【阿里聚安全·安全周刊】App通过超声波信号静默追踪用户 | 图片噪点可骗过Google最顶尖的图像识别AI

本文涉及的产品
图像搜索,7款服务类型 1个月
简介:

【阿里聚安全·安全周刊】App通过超声波信号静默追踪用户 | 图片噪点可骗过Google最顶尖的图像识别AI




数百款App通过超声波信号静默追踪手机用户

你的智能手机上可能安装了一些app持续监听用户周遭无法听到的高频超声波,借此了解到你的动向和喜好,而你对此一无所知。


超声波跨设备追踪是一种新技术,目前一些营销人员和广告公司用于跟踪多台设备中用户的动向并访问比之前广告更有针对性的信息。例如,用户去过的零售店、看过的商业广告或网页上的广告能发出一种独特的“超声音频信号”,包含接收器的移动app就能够捕获到。广告商以此通过创建一个用户个性化资料并通过判断哪些设备属于用户的方式收集用户兴趣爱好,从而推送基于用户兴趣的精准广告。




虽然跨设备用户追踪技术目前被用于合法目的,但它已经引发了一些隐私担忧。由于app不要求获取移动数据或者无线连接而是只是通过麦克风监听信标,即使用户已断开网络追踪也起作用。由于我们无法阻止超声波信标发出周遭的声音频率,降低手机被监听的最佳方法就是限制对所安装app的不必要的权限。 

http://jaq.alibaba.com/community/art/show?articleid=865



打开手机电筒就泄露了银行卡密码?

据ESET(一家世界知名的电脑安全软件公司年)官方报道,一个具有自动锁屏功能的银行恶意软件近期伪装成Google Play上的手电筒应用,广大安卓用户成为了它的狩猎目标乃至囊中之物。与其它静态式的银行业务木马不同,该木马能够动态地调整自身功能。 


一旦安装并启动了这个木马程序,它就会请求获得受害设备的管理员权限。使用安卓6.0或更高版本的用户还需手动设置使用权限并开启“draw over other apps(允许在其他应用的上层显示)”的功能。获得权限与许可后,该程序就会自动隐藏图标,以插件的形式在设备上显示。实际的有效负载已经在Google Play的APK文件资源中加密,这种处理方式能够避免其恶意功能被发现。当受害者运行该应用时,有效载荷也会自动解密并执行攻击任务。


除了用来作掩护的手电筒功能之外,这种利用远程控制的木马还具有很多附加功能,最终目的就是窃取用户的银行账户信息。该木马可以通过C&C服务器命令模拟真实应用的界面,锁住受感染设备,避免受害者发现恶意活动,拦截短信并显示伪造的通知,最终达到绕过双因素身份验证的目的。 

http://jaq.alibaba.com/community/art/show?articleid=862


Android继承计算机端口开放功能 智能手机到处都是后门

密歇根大学的一组研究员发现,Google Play 中数百个应用有非预期的行为:通过将手机转变为服务器,让应用拥有者可以从他们的PC,直接连接安装了该应用的手机,就像访问网站或其他互联网服务一样。但有数十个这些App会在智能手机上留下不安全的开放端口,让攻击者能够盗取手机联系人、照片等数据,甚至在手机上安装恶意软件。



安卓继承了传统计算机的开放端口功能,很多应用以暴露出漏洞的方式使用开放端口。一旦这些脆弱开放端口App被安装,你的手机就有可能被攻击者获取到完整控制权。


研究员通过扫描Google Play 应用商店中约10万个流行App的代码,共发现1,632个应用会在智能手机上创建开放端口,57个被标识为最无力反抗开放端口攻击的脆弱App。它们当中有2个特别危险,下载量高达千万级的App。其中一个名为“WiFi文件传输”,另外一个名为“AirDroid”。


手机开放端口的问题将持续存在。研究人员建议,开发者在用户设备上扯开口子的时候三思。用户什么都做不了,谷歌也不管事儿,开发者必须学会正确使用开放端口 

http://jaq.alibaba.com/community/art/show?articleid=864



不越狱就能监控苹果手机? iCloud备份成漏洞

一般来说,对于苹果间谍软件,攻击者通常需要先对设备进行越狱,然后才能在未经授权的情况下安装应用,所以整个过程就需要花费不少时间。


不过令人惊讶的是,有不少公司确实为iOS 10的苹果设备提供了完全不需要越狱的监控解决方案。他们是怎么做到的呢?其实他们就是利用了一些用户可能完全忽视的一个地方——iCloud备份。这种攻击方式并不复杂,攻击者通常只需要目标的Apple ID和密码就可以做到。


一家销售监控工具的公司Mobistealth提供非越狱iOS解决方案可以监控通话记录和手机联系人列表,窃取设备上存储的照片,阅读所有WhatsApp对话,并使用GPS远程跟踪手机的位置。它还可以记录其他通信应用程序,如WeChat,Kik和LINE。来帮助监督员工的业主,或帮助家长监督子女,甚至是监视他们的妻子或者情人。  

http://jaq.alibaba.com/community/art/show?articleid=866


在图片中加入噪点就能骗过Google最顶尖的图像识别AI

近些年来,基于AI的图片分类系统变得越来越热门了,而这项研究针对的就是这种图片分类系统。现在,很多在线服务都会采用这种系统来捕捉或屏蔽某些特殊类型的图片,例如那些具有暴力性质或色情性质的图片,而基于AI的图片分类系统可以阻止用户提交并发布违禁图片。


