【阿里聚安全·安全周刊】APP渠道作弊如何防范 | 安卓勒索软件SLocker源码现身GitHub

2017 年 7 月 28 日 阿里聚安全 聚安全

本周热词

AES 256破解 | APP渠道推广反作弊 | 出售带漏洞的设备被起诉 | Adobe Flash正式被判死刑 | 安卓源码公开 | Frida绕过Android SSL Pinning  | iCloud Keychain加密曝漏洞 | 未root的手机上安装漏洞


【资讯篇】


1 、阿里聚安全移动安全专家分享:APP渠道推广作弊攻防那些事儿


移动互联网高速发展,要保持APP持续并且高速增长所需的成本也越来越高。目前主流的渠道刷量作弊的方式有4种,众筹刷、病毒刷、人肉刷、机器刷、企业不仅仅是浪费了大量的人力物力,并且还有可能错失了最佳的推广时机。所有的用户数据混杂着大量的虚假数据,根本无法进行有效的数据分析。甚至老板会怀疑运营团队的能力。


阿里聚安全移动安全专家陵轩分享了阿里的渠道反作弊解决方案 ,独创五层识别模型。经过十多年的沉淀以及多次双十一的洗礼,可以有效识别各种刷量作弊。该方案将于8月份在阿里聚安全官网发布上线,敬请期待!



2、安卓勒索软件SLocker源码现身GitHub


过去6个月,SLocker勒索软件的新版本数量增加了6倍,而如今SLocker反编译的源代码发布在GitHub上,也就意味着任何人均可获取并加以利用。


SLocker Android勒索软件是最老旧的热门Android勒索软件之一,然而遗憾的是,这款软件的反编译源代码最近被公开发布在网上,网络犯罪可以利用这些代码开发更多先进的自定义Android勒索软件变种。


3、iCloud Keychain加密曝漏洞,允许攻击者窃取各类信息


据安全公司Longterm Security指出,一个未被报告的 iOS 安全漏洞破坏了 iCloud 的端到端加密功能,并且可能允许攻击者窃取密码,信用卡和任何的其它文件信息。据这一漏洞有可能会成为今年最具破坏性的安全漏洞之一。


这个漏洞可能让攻击者在端对端加密过程中打开了一扇门,而这一过程正是苹果公司一直以来都在确保没有人能够通过互联网发送数据的。而通过该漏洞攻击者可以拦截这些数据,来窃取密码和其他秘密数据,例如您访问的网站及其密码,以及Wi-Fi网络名称及其密码。这个漏洞已经在 iOS 10.3 中被修复了,这也再次证明了更新设备至最新系统的重要性。


4、Adobe Flash正式被判死刑,缓刑3年,2020年行刑!


对普通用户来说,Flash是4399的小游戏,是优酷的播放器;对开发者来说,Flash又是一套学习成本低,上手极快的开发工具。但2020年之后,无论你如何看待它,它都将不复存在:Adobe今天宣布,将于2020年正式终结Flash的生命周期!



考虑到目前的技术水平和科技的发展进程,并在与合作伙伴(包括苹果、Facebook、谷歌、微软和Mozilla)进行了深度沟通之后,Adobe公司计划关停Flash项目。具体来说,Adobe公司将在2020年底彻底停止为用户提供Flash Player的分发、更新和技术服务支持,并鼓励内容创作者们尽快将现有的Flash内容迁移到其他的开放数据格式。这也就意味着,Flash Player将在2020年底寿终正寝。


5、出售带漏洞的设备违法吗?德国消协拟起诉一家地方零售商


德国消费者保护协会正在起诉一家电子零售商,因其向客户隐瞒并销售存有安全漏洞的Android手机。事情起源于买方由德国联邦信息安全局(BSI)的代表陪同,然后通过电话进行测试,发现15个未解决的漏洞。其中一个漏洞允许任意远程执行代码,这就意味着攻击者可以接管该设备。


BSI通知Mobistel九月份存在的漏洞,但该公司一直没有回应。此后,BSI告诉我们,Mobistel既没有修补漏洞,也没有更新正在进行T6的用户操作系统。于是消协提起了诉讼,希望发出一个信号,引起大家的重视。


