【阿里聚安全·安全周刊】阿里安全潘多拉实验室完美越狱iOS11.2.1|Janus漏洞修改安卓app而不影响签名

关键词：阿里安全潘多拉实验室丨Janus漏洞丨御城河丨编程语言出现漏洞丨APP追踪定位丨银行APP存在漏洞丨安卓统一推送联盟|AhMyth RAT|HP笔记本

本周资讯top3

【越狱苹果】独家探寻阿里安全潘多拉实验室，完美越狱苹果iOS11.2.1

知道如何从攻击的视角去发现漏洞，才能建立更安全的体系，促进了整个生态的良性发展。以阿里安全潘多拉实验室为例，在对移动系统安全研究的过程中，把研究过程中发现的问题上报给厂商，促进系统安全性的提升。此次攻破苹果iOS11.2.1的重要成员之一龙磊，已向苹果报告了7个安全漏洞，并获得厂商的认可和致谢。

http://jaq.alibaba.com/community/art/show?&articleid=1273

【Android 漏洞】Janus漏洞（CVE-2017-13156）: 修改安卓app而不影响签名

Google在本月4日发布的Android安全公告中提到一个Android的漏洞，利用该漏洞的攻击者可修改app而不影响其原始签名。
该漏洞产生的根源在于：一个文件可以同时是APK文件和DEX文件。由于这种同时为APK文件和DEX文件的二元性，联想到罗马的二元之神Janus，将该漏洞命名为：Janus漏洞。

http://jaq.alibaba.com/community/art/show?&articleid=1261

【阿里技术】阿里安全技术平台资深专家玄泰解密：“如何防止信息泄露”

近年来，大规模的个人信息泄漏事件不断发生，由此引发的精准诈骗也经常被媒体报道。有着庞大用户群体和海量交易的阿里巴巴却能独善其身，这背后有什么独门秘籍呢？

御城河是阿里巴巴独创的数据风险防控体系，围绕着数据在整个阿里生态的流转链路，从数据风险的预防、发现、定位、处置，再到更深层次的立体感知和溯源，形成了一套完备的数据安全解决方案。它向所有阿里生态伙伴开放，覆盖整个电商生态。

http://jaq.alibaba.com/community/art/show?&articleid=1268

资讯篇

【编程语言】5款最流行编程语言中出现漏洞

这周在 Black Hat Europe 2017 安全会议上，一名安全研究员公开了几款目前非常流行的解释型编程语言JavaScript，Perl，PHP，Python和Ruby中出现的漏洞。这些编程语言上存在的问题，可能让运用这些语言开发的应用程序因此也很容易遭受攻击。 

http://jaq.alibaba.com/community/art/show?&articleid=1265

【手机终端】只需一个app，关了GPS我也知道你在哪

普林斯顿大学的研究人员最近发布了一个POC，可以用来证明即便手机终端上的GPS在关闭的情况下，APP也能够持续追踪用户位置。研究人员表示，这是十分可能的，因为现代手机配备了大量精确的传感器，能够跟踪大量的数据，并可以通过外部来源（如高程地图和天气数据）来证实用户所在的位置。

https://jaq.alibaba.com/community/art/show?&articleid=1262

【银行APP 漏洞】汇丰等知名银行APP存在关键漏洞，或致数百万用户遭黑客攻击

英国伯明翰大学的安全研究人员通过测试数百款 iOS 与 Android 设备的不同银行应用程序中发现多家知名银行的主要移动应用程序均存在一处关键漏洞，可导致数百万用户的银行凭证易遭黑客中间人（MitM）攻击。

http://jaq.alibaba.com/community/art/show?&articleid=1263

【安卓联盟】工信部“安卓统一推送联盟”成员公布

2017年10月，工信部旗下中国信息通信研究院泰尔终端实验室倡导成立了“安卓统一推送联盟”，意在联合国内各路厂商，制定安卓统一推送服务(UPS)技术标准，结束混乱状态。统一推送联盟挂靠单位是电信终端产业协会(TAF)，接受工信部业务指导，总部设在北京。

http://jaq.alibaba.com/community/art/show?&articleid=1266

技术篇

【安全工具】监控Android手机？用它就够了！

使用AhMyth RAT完全控制Android手机，AhMyth是一个新兴、开源的Android RAT，目前还处于开发阶段，它使用简单的GUI界面。此外，AhMyth还可适应多种平台，包括Linux，Windows和MacOS。

http://jaq.alibaba.com/community/art/show?&articleid=1267

【技术分析】惠普笔记本电脑驱动中发现keylogger，官方称这纯属失误

HP笔记本驱动中发现keylogger，官方回应说是忘记删除调试代码，已发布更新来移除这些调试代码。 文末附技术分析。

http://jaq.alibaba.com/community/art/show?&articleid=1264

-------------------------------------------------------

以上是本周的安全周刊，想了解更多内容，请访问阿里聚安全官方博客