微信号:gh_38e8b1223e2a

介绍:阿里聚安全是一个移动安全开放平台,凝聚阿里巴巴多年来在无线业务安全防御的成功经验和技术成果,并面向开发者和企业提供恶意代码检测、漏洞扫描、仿冒应用检测、应用加固、安全组件等服务,一站式解决应用的安全...

【安全资讯】08.24-08.28热点事件播报

2015-08-28 19:35 阿里聚安全


每周的安全资讯如约而至,小编为你带来了本周的热点事件和近期的漏洞介绍:


海豚浏览器的远程执行代码漏洞

截止到2015年7月27日,海豚浏览器在谷歌应用商店已经有超过1亿的下载量,但依然存在严重的漏洞。

攻击者可以控制用户的网络通信数据,并且可以更改应用下载次数的函数,通过这个函数,攻击者可以任意读写文件,这些文件会在用户的终端设备上进行远程执行代码操作。整个攻击甚至不需要用户做其他事情,而只需要下载应用或者新主题。

具体详见视频:

原文链接:http://rotlogix.com/2015/08/22/remote-code-execution-in-dolphin-browser-for-android/


安卓版水星浏览器存在重大漏洞

安卓版本的水星浏览器存在不安全的URL方案,并且存在自定义的Web服务器路径遍历漏洞中,可以用于支持他的WIFI传输功能,把这些漏洞结合在一起可以远程浏览水星浏览器的数据目录或者任意读取和写入文件。

目前在http://rotlogix.com/2015/08/23/exploiting-the-mercury-browser-for-android/上给出了完整的利用方案,并且建议大家如果你使用的是Android版本的水星浏览器的话,请您立即删除并选择其他浏览器。


Facebook的“垃圾邮件大王”桑福德·华莱士认罪,曾发送27000000垃圾信息

拉斯维加斯的“垃圾邮件大王”桑福德华莱士已经认罪,他拥有大约500,000 非法Facebook账户,发送了2700万封垃圾邮件。检察官说,华莱士非法获得了Facebook账号,并向用户发送钓鱼邮件用来欺骗他们提供社交网络的密码。然后,他登录到受害人的Facebook账户,并在facebook上发布垃圾邮件和恶意配置文件链接。

华莱士将会被处以电子邮件诈骗、故意破坏计算机罪,面临三年监禁和$ 250,000元(£15.924万)罚款。阿里聚安全提醒您可以接入聚安全的风控服务,解决垃圾注册、账号被盗、营销作弊、渠道作弊等一系列业务安全问题。

原文链接:http://www.ibtimes.co.uk/facebook-spam-king-sanford-wallace-pleads-guilty-sending-27-million-unsolicited-messages-1517053


中国女黑客计划利用他的高科技高跟鞋来攻击某些组织

最近,一位二十多岁的中国女黑客利用3D打印制造了一双独特的高跟鞋,她把她命名为“无影鞋”,她成功地把渗透测试工具集成到这双鞋中,并计划用它性感的外表迷惑和入侵大型组织。每只鞋下面都配有一个小的抽屉,不用脱下鞋就可以很容易的拉开、合上,并且可以自定义抽屉的大小,目前,她的鞋子里隐藏了很多工具,有USB键盘记录器、无线路由器网线、开锁工具等、TP-Link无线路由器、充电电池等。

目前这双鞋的的打印源文件已经公布出来,感兴趣的黑客可以自行研究。(地址为:http://www.freebuf.com/news/76230.html

原文链接:https://www.hackread.com/female-chinese-sexycyborg-hacker-shoes/


一个针对中国用户的安卓病毒

近日,Dr. Web安全研究人员发现了一个新的Android木马,并把该木马命名为Android.Backdoor.260.origin。该恶意程序是专门投放到中国用户当中,旨在窥探其受害者。特别的是,木马可以截取短信、记录电话、被感染的设备的地理位置,甚至收集由用户输入的数据。

原文链接:http://news.drweb.com/show/?i=9579&c=38&lng=en&p=0


用户可以利用其它途径查到自己的数据是否被Ashley Madison网站所泄露

最近Ashley Madison的丑闻已经闹得沸沸扬扬,可谓一波未平一波又起。微软的安全工程师Troy Hunt开发的haveibeenpwned.com网站,可以查到你是否陷入了网络安全漏洞中,你只需要输入邮件地址,就可以查到自己或者亲友的数据有没有被Ashley Madison网站或其它网站所泄露。

以前提供的类似服务的至少有三个其他网站已经被撤下,该网站发布了一条声明声称他们的网站不会被撤下,他们认为用户应该拥有知道他们电子邮件和数据是否被泄露的权利。

原文链接:http://www.ibtimes.co.uk/ashley-madison-hack-list-you-can-still-check-if-your-partners-data-was-leaked-1517134


Google Play的一款应用程序可被黑客利用来获取用户数据

最近,一款在谷歌官方Play商店有10万至50万的下载的APP被指出有应用风险,黑客可以通过它来利用安卓的Certifi-Gate漏洞,这样可以获得并记录用户在他们的安卓设备上都做了什么。

Check Point发言人表明攻击者可以利用漏洞获得任意访问权限,使他们能够窃取个人数据,跟踪设备的位置,打开麦克风录制的对话等。

原文链接:http://www.ibtimes.co.uk/certifi-gate-android-bug-exploited-by-hackers-through-app-found-google-play-store-1517019



阿里聚安全是阿里移动安全团队多年风险防控技术的结晶,为开发者提供移动应用安全为核心的开放平台,集APP风险发现、风险解决、风险持续监测、业务风险控制为一体,提供了金融级的安全、立体式的防护,助力开发者实现梦想。


 
阿里聚安全 更多文章 「天下无贼」2015阿里安全峰会重磅来袭! 超86%APP存漏洞 — 阿里安全推聚安全平台解决方案 新加坡之旅:阿里移动安全参展RSA安全大会 【第十四届中国互联网大会顺利闭幕】阿里聚安全被评为移动安全指定安全检测机构 【新加坡之旅】阿里安全首次在RSA新加坡会议上展示安全能力
猜您喜欢 【征集】DefCon黑客大会来了,不差钱,只差你! 脸萌新爆款app:Faceu是如何借美拍3天登顶App Store免费总榜的? 九年来,移动互联测试有什么重要进展 前端Talk月刊第四期 MySQL处理空值Null时的两大陷阱,你知道吗?