移动业务安全专家

一周热闻之

如今,不懂代码也能写勒索软件了,还能个性化定制

Android系统不太平,一款Android木马开发工具包应用程序正在国内社交网络平台上传播,不懂技术也能开发勒索软件了。据了解,该程序提供了一个极易使用的界面,重点来了:整个过程不需要用户编写任何代码,而这一切均可在智能手机上就能完成。

这款名为「梦工厂」的APP可以让用户在定制的勒索app中设置个性化的勒索联系信息、解密密匙、APP图标、代码加密算法以及APP运行特效等。确认好所有要素信息后,点击“生成”,一款针对Android系统的勒索软件就自动生成了。它可实现锁定设备,更改PIN,对用户数据加密,并执行如强制还原出厂设置这类的恶意操作。

0 20170829 1

黑软定制界面

#从WannaCry,到NotPetya和LeakerLocker,勒索软件肆虐PC网络,国内外大量企业和机构中招。怎料在移动端,连代码都不懂就能制造勒索软件了,企业的IT人可还能坐的住? #


一周热闻之
微信的一个漏洞价值330万
根据 0day漏洞中介公司 Zerodium 上周三公布的最新收购报价,该公司对Signal、FB Messager、iMessage、Viber、WhatsApp 、微信和Telegram 等流行的即时聊天APP开出了最新的漏洞收购价,其中,微信的远程代码执行和本地提权漏洞的报价高达50万美元(约合人民币330万)。同时,该公司对 iPhone 越狱方法开出了最高 150 万美元(零用户交互)和 100 万美元的收购价。

 

0 20170829 2
 Zerodium报价表截图

#连黑产都愿意为一个APP漏洞花330万的时候,企业在移动安全上的投入又有多少呢?#


一周热闻之

热修复存后门,中国广告公司提供的 SDK 被警告下架

苹果和谷歌商店出于安全考虑,早已禁用APP的热修复(也叫热更新)功能,但部分旧版本APP依然保留此功能。上周中国广告公司提供的个信广告SDK被国外安全公司爆出内置后门,其热修复功能允许下载与执行任意代码。Google Play有超过 500款应用使用该功能,总下载量超过一亿次。

对此,个信SDK官方24号发布声明:称其已第一时间去除热修复功能,提供了符合Google Play最新审核要求的SDK版本。使用相关版本SDK的App开发者也已经更新版本,并且重新在Google Play上架。

0 20170829 3

个信官网声明截图

#热修复功能虽简单便捷,其安全性却无法保障。今天下载的连连看,明天可能就热修复成间谍应用,分分钟盗取手机上的数据。部队官兵、企业高管、科研人员等敏感人群手机上的数据急需保护。#


一周热闻之

又双叒叕是权限!你的手机APP可能监听通话!这些功能要谨慎开启

关键不给权限不启动啊,怎么破?

上周江苏省消协举行发布会,公布了手机APP侵犯消费者信息安全的相关情况。江苏省消协工作人员通过现场检测,在手机下载的100多个手机APP中,79个APP可获取定位权限,23个APP可直接向联系人发送短信。点开“电话与联系人”一项,甚至有14个APP可以监听和挂断电话。

江苏省消协对27家手机应用程序开发企业展开调查,并发送约谈函,结果显示相关企业普遍存在侵犯个人信息安全的共性问题。部分企业经多次联系,既无书面意见反馈也未进行情况说明,其中包括手机百度、平安壹钱包、蜻蜓 FM、爱奇艺等8家企业。

0 20170829 4

0 20170829 5

国内某知名APP不给授权不启动

#国内Android界“把权力关进笼子里”早已成了笑话,听歌软件居然需要定位和电话权限,不接受就不启动,某些APP全家桶更是有过之而无不及。过度授权意味着更多泄密渠道,企业需要一套能“把权力关进笼子里”的技术保护信息安全。#


