11月安全回顾:你造吗?短信验证码未必可靠-阿里云开发者社区

开发者社区> boxti> 正文

11月安全回顾:你造吗?短信验证码未必可靠

简介:
+关注继续查看
   匆匆忙忙,11月又过去了。这个月里,我们经历了轰动全球的“麦芽地事件”,看到酷派手机云端安全的隐患,当然还有更多……

一、麦芽地事件暴露Mac、iOS安全缺陷

月初曝光、延续了半月、最终以站长被抓的“麦芽地事件”,现在已无人提及,不过它的影响还在继续。

现在复盘来看,这件事情其实很简单。作为一家Mac应用分享网站,麦芽地却涉及制造木马并捆绑到正常应用。用户在麦芽地下载应用安装后,木马就会感染电脑。不过木马的最终对象不是Mac,而是连上Mac的iOS设备,它会后台启动并盗取iOS的各类参数信息并安装应用,如果这台iOS已经越狱,木马还能盗取更多信息。

漏洞曝光几天内,苹果更新企业证书信息封堵了感染途径。但大家很容易看出,如果用户还在第三方网站下载安装应用,安全性上始终存疑。换句话说,如果你硬要用第三方来源安装应用,那么得多上心了,目前的Mac安全软件由于厂商重视不够基本没有防护能力。

二、酷派手机云端安全隐患

11月安全回顾:你造吗?短信验证码未必可靠

最初一张图片曝光,引来诸多争议。一位白帽子在乌云提交漏洞,其中图片显示,酷派手机云端存在一个恶意app推广平台,可远程控制手机静默安装卸载应用、打电话发短信等。

酷派官方回应雷锋网称,这一图片系攻击者修改后台所致,酷派并无这一后台,亦对这类后台不了解。回应还称,13年酷派叫停了某个云端项目,后无人交接导致漏洞遗留,攻击者利用这一漏洞对后台进行了修改。恶意app推广平台位于coolyun.com,酷派技术人员虽称各项目间隔离很好,但亦存在风险。

到目前为止,酷派官方并未有正式的声明。所以这起事件可能就烂在这里了。

三、运营商短信验证码可被窃取

11月安全回顾:你造吗?短信验证码未必可靠

一直以来,短信验证码在大家的各类账号中都是最高等级的验证条件。有了短信验证码,基本各大银行、各大金融机构、QQ、微信、微博等密码都能被重置,有时密保问题也能重置。

这个在大家看来几乎绝对安全的产品,其实并不那么可靠。乌云最近爆出的一个漏洞就显示,通过远程连接某运营商的短信应用服务器(JX01移动代理服务器),可直接查看该服务器上所有已发送的短信验证信息。

准确的说,白帽子发现的其实是一个较低级的安全设置缺陷,技术并不高超。如果你去检索下“JX01 漏洞”还能发现不少,所以这类服务器,说实话也不是非常安全。当然,攻击运营商服务器可是非常严重的犯罪行为,一般很少有人去做。这里是给大家提个醒,平常管理账号时记得涉及钱的网站多上心。

四、统计代码出问题,所有网站都跑不了

相信懂技术的童鞋很容易发现,雷锋网(公众号:雷锋网)使用的是CNZZ的流量统计服务。我们会用它来查看每天雷锋网的流量分布,以及多天的历史数据。类似雷锋网这样的不在少数,互联网上绝大多数有运营的网站都会使用统计服务。

如果统计服务的代码出问题了,会怎么样呢?最近一个乌云漏洞显示,某国内Top3的统计服务出现代码缺陷,将导致使用其的网站都会出现DOM XSS漏洞。DOM XSS是一个Web领域的典型漏洞,往小了说,它可以在网站上弹个窗,往大了说,它可以盗取该网站账号的cookies,从而登陆你的账号。

这个漏洞很快就修复了,但它反映的是一种可能,那些互联网基础设施出现缺陷,上层网站一个都跑不了。

ps:╮(╯▽╰)╭,要是chrome能仿照对cookies的设置,针对单独域的js也能禁用就好了,这样把所有统计网站的js代码都禁用掉,省得麻烦。(统计网站是不是会干掉小编啊啊啊……)

「每月安全回顾」是雷锋网最新试行的一档安全栏目。我们希望对大家认知的安全进行知识扩充,在安全众测的新时代,以往了解的那些常识并不一定准确,期待这档栏目能让大家在个人信息安全的边界上有更好的把握。


 
  本文作者:Longye

本文转自雷锋网禁止二次转载,原文链接

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
微信公众平台安全中心9月新增加短期运营者及踢下线功能
微信公众平台的用户体验越来越好了,9月初,为使运营者更方便地对公众号进行管理,安全中心增加了短期运营者及踢下线功能。一、可绑定20个短期运营者安全中心可绑定两类运营者:长期运营者5个,短期(一个月)运营者20个。
925 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
4615 0
Web安全指南 | 八招应对短信验证码攻击
如今,大量的网站、网站、手机app都在使用短信验证码作为验证用户身份的安全技术措施。尤其在年底,企业的促销、抽奖、互动活动会迎来一个高峰期,用到短信验证码的场景非常频繁。 但近期,阿里云·云盾WAF团队监测到,不少用户业务的短信验证码功能被攻击,短信接口被恶意利用,导致业务无法正常访问。
3036 0
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
9513 0
如何设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云安全组设置详细图文教程(收藏起来) 阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程。阿里云会要求客户设置安全组,如果不设置,阿里云会指定默认的安全组。那么,这个安全组是什么呢?顾名思义,就是为了服务器安全设置的。安全组其实就是一个虚拟的防火墙,可以让用户从端口、IP的维度来筛选对应服务器的访问者,从而形成一个云上的安全域。
4265 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
3664 0
+关注
boxti
12535
10037
文章
1327
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载