阿里巴巴2015移动安全漏洞年报

第一章 2015年应用漏洞

1.1、业界公开的应用漏洞类型和分布

2015是不平凡的一年,各界媒体对移动应用的漏洞关注度也越来越高,漏洞的产生不仅带来用户设备与信息的安全影响,也给企业带来业务或声誉上的损失。

阿里聚安全每周对国内外50家著名安全公司、媒体、漏洞平台的态势进行分析,国内外移动安全事件和资讯的关注依然是围绕操作系统和移动应用的技术风险展开,其中国内更加关注移动应用的漏洞风险。以下数据结论来自于阿里聚安全对业界风险态势的统计。

1. 行业分布

根据公开的漏洞数据统计,产生漏洞的应用所占行业比例与用户设备中安装的比例相似,应用工具类所产生的漏洞占比最高,达54%;游[……]

MORE

2013至2015年iOS平台网银应用安全性对比

针对分布在不同地理位置上的一些重要银行的iOS平台网银应用,本文主要从传输安全、编译器保护、UIWebView、数据存储、日志文件、二进制文件等方面研究了它们的安全性;此外,本文还将这次的研究结果与2013年进行的针对相同银行的APP安全性结果进行对比,并分析这两年之前iOS平台网银应用安全性的整体发展。

前言

2013年,为了了解一些重要银行移动网银应用的安全性整体情况,我决定开展一项研究

在这篇博文里,我将展示最新的研究结果,以显示与2013年相同的移动网银应用安全性的发展情况。

研究范围

我的研究包括40个移动网银应用,其中它们在全球地理位置分布如[……]

MORE

阿里无线安全团队发布2015第三季度移动安全报告

一. 病毒情况

    1) 2015年第三季度,安卓平台平均7台设备有1台设备染毒,总中毒设备量高达4121万,比第二季度增长16%。

    2) 2015年第三季度,阿里聚安全病毒扫描引擎共查杀病毒6293万次,比第二季度增长40%,帮助用户抵御了大量的病毒风险。

3) 阿里聚安全病毒样本库持续增长,2015年第三季度病毒样本量新增275.2万,比第二季度增长40%。

4) 第三季度内,病毒样本月均增长率为12%,平稳增长,但增长速度相比第二季度有所放缓。

5) 恶意扣费类病毒样本量占比最高,达64%,比第二季度上涨25%。第三季度,阿里移动安全团队发现[……]

MORE

RCTF2015-Mobile-出题思路及Writeup

从最初CTF上apk的简单反编译到现在各种加固逆向,难度已经上升了好多个级别。但感觉除了ACTF,多数的Mobile题目还是以逆向为主。此次作为ROIS成员有幸能参与到RCTF2015的出题工作中,于是尝试了一些新的出题思路,导致大家做题都很不适应,也把大家坑了一波。欢迎建议、意见、吐槽。

这次RCTF单独了一个Mobile类别,主题是漏洞,希望和大家一起探讨。

0x00 Mobile100-FlagSystem

Show me the flag. (The flag should include RCTF{}).ab_2e204fe0ec33b1689f1c47bd60[……]

MORE

SSL/TLS协议安全系列- SSL中间人攻击防范方案概述

0x00 简述

基于PKI体系的SSL/TLS协议近年来暴出很多安全问题,比如著名的HeartBleed、POODLE攻击和Freak攻击等,2014年关于SSL/TLS协议证书验证问题的CVE有成千个。针对SSL协议在实现中暴露出的各种问题,这里我们讨论一下现有的加固和防范方案,主要包括四个方面:

a) Key pinning策略
b) HSTS策略
c) 多路径证书检查策略
d) DNS-based authentication

下面我们基于这四个策略做详细介绍。

0x01 Key Pinning策略

1、 Key Pinning介绍

Pi[……]

MORE

MWR实验室公布Android系统0day漏洞可绕过Android沙箱

谷歌真是风波不断——近期,MWR实验室的研究人员又发现一个0day漏洞。这个漏洞存在于安卓系统中Google Admin应用程序处理一些URL的方式中,攻击者甚至可以通过这个漏洞绕过沙箱机制。MWR实验室在报告中提到了该漏洞原理:当Google Admin应用程序接收到一个URL,并且该URL是通过同一设备上任何其他应用的IPC调用接收时,Admin程序会将这个URL加载到它活动内的 Webview中。这时若攻击者使用一个file:// URL链接到他们所控制的文件,那么就可以使用符号链接绕过同源策略,并接收到Admin沙箱中的数据。

据悉,MWR实验室在今年3月就向[……]

MORE

让你的手机无法接发短信!安卓再爆两个短信拒绝服务/伪造状态漏洞,影响所有Android版本

趋势科技日前再次发现两个有关Android系统自带短信应用的漏洞,第一个漏洞(CVE-2015-3839)可能允许攻击者插入恶意消息到系统短信箱中导致其崩溃,造成用户无法发送和接收短信,第二个漏洞(CVE-2015-3840)可以伪造短信的发送和接收状态,可能导致用户重复发送短信增加话费。不同于之前的Android Stagefright和Mediaserver组件漏洞,新漏洞瞄准的是Android系统的短信应用。这两个漏洞影响Android系统所有版本,包获最新Android5.1.1(仅影响Android原生系统的短信应用,不包获第三方短信应用)。目前谷歌表示已经正在修复这两个漏洞,同时给[……]

MORE

你的指纹还安全吗? – BlackHat 2015 黑帽大会总结 day 2

0x00 序

今天是Black Hat 2015第二天,第一天的大会总结请参考:

看黑客如何远程黑掉一辆汽车 – BlackHat 2015 黑帽大会总结 day 1

0x01 TRUSTKIT: CODE INJECTION ON IOS 8 FOR THE GREATER GOOD

本来打算去听shendi的TrustZone crack的talk,但是因为shendi的visa没有办下来,最后就给cancel了。于是去听了这个iOS injection的talk。

Talk首先介绍说在iOS 8之前是不允许动态加载library的,只允许静态编译[……]

MORE

看黑客如何远程黑掉一辆汽车 – BlackHat 2015 黑帽大会总结 day 1

0x00 序

今天是Black Hat 2015第一天,九点钟开场。开场介绍是由Black Hat创始人Jeff Moss讲的。随后又请来了Stanford law school的Jennifer Granickz做了keynote speech。

enter image description here

随后就开始Black Hat的正会了,因为Black Hat是9个分会场同时进行,所以我们只能挑一些比较感兴趣的演讲去听。

0x01 ANDROID SECURITY STATE OF THE UNION

enter image description here

这个talk的演讲者是Google Android security team的leader[……]

MORE