本周热词
▼
AES 256破解 | APP渠道推广反作弊 | 出售带漏洞的设备被起诉 | Adobe Flash正式被判死刑 | 安卓源码公开 | Frida绕过Android SSL Pinning | iCloud Keychain加密曝漏洞 | 未root的手机上安装漏洞
【资讯篇】
1 、阿里聚安全移动安全专家分享:APP渠道推广作弊攻防那些事儿
移动互联网高速发展,要保持APP持续并且高速增长所需的成本也越来越高。目前主流的渠道刷量作弊的方式有4种,众筹刷、病毒刷、人肉刷、机器刷、企业不仅仅是浪费了大量的人力物力,并且还有可能错失了最佳的推广时机。所有的用户数据混杂着大量的虚假数据,根本无法进行有效的数据分析。甚至老板会怀疑运营团队的能力。
阿里聚安全移动安全专家陵轩分享了阿里的渠道反作弊解决方案 ,独创五层识别模型。经过十多年的沉淀以及多次双十一的洗礼,可以有效识别各种刷量作弊。该方案将于8月份在阿里聚安全官网发布上线,敬请期待!
2、安卓勒索软件SLocker源码现身GitHub
过去6个月,SLocker勒索软件的新版本数量增加了6倍,而如今SLocker反编译的源代码发布在GitHub上,也就意味着任何人均可获取并加以利用。
SLocker Android勒索软件是最老旧的热门Android勒索软件之一,然而遗憾的是,这款软件的反编译源代码最近被公开发布在网上,网络犯罪可以利用这些代码开发更多先进的自定义Android勒索软件变种。
3、iCloud Keychain加密曝漏洞,允许攻击者窃取各类信息
据安全公司Longterm Security指出,一个未被报告的 iOS 安全漏洞破坏了 iCloud 的端到端加密功能,并且可能允许攻击者窃取密码,信用卡和任何的其它文件信息。据这一漏洞有可能会成为今年最具破坏性的安全漏洞之一。
这个漏洞可能让攻击者在端对端加密过程中打开了一扇门,而这一过程正是苹果公司一直以来都在确保没有人能够通过互联网发送数据的。而通过该漏洞攻击者可以拦截这些数据,来窃取密码和其他秘密数据,例如您访问的网站及其密码,以及Wi-Fi网络名称及其密码。这个漏洞已经在 iOS 10.3 中被修复了,这也再次证明了更新设备至最新系统的重要性。
4、Adobe Flash正式被判死刑,缓刑3年,2020年行刑!
对普通用户来说,Flash是4399的小游戏,是优酷的播放器;对开发者来说,Flash又是一套学习成本低,上手极快的开发工具。但2020年之后,无论你如何看待它,它都将不复存在:Adobe今天宣布,将于2020年正式终结Flash的生命周期!
考虑到目前的技术水平和科技的发展进程,并在与合作伙伴(包括苹果、Facebook、谷歌、微软和Mozilla)进行了深度沟通之后,Adobe公司计划关停Flash项目。具体来说,Adobe公司将在2020年底彻底停止为用户提供Flash Player的分发、更新和技术服务支持,并鼓励内容创作者们尽快将现有的Flash内容迁移到其他的开放数据格式。这也就意味着,Flash Player将在2020年底寿终正寝。
5、出售带漏洞的设备违法吗?德国消协拟起诉一家地方零售商
德国消费者保护协会正在起诉一家电子零售商,因其向客户隐瞒并销售存有安全漏洞的Android手机。事情起源于买方由德国联邦信息安全局(BSI)的代表陪同,然后通过电话进行测试,发现15个未解决的漏洞。其中一个漏洞允许任意远程执行代码,这就意味着攻击者可以接管该设备。
BSI通知Mobistel九月份存在的漏洞,但该公司一直没有回应。此后,BSI告诉我们,Mobistel既没有修补漏洞,也没有更新正在进行T6的用户操作系统。于是消协提起了诉讼,希望发出一个信号,引起大家的重视。
【技术篇】
6、没有绝对安全的系统:写在AES 256破解之后
前几日在互联网上转发的一条题为“AES 256加密被破 一套1500元设备5分钟内搞定”的新闻引起了各界的关注。新闻在国内各大媒体转载,热门评论里不乏各种被高赞但实际上并不正确的说法:有说是字典攻击无线信号,和破解AES是两回事的,也有所是根据无线电特性来攻击的,和AES没关系的。还有想搞个大新闻的媒体直接说是路由器被破解,甚至还说成了5分钟破解任何WiFi密码的,唯恐天下不乱。
AES 256被破解了?对于TLNR(Too Long, Not Read)的读者来说,先把答案放在这:是的,但也不尽然。
7、通过 WebView 攻击 Android 应用
本文并不打算炒 addJavascriptInterface 的冷饭,而是关注在接口本身的实现上。
即使是使用了相对安全的通信手段(如 shouldOverrideUrlLoading 或 onJsAlert 之类回调的方案,或是其他基于类似方案的开源通信库),如果应用接口设计不当,仍然存在被恶意页面通过 js 执行任意代码的可能。
8、使用Frida绕过Android SSL Pinning
Android 应用程序中实现 SSL证书绑定的方式有两种:自定义的和官方的。前者通常是使用一个独特的方法检查所有的证书(也可能使用自定义的库),返回一个布尔值。这意味着一旦这个验证的方法被识破,恶意攻击者就可以控制函数的返回值,那么SSL证书对服务器身份的验证就被绕过了,接下来我们将通过Frida里的一个JavaScript 脚本来简单的模拟一下这个过程。一旦我们识别出了验证方法存在问题(提示:logcat),基本上就可以劫持它,并使它总是返回true。
9、如何在未root的手机上安装漏洞利用框架RouterSploit
RouterSploit跟著名的Metasploit差不多,RouterSploit同样是一款功能强大的漏洞利用框架。但RouterSploit主要针对的是路由器设备,它能够快速识别并利用路由器中存在的安全漏洞,本文将告诉大家如何一步一步地将RouterSploit安装到未root的Android设备上。
▼
一站式解决企业业务的安全问题
移动安全 | 数据风控 | 内容安全 | 实人认证