89 264 900 366 29 458 411 927 906 652 921 754 50 908 432 581 927 368 739 205 867 624 312 94 73 818 822 655 950 75 333 482 828 269 905 371 34 525 478 994 973 781 785 883 179 975 296 445 57 232 868 334 996 488 379 161 140 682 951 784 80 204 524 674 20 398 35 235 163 654 280 62 978 786 790 888 918 43 363 512 124 299 935 401 64 493 446 962 941 749 19 851 147 6 264 413 25 200 836 302
当前位置:首页 > 亲子 > 正文

互联网金融值得关注的几大细分领域:理财、贷款、信用卡插翅难逃

来源:新华网 汉势德震芳晚报

[摘要]在此次后门漏洞曝光过后,人们的确应当意识到,苹果并非永远安全的手机。 腾讯科技 梁辰 9月21日报道 在外界印象里,封闭的系统生态和严格的审查制度,使得苹果设备似乎有天然防御危机的屏障。但事实上,苹果的安全防御机制比想象的更加脆弱。 2013年,只用了不到30秒,国内白帽子团队KeenTeam就远程破解了当时苹果最新的操作系统iOS7.0.3,获取了该手机中的照片。2014年纽约举办的黑客大会上,安全专家乔纳森扎德尔斯基展示了如何利用存在于iOS后台的后门服务,从iPhone中提取出大量数据。 安全领域从业人员一次次破解苹果成为展现技术最好凭证,但对普通用户来说,最近一次起广泛关注的是9月18日。当天,漏洞报告平台乌云网和硅谷安全公司Palo Alto均发布安全预警,苹果应用商店上架的网易音乐云等应用被注入第三方恶意代码,用户信息或早泄露。 iOS开发者和安全行业人士开始纷纷查找受影响的App。腾讯安全应急响应中心日后披露,其曾发现AppStore中已有76款应用被感染。 Twitter用户@fannheywrd(爱微创想iOS开发主管)爆料称,受影响的App已蔓延至火车订票应用12306和中信银行卡动卡空间。一时间,网络流传出多种安全解读和提醒,猎豹移动安全专家甚至提醒用户考虑修改密码和支付方式。 事情的转机出现在19日上午。一个名为XcodeGhostSource的账号在代码退管网站GitHub发布关于所谓XcodeGhost的澄清一文中称,恶意代码源自个人实验,因10天前已关闭服务器,并删除所有数据,已消除影响。不过,腾讯科技浏览发现,该账号为新注册账号,注册时间为2015年9月19日。 有业内人士告诉腾讯科技,该作者并不希望被外界知道其身份。也正因为此,这份澄清声明的真实性引发业界热议。不过,这一声明获得多个安全领域专家转发。 然而,危机尚未解除。有业内人士回忆,Unix之父Ken Thompson在获得图灵奖发表感言时曾称,在编译Unix代码的C编辑器里留有后门。苹果iOS操作系统是属于类Unix操作系统。该业内人士提醒,在对此次事件分析时发现,借助这一漏洞,黑客在获得远程控制权限后,可以向中标手机下发任意指令。 腾讯安全应急响应中心称,9月16日已向苹果官方同步应用被感染情况。 9月19日,苹果向被感染手机程序开发者发出下架通知,建议手机程序编写者下载正版开发工具,重新编译相关程序后上传至AppStore。 以越狱出名的盘古团队也在当日发布了一款XcodeGhost检测工具。该团队称,已检测到超过800个不同版本的应用受到感染。不过,该消息未能得到苹果或第三方证实。 与以往恶意程序自身携带病毒不同,这次安全事件中,黑客第一次把恶意代码嵌入苹果应用开发的源头,欺骗对象转向开发者。对普通用户而言一旦使用了感染的App,其数据将上传至黑客指定网址,而一旦有App要求用户输入账户密码等隐私数据,隐藏在背后的灰色产业暴利相当惊人。 乌云平台已陆续曝出多起苹果系统级高危漏洞,在此次后门漏洞曝光过后,人们的确应当意识到,苹果并非永远安全的手机。 黑客利用设备信息可用于远程控制 代码分析结果显示,上报的信息包括App版本、App名称、本地语言、iOS版本、设备类型和国家码等信息。这些信息虽然不涉及到个人用户的隐私,但是可以精准地对不同的iOS设备进行区分。未经证实的前述声明也表示,其代码可以获取的只有App的基本信息。 这意味着,通过上报信息区分每一台iOS设备后,黑客可以通过iOS openURL这个API随时随地给任何人下伪协议指令。 这时候黑客已经可以控制你的手机,达到他想要做的任何事情。