【技术篇】


6、没有绝对安全的系统:写在AES 256破解之后


前几日在互联网上转发的一条题为“AES 256加密被破 一套1500元设备5分钟内搞定”的新闻引起了各界的关注。新闻在国内各大媒体转载,热门评论里不乏各种被高赞但实际上并不正确的说法:有说是字典攻击无线信号,和破解AES是两回事的,也有所是根据无线电特性来攻击的,和AES没关系的。还有想搞个大新闻的媒体直接说是路由器被破解,甚至还说成了5分钟破解任何WiFi密码的,唯恐天下不乱。


AES 256被破解了?对于TLNR(Too Long, Not Read)的读者来说,先把答案放在这:是的,但也不尽然。


7、通过 WebView 攻击 Android 应用


本文并不打算炒 addJavascriptInterface 的冷饭,而是关注在接口本身的实现上。


即使是使用了相对安全的通信手段(如 shouldOverrideUrlLoading 或 onJsAlert 之类回调的方案,或是其他基于类似方案的开源通信库),如果应用接口设计不当,仍然存在被恶意页面通过 js 执行任意代码的可能。


8、使用Frida绕过Android SSL Pinning


Android 应用程序中实现 SSL证书绑定的方式有两种:自定义的和官方的。前者通常是使用一个独特的方法检查所有的证书(也可能使用自定义的库),返回一个布尔值。这意味着一旦这个验证的方法被识破,恶意攻击者就可以控制函数的返回值,那么SSL证书对服务器身份的验证就被绕过了,接下来我们将通过Frida里的一个JavaScript 脚本来简单的模拟一下这个过程。一旦我们识别出了验证方法存在问题(提示:logcat),基本上就可以劫持它,并使它总是返回true。


9、如何在未root的手机上安装漏洞利用框架RouterSploit


RouterSploit跟著名的Metasploit差不多,RouterSploit同样是一款功能强大的漏洞利用框架。但RouterSploit主要针对的是路由器设备,它能够快速识别并利用路由器中存在的安全漏洞,本文将告诉大家如何一步一步地将RouterSploit安装到未root的Android设备上。


一站式解决企业业务的安全问题

移动安全 | 数据风控 | 内容安全 | 实人认证

登录查看更多
1

相关内容

最新《Deepfakes:创造与检测》2020综述论文,36页pdf
专知会员服务
62+阅读 · 2020年5月15日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【微众银行】联邦学习白皮书_v2.0,48页pdf,
专知会员服务
165+阅读 · 2020年4月26日
阿里巴巴达摩院发布「2020十大科技趋势」
专知会员服务
106+阅读 · 2020年1月2日
【大数据白皮书 2019】中国信息通信研究院
专知会员服务
137+阅读 · 2019年12月12日
AWVS12 V12.0.190530102 windows正式版完美破解版
黑白之道
29+阅读 · 2019年8月24日
已删除
架构文摘
3+阅读 · 2019年4月17日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
宅男福音deepfakes开源了
AI前线
9+阅读 · 2018年1月31日
AliCoCo: Alibaba E-commerce Cognitive Concept Net
Arxiv
13+阅读 · 2020年3月30日
Neural Module Networks for Reasoning over Text
Arxiv
9+阅读 · 2019年12月10日
Deep Learning for Deepfakes Creation and Detection
Arxiv
6+阅读 · 2019年9月25日
Arxiv
4+阅读 · 2018年10月5日
Large-Scale Study of Curiosity-Driven Learning
Arxiv
8+阅读 · 2018年8月13日
Arxiv
11+阅读 · 2018年1月11日
VIP会员
相关资讯
AWVS12 V12.0.190530102 windows正式版完美破解版
黑白之道
29+阅读 · 2019年8月24日
已删除
架构文摘
3+阅读 · 2019年4月17日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
宅男福音deepfakes开源了
AI前线
9+阅读 · 2018年1月31日
Top
微信扫码咨询专知VIP会员