外网总结2019年十大移动安全事件

翻译自Top Mobile Security Stories of 2019
正如回顾2019年十大移动安全事件所显示的那样,赛博空间中的犯罪分子越来越多地将移动用户作为目标。对于不断扩张的企业而言,移动攻击载体也会随着业务扩展而显著扩大,迫使诸多公司重新考虑其安全要求。而对于消费者而言,保护个人隐私数据的唯一希望是提高安全意识。

1. 苹果公布漏洞双金

2019年12月,苹果官方公布了其历史悠久的私人漏洞赏金计划,同时将最高将近提高到100万美元(比如在具有完整内核并在苹果最新硬件完整运行的零点击远程链)。这笔将近数目,相比之前私人计划的,微不足道的最高200,000美元将近而言,已经有了巨大进步。但是这家科技巨头寻找的是能提交漏洞的完整漏洞利用。其他的奖金范围从25,000美元到500,000美颜不懂,涉及包括Macs,iPhone和iPad以及Apple TV在内的一系列产品。

2. 苹果漏洞激增

提到苹果漏洞,iOS漏洞在整个2019年都有出现,其中包括“ AirDoS”漏洞,该漏洞能够让附近的黑客可以通过文件交换功能AirDrop,使iPhone和iPad无法使用。在6月,发现了一个iMessage漏洞,使运行旧版本IOS的iPhone运行速度变慢。另外发现了其他5个iMessage漏洞,这些错误不需要用户进行交互,其中一个漏洞允许远程攻击者访问iOS设备上存储的内容。在一次历经数年的水坑攻击中,发现有5个漏洞利用连用到了14个iPhone漏洞,其中2个在2月被披露为0 Day 漏洞。

3. WhatsApp起诉NSO集团

2019年5月,WhatsApp被警告在其消息平台中发现的0 Day漏洞,攻击者可以利用该漏洞在特定活动中将间谍软件植入到受害者的手机中。2019年晚些时候,WhatsApp所有者Facebook起诉了以色列公司NSO Group,指控其自己开发监控代码,并使用易受攻击的WhatsApp服务器将恶意软件发送到大约1,400台移动设备,这些移动使用设备大多属于全球人权活动家,新闻工作者等其他民间团体成员。 NSO总裁后来在一次会议上针对这一问题闪烁其词。

4. StrandHogg伪装Android APP

2019年秋天,研究人员发现了一个名为StrandHogg的Android新漏洞,该漏洞可能使恶意软件伪装成流行的应用程序并要求各种权限。使黑客能够监听用户,拍照,阅读和发送SMS消息,并基本上接管了各种功能,仿佛他们就是设备的所有者。StrandHogg会覆盖并伪装成人们经常使用的移动应用程序(比如Facebook)。该漏洞会影响所有Android设备(包括运行Android 10的设备),并威胁最受欢迎的前500个应用。

5. Checkra1n 越狱漏洞

一个被称为“ checkm8”,无法修复的iPhone BootROM漏洞,在2019年以来影响了数亿部iPhone,攻击者可以通过不可阻挡的越狱获得系统级权限。很快又出现了一种名为checkra1n的漏洞,该漏洞使用户可以绕过DRM限制来运行未经授权的和自定义的软件。 Checkra1n还让用户容易从App Store外部下载流氓软件或不稳定应的APP。同时,一个假冒网站声称能够使iPhone用户下载Checkra1n(但最终下载了点击欺诈的游戏应用)。

6. 移动网络钓鱼套件应运而生

2019年4月,移动领域出现了新的趋势:移动网络优先钓鱼。专门针对美国Verizon Wireless客户的工具包会通过电子邮件向用户推送网络钓鱼链接,并伪装成来自Verizon客户支持的消息。这些是为移动查看量身定制的:在台式机上打开恶意URL时,它看起来草率且显然不合法-但是,在移动设备上打开时,它看起来像Verizon客户支持应用程序所期望的。

