由于企业开发者证书被滥用,苹果收紧对企业开发证书的监管

据TechCrunch报道,滥用苹果开发者企业证书项目的开发者不仅仅是Facebook谷歌。一项调查发现,十几个赤裸直白的色情应用与十几个现金赌博应用得以逃过苹果的监管。这些 app 利用苹果的”企业开发者项目”(Developer Enterprise Program),绕开了苹果 App Store 的内容审查。

上周,TechCrunch曾报道,Facebook和谷歌违反了苹果的企业证书项目规则,发布可收集用户流量与收集活动的应用。这导致苹果短暂地撤销了两家公司的证书,从而使得公司合法的员工专用应用无法工作,进而造成公司内部混乱。苹果随后发布一份言辞激烈的声明,指责Facebook滥用特权,发布数据收集应用,违反与苹果的协议。还称,任何利用企业证书发布面向消费者应用的,证书将被撤销,以保护用户和他们的数据。然而,话虽如此,仍有很多被禁止的应用可以从隐藏的开发者网站上下载。

在 TechCrunch 展示的二十多个代表性的 app 里,色情 app 或提供流媒体订阅服务,或按观看内容的次数收费,而赌博 app 则向用户提供了应用内存款、赢钱和取钱的服务。

dep-app.jpeg.jpg

一切问题都源于苹果为企业项目制定的标准过于宽松。该项目的初衷是方便企业向发布仅限公司员工使用的应用,且其政策明确规定”企业不得使用或发布或以其他方式,允许其消费者访问内部应用”。但苹果并未充分执行这些政策。

开发者只需在线填写一份苹果给出的表格,同时支付 299 美元即可获得这种资格。而那份表格仅要求开发者承诺他们开发的企业应用仅供内部员工使用,要求申请人提供 D-U-N-S 企业号码,且拥有最新的 Mac 设备。一到四周后,「企业」就能接到苹果的电话,会被再次要求仅能在内部发布 app。而这些违规 app 的开发者提供给苹果的企业资料,往往只是随手在 Google 上搜到的公司公开信息。

Guardian Mobile Firewall 的安全专家 Will Strafach 研究了这些应用以及它们的证书。经过初步分析,Strafach 称没有明显的迹象表明这些 app 挪用用户数据,但这些 app 确实全都违反了苹果的证书政策,它们提供的内容也都是被 App Store 禁止的不友好内容。

另外,一些第三方网站也直接提供企业证书,结果就是有时会有 5 至 10 个(或更多)不同的 app 使用同一个企业证书。

苹果拒绝解释这些应用究竟是如何成为企业证书签名应用的。公司也拒绝透露其是否对该项目中的开发者进行后续合规审查或是否有打算调整申请审核流程。但一名苹果发言人在给出的声明中表示,公司将关闭这些应用,并或可彻底禁止这些开发者开发iOS产品权限。

“滥用我们企业开发证书的开发者违反了苹果开发者企业账户协议,其拥有的证书将终止,且若适用,他们将完全从我们的开发者项目中移除。公司将不断评估滥用情况,并随时准备采取行动。”

 

利用ThinkPHP 漏洞的恶意软件SpeakUp正在攻击中国服务器

 Check Point 安全研究人员发现一种新的Linux恶意软件(SpeakUp)正在开始肆虐,并主要运行在位于中国的 Linux 服务器上。

Check Point 表示 SpeakUp 可以在六种不同的 Linux 发行版甚至 macOS 系统上运行,其背后的黑客团队目前主要使用该恶意软件在受感染的服务器上部署 Monero 加密货币矿工,并且目前已经获得了大约 107 枚 Monero 币,大约是 4500 美元。

研究人员表示黑客利用 PHP 框架 ThinkPHP 的漏洞 CVE-2018-20062 进行攻击,该漏洞允许远程攻击者通过精心使用 filter 参数来执行任意 PHP 代码,但其实他们可以轻松切换到任何其它漏洞,将 SpeakUp 后门扩展到更广泛的目标。一旦 SpeakUp 入侵易受攻击的系统,那么黑客就可以使用它来修改本地 cron 应用以获得启动持久性,并运行 shell 命令,执行从远程命令与控制服务器(C&C)下载的文件,以及更新或卸载自身。

