一周一讯 | 细数Android7.0 的新增安全功能、2016国家网络安全宣传周明日开幕

2016年09月18日 10:01 3746

阿里聚安全一周一讯第23期出炉,刚过完中秋的小编,整理了些放假前后可能错过的内容,一起来看下本周安全圈子出现了哪些资讯和技术吧~

PS:内容详情请点击文章标题


每周安全资讯


Android安全新特性?细数Android7.0 Nougat的几大安全增强功能

在今年夏天,Google公司的Android开发团队向外界展示了Android7.0 Nougat(牛轧糖)中很多新添加的安全增强特性。除此之外,Google还将更加重视Android项目的漏洞奖励计划,Google公司会对每一位向Android项目提交漏洞的白帽子予以积极响应。


在系统的安全性方面,Android引入了一种新型的直接启动模式(DirectBoot Mode),重新设计了mediaserver的整体架构,提升了媒体栈(MediaStack)的安全性,并且更新了Android系统处理可信任证书的机制。除此之外,Android还提升了Nougat下应用程序的安全性,并且会对设备启动过程进行更为严格的检测。更值得注意的是,Google更新了Android操作系统的Linux内核,这样可以最大程度地降低设备的攻击面,并增强了对设备内存的保护。


除了上述这些新的安全特性之外,AndroidN还支持全新的文件加密模式,用户将可以对单独的文件进行加密。需要注意的是,这种加密是在Android操作系统启动的时候就已经开始了,这样可以最大程度地保证所谓“系统盲点”时间内的信息安全。




iOS 10正式版发布,新增功能一览

在接连推出数个iOS 10 beta之后,苹果在9月14日为用户们带来正式版iOS 10。除了对整个系统的改进、调整以及新增功能之外,由于iOS 10还对向Apple Music、Apple Maps、Messages等热门应用都进行了重大改变,所以新版本还将给老款iOS设备用户带来一种用上新设备的感觉。更详细的iOS 10功能特性,可移步苹果官网


魅族Flyme系统遭黑客攻击,大批手机被恶意锁定

最近,有大量魅族用户在Flyme社区、贴吧、微博上反应,手机出现了自动被锁定现象,弹出的窗口显示需联系某QQ号并向他支付80到几百元不等的费用才能解锁。


通过观察发现,该问题最早出现在9月8日,攻击范围几乎覆盖到魅族的所有机型。通常情况下,如果出现该问题要么是用户点击了恶意链接,要么安装了恶意插件。但魅族部分用户反映,他们在近期并未有过上述行为。因此人们分析称,可能是魅族用户数据库泄露,或是魅族Flyme服务器出现漏洞使得黑客乘机进入。




每周安全漏洞

本周发现11个移动安全漏洞,漏洞主要分布在服务器、系统漏洞、智能设备。系统漏洞占比81%,并其中披露了2个高危系统漏洞,5个中危系统漏洞。


移动安全漏洞位置四周内变化趋势



漏洞名称:Android Synaptics触屏驱动程序提权漏洞

危害等级:

漏洞类型:未授权访问/权限绕过

漏洞概述:Nexus 5X和9设备上的Android 2016-09-05之前版本中的Synaptics触屏驱动程序中存在提权漏洞。攻击者可借助特制的应用程序利用该漏洞获取权限。



漏洞名称:Android Debuggerd 提权漏洞

危害等级:

漏洞类型:未授权访问/权限绕过

漏洞概述:Android Debuggerd中的debuggerd/debuggerd.cpp文件存在提权漏洞,该漏洞源于程序没有正确处理PTRACE_ATTACH操作与线程退出的互交。攻击者可借助特制的应用程序利用该漏洞获取权限。


本周移动安全漏洞详情汇总如下:

