【阿里聚安全·安全周刊】新型攻擊可控制任意版本 Android 設備 | App Store里的色情應用生態分析

本周熱詞

▼

網路安全法6月1日實施 | 阿里成CNNVD一級支撐單位 | App Store里的色情應用生態分析 | 新型攻擊可控制任意版本 Android 設備 | 一張GIF引發的微信崩潰 | 三星S8虹膜識別系統可被繞過業 | 谷歌發布Google Play Protect

周刊內文詳情，請點擊下方「閱讀原文」

【資訊篇】

1、網路安全法將於2017年6月1日實施

第十二屆全國人大常委會第二十四次會議於2016年11月7日表決通過了《中華人民共和國網路安全法》。法律進一步界定關鍵信息基礎設施範圍；對攻擊、破壞關鍵信息基礎設施的境外組織和個人規定相應的懲治措施；增加懲治網路詐騙等新型網路違法犯罪活動的規定等。該法自2017年6月1日起施行。

2、國家信息安全漏洞庫（CNNVD）技術支撐單位頒獎典禮：阿里巴巴授牌為一級支撐單位

在貴陽大數據產業博覽會大數據安全高層論壇舉辦期間，國家信息安全漏洞庫（CNNVD）對網神信息技術（北京）股份有限公司和杭州安恆信息技術有限公司、上海三零衛士安全有限公司等7家表現突出的技術支撐單位進行了表彰，對阿里巴巴（）網路技術有限公司、新華三技術有限公司、北京匡恩網路科技有限責任公司等15家新增技術支撐單位進行了授牌，從而使得CNNVD技術支撐單位總數達到了54家，進一步涵蓋國內知名互聯網及安全廠商，加強聯防聯動的協同機制，提高安全保障能力。

國家信息安全漏洞庫（CNNVD）運行管理中心在去年期間通過阿里聚安全對阿里安全進行了支撐能力考查，並舉行了現場答辯。經專家組評議，並與相關單位溝通，確定「阿里巴巴（）網路技術有限公司」成為CNNVD一級技術支撐單位。信息安全測評中心張桂清副主任、李斌主任助理為新增的一級、二級技術支撐單位代表授牌。

3、App Store里的色情應用生態：偽裝、誘導付費、竊取你的隱私信息

知道網路上快速致富的手段是什麼嗎？當然是和色情有關了，不管是出於合法目的還是非法誘導目的，色情內容都能快速吸引人們的注意力。

最近，趨勢科技發現了Marcher木馬利用色情應用的新一波攻擊。安全專家們在iOS和Android平台上同時發現了大量使用中文用戶界面的色情應用程序，有些甚至可以App Store上找到。目前已經有大量的潛在有害應用程序 (Potentially Unwanted Apps，PUA)正在通過色情網站、熱門論壇及色情網站來進行傳播。

安裝潛在有害應用程序 (PUA)很可能會危及用戶的隱私和本地系統的安全性，需要說明的是，這些PUA都是合法的應用程序，不過通常會在用戶安裝這些程序時被惡意軟體或廣告軟體所盯上，試圖利用社交工程來使用戶安裝額外的產品和服務。

趨勢科技已經確定，這些色情應用目前正在快速地傳播，並且還根據所傳播的區域進行不同的偽裝。除了色情應用本身的吸引力之外，調查還發現，程序分銷商也在其中起到了推波助瀾的作用， 到目前為止，趨勢科技已經確定了兩個合法的分銷商正在分發數千個這些色情應用程序。

4、「 斗篷與匕首 」 新型攻擊來襲，可濫用合法許可權接管任意版本 Android 設備

據外媒 25 日報道，安全研究人員於近期發現一種新型攻擊手段 Cloak and Dagger（ 「 斗篷與匕首 」 ），允許黑客完全控制任意版本的 Android 設備（ 包括最新版本 7.1.2 ）、竊取私人敏感數據，其中包括擊鍵與聊天記錄、設備 PIN 碼、在線帳戶密碼、OTP 動態口令與通訊錄聯繫人信息等。

有趣的是，此攻擊手段並非利用 Android 生態系統中的任何漏洞，而是濫用流行應用商城中廣泛使用的合法許可權訪問 Android 設備上的某些功能。Cloak and Dagger 主要利用 Android 系統的兩項基本許可權：SYSTEM_ALERT_WINDOW（ 「 draw on top 」 ）、BIND_ACCESSIBILITY_SERVICE（ 「 a11y 」 ）。由於 Cloak and Dagger 無需利用任何惡意代碼執行木馬程序，因此黑客極易開發並提交惡意應用程序且不易被谷歌商店發現。

5、三星S8虹膜識別系統可被繞過， PIN 碼登錄更安全

三星Galaxy S8具有多種基於生物辨識的驗證系統，包括臉部識別、指紋掃描器和虹膜掃描器，虹膜驗證能讓用戶解鎖設備並授權支付。但研究人員表示能通過出示受害者眼睛的圖片繞過三星的虹膜掃描器。

