指掌易 -尊龙凯时注册

一周热闻之

无须开启gps 照样定位你在哪儿

普林斯顿大学的研究人员开发出一款poc app，即使手机已关闭gps服务，也能追踪用户位置。研究人员表示，即使关闭gps也能追踪用户的原因在于，现代手机上都配有大量准确的传感器，它们能追踪如高度图和天气数据佐证的大量数据并借此重构用户的移动轨迹。经galaxy s4 i9500、iphone 6 和 iphone 6s三款手机上测试，证实了该app的确无需访问手机的gps数据就能重构他们的运动轨迹。

#失去对手机传感器的控制，将面临更加复杂的安全隐患。企业安全工具开发者和企业cso们需要关注。#

一周热闻之

google play严打收集用户隐私的行为

google已经无法忍受其应用商店google play中的应用对用户隐私不加询问的擅自收集行为，决定展开严厉的打击。google 表示应用在收集个人用户数据，如电话号码、邮件地址、imei 号等信息时必须提示并获得用户许可，如果应用收集和传输与其功能无关的个人数据，则必须在传输之前征求用户同意并强调。google限期60天，逾期不改者将遭受严厉处罚。

#企业当然不希望自己的数据被无关或恶意应用收集，使用企业移动管理工具控制应用的权限和信息收集能力，不失为一种好办法。#

相关阅读：

移动安全一周热闻：google要赔27亿英镑给500万iphone用户？

移动安全一周热闻：超千款间谍app藏身android应用商店

一周热闻之

因3100万数据泄露而曝光：手机虚拟键盘ai.type收集大量用户行为数据

近日，流行虚拟键盘应用ai.type被曝因储存信息的服务器未加密保护而导致3100万用户信息泄露，超过577 gb的数据包括了用户的完整名字、邮件地址，应用安装时长，精确位置，甚至记录和储存了用户输入的文本。虽然ai.type解释收集这些信息是出于广告目的，但显然他们收集了太多不相干的用户隐私数据，而用户却并未收到一丝一毫的确认提示。

#其他还能理解，收集用户输入文本就细思恐极了。企业保护数据安全时候，除了使用安全管理工具限制应用行为，关键词过滤和审计看来也是非常有必要的了。#

一周热闻之

补丁不完整，“大脏牛”入侵所有android手机

近日，国外研究机构bindecy指出，由于去年linux系统发现的高危漏洞“dirty cow”（脏牛）的修复补丁不完整，导致新的、可应用于android系统的攻击手段出现。今年9月起，利用该漏洞的新恶意软件已在悄然传播。攻击者可利用其完全掌控android用户手机。

#安全程序的开发生命周期中，对修复程序进行审计也是非常重要的。这对移动安全厂商也是一种警醒，不完整的安全设置等于创造新的漏洞。#

相关阅读：

一周移动热闻：美国也怕中国的《网络安全法》

一周热闻之

装的儿童应用，实则黑产提款机

近日，国内安全公司发现一批恶意推广应用“dowgincw”，通过伪装成儿童游戏应用，通过发布于国内各大应用商店或软件强制更新等手段，安装到用户手机设备中。用户一旦安装，设备将不停下载安装恶意扣费和系统破坏类应用，造成设备卡顿、话费资损、个人隐私泄漏，用户设备将完全沦陷，成为黑产提款机。国内多家应用商店仍能下载到此恶意应用。

dowgincw家族感染用户 top10 的应用

国内感染区域分布

#不该安装的应用从源头杜绝，应用黑白名单用起来！#

一周热闻之

看网页泄露手机号

技术飞速发展，黑产蠢蠢欲动，“手机访客营销”黑色产业链利用运营商系统漏洞，当用户用手机浏览器点击黑产预设的培训机构、金融、医院等相关网站时，黑产组织即可非法获取用户手机号、手机型号、搜索记录等信息，再将信息转卖，用作所谓的“精准营销”。据统计，大约4万个站点存在类似的情况，涉及数百万网民的隐私数据。

