【阿里聚安全·安全周刊】App通过超声波信号静默追踪用户 | 图片噪点可骗过Google最顶尖的图像识别AI

本文涉及的产品
图像搜索,7款服务类型 1个月
简介:

【阿里聚安全·安全周刊】App通过超声波信号静默追踪用户 | 图片噪点可骗过Google最顶尖的图像识别AI




数百款App通过超声波信号静默追踪手机用户

你的智能手机上可能安装了一些app持续监听用户周遭无法听到的高频超声波,借此了解到你的动向和喜好,而你对此一无所知。


超声波跨设备追踪是一种新技术,目前一些营销人员和广告公司用于跟踪多台设备中用户的动向并访问比之前广告更有针对性的信息。例如,用户去过的零售店、看过的商业广告或网页上的广告能发出一种独特的“超声音频信号”,包含接收器的移动app就能够捕获到。广告商以此通过创建一个用户个性化资料并通过判断哪些设备属于用户的方式收集用户兴趣爱好,从而推送基于用户兴趣的精准广告。




虽然跨设备用户追踪技术目前被用于合法目的,但它已经引发了一些隐私担忧。由于app不要求获取移动数据或者无线连接而是只是通过麦克风监听信标,即使用户已断开网络追踪也起作用。由于我们无法阻止超声波信标发出周遭的声音频率,降低手机被监听的最佳方法就是限制对所安装app的不必要的权限。 

http://jaq.alibaba.com/community/art/show?articleid=865



打开手机电筒就泄露了银行卡密码?

据ESET(一家世界知名的电脑安全软件公司年)官方报道,一个具有自动锁屏功能的银行恶意软件近期伪装成Google Play上的手电筒应用,广大安卓用户成为了它的狩猎目标乃至囊中之物。与其它静态式的银行业务木马不同,该木马能够动态地调整自身功能。 


一旦安装并启动了这个木马程序,它就会请求获得受害设备的管理员权限。使用安卓6.0或更高版本的用户还需手动设置使用权限并开启“draw over other apps(允许在其他应用的上层显示)”的功能。获得权限与许可后,该程序就会自动隐藏图标,以插件的形式在设备上显示。实际的有效负载已经在Google Play的APK文件资源中加密,这种处理方式能够避免其恶意功能被发现。当受害者运行该应用时,有效载荷也会自动解密并执行攻击任务。


除了用来作掩护的手电筒功能之外,这种利用远程控制的木马还具有很多附加功能,最终目的就是窃取用户的银行账户信息。该木马可以通过C&C服务器命令模拟真实应用的界面,锁住受感染设备,避免受害者发现恶意活动,拦截短信并显示伪造的通知,最终达到绕过双因素身份验证的目的。 

http://jaq.alibaba.com/community/art/show?articleid=862


Android继承计算机端口开放功能 智能手机到处都是后门

密歇根大学的一组研究员发现,Google Play 中数百个应用有非预期的行为:通过将手机转变为服务器,让应用拥有者可以从他们的PC,直接连接安装了该应用的手机,就像访问网站或其他互联网服务一样。但有数十个这些App会在智能手机上留下不安全的开放端口,让攻击者能够盗取手机联系人、照片等数据,甚至在手机上安装恶意软件。



安卓继承了传统计算机的开放端口功能,很多应用以暴露出漏洞的方式使用开放端口。一旦这些脆弱开放端口App被安装,你的手机就有可能被攻击者获取到完整控制权。


研究员通过扫描Google Play 应用商店中约10万个流行App的代码,共发现1,632个应用会在智能手机上创建开放端口,57个被标识为最无力反抗开放端口攻击的脆弱App。它们当中有2个特别危险,下载量高达千万级的App。其中一个名为“WiFi文件传输”,另外一个名为“AirDroid”。


手机开放端口的问题将持续存在。研究人员建议,开发者在用户设备上扯开口子的时候三思。用户什么都做不了,谷歌也不管事儿,开发者必须学会正确使用开放端口 

http://jaq.alibaba.com/community/art/show?articleid=864



不越狱就能监控苹果手机? iCloud备份成漏洞

一般来说,对于苹果间谍软件,攻击者通常需要先对设备进行越狱,然后才能在未经授权的情况下安装应用,所以整个过程就需要花费不少时间。


不过令人惊讶的是,有不少公司确实为iOS 10的苹果设备提供了完全不需要越狱的监控解决方案。他们是怎么做到的呢?其实他们就是利用了一些用户可能完全忽视的一个地方——iCloud备份。这种攻击方式并不复杂,攻击者通常只需要目标的Apple ID和密码就可以做到。


一家销售监控工具的公司Mobistealth提供非越狱iOS解决方案可以监控通话记录和手机联系人列表,窃取设备上存储的照片,阅读所有WhatsApp对话,并使用GPS远程跟踪手机的位置。它还可以记录其他通信应用程序,如WeChat,Kik和LINE。来帮助监督员工的业主,或帮助家长监督子女,甚至是监视他们的妻子或者情人。  

http://jaq.alibaba.com/community/art/show?articleid=866


在图片中加入噪点就能骗过Google最顶尖的图像识别AI

近些年来,基于AI的图片分类系统变得越来越热门了,而这项研究针对的就是这种图片分类系统。现在,很多在线服务都会采用这种系统来捕捉或屏蔽某些特殊类型的图片,例如那些具有暴力性质或色情性质的图片,而基于AI的图片分类系统可以阻止用户提交并发布违禁图片。


