指掌易 -尊龙凯时注册

一周热闻之

4g和5g网络核心网现epc 架构漏洞

安全公司positivetechnologies最近发现，4g和5g无线网络分组核心网epc（evolved packet core）架构的 gtpv2协议中存在一个关键漏洞：在组件间交换信息，基于gtpv2协议的epc信令缺乏验证机制。利用该漏洞，攻击者无需借助难以获取的工具或高超的技能便可拦截、收集移动数据，并发起拒绝服务（dos）攻击。

#企业应当提防通过4g或5g无线网络传送的数据，存在被拦截的可能性，因此，组织机构应部署移动安全层的保护方案，保护移动设备、应用和服务的安全，而不是完全依赖网络的安全性。#

一周热闻之

google帮苹果设备找出wi-fi堆栈漏洞

google 研究人员在确定broadcom （博通）的 wi-fi 堆栈影响所有的android设备后，又将注意力转到苹果设备，证明了该漏洞也能导致允许恶意 wi-fi 信号在ios设备上执行任意代码。从而描绘出移动生态系统中 wi-fi 安全状况的更完整画面。google 已将所有漏洞报告给苹果，苹果在 ios 11 中修复了这些漏洞。

#厉害了word谷歌和苹果，两巨头合作，移动安全有保障，最终用户受益。#

一周热闻之

开源软件dnsmasq漏洞影响数亿android手机和其他设备

dnsmasq是广泛使用的开源网络实用程序，提供本地dns（域名服务）服务以及dhcp（动态主机配置协议）功能，android手机和一些工控网络系统大量应用此程序。google安全研究人员团队发现了dnsmasq软件包中的一组安全漏洞，可能会使攻击者远程执行代码，它包含一个信息泄漏漏洞和三个拒绝服务（ddos）漏洞。最新版的dnsmasq 软件已修复该漏洞。

#软件开发者务必及时更新最新版本的工具软件，避免移动安全隐患威胁到个人和企业用户。#

一周热闻之

一加手机陷用户信息收集门

几乎所有的移动应用和系统都会收集信息，但信息必须是匿名化的，并只局限于机器本身的信息。然而英国安全研究员christopher moore近日指出“一加”手机的oxygenos系统在收集用户数据时并未匿名化，大量用户敏感数据被收集，比如imei设备识别码、mac地址、运营商、imsi用户识别码、手机串号等等手机信息，甚至是每次打开一个应用的时间。一加回应：信息收集是为了更好地优化软件和更好的售后支持。

#byod下，企业数据被收集了怎么办？是上一套移动管理emm，还是有针对性地采用移动dlp产品呢。#

一周热闻之

uber偷偷记录ios用户的屏幕

uber（优步）不仅是款打车软件，还能偷偷记录用户屏幕，关键还是通过苹果公司授权的屏幕记录api功能实现的。即使在uber 应用关闭的情况下，这种屏幕记录api也能记录用户的屏幕信息，从而让优步访问所有通过iphone屏幕显示的用户信息。uber回应该授权始于用于iwatch app的一个旧版本，现已无须此权限，将在未来版本中删除该授权。

#细思恐极：如果“cclean官方版本劫持”事件发生在了 uber 身上，攻击者以uber的录屏授权为跳板，可以获取多少用户信息，又能以此继续发动多少危害更深的二次攻击呢？企业如果没有移动安全防护措施，信息是如何泄露的都无从知晓。#

2017/10.15    指掌易科技