【阿里聚安全·安全周刊】App通过超声波信号静默追踪用户 | 图片噪点可骗过Google最顶尖的图像识别AI
数百款App通过超声波信号静默追踪手机用户
你的智能手机上可能安装了一些app持续监听用户周遭无法听到的高频超声波,借此了解到你的动向和喜好,而你对此一无所知。
超声波跨设备追踪是一种新技术,目前一些营销人员和广告公司用于跟踪多台设备中用户的动向并访问比之前广告更有针对性的信息。例如,用户去过的零售店、看过的商业广告或网页上的广告能发出一种独特的“超声音频信号”,包含接收器的移动app就能够捕获到。广告商以此通过创建一个用户个性化资料并通过判断哪些设备属于用户的方式收集用户兴趣爱好,从而推送基于用户兴趣的精准广告。
虽然跨设备用户追踪技术目前被用于合法目的,但它已经引发了一些隐私担忧。由于app不要求获取移动数据或者无线连接而是只是通过麦克风监听信标,即使用户已断开网络追踪也起作用。由于我们无法阻止超声波信标发出周遭的声音频率,降低手机被监听的最佳方法就是限制对所安装app的不必要的权限。
http://jaq.alibaba.com/community/art/show?articleid=865
打开手机电筒就泄露了银行卡密码?
据ESET(一家世界知名的电脑安全软件公司年)官方报道,一个具有自动锁屏功能的银行恶意软件近期伪装成Google Play上的手电筒应用,广大安卓用户成为了它的狩猎目标乃至囊中之物。与其它静态式的银行业务木马不同,该木马能够动态地调整自身功能。
一旦安装并启动了这个木马程序,它就会请求获得受害设备的管理员权限。使用安卓6.0或更高版本的用户还需手动设置使用权限并开启“draw over other apps(允许在其他应用的上层显示)”的功能。获得权限与许可后,该程序就会自动隐藏图标,以插件的形式在设备上显示。实际的有效负载已经在Google Play的APK文件资源中加密,这种处理方式能够避免其恶意功能被发现。当受害者运行该应用时,有效载荷也会自动解密并执行攻击任务。
除了用来作掩护的手电筒功能之外,这种利用远程控制的木马还具有很多附加功能,最终目的就是窃取用户的银行账户信息。该木马可以通过C&C服务器命令模拟真实应用的界面,锁住受感染设备,避免受害者发现恶意活动,拦截短信并显示伪造的通知,最终达到绕过双因素身份验证的目的。
http://jaq.alibaba.com/community/art/show?articleid=862
Android继承计算机端口开放功能 智能手机到处都是后门
密歇根大学的一组研究员发现,Google Play 中数百个应用有非预期的行为:通过将手机转变为服务器,让应用拥有者可以从他们的PC,直接连接安装了该应用的手机,就像访问网站或其他互联网服务一样。但有数十个这些App会在智能手机上留下不安全的开放端口,让攻击者能够盗取手机联系人、照片等数据,甚至在手机上安装恶意软件。
安卓继承了传统计算机的开放端口功能,很多应用以暴露出漏洞的方式使用开放端口。一旦这些脆弱开放端口App被安装,你的手机就有可能被攻击者获取到完整控制权。
研究员通过扫描Google Play 应用商店中约10万个流行App的代码,共发现1,632个应用会在智能手机上创建开放端口,57个被标识为最无力反抗开放端口攻击的脆弱App。它们当中有2个特别危险,下载量高达千万级的App。其中一个名为“WiFi文件传输”,另外一个名为“AirDroid”。
手机开放端口的问题将持续存在。研究人员建议,开发者在用户设备上扯开口子的时候三思。用户什么都做不了,谷歌也不管事儿,开发者必须学会正确使用开放端口
http://jaq.alibaba.com/community/art/show?articleid=864
不越狱就能监控苹果手机? iCloud备份成漏洞
一般来说,对于苹果间谍软件,攻击者通常需要先对设备进行越狱,然后才能在未经授权的情况下安装应用,所以整个过程就需要花费不少时间。
不过令人惊讶的是,有不少公司确实为iOS 10的苹果设备提供了完全不需要越狱的监控解决方案。他们是怎么做到的呢?其实他们就是利用了一些用户可能完全忽视的一个地方——iCloud备份。这种攻击方式并不复杂,攻击者通常只需要目标的Apple ID和密码就可以做到。
一家销售监控工具的公司Mobistealth提供非越狱iOS解决方案可以监控通话记录和手机联系人列表,窃取设备上存储的照片,阅读所有WhatsApp对话,并使用GPS远程跟踪手机的位置。它还可以记录其他通信应用程序,如WeChat,Kik和LINE。来帮助监督员工的业主,或帮助家长监督子女,甚至是监视他们的妻子或者情人。
http://jaq.alibaba.com/community/art/show?articleid=866
在图片中加入噪点就能骗过Google最顶尖的图像识别AI
近些年来,基于AI的图片分类系统变得越来越热门了,而这项研究针对的就是这种图片分类系统。现在,很多在线服务都会采用这种系统来捕捉或屏蔽某些特殊类型的图片,例如那些具有暴力性质或色情性质的图片,而基于AI的图片分类系统可以阻止用户提交并发布违禁图片。
虽然这种分类系统使用了高度复杂的机器学习算法,但是研究人员表示,他们发现了一种非常简单的方法来欺骗Google的Cloud Vision服务。只需要在一张图片中添加少量噪点即可成功欺骗Google的Cloud Vision API。其中的噪点等级可以在10%到30%范围内浮动,同时也可以保证图片的清晰度,而且这足以欺骗Google的图片分类AI了。整个过程并不需要多么高端的技术,一切只需要一个图片编辑软件即可实现。
网络犯罪分子可以利用这种技术来传播暴力图片、色情图片或恐怖主义宣传图片。除此之外,Google自己的图片搜索系统也使用了这个API,这也就意味着,当用户使用Google进行图片搜索时,很可能会搜索到意料之外的图片。
但是解决这个问题的方法也很简单,Google只需要在运行其图片分类算法之前,对图片中的噪点进行过滤就可以了。研究人员已经将这种攻击的完整技术细节在其发表的论文中进行了描述,感兴趣的用户可以阅读这篇论文——传送门:https://arxiv.org/pdf/1704.05051.pdf
http://jaq.alibaba.com/community/art/show?articleid=861
【技术篇】
利用FRIDA攻击Android应用程序(三)
还记得游戏中的上帝模式吗?面对本地应用程序的时候,一旦拥有了Frida,也就拥有了这种感觉。FRIDA系列有三篇文章:在第一篇文章中,笔者重点介绍Frida在Android应用方面的应用;在第二篇文章中,笔者介绍了如何利用Frida来应付Android环境下的crackme问题。本文是在第二篇博客发布不久之后,@muellerberndt决定发布另一个OWASP Android crackme,笔者很想知道是否可以再次用frida解决。
本文来自合作伙伴“阿里聚安全”,发表于2017年05月05日 14:07.