开发者社区> 美人迟暮> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

【阿里聚安全·安全周刊】App通过超声波信号静默追踪用户 | 图片噪点可骗过Google最顶尖的图像识别AI

简介:
+关注继续查看

【阿里聚安全·安全周刊】App通过超声波信号静默追踪用户 | 图片噪点可骗过Google最顶尖的图像识别AI




数百款App通过超声波信号静默追踪手机用户

你的智能手机上可能安装了一些app持续监听用户周遭无法听到的高频超声波,借此了解到你的动向和喜好,而你对此一无所知。


超声波跨设备追踪是一种新技术,目前一些营销人员和广告公司用于跟踪多台设备中用户的动向并访问比之前广告更有针对性的信息。例如,用户去过的零售店、看过的商业广告或网页上的广告能发出一种独特的“超声音频信号”,包含接收器的移动app就能够捕获到。广告商以此通过创建一个用户个性化资料并通过判断哪些设备属于用户的方式收集用户兴趣爱好,从而推送基于用户兴趣的精准广告。




虽然跨设备用户追踪技术目前被用于合法目的,但它已经引发了一些隐私担忧。由于app不要求获取移动数据或者无线连接而是只是通过麦克风监听信标,即使用户已断开网络追踪也起作用。由于我们无法阻止超声波信标发出周遭的声音频率,降低手机被监听的最佳方法就是限制对所安装app的不必要的权限。 

http://jaq.alibaba.com/community/art/show?articleid=865



打开手机电筒就泄露了银行卡密码?

据ESET(一家世界知名的电脑安全软件公司年)官方报道,一个具有自动锁屏功能的银行恶意软件近期伪装成Google Play上的手电筒应用,广大安卓用户成为了它的狩猎目标乃至囊中之物。与其它静态式的银行业务木马不同,该木马能够动态地调整自身功能。 


一旦安装并启动了这个木马程序,它就会请求获得受害设备的管理员权限。使用安卓6.0或更高版本的用户还需手动设置使用权限并开启“draw over other apps(允许在其他应用的上层显示)”的功能。获得权限与许可后,该程序就会自动隐藏图标,以插件的形式在设备上显示。实际的有效负载已经在Google Play的APK文件资源中加密,这种处理方式能够避免其恶意功能被发现。当受害者运行该应用时,有效载荷也会自动解密并执行攻击任务。


除了用来作掩护的手电筒功能之外,这种利用远程控制的木马还具有很多附加功能,最终目的就是窃取用户的银行账户信息。该木马可以通过C&C服务器命令模拟真实应用的界面,锁住受感染设备,避免受害者发现恶意活动,拦截短信并显示伪造的通知,最终达到绕过双因素身份验证的目的。 

http://jaq.alibaba.com/community/art/show?articleid=862


Android继承计算机端口开放功能 智能手机到处都是后门

密歇根大学的一组研究员发现,Google Play 中数百个应用有非预期的行为:通过将手机转变为服务器,让应用拥有者可以从他们的PC,直接连接安装了该应用的手机,就像访问网站或其他互联网服务一样。但有数十个这些App会在智能手机上留下不安全的开放端口,让攻击者能够盗取手机联系人、照片等数据,甚至在手机上安装恶意软件。



安卓继承了传统计算机的开放端口功能,很多应用以暴露出漏洞的方式使用开放端口。一旦这些脆弱开放端口App被安装,你的手机就有可能被攻击者获取到完整控制权。


研究员通过扫描Google Play 应用商店中约10万个流行App的代码,共发现1,632个应用会在智能手机上创建开放端口,57个被标识为最无力反抗开放端口攻击的脆弱App。它们当中有2个特别危险,下载量高达千万级的App。其中一个名为“WiFi文件传输”,另外一个名为“AirDroid”。


手机开放端口的问题将持续存在。研究人员建议,开发者在用户设备上扯开口子的时候三思。用户什么都做不了,谷歌也不管事儿,开发者必须学会正确使用开放端口 

http://jaq.alibaba.com/community/art/show?articleid=864



不越狱就能监控苹果手机? iCloud备份成漏洞

一般来说,对于苹果间谍软件,攻击者通常需要先对设备进行越狱,然后才能在未经授权的情况下安装应用,所以整个过程就需要花费不少时间。


不过令人惊讶的是,有不少公司确实为iOS 10的苹果设备提供了完全不需要越狱的监控解决方案。他们是怎么做到的呢?其实他们就是利用了一些用户可能完全忽视的一个地方——iCloud备份。这种攻击方式并不复杂,攻击者通常只需要目标的Apple ID和密码就可以做到。


一家销售监控工具的公司Mobistealth提供非越狱iOS解决方案可以监控通话记录和手机联系人列表,窃取设备上存储的照片,阅读所有WhatsApp对话,并使用GPS远程跟踪手机的位置。它还可以记录其他通信应用程序,如WeChat,Kik和LINE。来帮助监督员工的业主,或帮助家长监督子女,甚至是监视他们的妻子或者情人。  

http://jaq.alibaba.com/community/art/show?articleid=866


在图片中加入噪点就能骗过Google最顶尖的图像识别AI

近些年来,基于AI的图片分类系统变得越来越热门了,而这项研究针对的就是这种图片分类系统。现在,很多在线服务都会采用这种系统来捕捉或屏蔽某些特殊类型的图片,例如那些具有暴力性质或色情性质的图片,而基于AI的图片分类系统可以阻止用户提交并发布违禁图片。