解鎖步驟：獲取虹膜照片，通過激光印表機將照片列印出來，將接觸透鏡放在印表機上面模擬真實眼睛的彎曲度。將照片放在Galaxy S8的虹膜掃描器前面就能成功解鎖設備。

專家表示獲取虹膜數據有多種方法，包括從用戶自己發布在互聯網上的高清圖片等。另外一種方法就是通過帶有夜間拍攝模式或禁用紅外濾光器的數碼相機為目標用戶的眼睛拍照。但三星發布評論認為目前市場已經沒有捕捉紅外光的相機了，對機主的虹膜進行高分辨捕捉，然後偷取他的手機，再列印出來藉助隱形眼鏡嘗試解鎖，想想這有多複雜多困難。小編溫馨提示：PIN 碼登錄更安全哦~

6、谷歌發布基於機器學習的Android APP安全檢測系統：Google Play Protect

Google Play作為眾所周知的在線應用市場，因為審查制度的鬆散，經常會有一些惡意軟體偽裝成其他應用混入其中。

近日，谷歌為Android用戶帶來了一個好消息。在Google I/O2017大會上，谷歌發布了一種新的機器學習Android APP安全檢測系統：Google Play Protect，他可以通過機器學習和APP使用情況來分析識別出APP的惡意行為。新的系統內置於Google Play Store中，用戶無需另外下載安裝。它時刻在後台運行，保護用戶手機、數據和APP的安全。在未來幾周，所有的Android用戶均可體驗到Google Play Protect的功能。

7、新型字幕攻擊：多款播放器遠程命令執行，全球約2億用戶受影響

Check Point的研究員近日發現了一個新的攻擊界面——視頻字幕文件，通過構造畸形的字幕文件，可以成功觸發播放器遠程命令執行漏洞，攻破用戶系統。VLC、Kodi (XBMC)、Popcorn-Time和Stremio等播放器都存在該漏洞，目前有2億用戶受影響。

攻擊者會使用各種方法，也稱為「攻擊向量」來實行網路攻擊。這些攻擊方法大致可以分為兩大類：攻擊者誘騙用戶訪問惡意網站，或者欺騙用戶在電腦上運行惡意文件。

8、Android中帶你開發一款自動爆破簽名校驗工具kstools

本文主要介紹了一個通過hook需要爆破應用的pms服務，攔截獲取簽名信息的方法，來做到全局爆破簽名校驗功能邏輯，這個工具可以解決以往需要手動的反編譯app來進行破解，有了這個工具，完全可以一鍵化操作功能，無需在進行反編譯破解操作了

9、內網穿透——Android木馬進入高級攻擊階段

移動互聯網時代的到來，企業內部數據越來越有價值。近年來，黑客以移動設備為跳板，入侵企業內網，竊取企業數據資產的趨勢愈發明顯。近日，烽火實驗室發現一批感染了一種名為「MilkyDoor」的惡意代碼，這是繼去年6月份首次出現的「DressCode」[1]惡意代碼后，又一種利用移動設備攻擊企業內網的木馬。然而，與「DressCode」不同的是，「MilkyDoor」不僅利用SOCKS代理實現從攻擊者主機到目標內網伺服器之間的數據轉發，而且利用SSH(Secure Shell)協議穿透防火牆，加密傳輸數據，進而實現數據更隱蔽的傳輸。

SSH協議[2]又稱為安全外殼協議，其使用的傳輸機制是TCP/IP，通常使用的都是伺服器的TCP埠22，並對經過連接傳輸的數據進行加解密操作。可以使用SSH對其他應用程序在別的TCP埠建立的TCP/IP傳輸進行加密與解密。這一過程稱為埠轉發。利用SSH轉發，其他一切基於TCP的不安全協議都可以變得安全。

10、Pwn2own漏洞分享系列：利用macOS內核漏洞逃逸Safari沙盒

在Pwn2own 2017 比賽中，蘋果的macOS Sierra 和 Safari 10 成為被攻擊最多的目標之一。在此次比賽過程中，儘管有多支戰隊成功/半成功地完成了對macOS + Safari目標的攻破，然而360安全戰隊使用的漏洞數量最少，而且也是唯一一個通過內核漏洞實現沙盒逃逸和提權，並完全控制macOS操作系統內核的戰隊。在這篇技術分享中，我們將介紹我們所利用的macOS內核漏洞的原理和發現細節。

11、關於反調試&反反調試那些事

iOS在逆向和保護的過程中，總會涉及到反調試和反反調試的問題，這篇文章主要是總結一下幾種常見的反調試手段以及反反調試的方法。

12、Secure iOS application development

iOS 應用中最常見的漏洞收集，以協助 iOS 開發者開發更安全的應用

13、開源掃描儀的工具箱：安全行業從業人員自研開源掃描器合集

Scanners-Box是來自github平台的開源掃描儀的集合，包括子域枚舉，資料庫漏洞掃描程序，弱密碼或信息泄漏掃描儀，埠掃描儀，指紋掃描儀和其他大型掃描儀，模塊化掃描儀等。

* 周刊內文詳情，請點擊下方「閱讀原文」

▼