用户信息泄露途径示意

#此类移动安全的保护工作需要全产业链联动。而作为企业，移动安全技术升级是不可或缺的，至少用移动网址黑白名单过滤功能，保证员工手机访问网络的安全性。#

一周热闻之

身边的间谍工具：人工智能玩具

近年流行起来的人工智能玩具，正因其低劣的安全性，成为儿童隐私，甚至周安信息的泄露渠道。近日，经法国信息与自由全国委员会对某些人工智能玩具测试发现，人们可在9米外用手机与玩具相连，记录儿童与玩具的对话，以及房间中的其他声音。甚至利用玩具漏洞，进而攻击与玩具相连的手机和无线网络，智能玩具俨然成为一颗儿童和家长身边的高科技间谍工具。

#万物互联，凡是与手机相连的设备，都可能成为攻击跳板：这是企业安全不可忽略的因素。#

相关阅读：

一周移动安全热闻：google采集所有android手机位置信息，关gps拔sim卡也没用

一周热闻之

苹果homekit爆漏洞：黑客控制你家电器门锁

homekit是苹果的智能家居平台，有开发者发现ios 11.2 中存在着严重的homekit 安全漏洞，攻击者可以利用这个漏洞突破 homekit ，并控制支持 homekit 的设备，包括智能灯泡、插座、开关、恒温器、电扇、传感器、门锁等。苹果表示已采取临时措施解决了漏洞，将在后续版本中彻底修复该漏洞。

#又一个万物互联的安全危机#

一周热闻之

移动安全公司指掌易荣获2017中国财经峰会两项大奖

近日，以“进阶与蝶变”为主题的2017中国财经峰会冬季论坛在北京隆重举办，指掌易凭借其在移动安全领域的强大技术实力和良好的市场表现，荣获“年度最具成长性公司”大奖、同时指掌易ceo王伟先生获评“时代创变榜-年度影响力人物”。这也是本届中国财经峰会论坛上唯一获得两项大奖的移动安全公司。

#安全与业务并行！#

相关阅读：

化茧成蝶！指掌易荣获2017中国财经峰会两项大奖

一周热闻之

德国要建国家级漏洞

德国打算推动一项新的立法，“第三方允许实施秘密监控的法定职责”，希望以强制方式要求各科技及汽车企业向德国安全部门提供隐藏“后门”，用于接入各类汽车、计算机与手机、iot等设备。由于情报机构越来越难以突破用于保护数字化设备的隐私安全系统，德国内政部决定推动这项新的立法举措。德国科技从业者和政治家们表示：难以接受此法案对公民隐私权的践踏。

#呃~#

一周热闻之

印度军队禁装涉中app：疑似间谍

近日，印度印度情报机构要求安全部队不要使用由中国研发或者与中国相关的42款手机应用，声称它们有可能是间谍软件。这些应用大多由腾讯、百度、新浪、小米科技、cheetah mobile制作，包括 truecaller（真实来电）、uc 浏览器、微信以及小米社区、小米商店等。对此，小米和 uc 公司对此作出了回应，小米公司宣称公司已经针对这一事件展开了调查，uc 则声称不会做出任何破坏用户信任的行为。

1. 附上疑似间谍的应用名单，虽然是英文，大家应该也能对号入座。
   1、weibo
   2、wechat
   3、shareit
   4、truecaller
   5、uc news
   6、uc browser
   7、beautyplus
   8、newsdog
   9、vivavideo- qu video inc
   10、parallel space
   11、apus browser
   12、perfect corp
   13、virus cleaner (hi security lab)
   14、cm browser
   15、mi community
   16、du recorder
   17、vault-hide
   18、youcam makeup
   19、mi store
   20、cacheclear du apps studio
   21、du battery saver
   22、du cleaner
   23、du privacy
   24、360 security
   25、du browser
   26、clean master – cheetah mobile
   27、baidu translate
   28、baidu map
   29、wonder camera
   30、es file explorer
   31、photo wonder
   32、qq international
   33、qq music
   34、qq mail
   35、qq player
   36、qq newsfeed
   37、wesync
   38、qq security centre
   39、selfiecity
   40、mail master
   41、mi video call-xiaomi
   42、qq launcher
   
   #国家安全出发的移动安全措施无可厚非，不过针对性太明显反倒令人莞尔。不过另一方面也对正在或计划进军海外市场的中国公司提了个醒：移动安全须重视，万勿触碰底线。#
2. 相关阅读：

移动安全一周热闻：超千款间谍app藏身android应用商店

2017.12/10    搜狐网