一周一讯 | 一张图片能导致数百万Android手机被黑、GitHub 上十大最受欢迎开源安全项目

2016年09月09日 10:25 3126

阿里聚安全一周一讯第22期出炉,一起来看下本周安全圈子出现了哪些资讯和技术吧~

PS:内容详情请点击文章标题



每周安全资讯


一张图片能导致数百万Android手机被黑?

谷歌本周发布了最新的Android安全公告(Android Security Bulletin),针对前一阵曝出的一系列漏洞做了补丁修复,比如说影响到9亿台设备、针对高通芯片的Quadrooter漏洞——这也是本次Android补丁修复漏洞的重点。不过来自Forbes的报道,实际上这次谷歌还修复了一个鲜为人知的漏洞,看起来也是相当危险:只要有人给你发一张照片,Android手机就可能被入侵——在某些情况下,用户甚至不需要点击这张照片,手机自动对照片进行解析时,黑客就能远程控制Android设备,或者令设备变砖。

报道中并没有详述该漏洞的技术细节,但谷歌对这个漏洞的归类为“Mediaserver中的远程代码执行漏洞”,漏洞威胁等级为Critical紧急级别。由于谷歌已不再支持早期版本的系统更新,所以你的Android手机过老,已经不能再进行系统升级了,建议更换换一部手机。




GitHub 上十大最受欢迎开源安全项目

开源即是胜利!在信息安全社区,尽管许多公司封锁了它们的专有软件代码,但依然有很多开源项目供安全研究者使用。其中,寻找开源安全相关项目的首选就是GitHub。你可以利用GitHub的搜索功能发现有用的工具,但是,GitHub有一个地方可以帮你获寻最热门的安全项目,就是所谓的GitHub Showcases版块,但是在 GitHub上,这个版块却鲜为人知。GitHub十大最受欢迎的开源安全项目来源自Facebook、Rapid7、Netflix等各大知名厂商,感兴趣的小伙伴可以关注GitHub Showcases 版块



恶意软件作者联系安全厂商修改他的木马描述

安卓银行木马 "Bilal Bot" 作者担心木马销售受影响,要求IBM X-Force 安全小组修改恶意软件描述。事情的发展源于IBM4月底的一份报告,报告称Android银行木马在一个神秘的黑客论坛上出售,最危险的手机银行木马被各大论坛禁止。其中一个名为 "Bilal Bot"的高风险安卓银行木马被IBM曝光。



Google 修复 LG Nexus 5X 手机漏洞

Google 修复 LG Nexus 5X 手机漏洞,允许攻击者通过 USB 端口读取手机内存并提取敏感信息。此漏洞是由IBM的 X-Force 团队发现,影响的系统版本为6.0 MDA39E - 6.0.1 MMB29V。目前谷歌已在MHC19J版本中修复了此问题。




手机卡遭冒名换卡损失8万,两次挂失都被对方解挂

据报道称,最近王先生的手机卡被人冒名换卡,他发现异常后两次挂失,却均被对方解挂。在此期间,他名下的2张信用卡被盗刷88笔,总额8万多元。据了解,盗卡者使用存明显错误的伪造材料通过营业厅换卡,却被营业厅人员审查通过。向该联通运营商反映此事后,获得的答复居然是所有操作均合规。目前,北京东城警方已受理此案,正在进一步调查中。



每周安全技术


可信前端之路-代码保护

想要构造一个web系统中的TPM,首要问题就是需要保证输入数据安全,打造一个相对可信的前端环境。但是由于web的开放特性,前端作为数据采集的最前线,js代码始终暴露在外,在这种情况下,js代码混淆的重要性逐渐彰显出来。本文作者详细讲解了如何进行js混淆以及混淆的安全性。




移植谷歌浏览器沙盒技术到android,来保护应用

论文作者移植谷歌浏览器的沙盒技术——Google’s Native Client到android上,用来保护app不受到恶意第三方库的native code在因为能够直接读写内存而造成运行时修改代码,泄露用户隐私信息的影响。

论文下载地址



WiFi安全

在很多智能家居的环境中,wifi是安全的第一道门槛,也是最重要的一道门槛。一般智能家居设备都是处于NAT网络中,通过外网操作的方式非常局限,即便是路由器都对外网都是有防火墙的,大部分功能也只对内网设备开放。当如果wifi这道门槛被攻破了,后果将不堪设想。本文通过多个角度分析如何破解WIFI,以及相关的实践案例。



13个有用的渗透测试资源博客

渗透测试是寻找能够用来攻击应用程序、网络和系统的漏洞的过程,其目的是检测会被黑客攻击的安全脆弱点。渗透测试可以检测如下内容:系统对攻击的反应,存在哪些会被攻击的脆弱点,如果有,系统中哪些数据会被窃取。本文提供13个最有用的渗透测试博客,帮你获取最新知识,激励你的白帽人生。其中一些有好几年的渗透测试历程了。他们都值得你关注和学习。



KCon2016会议所有PPT资料下载

KCon黑客大会已成功落下帷幕,小编收集了此次大会议题的所有PPT(PDF版本),感兴趣的同学可以点击下载。

资料下载地址



活动峰会


2016杭州云栖大会报名

2016云栖大会将于10月13日-10月16日,在杭州云栖小镇举行为期4天的活动。届时为大家带来一场空前的云计算狂欢,4天超过450个演讲主题,网聚更多行业精英。以计算为引擎,对互联网+各行各业深入变革,释放人类创新能量。大会不限量供应最新的应用成果,丰富有趣的创新活动,感受云计算跨界的精彩。





报名参加地址:点击这里

PS:9月15日之前报名参加,即可享受0元购门票的优惠政策,小伙伴们抓紧抢购了~


2016云栖大会参会嘉宾


10月13日、14日活动议程


更多安全资讯及安全技术内容,请访问阿里聚安全博客

标签

  • 短信
  • 积分兑换
  • 仿冒应用
  • 漏洞分析
  • 漏洞预警
  • 年度报告
  • 安全报告
  • 病毒分析
  • 阿里聚安全
应用更安全,用户更放心! 立即登录