一周一讯 | 国外黑客成功在iPhone7上越狱iOS10、雅虎遭史上最大规模数据泄露事件

2016年09月23日 11:19 3356

阿里聚安全一周一讯第24期出炉,一起来看下本周安全圈子出现了哪些资讯和技术吧~

PS:内容详情请点击文章标题


每周安全资讯

国外黑客成功在iPhone7上越狱iOS10

近日,国外黑客Luca Tedesco在自己的Twitter上展示了自己成功在iPhone7上越狱iOS10 。从图片可以看出,这部已越狱的手机成功安装了Cydia 1.1.26版本,并在Cydia的主界面显示该iOS10.0.1的系统。但Luca Tedesco表示,研究iPhone7越狱只是因为自己时移动安全领域的研究人员,也暂时不准备公开越狱工具与利用的漏洞,同时期待其他黑客的越狱成果。据了解,Luca Tedesco在公布iPhone7越狱的前一周,先在Twitter展示了在iPad上越狱 iOS 10 的视频,曾在早些时候对外公布过iOS9.3.2的越狱视频。



特斯拉史上最大漏洞已修复 开始推送新的软件升级

日前腾讯科恩实验室披露消息称,已利用特斯拉汽车系统的安全漏洞成功在无物理接触的前提下完成远程攻击,并实现对汽车信号灯、显示屏、门窗锁等操作的远程控制。在获悉漏洞情况后,特斯拉方面进行了紧急修复,目前已开始推送新的软件升级。与大多数汽车生产商不同,特斯拉通常可以通过手机网络将系统安全更新无线推送给车主。而根据特斯拉透露,此次安全更新已经在收到报告的十日内就开始陆续推送。




斯诺登建议不要使用Google Allo

Google发布了智能移动通信应用Allo,NSA泄密者Edward Snowden建议不要使用,认为它是一个监视工具。Google Allo开发者最初承诺不会无限期的储存用户信息,但在正式版本中这一承诺被放弃了,除非用户主动删除信息或使用端对端加密的隐身模式,否则Google将会永久性的保存和访问用户的完整会话历史。

Google称,做出这一改变是为了改进智能回复功能。在测试中,Allo团队开发者认为永久性保存信息带来的性能提升超过了非永久性储存的隐私益处。


雅虎5亿账户遭窃,2亿账户信息暗网黑市叫卖1800万美元

警钟敲响,史上最大规模的单一网站泄露事件发生了!这一次,惨遭毒手的是雅虎,美国时间周四下午2点30分,雅虎正式证实其用户信息遭窃,影响账户数目至少为5亿。令人震惊的是,这次盗窃并非近日发生,而是在2014年底发生,黑客盗取的信息可能包括用户名、电子邮件地址、家庭住址、电话号码、出生日期、哈希密码(绝大多数使用bcrypt加密)、以及安全问题和答案等。雅虎正与执法部门紧密合作调查此次黑客入侵。雅虎称它正向受影响的用户发送通知,提醒用户修改密码,并建议2014年后未修改密码的用户尽快修改密码。


660万明文密码泄露,知名广告公司Clixsence被黑客端了个底朝天

前段日子已发生不少大规模的信息泄露事件,比如Linkedin、Myspace、VK.com、Tumblr和Dropbox等等。近期又有一家公司加入了“数据泄露豪华午餐”。而且此次泄露比以往的更加糟糕。这家发生数据泄露的公司名为Clixsence,是欧美知名的广告运营公司,ClixSense的会员则可以在网站上通过浏览广告、填写问卷、完成小任务或抽奖等方式来获取现金奖励,有些类似于我们熟悉的广告墙、积分墙服务。


上周末,该公司超过220万人的个人敏感信息被公开,而在此之前已经有440万的用户数据被公开售卖。内容包括明文密码、电子邮件,转存的数据库还包括用户的姓名、出生日期、性别、家庭住址、IP地址、付款记录以及其他银行账户细节。如此规模的数据加上多到令人咋舌的细节,让人不敢相信这是真的,然而知名数据泄露查询服务“Have i been owned”目前已经验证了泄露出来的数据的真实性。




朝鲜DNS数据泄露:“互联网”规模极小,居然只有28个可访问网站

9月20日上午,Uber安全工程师Matthew Bryant发现,由于朝鲜顶级域名服务器ns2.kptc.kp的错误配置,允许DNS区域传送,导致任何人都可以向该域名服务器发出查询请求,并获取到一份朝鲜顶级DNS数据列表。之后,Bryant随后通过一份脚本文件对此域名服务器进行了记录跟踪下载(github),从下载的DNS数据显示,朝鲜互联网规模非常小,DNS数据披露了28个可访问的.KP域名。



保护8亿终端 阿里聚安全携手信通院打造B2C资金安全闭环

近年来,电信网络诈骗持续高发,从2011年至2015年,全国电信诈骗案件数量从10万件飙升至约60万件。据新华社报道,仅2016年1月至7月,因电信诈骗造成的经济损失就高达114.2亿元。电信诈骗与互联网灰黑产业链相交织,产业化、专业化、跨区域化趋势愈发明显,对通信行业的安全能力提出了更高的要求和挑战。


