【阿里聚安全·安全周刊】App通过超声波信号静默追踪用户 | 图片噪点可骗过Google最顶尖的图像识别AI

本文涉及的产品
图像搜索,7款服务类型 1个月
简介:

【阿里聚安全·安全周刊】App通过超声波信号静默追踪用户 | 图片噪点可骗过Google最顶尖的图像识别AI




数百款App通过超声波信号静默追踪手机用户

你的智能手机上可能安装了一些app持续监听用户周遭无法听到的高频超声波,借此了解到你的动向和喜好,而你对此一无所知。


超声波跨设备追踪是一种新技术,目前一些营销人员和广告公司用于跟踪多台设备中用户的动向并访问比之前广告更有针对性的信息。例如,用户去过的零售店、看过的商业广告或网页上的广告能发出一种独特的“超声音频信号”,包含接收器的移动app就能够捕获到。广告商以此通过创建一个用户个性化资料并通过判断哪些设备属于用户的方式收集用户兴趣爱好,从而推送基于用户兴趣的精准广告。




虽然跨设备用户追踪技术目前被用于合法目的,但它已经引发了一些隐私担忧。由于app不要求获取移动数据或者无线连接而是只是通过麦克风监听信标,即使用户已断开网络追踪也起作用。由于我们无法阻止超声波信标发出周遭的声音频率,降低手机被监听的最佳方法就是限制对所安装app的不必要的权限。 

http://jaq.alibaba.com/community/art/show?articleid=865



打开手机电筒就泄露了银行卡密码?

据ESET(一家世界知名的电脑安全软件公司年)官方报道,一个具有自动锁屏功能的银行恶意软件近期伪装成Google Play上的手电筒应用,广大安卓用户成为了它的狩猎目标乃至囊中之物。与其它静态式的银行业务木马不同,该木马能够动态地调整自身功能。 


一旦安装并启动了这个木马程序,它就会请求获得受害设备的管理员权限。使用安卓6.0或更高版本的用户还需手动设置使用权限并开启“draw over other apps(允许在其他应用的上层显示)”的功能。获得权限与许可后,该程序就会自动隐藏图标,以插件的形式在设备上显示。实际的有效负载已经在Google Play的APK文件资源中加密,这种处理方式能够避免其恶意功能被发现。当受害者运行该应用时,有效载荷也会自动解密并执行攻击任务。


除了用来作掩护的手电筒功能之外,这种利用远程控制的木马还具有很多附加功能,最终目的就是窃取用户的银行账户信息。该木马可以通过C&C服务器命令模拟真实应用的界面,锁住受感染设备,避免受害者发现恶意活动,拦截短信并显示伪造的通知,最终达到绕过双因素身份验证的目的。 

http://jaq.alibaba.com/community/art/show?articleid=862


Android继承计算机端口开放功能 智能手机到处都是后门

密歇根大学的一组研究员发现,Google Play 中数百个应用有非预期的行为:通过将手机转变为服务器,让应用拥有者可以从他们的PC,直接连接安装了该应用的手机,就像访问网站或其他互联网服务一样。但有数十个这些App会在智能手机上留下不安全的开放端口,让攻击者能够盗取手机联系人、照片等数据,甚至在手机上安装恶意软件。



安卓继承了传统计算机的开放端口功能,很多应用以暴露出漏洞的方式使用开放端口。一旦这些脆弱开放端口App被安装,你的手机就有可能被攻击者获取到完整控制权。


研究员通过扫描Google Play 应用商店中约10万个流行App的代码,共发现1,632个应用会在智能手机上创建开放端口,57个被标识为最无力反抗开放端口攻击的脆弱App。它们当中有2个特别危险,下载量高达千万级的App。其中一个名为“WiFi文件传输”,另外一个名为“AirDroid”。


