网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】Android安全App大调查:大多无法有效保护用户

2019-03-14 09:34 推荐: 浏览: 74 views 字号:

摘要: 谷歌云抽风,控制台和Dataflow罢工数小时 谷歌云平台(GCP)12日出现了异常,好几个小时无法对开发人员做出响应。这次故障从太平洋夏令时16点31分恢复,似乎仅限于谷歌云控制台和谷歌云Dataflow。前者是基于Web的界面,客户可借助该界面与项目进行交...

谷歌云抽风,控制台和Dataflow罢工数小时

谷歌云平台(GCP)12日出现了异常,好几个小时无法对开发人员做出响应。这次故障从太平洋夏令时16点31分恢复,似乎仅限于谷歌云控制台和谷歌云Dataflow。前者是基于Web的界面,客户可借助该界面与项目进行交互,后者是一项托管的数据处理服务。该公司提到仪表板时说:“受影响的客户试图列出资源时,可能会收到‘无法加载’的错误信息,比如计算引擎实例、计费帐户、GKE集群和谷歌云函数(Google Cloud Functions)配额等资源。”

参考来源:

https://www.secrss.com/articles/9005

 

GoDaddy、苹果和 Google 被发现错误签发了一百多万 63 位序列号证书

错误配置的 EJBCA 开源软件包致使 GoDaddy、苹果和 Google 签发了一百多万个不符合要求的 63 位序列号证书。EJBCA 被很多浏览器信任的 CA 用于生成证书,在默认情况下 EJBCA 使用伪随机数生成器生成了 64 位序列号的证书,工程师发现 64 位中必须有一个定值才能确保序列号是正整数,这意味着 EJBCA 默认生成的序列号的熵值只有 63 位。 63 位 和 64 位虽然只相差一位,但 2^63 和 2^64 之间是相差巨大的。错误签发 63 位序列号证书所构成的风险主要是理论上的,实际上几乎不可能被恶意利用。但这不符合行业规定的要求。Google 被发现自 2016 年以来签发了 10 万以上不符合要求的证书,不过到目前只有 7000 个证书还有效。

参考来源:

https://www.solidot.org/story?sid=59879

 

Android安全App大调查:大多无法有效保护用户

在病毒肆虐的Android平台上,很多消费者可能希望下载和安装防病毒产品来提供更妥善的保护。然而在对250款Android防病毒软件进行测试之后,发现这些所谓的安全APP功能含糊,不够安全甚至完全没有防护能力。独立评测机构AV-Comparatives近期对市场上的防病毒APP进行了大规模测试,发现均无法有效正确的保护用户。AV-Comparatives测试了2000款恶意APP,结果发现只有不到十分之一的APP能够完全检测出这些恶意程序,而超过三分之二的防病毒APP识别恶意程序数量没有达到30%。AV-Comparatives采用了和因斯布鲁克大学合作开发自动测试程序,并使用物理Android手机并非模拟器来确保测试结果的精准性。

参考来源:

https://www.cnbeta.com/articles/tech/826861.htm

 

朝鲜黑客涉及价值5.17亿的加密货币劫持案件

近日,联合国安理会发布报告称,朝鲜相关的黑客组织与很多针对金融机构和加密货币交易所的网络攻击有关。其中,由于针对加密货币交易所的攻击易于实施、较为隐蔽、难以追踪且可以大规模洗钱,因此成为朝鲜黑客组织的优先选择。报告显示,2017年1月到2018年9月,朝鲜黑客组织攻击亚洲加密货币交易所所造成的财物损失达到5.71亿美元。这些攻击大多与Lazarus组织有关。

参考来源:

https://www.freebuf.com/

 

有人出价300万美元购买 iOS 和安卓 0day 漏洞

漏洞研究公司 Crowdfense 推出一个新的 0day 收购项目,承诺为完整链的 0day 漏洞提供最高300万美元的赏金。Crowdfense 创立于2017年,“由全球最具才能的研究员评估与时俱进的主动性网络防御能力”,并在交付给“经过仔细挑选的全球机构客户群体”之前,对这些能力进行测试和改进。该公司需求的 0day 利用包括 Chrome 和 Safari 浏览器中的远程代码执行缺陷、针对Windows 版本的 Chrome 的功能性利用代码最高价值150万美元,而针对 macOS 版本的 Safari 的利用最高价值50万美元。该公司将为导致iOS 权限提升的 Safari 远程代码执行漏洞支付250万美元,或者为无需用户交互、只要链中涉及持久性即可造成的 iOS 远程代码执行漏洞最高支付300万美元。

参考来源:

http://codesafe.cn/index.php?r=news/detail&id=4754

 

Site24x7进军中国云监测市场 上海数据中心同步建立

3月12日,卓豪公司今日宣布在上海建立一个新的数据中心,并推出监测服务。作为卓豪公司(Zoho Corporation)旗下,专注于为企业开发运营及IT运维团队提供云性能监测解决方案的Site24x7,在此次发布中引入了一体化监测功能,包括用户体验、基础设施和应用性能监测,为数字化服务提供更好的终端用户体验。与此同时,此次投资体现了公司在中国专注研发的长期战略和发展未来,并帮助企业过渡到无缝数字体验。据了解,即日起,企业就可以注册并免费试用三个月这一成熟的解决方案。截止今天,Site24x7已为全球超过25,000家客户和100余家《财富》1000强企业成功提供服务。

参考来源:

http://tech.caijing.com.cn/20190312/4569487.shtml

 

QQ帐号可以注销了

3月13日起,QQ号码可注销。Android版手机QQ现更新至7.9.9版本,此前处于内测的注销功能正式上线,用户可进入“设置”选择“注销账号”。不过为避免账号被恶意注销,只有满足一定条件才能完成注销:绑定设备安全锁,确保密保手机生效满一个月,注销QQ支付,并解除与其他App或网站的授权和绑定关系。腾讯提示,注销QQ号是不可恢复的操作,所有资料都将被清空。

参考来源:

https://www.bianews.com/news/flash?id=32762

关于安全帮

安全帮,是中国电信北京研究院旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。

联系站长租广告位!

中国首席信息安全官


关闭


关闭