苹果公司从App Store中删除了18个带有隐匿广告点击代码的应用

Wandera的研究人员在Apple的App Store中发现了17个应用,都包含一个叫Clicker的模块,该模块被设计为执行与秘密广告欺诈相关的任务,例如自动打开网页,点击链接和广告。

这些有问题的应用程序都是免费的,分为几个应用程序类别,包括生产力,工具,健身,媒体和旅行:

*         RTO Vehicle Information

*         EMI Calculator & Loan Planner

*         File Manager – Documents

*         Smart GPS Speedometer

*         CrickOne – Live Cricket Scores

*         Daily Fitness – Yoga Poses

*         FM Radio PRO – Internet Radio

*         Around Me Place Finder

*         Easy Contacts Backup Manager

*         Ramadan Times 2019 Pro

*         Restaurant Finder – Find Food

*         BMI Calculator PRO – BMR Calc

*         Dual Accounts Pro

*         Video Editor – Mute Video

*         Islamic World PRO – Qibla

*         Smart Video Compressor

*         My Train Info – IRCTC & PNR

除最后一个以外的所有应用均由同一开发人员发布:AppAspect Technologies Pvt . Ltd.(尽管该开发人员发布的所有应用程序并非都包含恶意的Clicker功能。)

在测试中发现这些应用程序表现出和恶意软件一样的规避检查行为。研究人员发现,所有“受感染”的应用程序均使用了高强度的加密密码并只与一个远程控制服务器通信。这个远程控制服务器在几个月前被Dr. Web研究人员标记为Android上类似的clicker特洛伊木马活动的一部分,“受感染”的Android应用会收集设备信息和配置详细信息发送到这个服务器,并从这个服务器接收有关打开哪个网站地址以及要加载的链接的指示,并且在某些情况下会自动为用户订阅昂贵的服务。

Wandera研究人员将他们的发现通知了Apple,此后这些应用已从App Store中删除。

研究人员指出,AppAspect Technologies在Google Play上也拥有开发者资料,其中包含28种已发布的应用程序。 他们对其进行了测试,发现这些Android应用程序均未与上述远程控制服务器通信。

“但是,其他研究发现,AppAspect的Android应用程序过去曾经被感染并从商店中删除。 此后,它们已被重新发布,并且似乎没有嵌入恶意功能。 目前尚不清楚开发人员是有意还是无意地添加了错误代码,”他们补充说。

 

谷歌的bug赏金计划将涵盖了所有流行的Android应用

Google Play 安全奖励计划,是向发现 Google Play 商店中应用问题的开发人员提供奖励。以前,该奖励计划只涵盖八个顶级应用程序的一组列表,现在将扩展到Google Play 商店中任何安装次数超过 1 亿的应用程序。如果开发人员发现并批露一个应用程序的漏洞,谷歌将可以给予高达2万美元的奖励。

谷歌发言人说:”这为安全研究人员打开了大门,帮助数百家组织识别和修复其应用中的漏洞。”

此外,谷歌还推出了一项开发者数据保护奖励计划,以在Android应用、OAuth项目和Chrome扩展中解决”数据滥用问题”。这意味着在未经用户同意的情况下使用或销售用户数据的应用,如果被报告滥用用户数据,将从 Google Play 商店或 Chrome 网上商店中删除,并且Google将给予报告者高达 5万美元的奖励。

谷歌研究人员公布了多年来针对iPhone用户的恶意网站漏洞

今天,一份来自Vice的报告详细介绍了“Google Project Zero“研究人员发现的针对iPhone用户的大规模攻击。攻击的基础是一系列被黑客攻破的网站,通过这些网站可以随意地向 iPhone 用户分发恶意软件。

在一篇博文中,Google Project Zero的伊恩·比尔解释说,攻击没有目标区分。用户可能会因为仅仅访问一个被黑客攻击的网站而受到攻击,据说这些网站每周收到数千次浏览。

谷歌的威胁分析小组通过iOS 12的所有版本检测到一组五个独立和完整的iPhone漏洞利用链,这些漏洞链影响iOS 10到iOS 12的所有版本。比尔写道:”这表明,一个团体在至少两年的时间里,持续努力在特定社区中攻击iPhone的用户。

一旦用户访问其中一个恶意网站并被部署了恶意软件,恶意软件”主要侧重于窃取文件和上传实时位置数据”,恶意软件每隔 60 秒上传一次用户数据。由于终端设备本身已遭到破坏,iMessage 等服务也受到影响。

