阿里聚安全·移动安全周刊 第58期

  行工作的，这就从另一方面代表着攻击者首先一定要通过恶意程序来感染越狱设备，一旦感染了越狱设备，攻击者就可以将支付数据拦截到Apple服务器上。

  第二个攻击方式不要求越狱，攻击者就可以拦截并/或伪造SSL流量，篡改交易数据，比如修改交易金额、币种，还有商品投递细节信息。

  技术安全负责人已经向苹果公布了其调查的最终结果，但同时也表示说，由于对安全链的组件有着重大的影响，所以修补程序的开发也并不简单。

  手机银行木马Svpeng新变种，通杀所有Android版本，利用无障碍服务获得特权

  2017年7月中旬，我们得知了著名的Svpeng（一种Android平台上的银行木马程序，trojan-banker.androidos.svpeng.ae）家族的一个新变种。在改进的版本中，网络罪犯分子为其添加了新的键盘记录功能，允许攻击者通过无障碍服务（Accessibility services）窃取用户输入的文本信息。

  无障碍服务（也被称之为“残疾人模式”）通常是为残疾人用户或那些暂时无法与设备完全交互的用户更好的提供的用户界面（UI）增强功能，比如正在开车的驾驶员。滥用此系统功能的特洛伊木马程序，不仅仅可以窃取安装在设备上的其他应用程序的输入文本信息，而且还授予自己更多的权限，那些试图卸载该特洛伊木马程序的操作。

  尽管 Google 费了很大力气去提升 Android 的安全性，该平台仍然面对着相当尴尬且混乱的恶意软件问题。就在几天前，Google 安全人员披露了能够录制通话、拍摄照片、以及监视设备其它活动的‘Lippizan’恶意软件。

  而现在，又有其它安全研究企业曝光了在一些国产智能机厂商的设备中发现了预装的 Triada 木马。

  Zygote 在手机正常运行期间如此活跃，因此能够访问到几乎任意应用程序的内容。在最新变种中，该木马已获得沙盒机制的加持、被更新得无法追踪。

  尽管设备制造商已被告知该恶意软件问题，但鉴于其主打低成本市场，预计它们不太可能会为这些设备推出任何安全更新。

  安全研究员在多个常用智能摄像头中发现远程侵入漏洞，涉及 VStarcam、Loftek、以及 Neo IP camera。其中的 Neo IP camera 就是中国深圳厂商丽欧电子 （Neo Electronics）生产的智能摄像头设备，此次安全公司可以提供的报告中具体列出了丽欧电子 的两款产品：iDoorbell 以及 Neo Coolcam NIP-22 两种摄像头均存在缓冲区溢出问题，受影响的设备能被攻击者远程入侵，执行任意代码并彻底接管。

  上月中旬有报道称，维基解密网站公布了美国中央情报局（CIA）“Vault 7”秘密文件的部分内容。近日据外国媒体报道，同样是“Vault 7”秘密文件一部分的 Imperial 项目日前被维基解密曝光，证明 CIA 已拥有向苹果系统磁盘映像植入木马的能力。而此次曝光还披露了 CIA 的三个间谍软件“Achilles”、“SeaPea”以及“Aeris”。

  据外媒近日报道，Google 安全研究人员近期在Google Play Store中发现新型 Android 间谍软件 Lipizzan，允许黑客从移动电子设备中过滤任何类型数据，并将其作为监控工具使用。

  Lipizzan 是一款多阶段间谍软件产品，与具备政府、情报机构背景的以色列安全公司 Equus Technologies 有关。研究人员在对恶意软件深入分析后表示，被感染应用经过两个阶段成功绕过 Google 过滤器进入应用商店下载。

  据Motherboard报道，英国网络安全研究人员马科斯-哈钦斯昨天下午被FBI拘捕，当时他正准备从拉斯维加斯飞回伦敦，这次哈钦斯来美国主要是为了参加黑帽子大会和DefCon黑客大会。此事被曝出后便引起了轩然，原来这位曾帮助全球电脑免受WannaCry病毒威胁的神奇小子也曾参与过病毒的制作和传播。