虽然这种分类系统使用了高度复杂的机器学习算法,但是研究人员表示,他们发现了一种非常简单的方法来欺骗Google的Cloud Vision服务。只需要在一张图片中添加少量噪点即可成功欺骗Google的Cloud Vision API。其中的噪点等级可以在10%到30%范围内浮动,同时也可以保证图片的清晰度,而且这足以欺骗Google的图片分类AI了。整个过程并不需要多么高端的技术,一切只需要一个图片编辑软件即可实现。


网络犯罪分子可以利用这种技术来传播暴力图片、色情图片或恐怖主义宣传图片。除此之外,Google自己的图片搜索系统也使用了这个API,这也就意味着,当用户使用Google进行图片搜索时,很可能会搜索到意料之外的图片。


但是解决这个问题的方法也很简单,Google只需要在运行其图片分类算法之前,对图片中的噪点进行过滤就可以了。研究人员已经将这种攻击的完整技术细节在其发表的论文中进行了描述,感兴趣的用户可以阅读这篇论文——传送门:https://arxiv.org/pdf/1704.05051.pdf 

http://jaq.alibaba.com/community/art/show?articleid=861



【技术篇】

利用FRIDA攻击Android应用程序(三)

还记得游戏中的上帝模式吗?面对本地应用程序的时候,一旦拥有了Frida,也就拥有了这种感觉。FRIDA系列有三篇文章:在第一篇文章中,笔者重点介绍Frida在Android应用方面的应用;在第二篇文章中,笔者介绍了如何利用Frida来应付Android环境下的crackme问题。本文是在第二篇博客发布不久之后,@muellerberndt决定发布另一个OWASP Android crackme,笔者很想知道是否可以再次用frida解决。 





本文来自合作伙伴“阿里聚安全”,发表于2017年05月05日 14:07.

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
时代聚焦AI安全——可解释性
随着人工智能的发展,越来越多的人开始关注人工智能的安全问题。今年的NIPS多集中人工智能安全上,作者列举了在会议上出现的解决人工智能安全问题的比较不错的论文。
4926 0
AI教父Hinton胶囊模型又出新作——胶囊如何表示视觉层次结构
AI教父Hinton胶囊模型又出新作——胶囊如何表示视觉层次结构
57 0
给图片打「马赛克」可骗过AI视觉系统,阿里安全新研究入选ICCV 2021
来自阿里安全人工智能治理与可持续发展实验室(AAIG)等机构的研究者提出了一个新的机制来生成对抗样本,即与增加对抗扰动相反,他们通过扔掉一些不可察觉的图像细节来生成对抗样本。这项研究成果已被 AI 顶会 ICCV 2021 收录。
52 0
打造四大AI平台:腾讯优图的视觉AI To B打法
腾讯的 AI 与产业互联网已进入全新发展阶段,优图实验室的视觉智能在其中将发挥怎样的作用?
50 0
CVPR 2020 | 京东AI研究院对视觉与语言的思考:从自洽、交互到共生
纵观视觉与语言在这六年间的飞速发展史,它就仿佛是两种不同文化(计算机视觉与自然语言处理)的碰撞与交融。这里每一种文化最初的进化都是自洽的,即独立地演化形成一套完备的视觉理解或语言建模体系;演化至今,我们当前所迎来的则是两种文化间的交互,自此视觉理解和语言建模不再是简单串联的两个模块,而是通过互相的信息传递成为共同促进的一个整体;对于视觉与语言的未来,则一定是聚焦于两者更为本质和紧密的共生,它所渴望的,将是挣脱开数据标注的桎梏,在海量的弱监督甚至于无监督数据上找寻两者间最为本质的联系,并以之为起源,如「道生一,一生二,二生三,三生万物」一般,赋予模型在各种视觉与语言任务上的生命力。
66 0
依图开放AI芯片视觉计算创新平台,实现算法芯片对接「即插即用」
造芯,比以往任何时刻都更牵动人心。前有芯片技术被卡脖子多年,后有中美贸易下芯片产业链国有化势在必行。 但造芯远非一日之功,这背后所牵涉到的算法技术、设计能力、数据打磨、供应链支持繁杂而深远,往往是牵一发而动全身。于是,一个能够集聚产业链各方力量并实现资源优化配置的产业平台就成为关键。
120 0
IDC最新报告:阿里视觉AI能力中国厂商第一
视觉AI一直以来都是AI研究的重要领域,具有非常广泛的应用。
209 0
2021云栖大会【视觉AI平台与生态论坛】线上直播等你来~
2021云栖大会【视觉AI平台与生态论坛】将于10月22日在杭州云栖小镇开启,可能因为地域的原因,您未能亲临现场,本次大会将在线上同步直播,大家不用出门,在家就能看到最新科技领域的成果展示~
328 0
开发者大会倒计时7天!【视觉AI开发平台及其行业应用论坛】等你来
2021阿里云开发者大会将于5月29日在北京国家会议中心召开,大会开设「视觉AI开发平台及其行业应用论坛」,主要介绍低代码行业智能开发者平台:从面向ISV的算法低代码生产体系,到面向普通IT开发者的视觉智能开放平台;医疗、教育、数据传媒及专业影楼的智能数字化处理解决方案服务商都在使用,我们的开发者平台正在面向各行各业,深度践行着低代码行业智能。
238 0
达摩院视觉AI课程重磅上线,多种AI应用场景精彩纷呈!
阿里云视觉智能开放平台是基于阿里巴巴视觉智能技术实践经验,为用户提供易用、普惠的视觉API服务,平台目前涵盖了14个类目,共计170+视觉AI能力,在公测期间在公测期间免费为用户提供上百款AI能力的调用,欢迎各位同学报名进入直播间,观看达摩院视觉AI课程,了解体验更多的免费视觉AI能力。
704 0
+关注
美人迟暮
Nothing for nothing.
1017
文章
212
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载