本周移动安全漏洞汇总



漏洞预警:MySQL代码执行0-day漏洞 可本地提权

来自波兰的安全研究人员Dawid Golunski发现了两个MySQL的0-day漏洞,影响到所有版本分支、默认配置的MySQL服务器(5.7、5.6和5.5),包括最新版本。攻击者可以远程和本地利用漏洞。攻击者成功利用漏洞后,可以ROOT权限执行代码,完全控制MySQL数据库。攻击者仅需有FILE权限即可实现ROOT提权,进而控制服务器。



每周安全技术


业务安全通用解决方案--WAF数据风控

“你们安全不要阻碍业务发展”、“这个安全策略降低用户体验,影响转化率”--这是甲方企业安全部门经常听到合作团队抱怨。但安全从业者加入公司的初衷绝对不是“阻碍业务发展”,那么安全解决方案能否成为“业务促进者”,而非“业务阻碍者”呢?答案是肯定。


要找到业务安全的通用风险,首先得定义什么状态才算业务“安全”。当安全工程师被客户问到“这个产品是否安全?”,他往往会考虑各种安全细节问题,业务类的是否会被撞库、是否存在信息泄漏,系统类的是否有注入、水平权限控制等问题。但这些安全细节问题,往往并非问题“是否安全”的答案。本文详细的分享了通用解决方案具体实现以及WAF数据风控的服务价值。



移动APP漏洞自动化检测平台建设

本文是《移动APP客户端安全笔记》系列原创文章中的第一篇,主要讲的是企业移动APP自动化漏洞检测平台建设,移动APP漏洞检测发展史与前沿技术,APP漏洞检测工具与平台,以及笔者的一些思考。希望能对移动App自动化漏洞检测感兴趣的同学有所帮助。目前国内无论是3BAT,还是移动安全公司,都已经提供了移动APP漏洞检测产品,总体来说随着技术发展,构建APP漏洞检测平台门槛已经很低技术也很成熟了。(小编强势插入广告:欢迎在阿里聚安全上对APP进行安全加固!)



Content Security Policy 入门教程

跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本?这就是"网页安全政策"(Content Security Policy,缩写 CSP)的来历。本文详细介绍如何使用 CSP 防止 XSS 攻击。





每周安全峰会


2016国家网络安全宣传周明日在武汉开幕

9.19日至9.25日,“2016国家网络安全宣传周”开幕式及网络安全博览会、网络安全技术高峰论坛、网络安全电视知识竞赛等重要活动将在武汉市举行。阿里、腾讯、百度、360,互联网"四巨头"同时参加大会,同时还有知道创宇、卡巴斯基CEO、香港政府资讯科技总监、微软全球执行副总裁、思科首席信息安全官等多位业内顶尖专家参会。


本次博览会分四个展区,A区主题为“生活中的网络安全”比如蚂蚁金服展台的"刷脸"购物,腾讯展台的鹰眼智能反电话诈骗盒子,这是一款将大数据与反诈骗相结合的智能产品。

B区主题为"企业中的网络安全",重点展示网络安全对企业业务的重要作用。大到云安全理念的阐述,小到企业内部对一个显示器和鼠标的控制,国内最先进、最主流的企业级安全技术和解决方案,都可以在这个展区看到。

C区主题为"智慧城市",展现了城市智能化水平及网络安全防控情况。现场将展出云端武汉的系列产品,包括云端武汉一卡通、市民、易行江城等。云端武汉·市民甚至集成了电子身份卡、电子户籍,随着政务数据打通后,今后很可能手机就能当身份证用,办理政务只需打开APP中的电子身份卡即可。


大会的详细内容,可持续关注9.19日至9.25日的“2016国家网络安全宣传周”。



* 更多安全资讯和安全技术,请访问阿里聚安全博客

标签

  • 短信
  • 积分兑换
  • 仿冒应用
  • 漏洞分析
  • 漏洞预警
  • 年度报告
  • 安全报告
  • 病毒分析
  • 阿里聚安全
应用更安全,用户更放心! 立即登录