手机开放端口的问题将持续存在。研究人员建议,开发者在用户设备上扯开口子的时候三思。用户什么都做不了,谷歌也不管事儿,开发者必须学会正确使用开放端口 

http://jaq.alibaba.com/community/art/show?articleid=864



不越狱就能监控苹果手机? iCloud备份成漏洞

一般来说,对于苹果间谍软件,攻击者通常需要先对设备进行越狱,然后才能在未经授权的情况下安装应用,所以整个过程就需要花费不少时间。


不过令人惊讶的是,有不少公司确实为iOS 10的苹果设备提供了完全不需要越狱的监控解决方案。他们是怎么做到的呢?其实他们就是利用了一些用户可能完全忽视的一个地方——iCloud备份。这种攻击方式并不复杂,攻击者通常只需要目标的Apple ID和密码就可以做到。


一家销售监控工具的公司Mobistealth提供非越狱iOS解决方案可以监控通话记录和手机联系人列表,窃取设备上存储的照片,阅读所有WhatsApp对话,并使用GPS远程跟踪手机的位置。它还可以记录其他通信应用程序,如WeChat,Kik和LINE。来帮助监督员工的业主,或帮助家长监督子女,甚至是监视他们的妻子或者情人。  

http://jaq.alibaba.com/community/art/show?articleid=866


在图片中加入噪点就能骗过Google最顶尖的图像识别AI

近些年来,基于AI的图片分类系统变得越来越热门了,而这项研究针对的就是这种图片分类系统。现在,很多在线服务都会采用这种系统来捕捉或屏蔽某些特殊类型的图片,例如那些具有暴力性质或色情性质的图片,而基于AI的图片分类系统可以阻止用户提交并发布违禁图片。


虽然这种分类系统使用了高度复杂的机器学习算法,但是研究人员表示,他们发现了一种非常简单的方法来欺骗Google的Cloud Vision服务。只需要在一张图片中添加少量噪点即可成功欺骗Google的Cloud Vision API。其中的噪点等级可以在10%到30%范围内浮动,同时也可以保证图片的清晰度,而且这足以欺骗Google的图片分类AI了。整个过程并不需要多么高端的技术,一切只需要一个图片编辑软件即可实现。


网络犯罪分子可以利用这种技术来传播暴力图片、色情图片或恐怖主义宣传图片。除此之外,Google自己的图片搜索系统也使用了这个API,这也就意味着,当用户使用Google进行图片搜索时,很可能会搜索到意料之外的图片。


但是解决这个问题的方法也很简单,Google只需要在运行其图片分类算法之前,对图片中的噪点进行过滤就可以了。研究人员已经将这种攻击的完整技术细节在其发表的论文中进行了描述,感兴趣的用户可以阅读这篇论文——传送门:https://arxiv.org/pdf/1704.05051.pdf 

http://jaq.alibaba.com/community/art/show?articleid=861



【技术篇】

利用FRIDA攻击Android应用程序(三)

还记得游戏中的上帝模式吗?面对本地应用程序的时候,一旦拥有了Frida,也就拥有了这种感觉。FRIDA系列有三篇文章:在第一篇文章中,笔者重点介绍Frida在Android应用方面的应用;在第二篇文章中,笔者介绍了如何利用Frida来应付Android环境下的crackme问题。本文是在第二篇博客发布不久之后,@muellerberndt决定发布另一个OWASP Android crackme,笔者很想知道是否可以再次用frida解决。 





本文来自合作伙伴“阿里聚安全”,发表于2017年05月05日 14:07.

