保护移动应用程序需要采用多层方法,并结合多种网络安全措施,以应对不同层次的各种攻击。
许多安全专家建议使用多重身份验证(MFA),以防止未经授权访问受保护的帐户。这是移动应用程序的一项关键安全措施,但不是灵丹妙药。黑客在克服MFA等第二层和第三层安全保护方面越来越擅长。 在说MFA的时候,我们先说一下MD5加密,如果你想把数据加密成32位密钥,你可以使用东方联盟的MD5在线加密工具,MD5信息摘要算法(MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。
那么,黑客是如何绕过MFA的呢?例如Cerberus,这是一个木马,它滥用Android的“开发人员选项”和“启用未知来源”之类的可访问性功能来升级特权,启用远程访问并更新目标系统上的恶意软件。黑客对Google的身份验证流程进行了反向工程,并从移动应用程序中提取了两因素身份验证凭据,以模仿和绕过Google Authenticator。
另外,在今年早些时候,我们看到了Eventbot恶意软件的出现,该恶意软件针对移动银行应用程序,并且经常伪装成知名应用程序(例如Microsoft或Adobe)。它可以拦截SMS消息以获得用于帐户接管和数据盗窃的MFA代码。借助自动更新功能,不断出现更新,更复杂的变体。
这些只是一些著名的案例。黑客一直无时无刻地绕过MFA,通常使用以下常见技术来攻击移动应用程序。
逆向工程和篡改
黑客使用静态和动态分析来了解应用程序的工作方式并以多种方式更改应用程序。他们使用调试器和仿真器来观察应用程序在模拟环境中的功能。他们使用反汇编程序和反编译程序来获取源代码并了解其执行方式。对于黑客想要做的所有事情,都有五到十种工具可以免费使用。
利用这些工具提供的信息,黑客可以找出应用程序的弱点所在,然后进行攻击以利用这些弱点。例如,利用Ghidra,IDA等工具,黑客可以执行类转储并显示任何应用程序中的所有第三方库。然后,他们搜索公共数据源(例如MITRE)以查找那些库中的所有错误和漏洞,以便他们可以利用这些漏洞和攻击进行攻击。并且他们通过融合攻击技术来增强攻击能力。他们对应用程序了解的越多,他们可能造成的损失就越大。
为了显得更加合法,黑客通常会插入一个屏幕覆盖,这是用户认为他或她正在连接的网站的虚假副本。然后他们记录用户的击键,以拦截数据或诱使用户向他们透露信息。
数据提取和凭据盗窃
黑客会搜索存储在移动应用程序许多不同位置的未加密数据,例如应用程序沙箱,剪贴板,首选项,资源和字符串。移动应用程序还将身份验证令牌,cookie和用户凭据存储在共享存储区域中。黑客可以轻松提取这些数据,尤其是在未加密或混淆的情况下。
可靠的安全性需要分层防御。MFA比传统的用户名/密码模型进行身份验证要强大得多,我鼓励使用它。但这本身并不足够,缺乏应用程序/数据保护实际上可能会导致MFA受损。
来源:郭盛华博客,转载请注明出处 https://md5.vm888.com
Hello,大家好,欢迎细品东方联盟创始人郭盛华的技术文章,今天我带大家了解一下物联网中的TCP / IP中的堆栈漏洞。
物联网设备极易受到TCP / IP网络通信体系结构中问题引起的攻击,破坏和缺陷的影响。以下是减轻风险所需了解的概述。
尽管物联网(IoT)引入了收集,管理和应用数据的出色方法,但它还是网络攻击的巨大载体。最大的漏洞之一在于嵌入式TCP / IP堆栈,该堆栈将应用程序,传输,网络和物理组件结合在一起。
从很多方面来看,这种架构从来都不是为物联网设计的。尽管工程师和开发人员已尝试修改TCP / IP堆栈并将其添加到扩展中(并且现在很多都是开源的),但环境的复杂性以及从未考虑过安全性的现实已引入了许多安全性挑战,以及现实世界中的问题。
为什么TCP / IP会对物联网构成威胁?