7. 聚焦5G

2019年,5G网络的安全性首次成为热门话题。5G,作为下一代移动技术有望实现超低延迟和指数级的吞吐量,从而为新的商务场景和应用铺平道路,例如远程手术,自动驾驶汽车,按需配电等等。但是,在这些情况下,网络攻击实际上可能成为生死攸关的问题。随着5G的许多安全协议和算法都从先前的4G标准移植而来,研究人员已经发现5G缺陷,例如设备指纹识别绕过和中间人(MiTM)攻击。

8. 数据搜集APP

2019年早些时候,Twitter和Facebook警告说软件开发工具包(SDK)可以嵌入到移动应用程序中,并用于抓取个人资料信息,例如电子邮件地址,用户名,性别,最新推文等。这些技术巨头表示,由oneAudience和MobiBurn维护的SDK违反了两家公司的数据隐私政策,该政策禁止第三方收集个人资料信息以用于数据货币化。这是在剑桥分析公司(Cambridge Analytica)丑闻之后实施的一项变更,此事围绕社交媒体隐私产生持续讨论。

9. Retina X 跟踪软件

在首次打击“跟踪器软件”时,联邦贸易委员会禁止销售三个用于监视孩子和雇员的APP,这些APP可以安装在设备上以跟踪其所有者的位置,活动等。这些应用程序来自一家名为Retina-X Studios的公司,联邦贸易委员会表示,由于这些应用程序被设计在后台秘密运行,因此特别适合违法活动和危险用途,尤其是在家庭暴力情况下。与此同时,在2019年11月,反跟踪软件联盟成立了,以帮助跟踪软件的受害者,涉及跟踪软件的案例在2019年增加了300%以上。

10. 生物识别绕过

尽管指纹传感器和Face ID吹捧提供了最佳的移动安全性,但2019年出现了一些技术绕过的情况。例如,三星Galaxy S10指纹传感器在一次黑客攻击中被欺骗,该黑客从酒杯中克隆了3D打印指纹。三星在今年晚些时候承认,如果将第三方硅壳包装在手机上,那么任何人都可以绕过Galaxy S10指纹传感器。去年10月,Google因其Pixel 4面部识别解锁功能而受到抨击,有用户表示即使闭上眼睛也能。而且在八月,有研究人员透露存在绕过苹果Face ID的方法。

原文地址:https://www.cnblogs.com/deerCode/p/12153643.html

时间: 2024-11-08 12:35:35

外网总结2019年十大移动安全事件的相关文章

2019年度十大自动化测试工具

1.Appium 官网:http://appium.io AppUI自动化测试 Appium 是一个移动端自动化测试开源工具,支持iOS 和Android 平台,支持Python.Java 等语言,即同一套Java 或Python 脚本可以同时运行在iOS 和Android平台,Appium 是一个C/S 架构,核心是一个 Web 服务器,它提供了一套 REST 的接口.当收到客户端的连接后,就会监听到命令,然后在移动设备上执行这些命令,最后将执行结果放在 HTTP 响应中返还给客户端. Lic

node.js之十大Web框架

之前接触过Node.js是因为好奇大前端越来越能干了,连我后台的饭碗都要抢了,太嚣张了,于是我想打压打压它,然后就这样接触它了.再到后来是因为Settings-Sync插件二次开发,我需要用node.js造一个mock server,而当时在开源项目上找到一个模拟github rest api的node.js服务端程序,然后我就在此基础上开发.从工作中学习有应用场景有目的性,果然还是学的要快很多. 今天之所以要说一说node.js的十大Web框架,主要是觉得以后针对VsCode开发或者是我自己的

十大理财app平台排行

如今人们对于理财是相当重视的,随着时代不断的发展也出现了很多可靠的理财App,使得人们足不出户就可以很好的整理自己的财产,那么肯定就会有人问了最好的理财软件有哪些呢?今天排行榜123网就梳理了十大理财app平台排行供您参考! 十大理财app平台排行 1.余额宝 2.京东金融 3.工商银行 4.活期通 5.如意宝 6.蚂蚁金服 7.积木盒子 8.团贷网 9.百度钱包 10.挖财 一.余额宝 推荐理由:余额宝相信会是很多人选择信赖的理财App,它在行业中的地位可以说是相当高的,余额宝不仅能够得到收益