此外 SpeakUp 还附带了一个内置的 Python 脚本,恶意软件通过该脚本在本地网络中横向传播。脚本可以扫描本地网络以查找开放端口,使用预定义的用户名和密码列表对附近的系统进行暴力破解,并使用以下七个漏洞中的一个来接管未打补丁的系统:

CVE-2012-0874: JBoss 企业应用程序平台多安全绕过漏洞

CVE-2010-1871: JBoss Seam Framework 远程代码执行

JBoss AS 3/4/5/6: 远程命令执行

CVE-2017-10271: Oracle WebLogic wls-wsat 组件反序列化 RCE

CVE-2018-2894: Oracle Fusion Middleware 的 Oracle WebLogic Server 组件中的漏洞

Hadoop YARN ResourceManager – Command Execution

CVE-2016-3088: Apache ActiveMQ 文件服务器文件上载远程执行代码漏洞

目前感染的地图显示,SpeakUp 受害者主要集中在亚洲和南美洲,其中以中国为主。

 

3D打印人头成功解锁顶级安卓智能机

福布斯的记者托马斯花费300美元,用 3D 打印技术给自己复刻了一个栩栩如生的人头。他拿着这颗人头去试探5款智能手机人脸识别系统。

结果是,LG G7 ThinQ, 三星 S9 和 Note 8 以及一加 OnePlus 6这4款安卓机都被骗了,最终都把这颗人头认成了机主本人,并成功解锁,而iPhone X是唯一没有被欺骗的设备。

这可能是由于不同品牌之间用于实现面部识别安全的技术类型的差异。虽然iPhone上的Face ID使用红外深度映射和注意力感知技术来识别用户,但Android手机往往依赖自拍相机。

托马斯透露,没有一家手机制造商声称具有与苹果相同的安全性和准确性。 LG和三星等公司甚至发出警告信息,表明其设备上的面部识别可能不如使用PIN,密码等模式那样安全。因此,对于那些安全性更重要的Android用户,最好不要使用面部识别,而是坚持密码/ PIN锁定。

华为:未来5年将投入20亿美元用于加强网络安全

据路透社报道,华为在东莞新园区接待20多名国际记者招待会上表示,为缓解全球对其网络设备安全风险的担忧,将在未来5年内投入20亿美元用于加强网络安全,并增加相关人员和升级实验室设施。

华为轮值董事长胡厚崑称:“将竞争对手拒之门外并不会让自己变得更好。我们认为,任何有关华为安全方面的担忧或指控都应以事实为依据。没有事实证据,我们不接受,还要反对这些指控。”

胡厚崑还称,华为一直都在就其业务的独立性与世界各国政府进行沟通。他还表示,日本和法国尚未正式禁用华为的电信设备。最近有媒体报道称,这些政府将采取禁用华为的设备。

据胡厚崑透露,华为目前已赢得逾25个5G商用合同,居世界首位,而且还表示将向全球出货逾万个5G基站。此外,华为还与全球50多家运营商开展5G商用测试,已向全球客户提供了1万多套5G基站。

胡厚崑还表示,华为预计公司今年的营收有望超过1000亿美元,与去年相比增长8.7%。

“123456”、“Password”连续五年蝉联最差密码排行榜前两位

SplashData 发表的新一份年度最差密码排行榜中其中“123456”和“Password”更是蝉联五年的两组最常用的差密码,“123456789”、“12345678”、“qwerty”、“iloveyou”都名列十大。

SplashData发现在各事件中被泄露的超过 500 万个密码中,有很多耳熟能详的密码上榜,很多密码都有包含姓名,像是“Daniel”、“Hannah”、“Thomas”,也有潮流单字,如“solo”、“lakers”、“tigger”之类的。

前十名排名如下:
#1 123456
#2 password
#3 123456789
#4 12345678
#5 12345
#6 111111
#7 1234567
#8 sunshine
#9 qwerty
#10 iloveyou