11月安全回顾:你造吗?短信验证码未必可靠

简介:
    匆匆忙忙,11月又过去了。这个月里,我们经历了轰动全球的“麦芽地事件”,看到酷派手机云端安全的隐患,当然还有更多……

一、麦芽地事件暴露Mac、iOS安全缺陷

月初曝光、延续了半月、最终以站长被抓的“麦芽地事件”,现在已无人提及,不过它的影响还在继续。

现在复盘来看,这件事情其实很简单。作为一家Mac应用分享网站,麦芽地却涉及制造木马并捆绑到正常应用。用户在麦芽地下载应用安装后,木马就会感染电脑。不过木马的最终对象不是Mac,而是连上Mac的iOS设备,它会后台启动并盗取iOS的各类参数信息并安装应用,如果这台iOS已经越狱,木马还能盗取更多信息。

漏洞曝光几天内,苹果更新企业证书信息封堵了感染途径。但大家很容易看出,如果用户还在第三方网站下载安装应用,安全性上始终存疑。换句话说,如果你硬要用第三方来源安装应用,那么得多上心了,目前的Mac安全软件由于厂商重视不够基本没有防护能力。

二、酷派手机云端安全隐患

11月安全回顾:你造吗?短信验证码未必可靠

最初一张图片曝光,引来诸多争议。一位白帽子在乌云提交漏洞,其中图片显示,酷派手机云端存在一个恶意app推广平台,可远程控制手机静默安装卸载应用、打电话发短信等。

酷派官方回应雷锋网称,这一图片系攻击者修改后台所致,酷派并无这一后台,亦对这类后台不了解。回应还称,13年酷派叫停了某个云端项目,后无人交接导致漏洞遗留,攻击者利用这一漏洞对后台进行了修改。恶意app推广平台位于coolyun.com,酷派技术人员虽称各项目间隔离很好,但亦存在风险。

到目前为止,酷派官方并未有正式的声明。所以这起事件可能就烂在这里了。

三、运营商短信验证码可被窃取

11月安全回顾:你造吗?短信验证码未必可靠

一直以来,短信验证码在大家的各类账号中都是最高等级的验证条件。有了短信验证码,基本各大银行、各大金融机构、QQ、微信、微博等密码都能被重置,有时密保问题也能重置。

这个在大家看来几乎绝对安全的产品,其实并不那么可靠。乌云最近爆出的一个漏洞就显示,通过远程连接某运营商的短信应用服务器(JX01移动代理服务器),可直接查看该服务器上所有已发送的短信验证信息。

准确的说,白帽子发现的其实是一个较低级的安全设置缺陷,技术并不高超。如果你去检索下“JX01 漏洞”还能发现不少,所以这类服务器,说实话也不是非常安全。当然,攻击运营商服务器可是非常严重的犯罪行为,一般很少有人去做。这里是给大家提个醒,平常管理账号时记得涉及钱的网站多上心。

四、统计代码出问题,所有网站都跑不了

相信懂技术的童鞋很容易发现,雷锋网(公众号:雷锋网)使用的是CNZZ的流量统计服务。我们会用它来查看每天雷锋网的流量分布,以及多天的历史数据。类似雷锋网这样的不在少数,互联网上绝大多数有运营的网站都会使用统计服务。

如果统计服务的代码出问题了,会怎么样呢?最近一个乌云漏洞显示,某国内Top3的统计服务出现代码缺陷,将导致使用其的网站都会出现DOM XSS漏洞。DOM XSS是一个Web领域的典型漏洞,往小了说,它可以在网站上弹个窗,往大了说,它可以盗取该网站账号的cookies,从而登陆你的账号。

这个漏洞很快就修复了,但它反映的是一种可能,那些互联网基础设施出现缺陷,上层网站一个都跑不了。

ps:╮(╯▽╰)╭,要是chrome能仿照对cookies的设置,针对单独域的js也能禁用就好了,这样把所有统计网站的js代码都禁用掉,省得麻烦。(统计网站是不是会干掉小编啊啊啊……)

「每月安全回顾」是雷锋网最新试行的一档安全栏目。我们希望对大家认知的安全进行知识扩充,在安全众测的新时代,以往了解的那些常识并不一定准确,期待这档栏目能让大家在个人信息安全的边界上有更好的把握。


 
  本文作者: Longye

本文转自雷锋网禁止二次转载, 原文链接
目录
相关文章
|
3月前
|
NoSQL Java 程序员
秒解答题系统的头号难题:防止重复提交的终极指南!
小米,29岁技术爱好者,分享如何用Redis解决重复答题问题。在线考试系统常遇用户重复提交答案,导致数据异常。本文介绍利用Redis分布式锁特性防止重复提交,包括SETNX命令及Lua脚本实现方法,确保高并发下系统稳定可靠。适合线上考试或答题系统开发者参考。
62 12
秒解答题系统的头号难题:防止重复提交的终极指南!
|
4月前
|
小程序 安全 前端开发
支付宝小程序究竟藏着怎样的秘密?竟能成为连接亿万用户的桥梁!
【8月更文挑战第27天】随着移动互联网的发展,小程序已成为连接用户和服务的关键桥梁。支付宝小程序凭借其庞大的用户群和丰富的生态场景,为开发者提供了巨大的发展空间。本文提供了一份支付宝小程序开发者指南,帮助开发者从开发准备、开发流程、最佳实践到示例代码全面掌握支付宝小程序开发技能,从而连接亿万用户。开发者需先注册支付宝开发者账号,安装小程序开发者工具,并了解小程序架构;然后按步骤创建项目、编写代码、调试预览直至发布。此外,还需注重优化用户体验,充分利用支付宝生态资源,关注安全合规问题,以实现小程序的成功。
54 0
|
7月前
|
消息中间件 缓存 监控
直呼内行!阿里大佬离职带出内网专属“高并发系统设计”学习笔记
我们知道,高并发代表着大流量,高并发系统设计的魅力就在于我们能够凭借自己的聪明才智设计巧妙的方案,从而抵抗巨大流量的冲击,带给用户更好的使用体验。这些方案好似能操纵流量,让流量更加平稳得被系统中的服务和组件处理。
|
安全 网络安全
经常上网要怎么保证自己的安全?有没有人管这个?
为了能够守护我们的安全,国家也做了很多努力,专门设立了网络信息安全岗。
|
5G iOS开发
除了速度快 5G网络或许让消费者更失望
除了速度快 5G网络或许让消费者更失望
143 0
除了速度快 5G网络或许让消费者更失望
|
存储 安全 算法
保证游戏陪玩app源码的数据安全,我们应该怎么做?
保证游戏陪玩app源码的数据安全,我们应该怎么做?
|
监控 安全 数据可视化
宜信如何做到既满足远程办公的短时便利性需求,又不丧失安全性
宜信如何做到既满足远程办公的短时便利性需求,又不丧失安全性