11月安全回顾：你造吗？短信验证码未必可靠

一、麦芽地事件暴露Mac、iOS安全缺陷

月初曝光、延续了半月、最终以站长被抓的“麦芽地事件”，现在已无人提及，不过它的影响还在继续。

现在复盘来看，这件事情其实很简单。作为一家Mac应用分享网站，麦芽地却涉及制造木马并捆绑到正常应用。用户在麦芽地下载应用安装后，木马就会感染电脑。不过木马的最终对象不是Mac，而是连上Mac的iOS设备，它会后台启动并盗取iOS的各类参数信息并安装应用，如果这台iOS已经越狱，木马还能盗取更多信息。

漏洞曝光几天内，苹果更新企业证书信息封堵了感染途径。但大家很容易看出，如果用户还在第三方网站下载安装应用，安全性上始终存疑。换句话说，如果你硬要用第三方来源安装应用，那么得多上心了，目前的Mac安全软件由于厂商重视不够基本没有防护能力。

二、酷派手机云端安全隐患

最初一张图片曝光，引来诸多争议。一位白帽子在乌云提交漏洞，其中图片显示，酷派手机云端存在一个恶意app推广平台，可远程控制手机静默安装卸载应用、打电话发短信等。

酷派官方回应雷锋网称，这一图片系攻击者修改后台所致，酷派并无这一后台，亦对这类后台不了解。回应还称，13年酷派叫停了某个云端项目，后无人交接导致漏洞遗留，攻击者利用这一漏洞对后台进行了修改。恶意app推广平台位于coolyun.com，酷派技术人员虽称各项目间隔离很好，但亦存在风险。

到目前为止，酷派官方并未有正式的声明。所以这起事件可能就烂在这里了。

三、运营商短信验证码可被窃取

一直以来，短信验证码在大家的各类账号中都是最高等级的验证条件。有了短信验证码，基本各大银行、各大金融机构、QQ、微信、微博等密码都能被重置，有时密保问题也能重置。

这个在大家看来几乎绝对安全的产品，其实并不那么可靠。乌云最近爆出的一个漏洞就显示，通过远程连接某运营商的短信应用服务器（JX01移动代理服务器），可直接查看该服务器上所有已发送的短信验证信息。

准确的说，白帽子发现的其实是一个较低级的安全设置缺陷，技术并不高超。如果你去检索下“JX01 漏洞”还能发现不少，所以这类服务器，说实话也不是非常安全。当然，攻击运营商服务器可是非常严重的犯罪行为，一般很少有人去做。这里是给大家提个醒，平常管理账号时记得涉及钱的网站多上心。

四、统计代码出问题，所有网站都跑不了

相信懂技术的童鞋很容易发现，雷锋网(公众号：雷锋网)使用的是CNZZ的流量统计服务。我们会用它来查看每天雷锋网的流量分布，以及多天的历史数据。类似雷锋网这样的不在少数，互联网上绝大多数有运营的网站都会使用统计服务。

如果统计服务的代码出问题了，会怎么样呢？最近一个乌云漏洞显示，某国内Top3的统计服务出现代码缺陷，将导致使用其的网站都会出现DOM XSS漏洞。DOM XSS是一个Web领域的典型漏洞，往小了说，它可以在网站上弹个窗，往大了说，它可以盗取该网站账号的cookies，从而登陆你的账号。

这个漏洞很快就修复了，但它反映的是一种可能，那些互联网基础设施出现缺陷，上层网站一个都跑不了。

ps：╮(╯▽╰)╭，要是chrome能仿照对cookies的设置，针对单独域的js也能禁用就好了，这样把所有统计网站的js代码都禁用掉，省得麻烦。（统计网站是不是会干掉小编啊啊啊……）

「每月安全回顾」是雷锋网最新试行的一档安全栏目。我们希望对大家认知的安全进行知识扩充，在安全众测的新时代，以往了解的那些常识并不一定准确，期待这档栏目能让大家在个人信息安全的边界上有更好的把握。