通过与TAG合作,我们发现了五个漏洞链中总共14个可以利用的漏洞:7个用于iPhone的网络浏览器,5个用于内核,2个用于绕过沙盒。初步分析表明,至少有一个特权升级链是新发现的且未修补。

比尔说, Project Zero 在2019年2月1日以7天的最后期限向苹果公司报告了这些问题,苹果公司在 2019年2月9日发布的iOS 12.1.4中进行了修复。

这种攻击链是独一无二的,因为许多攻击在范围上更有针对性,但此攻击影响了碰巧访问受感染网站之一的任何人。

在谷歌的”Project Zero”博客上,可以读到对iOS漏洞链的令人难以置信的详细分析。在这里,比尔详细介绍了Apple在 iOS 12.1.4中进行的安全修复,其中包括对 FaceTime 窃听错误的修复程序,以及Project Zero团队发现的安全问题。

联想笔记本电脑存在严重的安全漏洞

使用较旧的 Lenovo 笔记本电脑用户应警惕可能影响其 PC 使用的安全漏洞,尤其是他们的笔记本电脑仍在运行名为 Lenovo 解决方案中心的程序时。

据《笔记本电脑》杂志报道,安全研究人员Pen Test Partners 发现了一个安全漏洞,可以有将管理员权限移交给黑客或恶意软件。该缺陷来自于Lenovo笔记本电脑预装的“联想解决方案中心(Lenovo Solution Center)“,数百万旧款联想笔记本电脑可能会受到该缺陷的影响。因为 Lenovo 笔记本电脑已预装该程序多年,从 2011 年一直安装到 2018 年 11 月。

Pen Test Partners 于 8 月 22 日发布了关于该缺陷的帖子。在帖子中,Pen Test Partners 将该缺陷描述为”特权升级漏洞”,允许使用 DACL(自由访问控制列表)覆盖 Bug 和一个”硬连接”文件,让低权限用户完全控制他们通常不允许访问的文件。如果您聪明,则可以使用管理员或系统权限在系统上执行任意代码。

8月20日,联想就该缺陷发布了自己的安全警告。在这份声明中,联想表示,运行联想解决方案中心版本03.12.003的设备受该缺陷影响,并建议联想用户卸载联想解决方案中心(不再支持)并且迁移到联想Vantage或Lenovo 诊断。Lenovo 的安全警告声明还包括有关如何卸载运行 Windows 10、Windows 8 和 Windows 7 的设备的 Lenovo 解决方案中心的说明。

还值得注意的是,在帖子中,Pen Test Partners 还注意到联想解决方案中心计划的实际终止日期存在差异:

“尽管 Lenovo 对我的披露作出了回应,但当我们在 5 月份向他们报告这一消息时,他们的 LSC 下载页面指出,该工具在 2018 年 11 月终止了生命周期…但是,就在他们披露之后,我们注意到他们改变了终止日期,使其看起来像是在最后一个版本发布之前就结束了生命。他们自己的漏洞通报指出:”Lenovo 终止了对 Lenovo 解决方案中心的支持,并建议客户在 2018 年 4 月迁移到联想 Vantage 或 Lenovo 诊断。…但 LSC 的最后一个版本是在 2018 年 10 月 15 日。

Lenovo 是这样回应关于软件生命周期终止日期的差异:
“对于支持结束的应用程序,我们在过渡到新产品时继续更新应用程序的情况通常是确保尚未转换或选择不转换的客户仍然具有最低级别的支持,这种做法在行业中是常见的。”

苹果发布 iOS 12.4.1 更新修复越狱漏洞

苹果发布了iOS12.4的一个补丁,关闭越狱漏洞。该漏洞使得许多运行 iOS 12.4 的 iPhone 机型越狱成为可能。‎

‎iOS 12.4 的越狱问题于上周公开发布。iOS 12.4发布后被发现苹果意外地解开了在 iOS 12.3 中已经修复的漏洞。谷歌的“Project Zero”团队首先向苹果报告了这个错误。黑客在发现该漏洞再次可用后,没过多久就创建了越狱工具。安全问题使iOS设备容易受到黑客攻击,这就是为什么苹果迅速发布补丁修复它‎。‎

苹果在iOS 12.4的安全补丁中详细介绍了该修复程序。‎