《安全周报》32期:安卓Stagefright漏洞、全新汽车黑客入侵和”请勿追踪”2.0

仅仅在23年以前,微软只是刚刚发布了Windows 3.1系统,而苹果正推出其第一代PDA(掌上电脑),而Linus Torvalds则在GNU许可证下发布了Linux操作系统。在同一时期,尤金•卡巴斯基也出版了一本书,上面详细介绍了那个时代所有已知的计算机病毒以及清除病毒的方法,其中—这些病毒程序都被称为-V。当时的网络威胁并不是像现在那么严重:一本小册子就能覆盖当时所有病毒的介绍,甚至在随后的20年里情况也并未太过糟糕。 The Complete Сatalogue of Malware, written by Eugene Kaspersky in 1992 《恶意软件完整产品目录》,尤金·卡巴斯基编写于1992年 而那个”天真纯洁”的时代早已一去不复返。现在,每天出现的新型恶意软件数量就多达32.5万。同时几乎每个星期,整个互联网行业都会面临系统安全问题的新考验—从汽车和滑雪板到核电厂,几乎遍及各个领域。这是最好的时代,也是最坏的时代:如今,随着越来越多的人开始重视他们依赖于计算机的数据、企业和个人生活的安全性,整个互联网世界才有可能变得更加安全。 而现在,即便你放松地躺在椅子上的时候,也能了解互联网安全的最新动态。每周一,我们都将为您带来上周发生的三条最重要的安全行业新闻,同时还有从各个网站收集的辛辣评论。这些新闻无一例外都精选自Threatpost和卡巴基斯官方。 Stagefright:还未造成任何改变的安卓漏洞 Threatpost新闻。Google反馈。CERT Advisory。Kaspersky Daily对于如何预防Stagefright感染的建议。 Wired将其称为”迄今为止发现的最严重安卓系统漏洞“之一,但这样的表述并不完全正确:因为它还要更糟。这一漏洞与Heartbleed和Shellshock的主要差别在于:我们不必为Stagefright想一个唬人的名字,Stagefright是安卓系统音频和视频播放的引擎,也是安卓开源项目的一部分。从技术上讲,Stagefright其实是一整套漏洞(来自Zimperium的研究专家发现了留在CVE基地的7个ID),主要与缓冲区溢出有关。 这一多媒体引擎的任务是回放各种音频和视频,正如ZDNet提到的,某种程度上Stagefright的独特功能可实现”你还在考虑是否观看某个视频之前”,它就已经准备好播放了。出于某些神秘的原因,有时所有这些任务都是在”上帝”访问权限级别下执行。但事实上,其中的原因并不神秘:只是这样更容易编码,仅此而已。尽管如此,Stagefright也非常容易脱离安卓沙盒,因此也易于遭受漏洞利用。 最终,我们有了一个出色的概念证明:向手机发送MMS(多媒体短信)–然后一切都一目了然。你甚至无需打开”载入的”MMS:手机会自动帮你打开,因为其编码方式考虑到了为用户的便利性。是不是就没有任何办法了呢?并不尽然。首先,在安卓4.1及以上版本中有一项地址空间布局随机化技术,可防止手机自动打开,或至少部分”解决了问题”。 其次,通过遵循负责任的漏洞披露规则,Zimperium成功阻止了漏洞利用代码。尽管如此,得益于已发布的补丁,所有问题都迎刃而解。 Google的反应则相当有趣。我们从安卓官方博客发布的相关博文中摘录了一小段:”一切都没问题。我们的沙盒棒极了。只有0.15%的安卓设备内存在恶意应用(后面跟着许多星号、细则和条款)。为了确保安全万无一失,Nexus设备需要每个月都进行安全升级。” ‘纵然Nexus设备安全无忧,那安卓智能手机和平板电脑又该如何是好呢?Google的举措无助于解决安卓非一致性问题-新设备常常延迟无法第一时间升级至最新操作系统版本,而更老的硬件则根本无法升级更新。 好在像HTC、三星、索尼和LG这样开发商已宣布,将比以往更频繁地升级他们的智能手机和平板电脑。尽管许多问题依然悬而未决,但我们可以明确的是一些电子设备的系统将进行升级更新。如果我们继续努力下去的话,可能终有一天所有问题都会得到解决。 但无论如何,这都是一个好的迹象。迟早有一天,安卓也会拥有自己的一套升级机制,就像微软的’周二补丁日’一样。正如一年前安卓首席安全工程师Adrian Ludwig在Google总部说的,Google在安全领域做的相当出色,只需再对Google