盘点2019十大“爆炸性”太空新闻……有的撞上了地球

原作:Nicoletta Lanese,翻译:Jack Tong 原文链接:<a href="https://www.space.com/10-things-blasted-through-space-in-2019.html" target="_blank">https://www.space.com/10-things-blasted-through-space-in-2019.html</a> 大大小小的岩石. 尘土和宇航员们只是过去一

决胜未来,2019年前端开发十大战略性技术布局

2010年的你,如果能学会Android开发,现在的你,薪资不会低于年薪50万--2015年的你,如果能熟练使用react,现在的你,薪资不会低于月薪30K--看到这两个数据,也许有人会反驳:技术刚出来,没人敢用,而且随便一门技术,用上三五年,工资也不会低于这个数吧?第一个问题, Android 是2010年才出来的吗? 从上边的资料我们可以看出: Android 是 2008年9月23日,发布的,所以2010年,它不是才出来,而是出来了两三年.我们不是赌徒,我们不知道它会火,这可以原谅,年初的

网络安全十大金句--2019

如何保障网络安全,网络安全工作有何进展,网络安全时刻不能忘. 今记录下网络安全十大金句,以作自勉. 0x00? 在信息时代,网络安全对国家安全牵一发而动全身,?同许多其他方面的安全都有着密切关系.? ----2016年4月19日,网络安全和信息化工作座谈会上的讲话 0x01 没有网络安全就没有国家安全,没有信息化就没有现代化. ----2014年2月27日,中央网络安全和信息化领导小组第一次会议上的讲话 0x02 网络安全和信息化是一体之两翼.驱动之双轮,必须统一谋划.统一部署.统一推进.统一实

序列化类外键字段的覆盖,十大接口序列化总结,视图家族

序列化类外键字段的覆盖 """ 1)在序列化类中自定义字段,名字与model类中属性名一致,就称之为覆盖操作 (覆盖的是属性的所有规则:extra_kwargs中指定的简易规则.model字段提供的默认规则.数据库唯一约束等哪些规则) 2)外键覆盖字段用PrimaryKeyRelatedField来实现,可以做到只读.只写.可读可写三种形式 只读:read_only=True 只写:queryset=关联表的queryset, write_only=True 可读可写:que

吴裕雄--天生自然 HADOOP大数据分布式处理:CenterOS 7 多台物理机、虚拟机相互桥连接ping通,并且能够成功连接外网

选择用于桥接模式下的虚拟交换机,并且要选择对应的有线或者无线的网卡,如果主机是插网线联网的,那就选择有线网卡,如果主机是连无线网络的就选择无线网卡. 什么是桥接模式?桥接模式就是将主机网卡与虚拟机虚拟的网卡利用虚拟网桥进行通信.在桥接的作用下,类似于把物理主机虚拟为一个交换机,所有桥接设置的虚拟机连接到这个交换机的一个接口上,物理主机也同样插在这个交换机当中,所以所有桥接下的网卡与网卡都是交换模式的,相互可以访问而不干扰.在桥接模式下,虚拟机ip地址需要与主机在同一个网段,如果需要联网,则网关与

数据挖掘十大经典算法

一. C4.5  C4.5算法是机器学习算法中的一种分类决策树算法,其核心算法是ID3 算法.   C4.5算法继承了ID3算法的优点,并在以下几方面对ID3算法进行了改进: 1) 用信息增益率来选择属性,克服了用信息增益选择属性时偏向选择取值多的属性的不足: 2) 在树构造过程中进行剪枝: 3) 能够完成对连续属性的离散化处理: 4) 能够对不完整数据进行处理. C4.5算法有如下优点:产生的分类规则易于理解,准确率较高.其缺点是:在构造树的过程中,需要对数据集进行多次的顺序扫描和排序,因而导