Android 和 Mac 连爆毁灭级安全漏洞,数字居民何以安身立命?

标签: 产品 Google/Android mac 固件漏洞 安全漏洞 | 发表时间:2015-08-06 07:34 | 作者:欧狄
出处:http://www.ifanr.com?utm_source=rss&utm_medium=rss&utm_campaign=

glebstock140501410

数字安全事件我们常有耳闻,比如  12306 账户信息泄露和携程用户信用卡泄露,它们都属于网络安全范畴。而最近两件重大安全事件则实属罕见,一个是系统级别的漏洞,一个是固件层面的隐形蠕虫。

几天前,网络安全机构 Zimperium 在 Android 系统上发现了一个堪称 Android 有史以来最严重漏洞——Stagefright。

这个漏洞波及了 9.5 亿左右的 Android 手机,从多年前的 Android 2.2 到最近的 Android 5.1 之间的各个系统版本都有可能中招。它的厉害之处在于,黑客只需要知道你的手机号码,发一条彩信就可以入侵用户的手机,在远端执行代码读取、控制你手机中的内容,甚至不需要你去打开这条彩信。

stagefright

无独有偶,近日不少媒体接连报道了一个在 Mac 固件层面上的隐形蠕虫—— Thunderstrike 2。与计算机病毒不同的是,计算机蠕虫不需要附在别的程序内。计算机蠕虫未必会直接破坏被感染的系统,却几乎都对网络有害。

这个蠕虫其实是 Thunderstrike 的升级版。今年年初德国汉堡举行的 CCC 大会(Chaos Communication Congress )上,安全专家 Trammell Hudson 展示了一种针对 Mac 固件层面的恶意软件——Thunderstrike(雷击)。它实际上是利用了一个在 Thunderbolt Option ROM 的漏洞,这个漏洞在 2012 年首次被发现但至今仍未修补。

Thunderstrike 主要通过 Mac 上的 Thunderbolt 接口传播恶意软件。恶意软件通过 Thunderbolt 接口进入到 Mac 中,然后自动在固件层面安装,获得系统控制权限,接着肆无忌惮地偷取用户一切信息。

这种 Thunderbolt 恶意软件厉害的地方在于,它独立于操作系统和硬盘驱动,难以被系统侦测到,即使格式化硬盘和重装操作系统也没有办法彻底根除。

近日,这位 Trammell Hudson 联手另一位安全专家 Xeno Kovah 研究出了 Thunderstrike 的升级版——Thunderstrike 2。前面说到,Thunderstrike 依靠 Thunderbolt 接口的物理接触,而 Thunderstrike 2 则可以通过恶意网站或者电子邮件来远程传播。

对于这两个重大安全漏洞,Google 和苹果的反应还算迅速。Google 今日 宣布,除了常规的平台升级之外,从本周开始,所有 Nexus 设备每个月都将收到 OTA 升级推送。首个安全更新在 8 月 5 日放出。

据《卫报》 报道,苹果已经承诺尽快修复 Mac 这个固件层面的漏洞。与此同时,苹果将采取临时的措施来阻止漏洞被利用,其中包括废除利用这个漏洞的开发者证书,以及任何利用恶意软件进行升级的应用。

(Thunderstrike 2 攻击演示)

对于没有技术背景的大众普通消费者来说,不管是 Android 在系统层面上的漏洞,还是 Mac 在固件上的蠕虫,能做的似乎也只有保持关注,厂商或者软件开发商一发布漏洞补丁立刻更新安装。

事实上,相较于上面提到的系统安全问题和计算机固件层面的漏洞,我们平时使用电子设备上网遇到的更多是网络安全问题。

中国互联网协会近日发布的《中国网民权益保护调查报告(2015)》 显示,78% 的网民个人身份信息曾遭泄露,包括姓名、身份证号码、工作单位及家庭住址等。63% 的网民个人网上活动信息被泄露过,包括通话记录、网络浏览纪录、IP 地址及地理位置等。82% 的网民亲身感受到了个人信息泄露对日常生活造成的影响。

image

日常生活中我们知道保护手机号码和身份证号码,正确的网络安全防范措施同样应该成为每个“数字居民”的常识。

Google 近期发表了一篇名为“没有人能攻击我的大脑:专业人士与非专业人士安全行为对比”的 报告。这份报告针对 231 名安全专家和 294 名非安全专家的网络用户做了调查,询问他们在网络安全方面通常采取哪些措施。

