【阿里聚安全·安全周刊】蘋果已清除10萬個不良iOS應用 | 2017年最佳iPhone滲透APP及工具

本周熱詞

▼

本周安全熱詞：蘋果清除10萬個不良iOS應用 | 210萬三星手機爆安全風險| Ztorg木馬分析 | 最佳iPhone滲透APP及工具 | Android平台最佳防毒軟體排名|NSA在Github上公開32個項目

* 周刊內文詳情，請點擊下方「閱讀原文」

【資訊篇】

1、對待不良應用態度堅決 蘋果已清除10萬個iOS app

在清理垃圾、盜版應用上，蘋果的態度很堅決，沒有任何商量的餘地，不合規一律下架。就在剛剛，蘋果發布官方聲明，他們的確在清理一些不良應用，為的是給用戶一個高品質應用使用環境，同時這項工作並不是一時的，而是長久進行的。此外，在這份官方聲明中，蘋果強調這項持續性舉措於2016年下半年推出，迄今為止全球範圍內已經有超過10萬個App被移除。

蘋果本次「清掃」的App主要有五種：

1、山寨克隆應用；

2、傳播盜版音樂內容；

3、多年無人下載的應用；

4、不兼容64應用系統；

5、有安全隱患的熱更新應用；

2、三星說我忘了，讓210萬手機用戶面臨安全風險

三星智能手機在2014年之前，預安裝了一款名為S Suggest的應用程序（和三星應用商城類似），其目的是根據現有的APP、搜索和其他行為因素向用戶推薦應用程序。

但在2014年停止了S Suggest的功能，所以在ssuggest.com域名到期后，三星並未再次續費。但是研究者發現210萬的手機依舊向ssuggest.com發起通信請求，次數高達6億2000千萬次，並試圖從該域名里檢索內容。這意味著黑客可以利用該域名來攻擊210萬的三星手機用戶，並且S Suggest擁有高級許可權，因此黑客能安裝APP，提取數據，竊取個人信息等。所幸研究人員已經買下ssuggest.com域名，以上安全風險將不會發生。

3、AV-TEST給出Android平台最佳防毒軟體排名

安全研究所AV-TEST進行的一項研究揭示了Android的最佳防病毒解決方案，幫助用戶提升Android智能手機上數據安全性。測試結果顯示，總共有7種不同的安全產品得到了最大的分數，具有完美的性能和可用性分數。

4、警惕！「釣魚」又出新方式 黑客利用連字元偽造URL進行網路釣魚

研究人員透露，新的攻擊策略依賴於移動瀏覽器具有URL地址欄過窄，從而阻礙了用戶查看全部鏈接內容的漏洞。利用這個漏洞，黑客用子域名和連字元等字元串來填充URL，這讓整個鏈接在移動設備中看起來十分真實，可一旦用戶進入則會引導用戶到釣魚網址。

事實上，這一點曾在PC端也有出現過，但是由於PC端的地址欄較長，一些釣魚網址很容易識破。而在手機端，URL填充方法就非常有效地掩蓋了網站的真實域名，移動用戶很難發現這一問題。

解決這一問題的辦法在於確認並檢查完整域名，而不僅僅是HTTP的部分，每一個字元的錯誤都可能進入釣魚網站；安全掃描，屏蔽大多數釣魚網站；不要點擊簡訊和郵件里的鏈接，這些鏈接的危險度較高，如果有必要一定要仔細檢查。

5、質檢總局：智能攝像頭抽檢八成存隱患 或致視頻泄露

據央視新聞6月18日報道，破解智能攝像頭的密碼，侵入相關係統，偷看或直播智能攝像頭監控內容，已經成為一條非法產業鏈。共從市場上採集樣品40批次，結果表明，32批次樣品存在質量安全隱患。

質檢總局的風險提示稱，智能攝像頭可能存在終端安全、後端信息系統安全、數據傳輸安全、移動應用安全等質量安全隱患，若消費者使用不當或超預期使用，容易導致個人隱私信息泄露、財產損失等危害。

6、共和黨合作數據公司意外泄漏近2億美國選民的個人資料

在共和黨國家委員會簽約的一家營銷公司本月泄漏了超過1.98億美國公民的政治數據。數據泄露包含大約61%的美國人大量個人信息。除了家庭地址，出生日期和電話號碼之外，這些記錄還包括政治團體採用的先進情緒分析來預測個人選民如何處理熱門問題，如槍支所有權，幹細胞研究和墮胎權，以及宗教信仰和種族。

UpGuard網路風險分析師Chris Vickery上周在線發現了這些數據。他發現超過1TB的存儲在雲伺服器上，無需保護密碼，任何人可以訪問，這引起了重大的隱私問題，這對有惡意目的的人來說是有價值的。

7、Linux、OpenBSD紛紛中招：Stack Clash提權漏洞曝光

Linux, OpenBSD, NetBSD, FreeBSD和Solaris系統被爆存在非常嚴重的內存衝突漏洞，允許攻擊者獲取root許可權並全權控制受感染的系統。這個問題最早由安全供應商Qualys發現，並根據該漏洞需要和其他的內存區的堆棧進行「碰撞衝突」特性，將其命名為「Stack Clash」（堆棧衝突）。

根據研究員的報告，在電腦上執行的每個程序都會使用到內存堆棧，該區域會根據程序的需求自動擴充。但是如果擴充太多以至於太靠近另一個內存堆棧區域，那麼程序就會被搞亂，那麼黑客就可以趁亂覆蓋該內存堆棧區。

這種攻擊方式（CVE-2010-2240）在2005-2010年期間已經被發現，直到Linux系統發展堆棧保護頁（stack guard-page）大幅降低了此類攻擊，這是一個4KB大小的內存頁面會映射當前的堆棧。 不過Qualys在最新的測試中打造了7款攻擊程序，證明這種保護形式是完全不夠的。

8、Ztorg木馬分析： 從Android root木馬演變到簡訊吸血鬼

本月內的第二次，Google 從官方應用商店 Google Play 移除了偽裝成合法程序的惡意應用。被移除的應用都屬於名叫 Ztorg 的 Android 惡意程序家族。目前為止，發現了幾十個新的Ztorg木馬的變異程序，無一例外都是利用漏洞在受感染的設備上獲得root許可權。

但是卡巴斯基實驗室的安全研究人員發現，在2017年5月下旬以來，在最新捕獲的Ztorg木馬（Magic Browser、Noise Detector）的變異程序中，卻發現它們並沒有使用設備的root許可權。黑客利用了惡意木馬，在感染的設備中發送付費簡訊（Premium Rate SMS）並立即刪除，同時關閉設備的聲音，用戶資金在不知不覺中被竊取。

9、2017年最佳iPhone滲透APP及工具

iPhone上真的就無法使用任何黑客應用了嗎？當然不是啦！下面，就為大家隆重推薦幾款iPhone下最佳的黑客應用及工具。

10、NSA在Github上公開32個項目

本文所談到的技術都是美國國家安全局（NSA）開發的，現以開源軟體的方式向公眾公開。NSA 技術轉化計劃（TTP）希望與通過合作的方式與有創新的機構將他們的技術轉化到商業市場。開源軟體（OSS）通過協作的方式進行技術開發。鼓勵大家使用和採用相關項目。通過採用，改進或者商業化軟體等方式，使公眾受益。政府也會受益於開源社區對技術的改進。

▼