【阿里聚安全·安全周刊】蘋果已清除10萬個不良iOS應用 | 2017年最佳iPhone滲透APP及工具

2017/06/23

本周熱詞

本周安全熱詞:蘋果清除10萬個不良iOS應用 | 210萬三星手機爆安全風險| Ztorg木馬分析 | 最佳iPhone滲透APP及工具 | Android平台最佳防毒軟體排名|NSA在Github上公開32個項目

* 周刊內文詳情,請點擊下方「閱讀原文」

【資訊篇】

1、對待不良應用態度堅決 蘋果已清除10萬個iOS app

在清理垃圾、盜版應用上,蘋果的態度很堅決,沒有任何商量的餘地,不合規一律下架。就在剛剛,蘋果發布官方聲明,他們的確在清理一些不良應用,為的是給用戶一個高品質應用使用環境,同時這項工作並不是一時的,而是長久進行的。此外,在這份官方聲明中,蘋果強調這項持續性舉措於2016年下半年推出,迄今為止全球範圍內已經有超過10萬個App被移除。

蘋果本次「清掃」的App主要有五種:

1、山寨克隆應用;

2、傳播盜版音樂內容;

3、多年無人下載的應用;

4、不兼容64應用系統;

5、有安全隱患的熱更新應用;

2、三星說我忘了,讓210萬手機用戶面臨安全風險

三星智能手機在2014年之前,預安裝了一款名為S Suggest的應用程序(和三星應用商城類似),其目的是根據現有的APP、搜索和其他行為因素向用戶推薦應用程序。

但在2014年停止了S Suggest的功能,所以在ssuggest.com域名到期后,三星並未再次續費。但是研究者發現210萬的手機依舊向ssuggest.com發起通信請求,次數高達6億2000千萬次,並試圖從該域名里檢索內容。這意味著黑客可以利用該域名來攻擊210萬的三星手機用戶,並且S Suggest擁有高級許可權,因此黑客能安裝APP,提取數據,竊取個人信息等。所幸研究人員已經買下ssuggest.com域名,以上安全風險將不會發生。

3、AV-TEST給出Android平台最佳防毒軟體排名

安全研究所AV-TEST進行的一項研究揭示了Android的最佳防病毒解決方案,幫助用戶提升Android智能手機上數據安全性。測試結果顯示,總共有7種不同的安全產品得到了最大的分數,具有完美的性能和可用性分數。

4、警惕!「釣魚」又出新方式 黑客利用連字元偽造URL進行網路釣魚

研究人員透露,新的攻擊策略依賴於移動瀏覽器具有URL地址欄過窄,從而阻礙了用戶查看全部鏈接內容的漏洞。利用這個漏洞,黑客用子域名和連字元等字元串來填充URL,這讓整個鏈接在移動設備中看起來十分真實,可一旦用戶進入則會引導用戶到釣魚網址。

事實上,這一點曾在PC端也有出現過,但是由於PC端的地址欄較長,一些釣魚網址很容易識破。而在手機端,URL填充方法就非常有效地掩蓋了網站的真實域名,移動用戶很難發現這一問題。

解決這一問題的辦法在於確認並檢查完整域名,而不僅僅是HTTP的部分,每一個字元的錯誤都可能進入釣魚網站;安全掃描,屏蔽大多數釣魚網站;不要點擊簡訊和郵件里的鏈接,這些鏈接的危險度較高,如果有必要一定要仔細檢查。

5、質檢總局:智能攝像頭抽檢八成存隱患 或致視頻泄露

據央視新聞6月18日報道,破解智能攝像頭的密碼,侵入相關係統,偷看或直播智能攝像頭監控內容,已經成為一條非法產業鏈。共從市場上採集樣品40批次,結果表明,32批次樣品存在質量安全隱患。

質檢總局的風險提示稱,智能攝像頭可能存在終端安全、後端信息系統安全、數據傳輸安全、移動應用安全等質量安全隱患,若消費者使用不當或超預期使用,容易導致個人隱私信息泄露、財產損失等危害。

6、共和黨合作數據公司意外泄漏近2億美國選民的個人資料

在共和黨國家委員會簽約的一家營銷公司本月泄漏了超過1.98億美國公民的政治數據。數據泄露包含大約61%的美國人大量個人信息。除了家庭地址,出生日期和電話號碼之外,這些記錄還包括政治團體採用的先進情緒分析來預測個人選民如何處理熱門問題,如槍支所有權,幹細胞研究和墮胎權,以及宗教信仰和種族。

UpGuard網路風險分析師Chris Vickery上周在線發現了這些數據。他發現超過1TB的存儲在雲伺服器上,無需保護密碼,任何人可以訪問,這引起了重大的隱私問題,這對有惡意目的的人來說是有價值的。

7、Linux、OpenBSD紛紛中招:Stack Clash提權漏洞曝光

Linux, OpenBSD, NetBSD, FreeBSD和Solaris系統被爆存在非常嚴重的內存衝突漏洞,允許攻擊者獲取root許可權並全權控制受感染的系統。這個問題最早由安全供應商Qualys發現,並根據該漏洞需要和其他的內存區的堆棧進行「碰撞衝突」特性,將其命名為「Stack Clash」(堆棧衝突)。