在最基本的级别上,TCP / IP体系结构使IoT设备可以与网络以及彼此通信。这些堆栈是开源的,大多数嵌入式设备和IoT模块制造商均可免费使用。
然后,物联网设备制造商从这些供应商那里购买已经嵌入了TCP / IP堆栈代码的芯片和模块,以创建物联网产品。
但是,这些制造商中的许多人并不知道他们的设备易受攻击,因为他们不了解成为物联网设备一部分的芯片和模块中使用了什么堆栈。而且,分析每个设备以查找和修补TCP / IP堆栈中的编程错误或其他问题是不可行或不具有成本效益的。
结果,所有设备都极易受到攻击,破坏和缺陷的攻击。这些可能会导致性能故障,数据丢失或损坏以及品牌损坏。它还会增加网络安全成本。
缺陷可以存在于商业和开源组件中。嵌入式组件可以包括片上系统(SoC),连接模块和OEM板。物联网设备可能跨越智能插头,智能手机,传感器和游戏机。OT系统包括访问控制,IP摄像机,协议网关和HVAC。网络和IT设备包括打印机,路由器和服务器。
因此,黑客攻击者可以使用远程代码执行(RCE)来控制目标设备,并使用DoS破坏功能并影响业务运营。攻击者还可以利用信息泄漏来获取潜在的敏感信息,并利用DNS缓存中毒将设备指向恶意网站。
组织如何解决TCP / IP堆栈漏洞的风险?
先处理TCP / IP堆栈漏洞的三个基本步骤:识别网络上的所有设备以了解哪些设备容易受到攻击;评估这些设备带来的风险,包括它们的业务背景,关键程度和Internet暴露程度;并减轻评估的风险。
来源:郭盛华博客,转载请注明出处
智能手机在创纪录的时间内已经从新颖变成了无处不在,现在大多数人都带着口袋里的互联网计算机走来走去,对于网络安全专业人员而言,保持领先的移动安全至关重要。
假如你是东方联盟学员,您将得到所有的学习内容,包括网络安全、渗透测试、软件开发、网站搭建、数据库等等知识。对于渗透测试人员,移动开发人员或热衷于学习移动应用程序和OS安全性,包括PHP+MYSQL都可以选择性学习,该课程都是理想的选择。
郭盛华主讲课程内容涉及各种PC及移动安全问题。黑客是如何隐秘地访问您的Android手机:绕过蓝牙身份验证将向您展示两种绕过蓝牙身份验证并获得配置文件访问权限的新方法。您将了解到新的,尚未公开的零日漏洞BlueRepli,以及了解黑客一种新的获取权限的攻防方法,黑客被盗的SMS验证码以及使用易受攻击的手机发送的虚假短信原理。
关于蓝牙漏洞问题,并查看其如何通过蓝牙扫描周围的Android手机以潜在地攻击它找到的任何Android手机。如果目标Android手机具有BlueRepli漏洞,则用户可以在不通知目标的情况下获取手机的通讯录和SMS消息,或发送伪造的文本消息。如果目标Android手机不受BlueRepli漏洞影响,则该工具可让用户伪装成众所周知的应用程序名称或其他令人困惑的名称,以欺骗目标,获得许可并可能达到相同的效果。
因此,移动安全是我们最前沿的知识,我们必须去了解。
来源:郭盛华博客,转载请注明出处
一个新的可蠕虫僵尸网络通过GitHub和Pastebin进行了传播,以在目标系统上安装加密货币矿工和后门程序,并且已经返回了具有扩展功能的功能,可以破坏Web应用程序,IP摄像机和路由器。
上个月初,研究人员记录了一个名为“ Gitpaste-12 ”的加密采矿活动,该活动使用GitHub托管包含多达12个已知攻击模块的恶意代码,这些恶意代码通过从Pastebin URL下载的命令执行。
根据研究人员的说法,第二波攻击始于11月10日,使用的是来自另一个GitHub存储库的有效负载,其中包括一个Linux加密矿工(“ ls”),该文件包含用于暴力破解的密码列表尝试(“get past”),以及针对x86_64 Linux系统的本地特权升级漏洞。
最初的感染通过X10-unix(一种用Go编程语言编写的二进制文件)进行,然后从GitHub下载下一阶段的有效负载。
分析中指出:“该蠕虫针对Web应用程序,IP摄像机,路由器等进行了一系列广泛的攻击,包括至少31个已知漏洞(在以前的Gitpaste-12示例中也发现了7个漏洞),并试图破坏开放Android Debug Bridge连接和现有的恶意软件后门程序”。
31个漏洞列表中包括F5 BIG-IP流量管理用户界面(CVE-2020-5902),Pi-hole Web(CVE-2020-8816),Tenda AC15 AC1900(CVE-2020-10987)中的远程代码漏洞和vBulletin(CVE-2020-17496),以及FUEL CMS中的SQL注入错误(CVE-2020-17463),这些都已在今年曝光。