相关文章
|
1月前
|
机器学习/深度学习 人工智能 安全
CCF-CV企业交流会:打造大模型时代的可信AI,探索AI安全治理新路径
近日,由中国计算机学会计算机视觉专委会主办的《打造大模型时代的可信AI》论坛顺利举行。论坛邀请了来自上海交通大学、中国科学技术大学等机构的专家,从立法、监管、前沿研究等多角度探讨AI安全治理。合合信息等企业展示了图像篡改检测等技术,助力AI向善发展。
65 11
CCF-CV企业交流会:打造大模型时代的可信AI,探索AI安全治理新路径
|
22天前
|
机器学习/深度学习 人工智能 安全
阿里云先知安全沙龙(武汉站) ——AI赋能软件漏洞检测,机遇, 挑战与展望
本文介绍了漏洞检测的发展历程、现状及未来展望。2023年全球披露的漏洞数量达26447个,同比增长5.2%,其中超过7000个具有利用代码,115个已被广泛利用,涉及多个知名软件和系统。文章探讨了从人工审计到AI技术的应用,强调了数据集质量对模型性能的重要性,并展示了不同检测模型的工作原理与实现方法。此外,还讨论了对抗攻击对模型的影响及提高模型可解释性的多种方法,展望了未来通过任务大模型实现自动化漏洞检测与修复的趋势。
|
20天前
|
人工智能 安全 算法
PAI负责任的AI解决方案: 安全、可信、隐私增强的企业级AI
在《PAI可信AI解决方案》会议中,分享了安全、可信、隐私增强的企业级AI。会议围绕三方面展开:首先通过三个案例介绍生活和技术层面的挑战;其次阐述构建AI的关键要素;最后介绍阿里云PAI的安全功能及未来展望,确保数据、算法和模型的安全与合规,提供全方位的可信AI解决方案。
|
27天前
|
人工智能 安全 机器人
OpenAI重拾规则系统,用AI版机器人定律守护大模型安全
在人工智能领域,大语言模型(LLM)展现出强大的语言理解和生成能力,但也带来了安全性和可靠性挑战。OpenAI研究人员提出“规则基于奖励(RBR)”方法,通过明确规则引导LLM行为,确保其符合人类价值观和道德准则。实验显示,RBR方法在安全性与有用性之间取得了良好平衡,F1分数达97.1。然而,规则制定和维护复杂,且难以完全捕捉语言的多样性。论文:https://arxiv.org/pdf/2411.01111。
77 13
|
23天前
|
机器学习/深度学习 传感器 人工智能
开源AI视频监控系统在监狱安全中的应用——实时情绪与行为分析、暴力预警技术详解
针对监狱环境中囚犯情绪波动和复杂人际互动带来的监控挑战,传统CCTV系统难以有效预警暴力事件。AI视频监控系统基于深度学习与计算机视觉技术,实现对行为、情绪的实时分析,尤其在低光环境下表现优异。该系统通过多设备协同、数据同步及自适应训练,确保高精度识别(95%以上)、快速响应(<5秒),并具备24小时不间断运行能力,极大提升了监狱安全管理的效率与准确性。
|
2月前
|
云安全 人工智能 自然语言处理
用AI来做云安全是怎样一种体验?阿里云安全AI能力大曝光
阿里云内容安全大模型获CSA安全金盾奖
1107 2
|
2月前
|
机器学习/深度学习 传感器 人工智能
智慧矿山AI安全监管方案
智慧矿山AI安全监管方案通过集成AI技术,实现了对矿山环境、设备和人员的全方位智能监控与管理。该方案利用高清摄像头、传感器等设备实时采集数据,通过AI算法进行智能分析,提前预测安全隐患,及时发出预警,有效提升矿山安全管理水平。方案涵盖顶板与边坡监测、设备运行监测、人员行为识别等多个方面,旨在构建一个高效、安全的智能化矿山环境。
|
数据采集 人工智能 移动开发
AI加持的mPaaS如何打造“最懂用户”的App
本章节以《新一代移动研发平台mPaaS智能化之路》为主题进行精彩分享。
2126 0
|
4天前
|
人工智能 运维 物联网
云大使 X 函数计算 FC 专属活动上线!享返佣,一键打造 AI 应用
如今,AI 技术已经成为推动业务创新和增长的重要力量。但对于许多企业和开发者来说,如何高效、便捷地部署和管理 AI 应用仍然是一个挑战。阿里云函数计算 FC 以其免运维的特点,大大降低了 AI 应用部署的复杂性。用户无需担心底层资源的管理和运维问题,可以专注于应用的创新和开发,并且用户可以通过一键部署功能,迅速将 AI 大模型部署到云端,实现快速上线和迭代。函数计算目前推出了多种规格的云资源优惠套餐,用户可以根据实际需求灵活选择。
|
12天前
|
机器学习/深度学习 人工智能 算法
AI在体育分析与预测中的深度应用:变革体育界的智能力量
AI在体育分析与预测中的深度应用:变革体育界的智能力量
77 31

热门文章

最新文章