根據研究員的報告,在電腦上執行的每個程序都會使用到內存堆棧,該區域會根據程序的需求自動擴充。但是如果擴充太多以至於太靠近另一個內存堆棧區域,那麼程序就會被搞亂,那麼黑客就可以趁亂覆蓋該內存堆棧區。

這種攻擊方式(CVE-2010-2240)在2005-2010年期間已經被發現,直到Linux系統發展堆棧保護頁(stack guard-page)大幅降低了此類攻擊,這是一個4KB大小的內存頁面會映射當前的堆棧。 不過Qualys在最新的測試中打造了7款攻擊程序,證明這種保護形式是完全不夠的。

8、Ztorg木馬分析: 從Android root木馬演變到簡訊吸血鬼

本月內的第二次,Google 從官方應用商店 Google Play 移除了偽裝成合法程序的惡意應用。被移除的應用都屬於名叫 Ztorg 的 Android 惡意程序家族。目前為止,發現了幾十個新的Ztorg木馬的變異程序,無一例外都是利用漏洞在受感染的設備上獲得root許可權。

但是卡巴斯基實驗室的安全研究人員發現,在2017年5月下旬以來,在最新捕獲的Ztorg木馬(Magic Browser、Noise Detector)的變異程序中,卻發現它們並沒有使用設備的root許可權。黑客利用了惡意木馬,在感染的設備中發送付費簡訊(Premium Rate SMS)並立即刪除,同時關閉設備的聲音,用戶資金在不知不覺中被竊取。

9、2017年最佳iPhone滲透APP及工具

iPhone上真的就無法使用任何黑客應用了嗎?當然不是啦!下面,就為大家隆重推薦幾款iPhone下最佳的黑客應用及工具。

10、NSA在Github上公開32個項目

本文所談到的技術都是美國國家安全局(NSA)開發的,現以開源軟體的方式向公眾公開。NSA 技術轉化計劃(TTP)希望與通過合作的方式與有創新的機構將他們的技術轉化到商業市場。開源軟體(OSS)通過協作的方式進行技術開發。鼓勵大家使用和採用相關項目。通過採用,改進或者商業化軟體等方式,使公眾受益。政府也會受益於開源社區對技術的改進。

本文由 一點資訊 提供 原文連結

點擊愛心,感謝大大無私地分享
喜歡
寫了5859469篇文章,獲得2304次喜歡
Line
則回覆

熱門推薦

精彩推薦

全球首個去中心化移動網絡Qlink宣布與Block Array攜手合作,而後者是一家公司,在基於區塊鏈的信息記錄的支持下,支持進行卡車貨運物流的眾包 新加坡2018年2月21日電 /美通社/ -- Qlink和Block Array今天宣布雙方...
香港2018年2月21日電 /美通社/ -- 半島酒店集團欣然宣布,與美國女子職業高爾夫球巡迴賽(LPGA - The Ladies Professional Golf Association)選手陳芷澄小姐(Tiffany Chan)結成合作夥伴,在2018年期間陳氏將...
★第1季第5集:過勞求償案-Crash I’m used to high-pressured environments. They arrive at the conference room. Mr. Harkin, I’m putting you on speaker. She sets the iPhone in the middle of the table. W...
新聞中心/整理 新加坡網羅了全世界最受追捧的酒吧,去年以13間上榜酒吧搶進頒獎典禮,其中包括第一名的Manhattan Bar,新加坡因此成為舉辦頒獎典禮的必然之選,5月4日至13日,新加坡想當然爾也成為Singapore Cock...
記者翁正杉/五結報導 國立傳藝中心推出10兩黃金龜擲筊比賽,三天來已有1892人參加,今天出現一位上身穿著豹紋的年青人,在第二次擲筊時,竟然連續13個聖杯,這位豹紋哥目前已摸到黃金龜了,除非還有比他更多聖杯...
這次收購Axentel Technologies不僅能改善Park Place在整個IT生命週期中所提供的服務,也能進一步擴大公司在東南亞地區的業務版圖,為客戶帶來更佳服務。 俄亥俄州克利夫蘭2018年2月21日電 /美通社/ -- Park Plac...
記者翁正杉/宜蘭報導 宜蘭縣政府例行性的「鄉鎮座談會」,今年在代理縣長陳金德主政後以「縣政開講」為題,自2月26日起從宜蘭市出發將巡迴12鄉鎮到3月10日完成,陳金德強調「安居樂業」與「韌性城市」,就是現階...
什麼是肉刺? 是靠近指甲鬆弛或疼痛的底部或旁邊的一塊皮膚。     【肉刺有什麼症狀】 第一個症狀是疼痛。此外,還有紅色的皮膚膿腫。如果沒有被發現的話,可能會導致感染       【什麼原因造成肉刺】 通常由於乾...
新聞中心/整理 Bob Adams榮獲美國國家工程學院(NAE)院士,並為ADI 先進技術孵化器和新業務加速器Analog Garage的重要研究員,透過專長引領了醫療、汽車和消費性電子產品之訊號處理及演算法創新,ADI公司以表彰A...