虽然这种分类系统使用了高度复杂的机器学习算法,但是研究人员表示,他们发现了一种非常简单的方法来欺骗Google的Cloud Vision服务。只需要在一张图片中添加少量噪点即可成功欺骗Google的Cloud Vision API。其中的噪点等级可以在10%到30%范围内浮动,同时也可以保证图片的清晰度,而且这足以欺骗Google的图片分类AI了。整个过程并不需要多么高端的技术,一切只需要一个图片编辑软件即可实现。


网络犯罪分子可以利用这种技术来传播暴力图片、色情图片或恐怖主义宣传图片。除此之外,Google自己的图片搜索系统也使用了这个API,这也就意味着,当用户使用Google进行图片搜索时,很可能会搜索到意料之外的图片。


但是解决这个问题的方法也很简单,Google只需要在运行其图片分类算法之前,对图片中的噪点进行过滤就可以了。研究人员已经将这种攻击的完整技术细节在其发表的论文中进行了描述,感兴趣的用户可以阅读这篇论文——传送门:https://arxiv.org/pdf/1704.05051.pdf 

http://jaq.alibaba.com/community/art/show?articleid=861



【技术篇】

利用FRIDA攻击Android应用程序(三)

还记得游戏中的上帝模式吗?面对本地应用程序的时候,一旦拥有了Frida,也就拥有了这种感觉。FRIDA系列有三篇文章:在第一篇文章中,笔者重点介绍Frida在Android应用方面的应用;在第二篇文章中,笔者介绍了如何利用Frida来应付Android环境下的crackme问题。本文是在第二篇博客发布不久之后,@muellerberndt决定发布另一个OWASP Android crackme,笔者很想知道是否可以再次用frida解决。 





本文来自合作伙伴“阿里聚安全”,发表于2017年05月05日 14:07.

相关文章
|
2月前
|
存储 人工智能 开发工具
AI助理化繁为简,速取代码参数——使用python SDK 处理OSS存储的图片
只需要通过向AI助理提问的方式输入您的需求,即可瞬间获得核心流程代码及参数,缩短学习路径、提升开发效率。
1451 4
AI助理化繁为简,速取代码参数——使用python SDK 处理OSS存储的图片
|
4月前
|
安全 Java 应用服务中间件
【Azure 应用服务】App Service 默认页面暴露Tomcat版本信息,存在安全风险
【Azure 应用服务】App Service 默认页面暴露Tomcat版本信息,存在安全风险
|
5月前
|
人工智能 编解码 内存技术
手把手教你生成一幅好看的AI图片
想要生成一幅好看的AI图片,但是却不知道如何下手?只会1girl的你现在是不是很烦恼?别急,看这篇文章就够了。
手把手教你生成一幅好看的AI图片
|
29天前
|
人工智能
ai图片一键应用喷溅效果的技巧
ai怎么做出喷溅效果?
27 5
|
2月前
|
存储 人工智能 缓存
AI助理直击要害,从繁复中提炼精华——使用CDN加速访问OSS存储的图片
本案例介绍如何利用AI助理快速实现OSS存储的图片接入CDN,以加速图片访问。通过AI助理提炼关键操作步骤,避免在复杂文档中寻找解决方案。主要步骤包括开通CDN、添加加速域名、配置CNAME等。实测显示,接入CDN后图片加载时间显著缩短,验证了加速效果。此方法大幅提高了操作效率,降低了学习成本。
5467 16
|
3月前
|
人工智能
在stable diffussion中完美修复AI图片
无论您的提示和模型有多好,一次性获得完美图像的情况很少见。修复小缺陷的不可或缺的方法是图像修复(inpainting)
在stable diffussion中完美修复AI图片
|
2月前
|
安全 网络安全 Android开发
深度解析:利用Universal Links与Android App Links实现无缝网页至应用跳转的安全考量
【10月更文挑战第2天】在移动互联网时代,用户经常需要从网页无缝跳转到移动应用中。这种跳转不仅需要提供流畅的用户体验,还要确保安全性。本文将深入探讨如何利用Universal Links(仅限于iOS)和Android App Links技术实现这一目标,并分析其安全性。
374 0
|
2月前
|
监控 安全 Apache
构建安全的URL重定向策略:确保从Web到App平滑过渡的最佳实践
【10月更文挑战第2天】URL重定向是Web开发中常见的操作,它允许服务器根据请求的URL将用户重定向到另一个URL。然而,如果重定向过程没有得到妥善处理,可能会导致安全漏洞,如开放重定向攻击。因此,确保重定向过程的安全性至关重要。
131 0
|
6月前
|
存储 安全 网络安全
APP 安全评估报告:直面移动应用安全威胁,守护用户数据安全
移动APP安全问题日益严重,包括数据泄露、恶意软件和权限滥用等威胁。例如,Ring App安全漏洞导致用户信息曝光,13款Android应用暴露大量用户数据。此外,工信部通报50款APP违规收集个人信息。安全评估是保障APP安全的关键,涉及代码安全、数据传输安全、用户权限管理和隐私保护等方面。经过评估,这款APP在所有方面表现出色,符合最高安全标准,确保用户隐私和数据安全。
202 2
|
6天前
|
机器学习/深度学习 人工智能 自然语言处理
AI技术深度解析:从基础到应用的全面介绍
人工智能(AI)技术的迅猛发展,正在深刻改变着我们的生活和工作方式。从自然语言处理(NLP)到机器学习,从神经网络到大型语言模型(LLM),AI技术的每一次进步都带来了前所未有的机遇和挑战。本文将从背景、历史、业务场景、Python代码示例、流程图以及如何上手等多个方面,对AI技术中的关键组件进行深度解析,为读者呈现一个全面而深入的AI技术世界。
57 10