9月21日,2016国家网络安全周期间,阿里聚安全与中国信息通信研究院(以下简称信通院)就未来的技术合作签署合作协议,用安全技术创新联手对抗电信诈骗。




每周安全漏洞

本周发现10个移动安全漏洞,漏洞分布在通信、智能设备、系统漏洞。本周漏洞主要集中在iOS系统上,思科因NSA方程式组织被黑事件影响,爆出大量漏洞,其中包含一个0day漏洞,影响到IOS、IOS XE和IOS XR软件。具体的漏洞详情,请查看下文。


漏洞名称:uber免费乘车漏洞

漏洞类型:设计缺陷/逻辑错误

漏洞概述:在打车订单支付时,将UUID替换为无效的UUID,即可导致支付失败,即可免费乘车。



方程式再曝0day漏洞:超84万思科设备受影响

前一阵的NSA方程式组织被黑事件,可能受影响最大的还不是美国政府,而是思科——因为这次事件中,公布了大量针对思科安全产品的漏洞利用工具,思科不得不一个个去调查研究,确认漏洞存在与否,发布安全公告,着手漏洞修复。然而就在这两天,思科再度发布了一份安全公告,明确编号为CVE-2016-6415漏洞的存在性——这也是BenignCertain工具利用的漏洞。


CVE-2016-6415漏洞影响到IOS、IOS XE和IOS XR软件:具体影响到IOS XR版本4.3.x、5.0.x、5.1.x和5.2.x(5.3.0及更新版本不受影响),所有IOS XE,以及数个IOS版本,详情可见思科的安全公告。此外思科还发布了一款在线工具,用户以此可了解产品是否受到此漏洞的影响。




本周移动安全漏洞详情汇总如下:




每周安全技术

2016 中国互联网仿冒态势分析报告

基于阿里聚安全在2016年1-8月收录的APK样本数据,从16个行业分类分别选取了15个热门应用,共240个应用进行仿冒分析,发现83%的热门应用存在仿冒,总仿冒量高达8267个,平均每个应用的仿冒量达34个,总感染设备量达6790万台。16个行业分类中,社交类应用的仿冒量达4096个,占总仿冒量的49.5%,排名第一。电信类应用的仿冒量占14.2%,排名第二。57%的仿冒应用具有流氓行为、恶意扣费、短信劫持或隐私窃取等恶意行为,其中短信劫持的风险最高。仿冒应用已成为电信线上诈骗的新型手段。



关于 iOS BadURLScheme 漏洞的分析

这个漏洞主要是在iOS对于URL Scheme及其在UIWebView等控件的自动诊断识别等处理机制下导致跨应用XSS漏洞。这个是作者今年在KCON 2016上的演讲题目,漏洞最早在今年的4月份报告给了苹果公司一直没有得到修复进度等反馈。在刚刚发布的iOS 10里已经不受这个漏洞影响了,所以这里直接把细节再次和大家一起分享一下。



安卓恶意APP如何将其他APP中的私有数据搞到手

本文要介绍的恶意软件可以读取Android手机中其他app的文件元数据,例如文件的名称、大小、以及最后修改日期等等。如果文件名中含有敏感信息的标识,那么这款恶意app会将这份文件识别为敏感文件,并且还可以对其进行暴力破解攻击。除此之外,它还可以通过分析其他app私有文件的大小和最后修改日期这两部分数据,来对其他app的使用情况进行实时监控。实际上,从Android操作系统的诞生之日起,其文件系统中就一直存在着权限问题。当我将该漏洞提交给Google公司之后,Google将这一漏洞归类为了“低危漏洞”,并且给我提供了五百美元的漏洞奖金。我写这篇文章的目的只是为了抛砖引玉,希望能给大家提供一个关于处理Android安全问题的思路。



每周安全活动

【直播】APP全量混淆和瘦身技术揭秘

近些年来移动APP数量呈现爆炸式的增长,黑产也从原来的PC端转移到了移动端,通过逆向手段造成数据泄漏、源码被盗、APP被山寨、破解后注入病毒或广告现象让用户苦不堪言。 


为了解决安卓APP容易被逆向的问题,除了对产品进行加固处理,代码混淆技术是对抗逆向攻击最有效的方式之一。本直播会分享阿里聚安全带来的APP全量混淆技术。此外越来越多的新特性正在啃蚀着大型APP的用户体验,APP瘦身减肥也成了亟待解决的问题,如何能在使用安全功能同时瘦身,也将是本期主题所带来的内容。


* 更多安全资讯和安全技术,请访问阿里聚安全博客


标签

  • 短信
  • 积分兑换
  • 仿冒应用
  • 漏洞分析
  • 漏洞预警
  • 年度报告
  • 安全报告
  • 病毒分析
  • 阿里聚安全
应用更安全,用户更放心! 立即登录