一周移动安全热讯——不懂技术也能开发勒索软件了
- 分类:新闻
一周热闻之
如今,不懂代码也能写勒索软件了,还能个性化定制
android系统不太平,一款android木马开发工具包应用程序正在国内社交网络平台上传播,不懂技术也能开发勒索软件了。据了解,该程序提供了一个极易使用的界面,重点来了:整个过程不需要用户编写任何代码,而这一切均可在智能手机上就能完成。
这款名为「梦工厂」的app可以让用户在定制的勒索app中设置个性化的勒索联系信息、解密密匙、app图标、代码加密算法以及app运行特效等。确认好所有要素信息后,点击“生成”,一款针对android系统的勒索软件就自动生成了。它可实现锁定设备,更改pin,对用户数据加密,并执行如强制还原出厂设置这类的恶意操作。
黑软定制界面
#从wannacry,到notpetya和leakerlocker,勒索软件肆虐pc网络,国内外大量企业和机构中招。怎料在移动端,连代码都不懂就能制造勒索软件了,企业的it人可还能坐的住? #
一周热闻之
微信的一个漏洞价值330万
根据 0day漏洞中介公司 zerodium 上周三公布的最新收购报价,该公司对signal、fb messager、imessage、viber、whatsapp 、微信和telegram 等流行的即时聊天app开出了最新的漏洞收购价,其中,微信的远程代码执行和本地提权漏洞的报价高达50万美元(约合人民币330万)。同时,该公司对 iphone 越狱方法开出了最高 150 万美元(零用户交互)和 100 万美元的收购价。
zerodium报价表截图
#连黑产都愿意为一个app漏洞花330万的时候,企业在移动安全上的投入又有多少呢?#
一周热闻之
热修复存后门,中国广告公司提供的 sdk 被警告下架
苹果和谷歌商店出于安全考虑,早已禁用app的热修复(也叫热更新)功能,但部分旧版本app依然保留此功能。上周中国广告公司提供的个信广告sdk被国外安全公司爆出内置后门,其热修复功能允许下载与执行任意代码。google play有超过 500款应用使用该功能,总下载量超过一亿次。
对此,个信sdk官方24号发布声明:称其已第一时间去除热修复功能,提供了符合google play最新审核要求的sdk版本。使用相关版本sdk的app开发者也已经更新版本,并且重新在google play上架。
个信ag尊龙app官网声明截图
#热修复功能虽简单便捷,其安全性却无法保障。今天下载的连连看,明天可能就热修复成间谍应用,分分钟盗取手机上的数据。部队官兵、企业高管、科研人员等敏感人群手机上的数据急需保护。#
一周热闻之
又双叒叕是权限!你的手机app可能监听通话!这些功能要谨慎开启
关键不给权限不启动啊,怎么破?
上周江苏省消协举行发布会,公布了手机app侵犯消费者信息安全的相关情况。江苏省消协工作人员通过现场检测,在手机下载的100多个手机app中,79个app可获取定位权限,23个app可直接向联系人发送短信。点开“电话与联系人”一项,甚至有14个app可以监听和挂断电话。
江苏省消协对27家手机应用程序开发企业展开调查,并发送约谈函,结果显示相关企业普遍存在侵犯个人信息安全的共性问题。部分企业经多次联系,既无书面意见反馈也未进行情况说明,其中包括手机百度、平安壹钱包、蜻蜓 fm、爱奇艺等8家企业。
国内某知名app不给授权不启动
#国内android界“把权力关进笼子里”早已成了笑话,听歌软件居然需要定位和电话权限,不接受就不启动,某些app全家桶更是有过之而无不及。过度授权意味着更多泄密渠道,企业需要一套能“把权力关进笼子里”的技术保护信息安全。#
一周热闻之
速来围观2017 年 7 月全球三大最受 “ 欢迎 ” 手机恶意软件
安全公司 check point 上周发布最新《 全球恶意软件威胁影响指数 》报告,展示了 7 月各操作系统下最受 “ 欢迎 ” 的恶意软件。其中,全球三大最受 “ 欢迎 ” 的手机恶意软件:分别是
1、间谍软件 thetruthspy:允许攻击者隐匿安装并跟踪与记录设备数据。
2、黑客工具 lotoor:允许攻击者通过 android 操作系统漏洞在受攻击的移动设备上获得 root 权限。
3、恶意软件 triada:适用于 android 模块化后门程序,可利用管理员权限下载恶意软件并将其嵌入至移动设备系统进程。
thetruthspy的安装截图
#三款黑软件,千万受害人。如此受“欢迎”的手机恶意软件,让安全厂商又度过了多少个难以入睡的夜。企业移动安全之路,依然任重而道远。#
一周热闻之
手机验证账号过程存漏洞,用户设备易被劫持,损失难以估量
联邦贸易委员会(ftc)的一份报告指出,黑客正利用手机号码控制用户设备,并重置手机密码,他们只需致电手机运营商,要求将目标手机号码的控制权转移至另一部手机,此后通过“被黑”手机上的数据控制大量设备。鉴于虚拟货币交易的不可逆,黑客主要将目标瞄向虚拟货币爱好者,或在社交媒体讨论虚拟货币的用户。ftc在报告中指出,黑客可在几分钟之内重置虚拟钱包密码,造成用户惨重损失。
而盗取虚拟货币并不是黑客的唯一动机,据报道,他们还会窃取电子邮箱和敏感文件,包括照片和其它信息,并索要赎金。
此类攻击暴露了手机验证账号的过程存在重大漏洞。
谷歌最新的二步认证
#上个月谷歌出于安全考虑,宣布修改其二步认证方案,以移动设备上的提示取代一次性的短信认证代码。这真不是空穴来风,相比短信,应用内的安全验证将更加安全有效,这点值得各应用厂商借鉴。#
来个好消息,一周热闻之
新型触屏技术,利用视觉混淆阻止黑客窃密
纽约大学教授 nasir memon 带领的团队推出一款新型触屏技术 illusionpin(错觉密码),可混淆网络犯罪分子视觉效果,防止用户在智能手机或 atm 机输入密码时被看到或复制。其主要采用了两种触屏键盘的混合图像技术,达到混视觉的效果。通俗讲,即是让不同的人看到不同的数字,用户看到的,和旁边侧瞄的、摄像头监控以及远处张望的人看的密码是不一样的。直观感受可参考下图,眼睛和图的距离远近不同,数字排列也完全不同。
手机远近各观察一次,看有什么变化
对于使用屏幕而并非键盘的现代机器来说,比如手机、pad,这种光学错觉技术可提高密码准入的安全性,大大强化了目前以密码,辅以指纹识别、人脸识别和虹膜扫描的生物特征技术的设备系统安全体系。
#这款防窥神器的功能毋庸置疑,那么现在只剩两个问题,1、这个技术何时推向市场;2、成本如何。#
一周热闻之
超过1700台物联网设备的有效远程对话凭据在线泄漏,61%的ip位于中国
近日,安全研究人员ankit anubhav声称逾1700台物联网(iot)设备的有效telnet(远程对话程序)凭据在线泄漏,疑似成为黑客通过僵尸网络进行ddos攻击的动力来源。
据悉,该列表包含33000个ip地址,由8200个独特ip地址组成,其中61%位于中国。
#除了手机、pad,还有路由器、摄像头、智能音像、车载记录仪、数码相机、adas系统……在无数双眼睛的注视下,不论个人还是企业都变得毫无秘密可言,身处楚门的世界,企业该怎么保护自己?#
2017/08.29 百度百家