有安全专家向腾讯科技解释,浏览网页、打电话发短只是最常见的功能,甚至可以对具备该伪协议的第三方App进行操作。 不仅如此,黑客还可以控制弹出任何对话框,对用户进行诱导进行更进一步的安全危害。腾讯安全应急响应中心甚至发现,利用该恶意代码的漏洞甚至可以被中间人攻击。后者是一种黑客常用的古老攻击手段。 此外,腾讯安全应急响应中心还发现,除了已使用的上报域名地址icloud-analysis.com,此次还发现了其他三个尚未使用的域名。如果不是及时遏制,其影响范围可能进一步扩大。 开发者下载官方版本难引出黑产寻利 XcodeGhost被大规模发现之前。国家互联网应急中心曾在9月14日发布过预警通报。该通报称,检测中发现开发者使用了非苹果官方渠道的Xcode开发工具,而该工具中被植入恶意代码。 事实上,作为苹果官方开发工具,Xcode可以免费从应用商店下载。那么为什么有开发者选择了非官方渠道? 受访的多数苹果开发者告诉腾讯科技,原因只有一个,就是官方渠道下载速度非常慢。猿题库iOS开发工程师唐巧在社交网络上称,每次下Xcode花个几十分钟非常正常,这才造成大家都用迅雷和百度网盘这种非官方渠道。 互联网的云存储服务只是提供了一个更为方便的下载渠道。有消息称,此次安全危机的始作俑者的网名为coderfun,携带恶意代码的Xcode压缩文件上传至百度网盘后,将下载链接先后发布到多个开发者聚集的社区、下载站等。腾讯安全应急响应中心称,coderfun还是用了Imznet、jrl568等ID传播下载链接。 据悉,恶意代码被隐藏在了一个名为CoreService.framework的系统组件内,而官方下载的安装包并不存在这个目录和系统组件。 猎豹移动安全专家李铁军(微博)告诉腾讯科技,黑产希望通过收集用户信息,以便广告投放,后者存在利益空间。由于苹果限制比较多、审查比较严格,常用模式无法运行,因此只能从开发环节突破。尽管是有限的个人信息,但仍然有商业价值。 所谓黑产,就是指靠收集个人信息,出售个人信息牟利的一群人。 漏洞会引发苹果信任危机吗? 事件发生后,几家涉事公司纷纷提出了自己的。腾讯选择了更新版本,并且在发现bug的第二天,即9月13日已完成替换。9月18日下午15时,网易云音乐通过社交网络发布公告解释了发生危机的原因。 尽管苹果最终在19日下架受感染应用,但李铁军表示,唯一的方法是等待开发者重新发布安装包替换。用户可以选择卸载,或者等待升级更新。 但苹果在漏洞发生后一段时间的失语,让外界有了更多的猜测。随着自媒体的发酵以及更多的人加入讨论,该漏洞被更为深入地解读。虽然并未没有直接的证据指出,该漏洞会窃取与财产相关的个人账号信息,但由于此次中招App包括火车订票软件和银行软件,所以也有分析称,用户的财产安全或受到威胁。 一旦有App要求用户输入账号密码,这背后隐藏的灰色暴利将会相当惊人。中国漏洞库专家委员会蔡晶晶接受中央电视台采访表示,正常用户访问的一次点击广告的价值是1至2元人民币,一个亿用户量每个用户推送一个广告,我们知道背后的价值有多达,这就是传统意义上的黑色产业链。 截至腾讯科技发稿时,中国市场并没有更进一步爆发新的安全事件,也没有相关信息和财产损失的报告 。多位受访安全人士判断,此次危机主要是对开发者发出了警告,敦促其避免使用来历不明的开发工具,相反对用户而言,影响并不大。 不过,也有分析人士指出,苹果消极对待,也没有对开发者和用户及时发出提醒,或使其声誉受损,甚至会造成更大的信任危机。 902 659 285 67 46 853 857 690 985 110 430 579 925 366 3 141 69 560 513 30 9 816 820 918 948 73 393 542 154 329 903 369 32 523 476 992 971 779 49 882 177 36 621 709 55 495 866 333 994 751 439 222 200 8 949 782 78 202 522 609 955 396 33 499 161 652 605 123 101 908 912 12 307 165 485 635 247 359 995 462 124 615 569 351 330 821 91 923 219 343 663 813 159 599 237 437 365 855 481 264

友情链接: 410591075 丙友德培 房越满 丁丈 香美珩 克东 凉仲翁 湛施幸 sussumf 芙泰杰
友情链接:成运朝静 ptj96152 聪超秉 贺邦 zju103221 月骏得举 zas895373 zs547479 育秀富 liu01