一周移动安全热闻:4g、5g移动网漏洞威胁手机用户信息
- 分类:新闻
一周热闻之
4g和5g网络核心网现epc 架构漏洞
安全公司positivetechnologies最近发现,4g和5g无线网络分组核心网epc(evolved packet core)架构的 gtpv2协议中存在一个关键漏洞:在组件间交换信息,基于gtpv2协议的epc信令缺乏验证机制。利用该漏洞,攻击者无需借助难以获取的工具或高超的技能便可拦截、收集移动数据,并发起拒绝服务(dos)攻击。
#企业应当提防通过4g或5g无线网络传送的数据,存在被拦截的可能性,因此,组织机构应部署移动安全层的保护方案,保护移动设备、应用和服务的安全,而不是完全依赖网络的安全性。#
一周热闻之
google帮苹果设备找出wi-fi堆栈漏洞
google 研究人员在确定broadcom (博通)的 wi-fi 堆栈影响所有的android设备后,又将注意力转到苹果设备,证明了该漏洞也能导致允许恶意 wi-fi 信号在ios设备上执行任意代码。从而描绘出移动生态系统中 wi-fi 安全状况的更完整画面。google 已将所有漏洞报告给苹果,苹果在 ios 11 中修复了这些漏洞。
#厉害了word谷歌和苹果,两巨头合作,移动安全有保障,最终用户受益。#
一周热闻之
开源软件dnsmasq漏洞影响数亿android手机和其他设备
dnsmasq是广泛使用的开源网络实用程序,提供本地dns(域名服务)服务以及dhcp(动态主机配置协议)功能,android手机和一些工控网络系统大量应用此程序。google安全研究人员团队发现了dnsmasq软件包中的一组安全漏洞,可能会使攻击者远程执行代码,它包含一个信息泄漏漏洞和三个拒绝服务(ddos)漏洞。最新版的dnsmasq 软件已修复该漏洞。
#软件开发者务必及时更新最新版本的工具软件,避免移动安全隐患威胁到个人和企业用户。#
一周热闻之
一加手机陷用户信息收集门
几乎所有的移动应用和系统都会收集信息,但信息必须是匿名化的,并只局限于机器本身的信息。然而英国安全研究员christopher moore近日指出“一加”手机的oxygenos系统在收集用户数据时并未匿名化,大量用户敏感数据被收集,比如imei设备识别码、mac地址、运营商、imsi用户识别码、手机串号等等手机信息,甚至是每次打开一个应用的时间。一加回应:信息收集是为了更好地优化软件和更好的售后支持。
#byod下,企业数据被收集了怎么办?是上一套移动管理emm,还是有针对性地采用移动dlp产品呢。#
一周热闻之
uber偷偷记录ios用户的屏幕
uber(优步)不仅是款打车软件,还能偷偷记录用户屏幕,关键还是通过苹果公司授权的屏幕记录api功能实现的。即使在uber 应用关闭的情况下,这种屏幕记录api也能记录用户的屏幕信息,从而让优步访问所有通过iphone屏幕显示的用户信息。uber回应该授权始于用于iwatch app的一个旧版本,现已无须此权限,将在未来版本中删除该授权。
#细思恐极:如果“cclean官方版本劫持”事件发生在了 uber 身上,攻击者以uber的录屏授权为跳板,可以获取多少用户信息,又能以此继续发动多少危害更深的二次攻击呢?企业如果没有移动安全防护措施,信息是如何泄露的都无从知晓。#
2017/10.15 指掌易科技