一周热闻之

速来围观2017 年 7 月全球三大最受 “ 欢迎 ” 手机恶意软件

安全公司 Check Point 上周发布最新《 全球恶意软件威胁影响指数 》报告,展示了 7 月各操作系统下最受 “ 欢迎 ” 的恶意软件。其中,全球三大最受 “ 欢迎 ” 的手机恶意软件:分别是

1、间谍软件 TheTruthSpy:允许攻击者隐匿安装并跟踪与记录设备数据。

2、黑客工具 Lotoor:允许攻击者通过 Android 操作系统漏洞在受攻击的移动设备上获得 root 权限。

3、恶意软件 Triada:适用于 Android 模块化后门程序,可利用管理员权限下载恶意软件并将其嵌入至移动设备系统进程。

0 20170829 6

TheTruthSpy的安装截图

#三款黑软件,千万受害人。如此受“欢迎”的手机恶意软件,让安全厂商又度过了多少个难以入睡的夜。企业移动安全之路,依然任重而道远。#


一周热闻之

手机验证账号过程存漏洞,用户设备易被劫持,损失难以估量

联邦贸易委员会(FTC)的一份报告指出,黑客正利用手机号码控制用户设备,并重置手机密码,他们只需致电手机运营商,要求将目标手机号码的控制权转移至另一部手机,此后通过“被黑”手机上的数据控制大量设备。鉴于虚拟货币交易的不可逆,黑客主要将目标瞄向虚拟货币爱好者,或在社交媒体讨论虚拟货币的用户。FTC在报告中指出,黑客可在几分钟之内重置虚拟钱包密码,造成用户惨重损失。

而盗取虚拟货币并不是黑客的唯一动机,据报道,他们还会窃取电子邮箱和敏感文件,包括照片和其它信息,并索要赎金。

此类攻击暴露了手机验证账号的过程存在重大漏洞。

0 20170829 7谷歌最新的二步认证

#上个月谷歌出于安全考虑,宣布修改其二步认证方案,以移动设备上的提示取代一次性的短信认证代码。这真不是空穴来风,相比短信,应用内的安全验证将更加安全有效,这点值得各应用厂商借鉴。#


来个好消息,一周热闻之

新型触屏技术,利用视觉混淆阻止黑客窃密

纽约大学教授 Nasir Memon 带领的团队推出一款新型触屏技术 IllusionPIN(错觉密码),可混淆网络犯罪分子视觉效果,防止用户在智能手机或 ATM 机输入密码时被看到或复制。其主要采用了两种触屏键盘的混合图像技术,达到混视觉的效果。通俗讲,即是让不同的人看到不同的数字,用户看到的,和旁边侧瞄的、摄像头监控以及远处张望的人看的密码是不一样的。直观感受可参考下图,眼睛和图的距离远近不同,数字排列也完全不同。

0 20170829 8

手机远近各观察一次,看有什么变化

对于使用屏幕而并非键盘的现代机器来说,比如手机、pad,这种光学错觉技术可提高密码准入的安全性,大大强化了目前以密码,辅以指纹识别、人脸识别和虹膜扫描的生物特征技术的设备系统安全体系。

#这款防窥神器的功能毋庸置疑,那么现在只剩两个问题,1、这个技术何时推向市场;2、成本如何。#


一周热闻之

超过1700台物联网设备的有效远程对话凭据在线泄漏,61%的IP位于中国

近日,安全研究人员Ankit Anubhav声称逾1700台物联网(IoT)设备的有效Telnet(远程对话程序)凭据在线泄漏,疑似成为黑客通过僵尸网络进行DDoS攻击的动力来源。

据悉,该列表包含33000个IP地址,由8200个独特IP地址组成,其中61%位于中国。

0 20170829 9

 

#除了手机、PAD,还有路由器、摄像头、智能音像、车载记录仪、数码相机、ADAS系统……在无数双眼睛的注视下,不论个人还是企业都变得毫无秘密可言,身处楚门的世界,企业该怎么保护自己?#

2017/08.29    百度百家