一周移动安全热闻:当心你的手机沦为ddos攻击帮凶
- 分类:新闻
一周热闻之
警惕:全球数十万android设备将被控制发动ddos攻击,极难抵御
据媒体报道,ddos攻击趋势转向移动网络android平台。据了解,利用包括谷歌在内的官方应用商店传播的恶意程序,创建了android平台僵尸网络「wirex」,其在高峰时最高控制 100 多个国家超12万ip地址,当前各企业很难抵御这种ip地址遍布全球的ddos攻击。这些恶意应用主要提供铃声、视频或存储管理器等服务,多数由俄罗斯、中国与其他亚洲国家的用户下载,wirex僵尸网络当前仅在小规模攻击活动中处于活跃状态,但其威胁预值极高。研究人员建议用户从正规渠道下载应用程序并始终在移动设备上保持全方位杀毒,以便在感染设备前阻止恶意程序下载
#企业要做好防ddos攻击的准备,而自建应用商店也不失为一种保证移动应用安全的有效措施。#
一周热闻之
早期版本ios系统现重大漏洞,设备可被完全控制
上周,移动安全公司zimperium的研究人员亚当·多勒费尔德发布了一款针对ios漏洞的攻击程序「ziva」,该程序集成并利用ios系统中的8处漏洞,结合这些漏洞可任意读/写并获取ios的root访问权限,最终提权并直接控制整个iphone设备。虽然该漏洞仅适用于所有64位ios 10.3.1及更早的版本,而苹果公司也于今年5月修复这些漏洞并将系统升级至10.3.2,但其安全隐患依然不容小觑。
#苹果设备的安全性虽高,但企业在byod场景中依然不可掉以轻心,及时更新系统并防止越狱是设备和信息安全的基本保障。#
一周热闻之
脸部识别解锁手机或加剧隐私安全隐患
苹果即将发布的iphone 8很有可能会使用脸部识别来解锁手机,但安全专家们则更关注其危险性。目前的人脸识别技术多会被照片忽悠,只需要机主的一张脸部照片就可以解锁手机,这会带来极大的安全隐患;此外,使用人脸识别技术将意味着手机摄像头会一直处于开启状态,变成一个非常好用的间谍工具。毕竟脸太公开了,当作密码来用不够隐私。、
#酷炫的技术并不一定会带来更高的安全性,企业还需根据自身安全需求决定采用面部、声纹还是指纹这类生物识别技术。#
一周热闻之
全球运营商放任电话短信安全漏洞20年
由于通信运营商的放任,早在1998年就已爆出的手机ss7协议漏洞存在了20年,至今依然没有改观。黑客利用ss7协议漏洞可追踪全球手机、拦截呼叫和文本短信。用于验证身份的短信信息被拦截后,用户将感知不到网银、证券、虚拟货币等账号的登陆和转账过程,造成严重的财产损失。据了解该漏洞已经在金融领域初现,并窃取用户大量虚拟货币财富。
#企业可借鉴谷歌最新的二步认证方案:用移动设备上的提示取代一次性的短信认证代码,以提高企业app账户登陆的安全性。#
一周热闻之
国家安全标准委对安全手机标准正式立项:包括防护能力、安全等级、app权限限定等
据上周举行的中国手机网络安全高峰论坛消息,国家安全标准委已对安全手机标准立项,旨在研究制定手机安全标准,其中包括关键硬件、软件信息基础设施的网络安全防护能力,系统安全等级,app权限限定等。由于快速扩张的手机网络正成为蠕虫病毒等恶意程序的入侵目标,移动网络信息泄露不仅将个人信息安全问题暴露在公众视野中,甚至已经威胁到企事业单位、关键性产业、政府机构等,信息安全、网络安全和移动通信安全已经上升到国家战略。预计企业级移动安全市场将从目前的约100亿元规模扩张到千亿元以上。而国外机构预测,2017 全球it安全产品和服务的支出将同比增长7%,达到864亿美元。预计到2021年,市场对新兴应用安全测试工具的消费投入,尤其是交互式应用程序安全测试的投入会大幅增加。
#对做企业移动安全的厂商来说,安全手机标准具有很高的指导和借鉴作用。#
一周热闻之
疯狂安全人,移动pwn2own黑客大会漏洞奖金超$50万
日本网络安全公司trend micro近期公布第六届移动pwn2own黑客大会将于今年11月1-2日在东京pacsec安全会议上举行,届时将向找出苹果、谷歌、三星和华为等公司系统软件中安全漏洞的安全人员提供资金奖励。而本次大会奖励总金额已超50万美元。safari漏洞4万,sms短信安全漏洞6万,基带安全漏洞高达10万。而今年的目标设备包括iphone 7、三星galaxy s8、谷歌pixel、华为mate 9 pro,这些设备都将运行最新版的ios或android系统,同时安装最新的安全补丁。
pwn2own黑客大会奖金一览
#企业s&i负责人请密切关注,移动pwn2own大会爆出的漏洞及其后续补丁,将严重影响企业移动办公的安全环境。#
一周热闻之
发原图泄露隐私?这个锅微信不背
近日网传微信发照片原图,泄露大量个人隐私,对此微信发布声明表示此事与微信无关,只是被人误导。原来现在任何智能手机拍摄的照片,都含有一个叫exif参数的东西,它包括光圈、快门、iso、白平衡、日期时间和位置信息等各种数据,如果没有经过人为处理,这些图片的exif参数会一直存在。当用户把原始图片发送给其他人时,所附带的信息也一并发出去了,无论用微信、短信、邮件,还是其他传输工具,都是如此。
微信官方声明
#建议用户非必要时关闭手机gps定位功能,企业可采用移动管理产品禁用办公应用的定位和分享功能,避免信息外泄。#
一周热闻之
不用uber也会被定位,uber争议功能将删除
uber决定删除一个争议功能,该功能允许公司追踪用户位置,不论用户是否在使用uber应用程序。据了解uber去年更新时加上了该功能,可以让uber暗中追踪用户的位置,即使用户不使用该应用程序,或者根本不分享他们的位置。以前,用户只能在使用应用程序时分享他们的位置。uber对此的解释是为了提升司机安全性,并提高接送和下车效率,且只收集乘客每次完成乘车后最多五分钟的位置数据。该功能遭到安全和隐私倡导人士的强烈批评。uber将于下次更新取消该功能。
#应用的权限必须关进笼子里,企业要防止个人应用泄密企业信息。#
2017/09.04 今日头条