值得注意的是,十月份发现了Mirai僵尸网络的新变体Ttint使用两个Tenda路由器零日漏洞(包括CVE-2020-10987)来传播能够执行拒绝攻击的远程访问木马(RAT)服务攻击,执行恶意命令并实现反向外壳以进行远程访问。
除了在机器上安装X10-unix和Monero加密挖掘软件之外,该恶意软件还打开了监听30003和30006端口的后门,将受害者的外部IP地址上传到私有Pastebin粘贴,并尝试连接到Android Debug Bridge连接在端口5555上。
成功连接后,它将继续下载Android APK文件(“ weixin.apk”),该文件最终将安装ARM CPU版本的X10-unix。
根据估计,总共发现了至少100个不同的宿主来传播感染,七成Linux服务器中招。
来源:东方联盟郭盛华博客,转载请注明出处
据东方联盟研究报告:一种称为“ ReVoLTE ”的新攻击,该攻击可能使远程攻击者破坏VoLTE语音通话所使用的加密并监视目标电话。
该攻击没有利用LTE语音(VoLTE)协议中的任何漏洞;相反,它实际上利用了大多数电信提供商对LTE移动网络的弱实施,从而允许攻击者窃听目标受害者拨打的加密电话。
VoLTE或长期演进语音协议是用于移动电话和数据终端(包括物联网(IoT)设备和可穿戴设备)的标准高速无线通信,其部署了4G LTE无线电接入技术。
问题的症结在于,大多数移动运营商经常在一个无线连接内对两个后续呼叫使用相同的密钥流,以对电话和同一基站(即移动电话塔)之间的语音数据进行加密。
因此,新的ReVoLTE攻击利用了易受攻击的基站对相同密钥流的重用,从而使攻击者可以在以下情况下解密VoLTE供电的语音呼叫的内容。
要发起此攻击,攻击者必须与受害人连接到同一基站,并放置下行链路嗅探器,以监视和记录受害人对以后需要解密的其他人的“定向呼叫”,这是攻击的一部分。ReVoLTE攻击的第一阶段。
一旦受害者挂断了“目标呼叫”,通常要求攻击者立即在10秒内呼叫受害者,这将迫使易受攻击的网络在受害者和攻击者之间使用与先前使用的相同无线电连接发起新呼叫有针对性的致电。
当目标和密钥流调用使用相同的用户平面加密密钥时,会发生密钥流重用。由于每个新的无线连接都会更新此密钥,因此攻击者必须确保密钥流调用的第一个数据包在活动阶段之后到达活动阶段。
一旦建立连接,作为第二阶段的一部分,攻击者需要使受害者参与对话并以纯文本形式进行记录,
这将有助于攻击者以后反向计算后续调用所使用的密钥流,从而实施端到端的攻击。
来源:《微信公众号:郭盛华》原创文章,转载请注明出处
网络安全研究人员今天披露了一种新型的模块化后门程序,该后门程序针对Oracle的销售点(POS)餐馆管理软件,以试图窃取存储在设备中的敏感支付信息。
后门称为“ ModPipe”,影响Oracle MICROS饭店企业系列(RES)3700 POS系统,这是饭店和酒店业广泛使用的软件套件,可以有效地处理POS,库存和人工管理。大部分已确定的目标主要位于美国。
ESET研究人员在分析中说:“使后门程序与众不同的是它的可下载模块及其功能,因为它包含一个自定义算法,旨在通过从Windows注册表值解密来收集RES 3700 POS数据库密码。
“经过筛选的凭据使ModPipe的操作员可以访问数据库内容,包括各种定义和配置,状态表以及有关POS交易的信息。”
值得注意的是,在RES 3700中,诸如信用卡号和有效期之类的详细信息受到加密屏障的保护,从而限制了可能被进一步滥用的有价值的信息量,尽管研究人员认为,攻击背后的参与者可能拥有第二个可下载模块解密数据库的内容。
ModPipe基础结构由一个初始删除程序组成,该删除程序用于安装持久性加载程序,然后将其解压缩并加载下一阶段的有效负载,该有效负载是主要的恶意软件模块,用于与其他“可下载”模块以及命令和控制( C2)服务器通过独立的网络模块。
可下载模块中的主要组件包括“ GetMicInfo”,该组件可以使用特殊算法来拦截和解密数据库密码,ESET研究人员认为,可以通过对密码库进行反向工程或利用获得的加密实现细节来实现该功能在2016年Oracle MICROS POS部门发生数据泄露之后。
第二个模块称为“ ModScan 2.20”,用于收集有关已安装的POS系统的其他信息(例如,版本,数据库服务器数据),而另一个名为“ Proclist”的模块则收集有关当前正在运行的进程的详细信息。