仅仅在23年以前,微软只是刚刚发布了Windows 3.1系统,而苹果正推出其第一代PDA(掌上电脑),而Linus Torvalds则在GNU许可证下发布了Linux操作系统。在同一时期,尤金•卡巴斯基也出版了一本书,上面详细介绍了那个时代所有已知的计算机病毒以及清除病毒的方法,其中—这些病毒程序都被称为-V。当时的网络威胁并不是像现在那么严重:一本小册子就能覆盖当时所有病毒的介绍,甚至在随后的20年里情况也并未太过糟糕。

The Complete Сatalogue of Malware, written by Eugene Kaspersky in 1992

《恶意软件完整产品目录》,尤金·卡巴斯基编写于1992年

而那个”天真纯洁”的时代早已一去不复返。现在,每天出现的新型恶意软件数量就多达32.5万。同时几乎每个星期,整个互联网行业都会面临系统安全问题的新考验—从汽车和滑雪板到核电厂,几乎遍及各个领域。这是最好的时代,也是最坏的时代:如今,随着越来越多的人开始重视他们依赖于计算机的数据、企业和个人生活的安全性,整个互联网世界才有可能变得更加安全。

而现在,即便你放松地躺在椅子上的时候,也能了解互联网安全的最新动态。每周一,我们都将为您带来上周发生的三条最重要的安全行业新闻,同时还有从各个网站收集的辛辣评论。这些新闻无一例外都精选自Threatpost卡巴基斯官方

Stagefright:还未造成任何改变的安卓漏洞

Threatpost新闻Google反馈CERT Advisory。Kaspersky Daily对于如何预防Stagefright感染的建议

Wired将其称为”迄今为止发现的最严重安卓系统漏洞“之一,但这样的表述并不完全正确:因为它还要更糟。这一漏洞与HeartbleedShellshock的主要差别在于:我们不必为Stagefright想一个唬人的名字,Stagefright是安卓系统音频和视频播放的引擎,也是安卓开源项目的一部分。从技术上讲,Stagefright其实是一整套漏洞(来自Zimperium的研究专家发现了留在CVE基地的7个ID),主要与缓冲区溢出有关。

这一多媒体引擎的任务是回放各种音频和视频,正如ZDNet提到的,某种程度上Stagefright的独特功能可实现”你还在考虑是否观看某个视频之前”,它就已经准备好播放了。出于某些神秘的原因,有时所有这些任务都是在”上帝”访问权限级别下执行。但事实上,其中的原因并不神秘:只是这样更容易编码,仅此而已。尽管如此,Stagefright也非常容易脱离安卓沙盒,因此也易于遭受漏洞利用。

最终,我们有了一个出色的概念证明:向手机发送MMS(多媒体短信)–然后一切都一目了然。你甚至无需打开”载入的”MMS:手机会自动帮你打开,因为其编码方式考虑到了为用户的便利性。是不是就没有任何办法了呢?并不尽然。首先,在安卓4.1及以上版本中有一项地址空间布局随机化技术,可防止手机自动打开,或至少部分”解决了问题”。

其次,通过遵循负责任的漏洞披露规则,Zimperium成功阻止了漏洞利用代码。尽管如此,得益于已发布的补丁,所有问题都迎刃而解。

Google的反应则相当有趣。我们从安卓官方博客发布的相关博文中摘录了一小段:”一切都没问题。我们的沙盒棒极了。只有0.15%的安卓设备内存在恶意应用(后面跟着许多星号、细则和条款)。为了确保安全万无一失,Nexus设备需要每个月都进行安全升级。”

‘纵然Nexus设备安全无忧,那安卓智能手机和平板电脑又该如何是好呢?Google的举措无助于解决安卓非一致性问题-新设备常常延迟无法第一时间升级至最新操作系统版本,而更老的硬件则根本无法升级更新。

好在像HTC、三星、索尼和LG这样开发商已宣布,将比以往更频繁地升级他们的智能手机和平板电脑。尽管许多问题依然悬而未决,但我们可以明确的是一些电子设备的系统将进行升级更新。如果我们继续努力下去的话,可能终有一天所有问题都会得到解决。

但无论如何,这都是一个好的迹象。迟早有一天,安卓也会拥有自己的一套升级机制,就像微软的’周二补丁日’一样。正如一年前安卓首席安全工程师Adrian Ludwig在Google总部说的,Google在安全领域做的相当出色,只需再对Google Play稍加完善一下即可。照这么说,Stagefright将为安卓带来真正有益的变化。至少我们希望也相信会出现这样的改变。但毕竟,我们还有大量的工作要做。

