始監控受感染Android設備及呼叫到的應用程序上的所有內容。

當受害者設備上的某些電話號碼進行呼叫或接收時，惡意軟體開始記錄這些對話，並將記錄發送到攻擊者的伺服器。

此外，Faketoken.q還會檢測到智能手機持有者此刻正在使用哪些應用程序，以及當檢測到可以模擬的界面時，該木馬會使用假的用戶界面並立即覆蓋應用程序。

詳情鏈接：http://jaq.alibaba.com/community/art/show?articleid=1036

【安卓】手機銀行木馬程序將目光投向約車服務類APP

不出意料地，Android銀行木馬運營商最終把目光投向了用戶常用的各類APP上，尤其是涉及處理用戶財務數據的日常使用的應用程序。手機銀行木馬程序能夠監控用戶打開的應用程序，並在頂層顯示一個偽造的登錄頁，誘騙用戶輸入身份憑據或支付／銀行卡／信用卡之類的財務信息。

早期，Android的銀行木馬主要面向手機端的銀行類應用程序，通過偽造的登錄頁面收集用戶憑據，然後登錄受害者的銀行帳戶，最終竊取資金。

為應對此類攻擊，大多數網銀APP在交易過程中添加了移動交易認證號碼（mTAN）以確認用戶身份。然而，銀行木馬也發生了演變，添加了簡訊攔截和重定向等功能，得以繼續完成未經授權的登錄和進行欺詐性交易。

隨著銀行木馬程序的發展，騙子們試圖通過惡意軟體來尋找並竊取新的數據。儘管過程是漸變的，但可以肯定的是，Android銀行木馬程序開始收集更多的數據，它們的目標不僅僅是銀行憑證了。

詳情鏈接：http://jaq.alibaba.com/community/art/show?articleid=1039

【安卓】Android 8.0發布，10個比較重要的功能更新

谷歌在紐約日食主題活動的儀式上，宣布了一位新朋友加入Android系統的大家庭—— Android 8.0 ，代號Oreo（奧利奧）。此次Android 8.0 的更新越來越全面，在功能、流暢、安全都不落下風，據說谷歌 Pixel 在安卓 8.0 下的開機速度要比安卓 7.1.1 快 2 倍。

阿里聚安全小編總結了10個Android O 比較重要的更新，具體功能見鏈接

詳情鏈接：http://jaq.alibaba.com/community/art/show?articleid=1041

【安卓】谷歌從 Google Play 上移除逾 500 款惡意應用

近日消息，出於對間諜軟體的恐慌，谷歌從其在線應用程序商店刪除了超過500款應用程序。本周，網路安全公司Lookout的研究人員透露，發現超過500款應用程序可通過Google Play進入到用戶的手機，傳播間諜軟體。在應用程序中使用的某些軟體，可在不提醒應用程序製造商的情況下，秘密將用戶的個人數據轉移到其設備上。

該公司補充說，許多應用程序開發人員可能不知道存在這些安全漏洞。

Lookout列舉了兩款受影響的應用程序——Lucky Cash和SelfieCity，兩者隨後均被鎖定。該公司沒有透露其他受影響的應用程序，但他們說，其中包括面向青少年的手機遊戲、天氣應用程序、在線電台、照片編輯、教育、健康、健身和家庭攝像機應用程序。

所有受影響的應用程序都使用了同一種軟體開發工具包（SDK），它可以幫助公司根據用戶喜好對應用程序中的廣告進行定向，收集用戶數據。Lookout人員發現，嵌入在應用程序中的Igexin廣告SDK能夠使這些應用程序與外界伺服器進行交流，安全公司說，後者曾經向人們提供過惡意軟體。

詳情鏈接：http://jaq.alibaba.com/community/art/show?articleid=1044

【漏洞】Zerodium：通訊類APP類的0day漏洞漲價，獎金高達50萬美元

安全漏洞軍火商」Zerodium剛剛宣布了對加密通訊類軟體的0day漏洞提出了新的定價結構。獎金高達50萬美元。

Zerodium指出，如能在通訊類APP中，如WhatsApp、Signal、Facebook Messenger、iMessage、Telegram等挖到遠程代碼執行和本地許可權提升類0day漏洞則可獲得50萬美元的獎勵。

加密通訊類軟體已成為執法部門、各國政府和對隱私比較敏感的用戶的焦點。

去年當FBI堅持讓蘋果公司協助打開一名恐怖分子的iPhone時，這些APP受到的關注達到頂峰。最終以FBI尋求以色列一家公司的協助收場。

詳情鏈接：http://jaq.alibaba.com/community/art/show?articleid=1043

【首發】關於iOS 10.3.1 ziVA內核漏洞利用的簡單分析

Zimperium放出了iOS 10.3.1的內核漏洞的利用，配合P0的過沙盒漏洞可以做到內核的任意讀寫。

這次放出的代碼不是一個POC，而是一個完整的內核利用exp。研究價值是非常巨大的。EXP 的下載地址是：https://github.com/doadam/ziVA

這個漏洞利用所做的事情就是在沙盒外，利用三個內核驅動的漏洞獲取內核任意讀寫的能力，並將自己的進程提權為root。

詳情鏈接：http://jaq.alibaba.com/community/art/show?articleid=1045

* 完整文章詳情，請點擊「閱讀原文」

▼

移動安全 | 數據風控 | 內容安全 | 實人認證