调查结果显示,专业人士的 5 个首选安全行为是:

  1. 安装软件更新
  2. 使用独有密码
  3. 使用双重认证
  4. 使用安全性强的密码
  5. 使用密码管理器

而非安全专家的网络用户的 5 个首选安全行为则是:

  1. 使用防病毒软件
  2. 使用安全性强的密码
  3. 经常更改密码
  4. 仅访问自己了解的网站
  5. 不共享个人信息

w1408

这里有一个有趣的点,专业人士的 5 个首选安全行为里面全部没有“使用防病毒软件”,而非安全专家的的网络用户则把“使用防病毒软件”放在了第 1 位。

调查指出,非专业人士往往没有意识到及时更新软件的重要性,并且有所质疑:

我不了解更新软件是否能够确保安全。如果下载了恶意软件岂不是很糟糕?我认为软件自动更新并不安全,因为它可能会被用于更新恶意内容。

对此,专业人士解释道,防病毒软件有它自身的优势,但它会误导用户对安全性的理解,以为安装了防病毒软件就能一劳永逸。及时更新软件才是网络安全的重要保障。

在专业人士的选择中,我们还可以看到 2-4 位的都是和密码相关的安全措施。“使用独有密码”可以最大限度地防止“ 撞库攻击”所造成的密码泄露。之前 12306 用户信息泄露事件就是黑客通过“撞库攻击”所引起的。

“双重认证”相当于给你的家门上了两把锁,而且是两把完全不一样的锁。像 Gmail 的双重认证就包括第一重的密码认证,以及第二重的短信认证或者身份验证器( Google Authenticator)生成的随机数字组合认证。

Google 的调查还显示,仅有 24% 的非专业人士为部分账户使用密码管理器,而 73% 的专业人士会把全部密码都交由密码管理器管理。调研结果指出,这种差异存在的原因在于,非专业人士对密码管理器的优势缺乏了解,以及对此类程序缺乏信任。

尽管 LastPass 曾爆出安全漏洞,但专业付费的密码管理器仍是现在安全系数比较高的密码管理解决方案。密码管理器还可以生成高强度的不规律密码组合,提高密码的破解难度。

对于希望进一步了解网络安全的读者,我们鼓励阅读这份调研报告的 英文原文。报告不仅阐述了大众对于基本网络安全实践的主要误解,还提供一系列技巧帮助大家过上更安全的数字生活。

 

题图来自 123RF

报道倾向:消费电子、虚拟现实、工具类 app。工作邮箱:oudi@ifanr.com。

#欢迎关注爱范儿认证微信公众号:AppSolution(微信号:appsolution),发现新酷精华应用。



爱范儿 · Beats of Bits | 原文链接 · 查看评论 · 新浪微博 · 微信订阅


相关 [android mac 安全漏洞] 推荐:

Android 和 Mac 连爆毁灭级安全漏洞,数字居民何以安身立命?

- - 爱范儿 · Beats of Bits
数字安全事件我们常有耳闻,比如  12306 账户信息泄露和携程用户信用卡泄露,它们都属于网络安全范畴. 而最近两件重大安全事件则实属罕见,一个是系统级别的漏洞,一个是固件层面的隐形蠕虫. 几天前,网络安全机构 Zimperium 在 Android 系统上发现了一个堪称 Android 有史以来最严重漏洞——Stagefright.

Mac OS X Lion安全漏洞可以轻易修改登录密码

- ArmadilloCommander - Solidot
一位安全研究员发现了Mac OS X Lion系统的一个安全漏洞,可以让任何能接触到已登录Lion系统的人都可以通过一个简单的命令更改当前用户的登录密码,且这一过程不需要输入任何密码. 只要登录后在终端中输入如下命令:“dscl localhost -passwd /Search/Users/[当前用户名]”,之后就会提示输入新密码,这一过程并不需要输入旧密码.

