【阿里聚安全·移动安全周刊】移动裸奔时代,手机已成为隐私的监视器
基带0day漏洞可攻击数百万部华为手机
安全公司Comsecuris的安全研究员Ralf-Phillip Weinmann周四透露:未公开的基带漏洞MIAMI影响了华为智能手机、笔记本WWAN模块以及loT(物联网)组件。
基带是蜂窝调制解调器制造商使用的固件,用于智能手机连接到蜂窝网络,发送和接收数据,并进行语音通话。据近期研究基带漏洞的Weinmann表示,基带漏洞使调制解调器面临一系列危险。攻击者可以通过基带漏洞监听手机通信,拨打电话,发送短信,或者进行大量隐蔽,不为人知的通信。
这一个基带漏洞是HiSliconBalong芯片组中的4G LTE调制解调器(译者注:俗称猫)引发的。Hisilion科技是华为的一个子公司,同时Balong应用处理器叫做:Kirin。这些有漏洞的固件存在于华为荣耀系列手机中,包括:P10,MATE9,荣耀9,7,6以及5c。
研究人员无法具体确定有多少设备受到了这个漏洞的影响。他们估计有数千万的华为智能手机可能收到攻击。仅在2016年第三季度销售的3300万元的智能手机中,其中就有50%使用了这个芯片。
http://jaq.alibaba.com/community/art/show?articleid=840
黑客利用智能手机传感器收集PIN信息,5次尝试准确度可达100%
英国纽卡斯尔大学一个研究团队发表论文,称智能手机中的传感器可能泄露用户隐私信息。利用智能手机传感器收集的数据,研究团队能破解4位的PIN(个人识别号码),一次尝试准确度可达70%,第5次尝试准确度可达100%。研究人员制造了一种名叫“PINlogger.js”的程序脚本,它可以访问手机中各种传感器中的数据,包括 GPS定位 、摄像头、麦克风、重力感应器、陀螺仪、磁力计、NFC感应等等,各类手机传感器通吃。
这个脚本的厉害之处在于,它不需要用户授权网站或浏览器程序采集相关数据,也就是说在不知不觉的情况下,用户的数据就已经被全部偷走。无论使用哪种方式,无论是滑动输入还是点击输入,都可以记录下用户的触屏数据。
大部分人只关心一些比较敏感的传感器安全,比如摄像头、GPS,其实一些不太明显的传感器也可能成为一种威胁。如果用户打开了带有这种恶意脚本的网页没有关闭,然后在手机上输入了网银的账号密码,那么就有可能导致网银被盗。
本文来自合作伙伴“阿里聚安全”,发表于 2017年04月14日 14:43.