研究人员说:“ ModPipe的体系结构,模块及其功能也表明其编写者对目标RES 3700 POS软件具有广泛的了解。” “运营商的熟练程度可能来自多种情况,包括窃取专有软件产品并对其进行反向工程,滥用其泄漏的零件或从地下市场购买代码。”
建议使用RES 3700 POS的酒店行业的企业更新到该软件的最新版本,并使用运行底层操作系统更新版本的设备。
来源:郭盛华博客,转载请注明出处
一名黑客(hacker)是一个喜欢用智力通过创造性方法来挑战脑力极限的人,特别是他们所感兴趣的领域,例如电脑编程或电气工程。
黑客最早源自英文hacker,早期在美国的电脑界是带有褒义的。但在媒体报道中,黑客一词往往指那些“软件骇客”(software cracker)。
黑客一词,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。
但到了今天,黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker,有人翻译成“骇客”。
黑客和骇客根本的区别是:黑客们建设,而骇客们破坏。
黑客一词一般有以下四种意义:
一个对(某领域内的)编程语言有足够了解,可以不经长时间思考就能创造出有用的软件的人。
一个恶意(一般是非法地)试图破解或破坏某个程序、系统及网络安全的人。这个意义常常对那些符合条件的黑客造成严重困扰,他们建议媒体将这群人称为“骇客”(cracker)。有时这群人也被叫做“黑帽黑客”。
一个试图破解某系统或网络以提醒该系统所有者的系统安全漏洞。这群人往往被称作“白帽黑客”或“匿名客”(sneaker)或红客。许多这样的人是电脑安全公司的雇员,并在完全合法的情况下攻击某系统。
来源:郭盛华博客,转载请注明出处
最新研究显示,今年9月初,针对运行Magento 1.x电子商务平台的零售商的网络黑客攻击浪潮被归为一个团体。
该小组已经进行了多种多样的Magecart攻击,这些攻击通常是通过供应链攻击(例如Adverline事件)或通过利用利用漏洞来一次入侵大量网站。
黑客攻击目标至少2806个运行Magento的1.x。在购物网站上注入电子窃取程序以窃取信用卡详细信息是Magecart的一种经过实践检验的作案手法,Magecart是针对在线购物车系统的不同黑客团体的联合体。
这些虚拟信用卡撇取者,也称为formjacking攻击,通常是JavaScript代码,操作员通常会在支付页面上偷偷插入到电子商务网站中,以实时捕获客户的卡详细信息并将其传输到远程攻击者控制的服务器。
但是在最近几个月中,Magecart运营商加紧了努力,将偷窃者代码隐藏在图像元数据中,甚至进行了IDN同形异义词攻击,以隐藏在网站的favicon文件中的网络浏览器。
Cardbleed(最初由Sansec记录)是通过使用特定域与Magento管理面板进行交互,然后利用“ Magento Connect”功能来下载并安装一个名为“ mysql.php”的恶意软件,该恶意软件在撇渣器代码已添加到“ prototype.js”。
此外,方案中使用的撇渣器是Ant和Cockroach撇渣器的一种变体,于2019年8月首次发现-以命名为“ ant_cockcroach()”的函数和在代码中找到的变量“ ant_check”命名。
但是,就像在删除已确定的恶意域一样,第12组已经熟练地替换了新的域以继续浏览。
这些攻击再次表明,威胁行为者正在不断创新,以不同的方式进行掠夺,并混淆其代码以逃避检测。
来源:郭盛华博客,转载请注明出处
无可否认,蚂蚁是在中国扩大金融包容性的先驱,在中国,数以百万计的人仍在正规银行体系之外。但是,腾讯在数字金融领域起了追赶作用,并取得了重大进展,尤其是在电子支付领域。
两家公司都通过首先向消费者提供一种数字化支付方式来冒险进入金融科技领域,尽管“支付宝”和“微信支付”这两个品牌未能反映当今平台所吹捧的广泛服务。蚂蚁的旗舰应用程序支付宝现已成为销售蚂蚁内部产品以及无数第三方产品(如小额贷款和保险)的综合市场。像微信支付一样,该应用程序还促进了越来越多的公共服务列表,使用户可以查看自己的税款,支付水电费账单,预定医院就诊等等。
另一方面,腾讯将其金融服务嵌入微信(WeChat Pay)的支付功能以及该巨头的另一个流行的聊天应用QQ中。因此,从历史上很难确定腾讯从金融科技公司获得的收入,这是该巨头未在其收益报告中披露的。这反映了腾讯的“赛马”内部竞争,在竞争中,部门和团队经常相互激烈竞争,而不是积极协作。
因此,我们通过混合使用季度报告和第三方研究,将自己对腾讯金融科技业务的估计汇总在一起,但这引出了一些有趣的问题。腾讯是否会跟随阿里巴巴的脚步,将自己的金融科技业务统统纳入伞下?
