一周移動安全熱訊——不懂技術也能開發勒索軟體了

一周熱聞之

如今，不懂代碼也能寫勒索軟體了，還能個性化定製

Android系統不太平，一款Android木馬開發工具包應用程序正在國內社交網路平台上傳播，不懂技術也能開發勒索軟體了。據了解，該程序提供了一個極易使用的界面，重點來了：整個過程不需要用戶編寫任何代碼，而這一切均可在智能手機上就能完成。

這款名為「夢工廠」的APP可以讓用戶在定製的勒索app中設置個性化的勒索聯繫信息、解密密匙、APP圖標、代碼加密演算法以及APP運行特效等。確認好所有要素信息後，點擊「生成」，一款針對Android系統的勒索軟體就自動生成了。它可實現鎖定設備，更改PIN，對用戶數據加密，並執行如強制還原出廠設置這類的惡意操作。

黑軟定製界面

#從WannaCry，到NotPetya和LeakerLocker，勒索軟體肆虐PC網路，國內外大量企業和機構中招。怎料在移動端，連代碼都不懂就能製造勒索軟體了，企業的IT人可還能坐的住？ #

一周熱聞之

微信的一個漏洞價值330萬

根據 0day漏洞中介公司 Zerodium 上周三公布的最新收購報價，該公司對Signal、FB Messager、iMessage、Viber、WhatsApp 、微信和Telegram 等流行的即時聊天APP開出了最新的漏洞收購價，其中，微信的遠程代碼執行和本地提權漏洞的報價高達50萬美元（約合人民幣330萬）。同時，該公司對 iPhone 越獄方法開出了最高 150 萬美元（零用戶交互）和 100 萬美元的收購價。

Zerodium報價表截圖

#連黑產都願意為一個APP漏洞花330萬的時候，企業在移動安全上的投入又有多少呢？#

一周熱聞之

熱修復存後門，中國廣告公司提供的 SDK 被警告下架

蘋果和谷歌商店出於安全考慮，早已禁用APP的熱修復（也叫熱更新）功能，但部分舊版本APP依然保留此功能。上周中國廣告公司提供的個信廣告SDK被國外安全公司爆出內置後門，其熱修復功能允許下載與執行任意代碼。Google Play有超過 500款應用使用該功能，總下載量超過一億次。

對此，個信SDK官方24號發布聲明：稱其已第一時間去除熱修復功能，提供了符合Google Play最新審核要求的SDK版本。使用相關版本SDK的App開發者也已經更新版本，並且重新在GooglePlay上架。

個信官網聲明截圖

#熱修復功能雖簡單便捷，其安全性卻無法保障。今天下載的連連看，明天可能就熱修復成間諜應用，分分鐘盜取手機上的數據。部隊官兵、企業高管、科研人員等敏感人群手機上的數據急需保護。#

一周熱聞之

又雙叒叕是許可權！你的手機APP可能監聽通話！這些功能要謹慎開啟

關鍵不給許可權不啟動啊，怎麼破？

上周江蘇省消協舉行發布會，公布了手機APP侵犯消費者信息安全的相關情況。江蘇省消協工作人員通過現場檢測，在手機下載的100多個手機APP中，79個APP可獲取定位許可權，23個APP可直接向聯繫人發送簡訊。點開「電話與聯繫人」一項，甚至有14個APP可以監聽和掛斷電話。

江蘇省消協對27家手機應用程序開發企業展開調查，並發送約談函，結果顯示相關企業普遍存在侵犯個人信息安全的共性問題。部分企業經多次聯繫，既無書面意見反饋也未進行情況說明，其中包括手機百度、平安壹錢包、蜻蜓 FM、愛奇藝等8家企業。

國內某知名APP不給授權不啟動

#國內Android界「把權力關進籠子里」早已成了笑話，聽歌軟體居然需要定位和電話許可權，不接受就不啟動，某些APP全家桶更是有過之而無不及。過度授權意味著更多泄密渠道，企業需要一套能「把權力關進籠子里」的技術保護信息安全。#