持续的黑客入侵汽车

Threatpost新闻早先的Threatpost故事。Kaspersky Daily采自黑帽技术大会的报道。和来自DEF CON的另一篇报道。

就在上周,发生了一个具有里程碑意义的事件:首个针对汽车的重大补丁。更具体的说,是针对菲亚特克莱斯勒汽车所使用的Uconnect娱乐信息系统的补丁。该系统能1)允许管理全部非娱乐功能(尤其是那些关键的汽车驾驶功能),以及2)通过蜂窝网络接受入站连接。实在忍不住转帖:

没错。但这是上周。本周还发现了另一个漏洞,虽然不算严重,但也相当有趣。想象你在西班牙,阳光灿烂,晴空万里。也可以是在保加利亚或是希腊,这并不是重点。你租了辆车,准备前往海滩去游泳。如果你的车钥匙被偷了,正常情况下,小偷仅凭车钥匙很难找到你的车,因为车实在太多了。但由于你是借的车,因此车钥匙上面还有车牌号码。

当然也可能是在酒店的游泳池。独立安全专家Samy Kamkar发现,如果你用安吉星RemoteLink寻找汽车方位以及远程打开通用汽车车门,可能会遭受黑客入侵。Kamkar很快造出了一台神奇的装置,只需站在车主身旁,就可以拦截移动应用程序与汽车之间的连接数据。

但情况并非看起来的那么糟糕:研究专家表示问题在于应用程序,而非汽车本身,因此只需对应用程序进行简单的升级就能修复这一问题。但还有另一个重要的问题。许多现代汽车装备了和多媒体系统十分类似的系统:与安卓和iOS系统并无太大差异,有触摸屏、可接入网络且具有各种多媒体功能。问题是它们在各个方面都做的十分差劲–运行速度慢、bug众多且反应迟钝。我不得不再次引用Wired的评论:相比安卓系统,汽车制造商自行研发的多媒体系统简直就是”垃圾”。

造成这一局面的原因是信息娱乐对于相当保守的汽车制造商而言发展速度的实在太过迅猛,并将他们远远地甩在身后。好在也有例外情况

汽车产业在安全性方面同样远远落后且停滞不前。对于一名安全专家而言,Unconnect中的任何一个bug都是非常低级且完全不应该出现。此外,还有个新奇的观点是:汽车制造商之所以对网络安全性不加重视,其原因在于”不安全”地进行编码来的更加廉价和方便。而这也直接导致机油泵启动器遭受攻击。虽然过去,汽车技术孤立在计算机世界以外确保了汽车的安全性,但也将在未来成为汽车业的最薄弱一环:没有人预料到汽车会遭受黑客攻击,由于缺乏基本的安全防范措施,因此黑客将能在整个汽车产业兴风作浪。

如何阻止追踪才能开始享受互联网生活的乐趣

Threatpost新闻EFF文章

所有流行的浏览器均采用了”请勿追踪”机制,但不幸的是并未起到应有的作用。实际上,这是一个非常不错的想法:如果用户不想受到广告商、社交网站、网络研究人员、网站流量统计和Google的追踪,只需勾选这一功能选项,从此就能享受完全隐私的网络环境。

但还是抛弃美好的幻想吧。尽管这个想法已宣传了10年之久,但到目前为止依然缺少实质性的动作。用户的浏览页面上依然会时常出现各种已购商品的广告。问题的关键在于互联网行业对”请勿追踪”的实际用途始终无法达成一致意见,对那些不想被追踪的用户也没有表达出足够的尊重。

电子前沿基金会将这一解决方案视为一种全新的标准,从而能对网站提出 “请勿追踪”的更高要求。例如,如果你宣布遵守这一原则,那就不要从那些违反这些原则的社交网站添加按钮。如果网站因为技术需要追踪用户的在线活动(为了购买某些东西和授权等)–则需要请求许可。

然而,新的要求依然是自愿参加,缺乏应有控制力和执行力。而EFF依赖的事实则是:在某些国家,未能自愿承担义务可能会招致法律诉讼。但这依然是非强制性的。因此坦白说,新政策宣布将有助于减少网页广告,但要想真正实现匿名上网冲浪的话,唯一能起到作用的只有VPN(虚拟私人网络)和TOR(洋葱路由)。

加剧问题严重的原因在于大多数人对有没有遭到追踪根本毫不关心。”请勿追踪”规则只是在一小群网络活跃分子之间讨论,而普通用户连在设置中勾选这一功能都蓝的操作。但这样是不对的。因此造成目前这个局面,并不都是那些想要追踪用户在线行为的网络公司的错。

类似于微软的Cortana语音助手、Google Now或苹果Siri这样的新技术在正式推出之前,都需要收集和处理海量的设备用户数据,因为的确有这个必要。偏执狂的人最好不要去读Windows 10的使用条款,因为所有细则都以一种严谨的法律语言陈述。当然,设备收集我们的个人信息也是为了我们能更便利使用设备的目的。

互联网公司越是更多收集个人数据,越是证明那些不遗余力地想限制这些公司收集的人,他们工作的极其重要性。他们将为此战斗到底。

其它新闻?