虽然这种分类系统使用了高度复杂的机器学习算法,但是研究人员表示,他们发现了一种非常简单的方法来欺骗Google的Cloud Vision服务。只需要在一张图片中添加少量噪点即可成功欺骗Google的Cloud Vision API。其中的噪点等级可以在10%到30%范围内浮动,同时也可以保证图片的清晰度,而且这足以欺骗Google的图片分类AI了。整个过程并不需要多么高端的技术,一切只需要一个图片编辑软件即可实现。


网络犯罪分子可以利用这种技术来传播暴力图片、色情图片或恐怖主义宣传图片。除此之外,Google自己的图片搜索系统也使用了这个API,这也就意味着,当用户使用Google进行图片搜索时,很可能会搜索到意料之外的图片。


但是解决这个问题的方法也很简单,Google只需要在运行其图片分类算法之前,对图片中的噪点进行过滤就可以了。研究人员已经将这种攻击的完整技术细节在其发表的论文中进行了描述,感兴趣的用户可以阅读这篇论文——传送门:https://arxiv.org/pdf/1704.05051.pdf 

http://jaq.alibaba.com/community/art/show?articleid=861



【技术篇】

利用FRIDA攻击Android应用程序(三)

还记得游戏中的上帝模式吗?面对本地应用程序的时候,一旦拥有了Frida,也就拥有了这种感觉。FRIDA系列有三篇文章:在第一篇文章中,笔者重点介绍Frida在Android应用方面的应用;在第二篇文章中,笔者介绍了如何利用Frida来应付Android环境下的crackme问题。本文是在第二篇博客发布不久之后,@muellerberndt决定发布另一个OWASP Android crackme,笔者很想知道是否可以再次用frida解决。 





本文来自合作伙伴“阿里聚安全”,发表于2017年05月05日 14:07.

相关文章
|
5月前
|
编解码 iOS开发 开发者
App上架Apple App Store和Google Play流程
App上架Apple App Store和Google Play流程
157 2
|
3月前
|
存储 人工智能 开发工具
AI助理化繁为简,速取代码参数——使用python SDK 处理OSS存储的图片
只需要通过向AI助理提问的方式输入您的需求,即可瞬间获得核心流程代码及参数,缩短学习路径、提升开发效率。
1473 4
AI助理化繁为简,速取代码参数——使用python SDK 处理OSS存储的图片
|
13天前
|
机器学习/深度学习 人工智能 自然语言处理
DeepSeek Artifacts:在线实时预览的前端 AI 编程工具,基于DeepSeek V3快速生成React App
DeepSeek Artifacts是Hugging Face推出的免费AI编程工具,基于DeepSeek V3,支持快速生成React和Tailwind CSS代码,适合快速原型开发和前端组件构建。
227 28
DeepSeek Artifacts:在线实时预览的前端 AI 编程工具,基于DeepSeek V3快速生成React App
|
3天前
|
机器学习/深度学习 人工智能 文字识别
Zerox:AI驱动的万能OCR工具,精准识别复杂布局并输出Markdown格式,支持PDF、DOCX、图片等多种文件格式
Zerox 是一款开源的本地化高精度OCR工具,基于GPT-4o-mini模型,支持PDF、DOCX、图片等多种格式文件,能够零样本识别复杂布局文档,输出Markdown格式结果。
37 4
Zerox:AI驱动的万能OCR工具,精准识别复杂布局并输出Markdown格式,支持PDF、DOCX、图片等多种文件格式
|
28天前
|
人工智能 分布式计算 供应链
高效提取图片信息:AI技术赋能企业数字化转型
本文介绍了如何通过AI技术高效提取图片中的结构化信息,提升企业运营效率。具体应用场景包括票据与合同管理、电商商品信息管理、保险理赔和物流单据处理等。AI技术能将传统人工录入流程缩短至秒级,准确率高达99%,减少人为错误,提升客户满意度。方案优势在于易于扩展、灵活高性价比的调用模式及便捷安全的云产品接入。文中还详细描述了部署应用、访问示例应用及使用官方示例进行信息提取的操作步骤,并提供了参考链接和源码下载途径。
|
6月前
|
人工智能 编解码 内存技术
手把手教你生成一幅好看的AI图片
想要生成一幅好看的AI图片,但是却不知道如何下手?只会1girl的你现在是不是很烦恼?别急,看这篇文章就够了。
手把手教你生成一幅好看的AI图片
|
2月前
|
人工智能
ai图片一键应用喷溅效果的技巧
ai怎么做出喷溅效果?
53 5
|
3月前
|
存储 人工智能 缓存
AI助理直击要害,从繁复中提炼精华——使用CDN加速访问OSS存储的图片
本案例介绍如何利用AI助理快速实现OSS存储的图片接入CDN,以加速图片访问。通过AI助理提炼关键操作步骤,避免在复杂文档中寻找解决方案。主要步骤包括开通CDN、添加加速域名、配置CNAME等。实测显示,接入CDN后图片加载时间显著缩短,验证了加速效果。此方法大幅提高了操作效率,降低了学习成本。
5518 16
|
4月前
|
人工智能
在stable diffussion中完美修复AI图片
无论您的提示和模型有多好,一次性获得完美图像的情况很少见。修复小缺陷的不可或缺的方法是图像修复(inpainting)
在stable diffussion中完美修复AI图片
|
5月前
|
开发工具 Android开发
上架Google Play报错:For new apps, Android App Bundles must be signed with an RSA key.
上架Google Play报错:For new apps, Android App Bundles must be signed with an RSA key.
157 1

热门文章

最新文章