一周熱聞之

速來圍觀2017 年 7 月全球三大最受 「 歡迎 」 手機惡意軟體

安全公司 Check Point 上周發布最新《 全球惡意軟體威脅影響指數 》報告，展示了 7 月各操作系統下最受 「 歡迎 」 的惡意軟體。其中，全球三大最受 「 歡迎 」 的手機惡意軟體：分別是

1、間諜軟體 TheTruthSpy：允許攻擊者隱匿安裝並跟蹤與記錄設備數據。

2、黑客工具 Lotoor：允許攻擊者通過 Android 操作系統漏洞在受攻擊的移動設備上獲得 root 許可權。

3、惡意軟體 Triada：適用於 Android 模塊化後門程序，可利用管理員許可權下載惡意軟體並將其嵌入至移動設備系統進程。

TheTruthSpy的安裝截圖

#三款黑軟體，千萬受害人。如此受「歡迎」的手機惡意軟體，讓安全廠商又度過了多少個難以入睡的夜。企業移動安全之路，依然任重而道遠。#

一周熱聞之

手機驗證賬號過程存漏洞，用戶設備易被劫持，損失難以估量

聯邦貿易委員會（FTC）的一份報告指出，黑客正利用手機號碼控制用戶設備，並重置手機密碼，他們只需致電手機運營商，要求將目標手機號碼的控制權轉移至另一部手機，此後通過「被黑」手機上的數據控制大量設備。鑒於虛擬貨幣交易的不可逆，黑客主要將目標瞄向虛擬貨幣愛好者，或在社交媒體討論虛擬貨幣的用戶。FTC在報告中指出，黑客可在幾分鐘之內重置虛擬錢包密碼，造成用戶慘重損失。

而盜取虛擬貨幣並不是黑客的唯一動機，據報道，他們還會竊取電子郵箱和敏感文件，包括照片和其它信息，並索要贖金。

此類攻擊暴露了手機驗證賬號的過程存在重大漏洞。

谷歌最新的二步認證

#上個月谷歌出於安全考慮，宣布修改其二步認證方案，以移動設備上的提示取代一次性的簡訊認證代碼。這真不是空穴來風，相比簡訊，應用內的安全驗證將更加安全有效，這點值得各應用廠商借鑒。#

來個好消息

一周熱聞之

新型觸屏技術，利用視覺混淆阻止黑客竊密

紐約大學教授 Nasir Memon 帶領的團隊推出一款新型觸屏技術 IllusionPIN（錯覺密碼），可混淆網路犯罪分子視覺效果，防止用戶在智能手機或 ATM 機輸入密碼時被看到或複製。其主要採用了兩種觸屏鍵盤的混合圖像技術，達到混視覺的效果。通俗講，即是讓不同的人看到不同的數字，用戶看到的，和旁邊側瞄的、攝像頭監控以及遠處張望的人看的密碼是不一樣的。直觀感受可參考下圖，眼睛和圖的距離遠近不同，數字排列也完全不同。

手機遠近各觀察一次，看有什麼變化

對於使用屏幕而並非鍵盤的現代機器來說，比如手機、pad，這種光學錯覺技術可提高密碼准入的安全性，大大強化了目前以密碼，輔以指紋識別、人臉識別和虹膜掃描的生物特徵技術的設備系統安全體系。

#這款防窺神器的功能毋庸置疑，那麼現在只剩兩個問題，1、這個技術何時推向市場；2、成本如何。#

一周熱聞之

超過1700台物聯網設備的有效遠程對話憑據在線泄漏，61％的IP位於中國

近日，安全研究人員Ankit Anubhav聲稱逾1700台物聯網（IoT）設備的有效Telnet（遠程對話程序）憑據在線泄漏，疑似成為黑客通過殭屍網路進行DDoS攻擊的動力來源。

據悉，該列表包含33000個IP地址，由8200個獨特IP地址組成，其中61％位於中國。

#除了手機、PAD，還有路由器、攝像頭、智能音像、車載記錄儀、數碼相機、ADAS系統……在無數雙眼睛的注視下，不論個人還是企業都變得毫無秘密可言，身處楚門的世界，企業該怎麼保護自己？#

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！