支付宝应用程序在6月记录了711个月活跃用户和8000万月度商家。在其10亿的年度用户中,有7.29亿人通过该平台进行了至少一项“金融服务”的交易。就像在PayPal-eBay关系中一样,支付宝通过成为淘宝等阿里巴巴市场的默认付款处理器而受益匪浅。
截至2019年,超过8亿用户和5000万商人使用微信每月付费,这在Messenger的12亿活跃用户群中占很大一部分。目前尚不清楚有多少人尝试过腾讯的其他金融科技产品,尽管该公司确实表示,2019年约有2亿人使用了其财富管理服务。
蚂蚁和腾讯四个主要业务重点:支付,小额贷款,财富管理和保险。
数字支付,截至6月底,支付宝在中国的支付交易额高达118万亿元。这约为17万亿美元。
腾讯没有透露其支付交易量,但来自第三方研究公司的数据暗示了其规模。业界一致认为,这两家公司共同控制着中国90万亿美元的电子支付市场,其中支付宝在其中略占领先。
来源:郭盛华博客,转载请注明出处
关于量子计算的讨论(使用量子力学来创建计算能力)已经进行了一段时间。希望这将允许指数级的更快和复杂的处理超过当前资源。
与IBM合作的量子计算研究和生态系统合作伙伴全球负责人Sebastian Hassinger表示,量子计算与新兴技术领域具有许多共同特征,也是基础研究的活跃领域。他说:“这是一个协作和反复的过程。” “ 工业界和学术界的研究人员共同合作,通常在量子计算的基本方面以非常开放的科学方式进行。” Hassinger说,这是与正在研究量子技术潜在应用的行业研究领导者合作的补充,特别是在传统计算可能无法应对某些关键挑战的领域。
在学术界说,研究小组从理解量子物质中的相关性以及如何预测它们的角度考虑了量子计算。我们希望能够进行非常大的计算,从而告诉我们新的物理学,新现象。
业界还担心,如果量子硬件发生变化或出现更高级的事情,他们在程序上的工作可能会发生什么。学术界和工业界都对访问优质的量子软件有共同的需求,这是可靠的,并且与硬件保持同步。他们想知道自己正在获得最佳性能。
高盛(Goldman Sachs)量子研究负责人Will Zeng表示,总体而言,这仍是量子软件开发的初期,还有新发现。他说,他一直在评估量子计算对核心流程可能产生的影响。“在过去的几年中,我们已经能够证明我们可以将某些量子计算机作为一个行业来构建,” Zeng说。“不是伟大的量子计算机,早期的原型量子计算机。”
他说,利用Quantum开发有价值的应用程序是一大障碍。他的团队从事资源估算工作,该工作所涉及的问题可能与高盛的理论优势有关。曾庆红说,一项关键任务是考虑如果在这个领域有合适的资源可获得的前景和重大优势。他说:“我们将估算出实现这一优势所需的量子计算机的质量。”
Zeng表示,量子软件最终可能会在更高效地工作中发挥作用,但是量子计算在实现其潜力之前还有一段路要走。他说:“目前在量子领域,我们还没有准备好计划生产部署。
来源:郭盛华博客,转载请注明出处