【阿里聚安全·安全周刊】APP渠道作弊如何防範 | 安卓勒索軟體SLocker源碼現身GitHub

本周熱詞

▼

AES 256破解 | APP渠道推廣反作弊 | 出售帶漏洞的設備被起訴 | Adobe Flash正式被判死刑 | 安卓源碼公開 | Frida繞過Android SSL Pinning | iCloud Keychain加密曝漏洞 | 未root的手機上安裝漏洞

【資訊篇】

1 、阿里聚安全移動安全專家分享：APP渠道推廣作弊攻防那些事兒

移動互聯網高速發展，要保持APP持續並且高速增長所需的成本也越來越高。目前主流的渠道刷量作弊的方式有4種，眾籌刷、病毒刷、人肉刷、機器刷、企業不僅僅是浪費了大量的人力物力，並且還有可能錯失了最佳的推廣時機。所有的用戶數據混雜著大量的虛假數據，根本無法進行有效的數據分析。甚至老闆會懷疑運營團隊的能力。

阿里聚安全移動安全專家陵軒分享了阿里的渠道反作弊解決方案 ，獨創五層識別模型。經過十多年的沉澱以及多次雙十一的洗禮，可以有效識別各種刷量作弊。該方案將於8月份在阿里聚安全官網發布上線，敬請期待！

2、安卓勒索軟體SLocker源碼現身GitHub

過去6個月，SLocker勒索軟體的新版本數量增加了6倍，而如今SLocker反編譯的源代碼發布在GitHub上，也就意味著任何人均可獲取並加以利用。

SLocker Android勒索軟體是最老舊的熱門Android勒索軟體之一，然而遺憾的是，這款軟體的反編譯源代碼最近被公開發布在網上，網路犯罪可以利用這些代碼開發更多先進的自定義Android勒索軟體變種。

3、iCloud Keychain加密曝漏洞，允許攻擊者竊取各類信息

據安全公司Longterm Security指出，一個未被報告的 iOS 安全漏洞破壞了 iCloud 的端到端加密功能，並且可能允許攻擊者竊取密碼，信用卡和任何的其它文件信息。據這一漏洞有可能會成為今年最具破壞性的安全漏洞之一。

這個漏洞可能讓攻擊者在端對端加密過程中打開了一扇門，而這一過程正是蘋果公司一直以來都在確保沒有人能夠通過互聯網發送數據的。而通過該漏洞攻擊者可以攔截這些數據，來竊取密碼和其他秘密數據，例如您訪問的網站及其密碼，以及Wi-Fi網路名稱及其密碼。這個漏洞已經在 iOS 10.3 中被修復了，這也再次證明了更新設備至最新系統的重要性。

4、Adobe Flash正式被判死刑，緩刑3年，2020年行刑！

對普通用戶來說，Flash是4399的小遊戲，是優酷的播放器；對開發者來說，Flash又是一套學習成本低，上手極快的開發工具。但2020年之後，無論你如何看待它，它都將不復存在：Adobe今天宣布，將於2020年正式終結Flash的生命周期！

考慮到目前的技術水平和科技的發展進程，並在與合作夥伴（包括蘋果、Facebook、谷歌、微軟和Mozilla）進行了深度溝通之後，Adobe公司計劃關停Flash項目。具體來說，Adobe公司將在2020年底徹底停止為用戶提供Flash Player的分發、更新和技術服務支持，並鼓勵內容創作者們儘快將現有的Flash內容遷移到其他的開放數據格式。這也就意味著，Flash Player將在2020年底壽終正寢。

5、出售帶漏洞的設備違法嗎？德國消協擬起訴一家地方零售商

德國消費者保護協會正在起訴一家電子零售商，因其向客戶隱瞞並銷售存有安全漏洞的Android手機。事情起源於買方由德國聯邦信息安全局（BSI）的代表陪同，然後通過電話進行測試，發現15個未解決的漏洞。其中一個漏洞允許任意遠程執行代碼，這就意味著攻擊者可以接管該設備。

BSI通知Mobistel九月份存在的漏洞，但該公司一直沒有回應。此後，BSI告訴我們，Mobistel既沒有修補漏洞，也沒有更新正在進行T6的用戶操作系統。於是消協提起了訴訟，希望發出一個信號，引起大家的重視。

【技術篇】

6、沒有絕對安全的系統：寫在AES 256破解之後

前幾日在互聯網上轉發的一條題為「AES 256加密被破 一套1500元設備5分鐘內搞定」的新聞引起了各界的關注。新聞在國內各大媒體轉載，熱門評論里不乏各種被高贊但實際上並不正確的說法：有說是字典攻擊無線信號，和破解AES是兩回事的，也有所是根據無線電特性來攻擊的，和AES沒關係的。還有想搞個大新聞的媒體直接說是路由器被破解，甚至還說成了5分鐘破解任何WiFi密碼的，唯恐天下不亂。

AES 256被破解了？對於TLNR（Too Long, Not Read）的讀者來說，先把答案放在這：是的，但也不盡然。

7、通過 WebView 攻擊 Android 應用

本文並不打算炒 addJavascriptInterface 的冷飯，而是關注在介面本身的實現上。

即使是使用了相對安全的通信手段（如 shouldOverrideUrlLoading 或 onJsAlert 之類回調的方案，或是其他基於類似方案的開源通信庫），如果應用介面設計不當，仍然存在被惡意頁面通過 js 執行任意代碼的可能。

8、使用Frida繞過Android SSL Pinning

Android 應用程序中實現 SSL證書綁定的方式有兩種：自定義的和官方的。前者通常是使用一個獨特的方法檢查所有的證書（也可能使用自定義的庫），返回一個布爾值。這意味著一旦這個驗證的方法被識破，惡意攻擊者就可以控制函數的返回值，那麼SSL證書對伺服器身份的驗證就被繞過了，接下來我們將通過Frida里的一個JavaScript 腳本來簡單的模擬一下這個過程。一旦我們識別出了驗證方法存在問題（提示：logcat），基本上就可以劫持它，並使它總是返回true。

9、如何在未root的手機上安裝漏洞利用框架RouterSploit

RouterSploit跟著名的Metasploit差不多，RouterSploit同樣是一款功能強大的漏洞利用框架。但RouterSploit主要針對的是路由器設備，它能夠快速識別並利用路由器中存在的安全漏洞，本文將告訴大家如何一步一步地將RouterSploit安裝到未root的Android設備上。

▼

一站式解決企業業務的安全問題

移動安全 | 數據風控 | 內容安全 | 實人認證