谷安: Android Market 网上商店发现后门,赤裸裸的安全漏洞

- Levi - 谷奥聚合——谷奥主站+谷安 aggregator
大家都知道作为 Android 设备用户 Android Market 是必不可少的,它是一个应用下载和购买平台,不过你有没有想过如果有人通过 Android Market 窃取的你的密码信息会怎么样. 黑客现在可以利用一个漏洞绕过简单的密码保护,我们必须要尽可能的小心. 如果黑客窃取了你的 Google 账户密码,他们就可以从世界上的任何地方下载应用到你的设备上,因为现在 Google 可以从云端直接下载应用到你的设备,所以如果有人可以访问你的 Google 账户这意味着它可以随意下载应用到你的设备上.

Gmail发现安全漏洞

- Royce - Solidot
6月1日,Google官方博客宣布数百Gmail用户遭到黑客攻击,搜索巨人称帐户劫持不是Gmail本身的安全漏洞所致. 攻击者使用的钓鱼攻击,他们向特定帐户发送一封邮件,内有钓鱼网址链接,欺骗用户输入密码. 然而今天Gmail用户温云超发现Google的邮件服务确实存在安全问题,他演示了被钓鱼的过程(YouTube),他收到一封“李承鹏参选人大,邀请你参加”的邮件,文章呼吁支持者前往一个链接支持李承鹏.

mac系统连接android手机

- - CSDN博客移动开发推荐文章
mac系统不能连接android手机问题的解决方案:. 2、找到android手机的vendor ID:.      终端执行CMD:  system_profiler SPUSBDataType. 在列出的usb设备中找到自己的手机,copy下vendor ID. 3、将vandor ID放到配置文件中:  ~/.android/adb_usb.ini.

WebGL存在严重的安全漏洞

- CandyFrankie - Solidot
Panggit 写道 "HTML5中的WebGL技术已在Firefox和Chrome等浏览器中实现,并被默认开启,但这实际上给浏览器带来了极大的安全隐患. 问题根源在于,大多显卡以及显卡驱动在设计时并不考虑安全问题,而将相关安全问题交由操作系统完成. 但浏览器沙盒跳过了这一环节默认WebGL可以被安全执行,这会使脚本取得跨域名的执行权限,甚至取得访问本地文件的权限.

Tor修复部分安全漏洞

- Yan - Solidot
法国研究人员Eric Filiol声称发现了Tor匿名网络加密系统存在一个严重漏洞,能让攻击者发现网络中隐蔽的节点,甚至利用漏洞控制使用者的计算机. 漏洞与Tor加密实现有关,研究人员没有披露攻击细节. Tor项目基金会发表声明驳斥了 Filiol的部分说法,称他的数据是有缺陷,他的声明有夸大之嫌,同时指出研究人员没有与Tor分享研究数据.

苹果MAC操作系统上搭建Android开发平台环境

- - CSDN博客移动开发推荐文章
在MAC中安装并搭建Android开发环境的详细步骤和教程. Android的开发平台搭建主要需要的工具有:Java虚拟机JDK、Eclipse、Eclipse插件ADT(Android Developer Tool)和Android开发包SDK,以下是具体的安装方法. 在MAC中已经为我们预装了JDK并默认配置了Java系统变量,因此JDK对我们来说直接使用即可,查看MAC中的JDK版本方法是在命令行(硬盘/应用程序/实用工具/终端)中输入"java -version"并回车即可.

Metasploit Framework 4.0发布,开源的安全漏洞检测工具

- Tairan Wang - ITeye资讯频道
Metasploit是一款开源的安全漏洞检测工具,由于是免费的,因此常被安全工作人员用来检测系统的安全性. Metasploit Framework (MSF)是2003 年以开放源代码方式发布、可自由获取的开发框架,这个环境为渗透测试、shellcode 编写和漏洞研究提供了一个可靠的平台. 这个框架主要是由Ruby编写的,并带有一些C语言和汇编语言组件.

部分 HTC 手機發現存在高危安全漏洞

- Eastar Lee - Android 資訊雜誌 android-hk.com
根據來自 Android Police 的報導,有安全研究人員在部分 HTC 手機上發現了一個高危安全漏洞,允許犯罪分子很輕易取得完整手機及個人資料. 而目前所知受影響的手機包括 EVO 4G、EVO 3D、Thunderbolt、EVO Shift 4G、MyTouch 4G Slid、Sensation 等,全都屬於硬體規格較高階的 HTC 機款.