Mac电脑的BIOS遭黑客入侵。这已经不是第一次发生了

有些不法分子将勒索软件装扮成Windows 10升级补丁到处传播。

在中国发现了一项VPN服务,除了自身服务器以外,还使用遭黑客入侵的PC电脑从事犯罪活动。

温故知新

“保护”恶意软件系列

危险的常驻病毒,将.com和.exe可执行文件作为攻击目标。根据不同版本,会对int 21h、int 1Ch或int 33h指令进行拦截。含”File protection”字符串。”Protect-1157″会清除文件属性和让鼠标无法正常使用。”Protect-1355″则会导致EGA和VGA显示器产生微小但又十分麻烦的屏幕闪烁。

引用自尤金·卡巴斯基于1992年编写的《MS-DOS内的计算机病毒》。

免责声明:本文仅代表作者的个人意见。可能与卡巴斯基实验室的立场相符,也可能相反。听天由命吧。

手机锁屏图案的设置奥秘

人类的行为通常都有规律可循,因此完全可以预测。尤其当不法分子在破解密码、密文和PIN码时,人类行为的可预测性可轻易被利用。我们中的许多人都会将名字、出生日期和其它容易猜到的个人信息设为密码,更不用提’12345’这样的极简易数字密码仍被广泛使用。那我们每个人在设置自己的锁屏图案时,是否也有据可循且容易预测呢?事实证明—的确如此。 来自一家挪威公司- Itera Consulting的研究专家Marte Løge对此做了一项分析,主要是分析人们分别为购物应用、智能手机锁屏和网银所设置的图案密码。最终的结果着实令人大吃一惊。 首先,应用的类型与图案密码的设置强度有着密切的关系。相比智能手机锁屏,人们更倾向于对网银甚至购物应用使用强度更高的图案密码。 其次,在Løge调查的数千受访者中,许多人(约占10%)使用的都是字母样式图案,其强度与类似’12345’这样的极简易数字密码一样弱不禁风,几乎起不到任何安全防御作用。 数字样式的图案密码完全弱不经且最容易被猜到 第三,尽管图案密码可以有大约39万种组合,但人类行为的特有规律使得这一数量大幅缩减。上述提到的大多数组合都包含了8个或9个点,但不幸的是,实际中使用这些组合的人少之又少。因此人们使用最多的大约有10万种组合。 尽管10万种组合听上去数量庞大,但事实上其中的3/4包括了8点和9点的组合,而这些组合人们通常很少用到 据调查,图案密码的平均长度大约是5点—但这根本不足以保护智能手机或应用程序的安全。5点的图案密码长度只能有约7000种组合,显然这比简单的4位数字PIN码还要羸弱不堪。而人们最常用的图案长度是4点,这只能有大约1600种组合。 4点图案密码长度使用最为广泛 此外,要想进一步将组合的数量减至更少,你完全可以轻松预测出图案密码的起始点。人们通常倾向于将角落设为起始点,而其中大约一半的图案组合更都是将左下角作为起始点。而多达73%的人在设置图案密码时,都同时使用了左下角和右上角。 有趣的是,这与是右撇子还是左撇子以及是单手(小屏幕)还是双手(大屏幕)用智能手机都无太大关系。它们的各自占比都非常接近。 另一个有趣的事实是,女性相比男性更倾向于设置较弱的图案密码。此外,图案密码强度与年龄也有一定关系:年龄越小,越可能使用强度更高的图案密码。因此,知道性别和年龄确实有助于预测使用的图案密码。 我们能从这项研究中学到什么?基本上来说,如果你使用安卓锁屏图案,或为一些敏感应用设置图案密码时,想真正保护自己数据的话, 最好使用与众不同的策略。以下是我们的建议: 千万不要使用人人都能想到的数字样式图案组合。使用这种薄弱图案密码的效果和不使用图案或数字字母密码的效果相差无几。 起始点选择不太常用的位置:最好的选择是右边中间的位置。右下角同样也是相当不错的选择。 图案密码的长度最好设为8点或9点:首先组合数量庞大;其次很少有人使用这一长度。 当然,可以考虑将图案密码改为数字字母密码。因为即使是长且可靠的数字字母密码相比高强度图案密码来说,记起来还是要更容易些。

提示
注册