  在互联网快速地发展的今天，直播平台，内容社区，视频网站等UGC/PGC平台蒸蒸日上，如雨后春笋般出现。但巨大的安全风险隐患也接踵而至，内容审核成为企业最关键的一道防火墙。企业招聘大量的内容审核专员来应对包括色情、暴力、犯罪等多个角度的不良内容。其中鉴黄师可能是最神秘也最令人遐想的岗位了。阿里聚安全小编专访了负责阿里内容安全（阿里绿网）的资深赛车手——来自阿里安全多媒体算法团队的唐秋。常年战斗在一线的他，是如何学习高超的驾驶技巧？

  第一代鉴黄师正如大家所想的那样，通过一双肉眼鉴别淫秽图片和视频。但这份工作并不轻松，他们每天需要完成海量的图片视频鉴别。因此长时间从事这份工作，不仅对身体是一种摧残。观看太多的色情作品，甚至扭曲的色情作品，还会对心理造成极大的创伤，影响正常的性生活和婚姻关系。

  在人工鉴黄成本上升和互联网日益猖獗的色情信息的环境下，第二代“鉴黄师”应运而生。

  第二代“鉴黄师”从人工鉴黄演变到机器智能鉴黄，通过人工智能、深度学习和大数据样本等技术，千万张正常图片与色情图片的训练模型，最终生成一个智能鉴黄模型。

  当65万田纳西人在孟菲斯地区投票时，他们可能没想到他们的个人资料最终会在拉斯维加斯凯撒皇宫的黑客会议上被展示出来。美国投票制度的优势在“笨重”的投票机，有助于防止大规模黑客入侵。但是，美国政府工作人员会将旧的投票设备拍卖给公众。

  这次黑客们从eBay上购买了退役的ExpressPoll-5000投票机，他们发现政府工作人员没有将设备当中存储的选民信息抹去，这台机器当中存储了在田纳西州谢尔比乡村投票的65万4517人的个人记录，不仅包括名字，地址和生日，还包括政党信息，以及他们是否投票缺席，是否被要求提供身份证明等信息。

  这项法案不是针对所有物联网设备，只是适用于美国政府内部使用的设备，因此不大可能会有大的反对意见，通过立法几率很大。而通过之后，由于行业自身没标准，它也能成为既定事实的监督标准。

  FFmpeg是一套目前很流行的可拿来记录、转换数字音频、视频，并能将其转化为流的开源计算机程序。它提供了录制、转换以及流化音视频的完整解决方案。目前有非常多的视音频软件或是视频网站、手机 APP 都采用了这个库，但是这个库历史上曝出的漏洞也非常之多。这次的漏洞是利用了ffmpeg能处理 HLS 播放列表的功能，在 AVI 文件中的 GAB2字幕块中嵌入了一个 HLS 文件，然后提供给ffmpeg进行转码，在解析的过程中把它当做一个 XBIN 的视频流来处理，再通过 XBIN 的编解码器把本地的文件包含进来，最后放在转码后的视频文件当中。

  Brida是Burp Suite一个插件，它可以将Burp和Frida结合起来使用，这样就能够准确的通过你的需求修改移动端app和服务器的通信流量。当分析移动app时，无法截取通信数据包，没有办法获得数据包一些隐藏的内容，所以就有想法写一个能够截取移动数据包的软件，于是Brida就产生了。

  这是一份超霸道的网络安全知识与网络安全资源列表,其中涵盖了数据威胁,数据泄露、书籍、工作、公司和风险投资的线上资源。

  这些网络安全信息列表，能够在一定程度上帮助那些无法抽身工作的IT人员利用度假的空闲时间，仅用贴身携带的手机或平板电脑，就可轻松查阅到丰富的网络安全事件、数据、统计等等。

  以上是本周的安全周刊，想了解更多详细的内容，请访问阿里聚安全官方博客返回搜狐，查看更加多