11月安全回顾:你造吗?短信验证码未必可靠

简介:
    匆匆忙忙,11月又过去了。这个月里,我们经历了轰动全球的“麦芽地事件”,看到酷派手机云端安全的隐患,当然还有更多……

一、麦芽地事件暴露Mac、iOS安全缺陷

月初曝光、延续了半月、最终以站长被抓的“麦芽地事件”,现在已无人提及,不过它的影响还在继续。

现在复盘来看,这件事情其实很简单。作为一家Mac应用分享网站,麦芽地却涉及制造木马并捆绑到正常应用。用户在麦芽地下载应用安装后,木马就会感染电脑。不过木马的最终对象不是Mac,而是连上Mac的iOS设备,它会后台启动并盗取iOS的各类参数信息并安装应用,如果这台iOS已经越狱,木马还能盗取更多信息。

漏洞曝光几天内,苹果更新企业证书信息封堵了感染途径。但大家很容易看出,如果用户还在第三方网站下载安装应用,安全性上始终存疑。换句话说,如果你硬要用第三方来源安装应用,那么得多上心了,目前的Mac安全软件由于厂商重视不够基本没有防护能力。

二、酷派手机云端安全隐患

11月安全回顾:你造吗?短信验证码未必可靠

最初一张图片曝光,引来诸多争议。一位白帽子在乌云提交漏洞,其中图片显示,酷派手机云端存在一个恶意app推广平台,可远程控制手机静默安装卸载应用、打电话发短信等。

酷派官方回应雷锋网称,这一图片系攻击者修改后台所致,酷派并无这一后台,亦对这类后台不了解。回应还称,13年酷派叫停了某个云端项目,后无人交接导致漏洞遗留,攻击者利用这一漏洞对后台进行了修改。恶意app推广平台位于coolyun.com,酷派技术人员虽称各项目间隔离很好,但亦存在风险。

到目前为止,酷派官方并未有正式的声明。所以这起事件可能就烂在这里了。

三、运营商短信验证码可被窃取

11月安全回顾:你造吗?短信验证码未必可靠

一直以来,短信验证码在大家的各类账号中都是最高等级的验证条件。有了短信验证码,基本各大银行、各大金融机构、QQ、微信、微博等密码都能被重置,有时密保问题也能重置。

这个在大家看来几乎绝对安全的产品,其实并不那么可靠。乌云最近爆出的一个漏洞就显示,通过远程连接某运营商的短信应用服务器(JX01移动代理服务器),可直接查看该服务器上所有已发送的短信验证信息。

准确的说,白帽子发现的其实是一个较低级的安全设置缺陷,技术并不高超。如果你去检索下“JX01 漏洞”还能发现不少,所以这类服务器,说实话也不是非常安全。当然,攻击运营商服务器可是非常严重的犯罪行为,一般很少有人去做。这里是给大家提个醒,平常管理账号时记得涉及钱的网站多上心。

四、统计代码出问题,所有网站都跑不了

相信懂技术的童鞋很容易发现,雷锋网(公众号:雷锋网)使用的是CNZZ的流量统计服务。我们会用它来查看每天雷锋网的流量分布,以及多天的历史数据。类似雷锋网这样的不在少数,互联网上绝大多数有运营的网站都会使用统计服务。

如果统计服务的代码出问题了,会怎么样呢?最近一个乌云漏洞显示,某国内Top3的统计服务出现代码缺陷,将导致使用其的网站都会出现DOM XSS漏洞。DOM XSS是一个Web领域的典型漏洞,往小了说,它可以在网站上弹个窗,往大了说,它可以盗取该网站账号的cookies,从而登陆你的账号。

这个漏洞很快就修复了,但它反映的是一种可能,那些互联网基础设施出现缺陷,上层网站一个都跑不了。

ps:╮(╯▽╰)╭,要是chrome能仿照对cookies的设置,针对单独域的js也能禁用就好了,这样把所有统计网站的js代码都禁用掉,省得麻烦。(统计网站是不是会干掉小编啊啊啊……)

「每月安全回顾」是雷锋网最新试行的一档安全栏目。我们希望对大家认知的安全进行知识扩充,在安全众测的新时代,以往了解的那些常识并不一定准确,期待这档栏目能让大家在个人信息安全的边界上有更好的把握。


 
  本文作者: Longye

本文转自雷锋网禁止二次转载, 原文链接
目录
相关文章
|
3月前
|
人工智能 Cloud Native 应用服务中间件
Higress 加入 CNCF:保障 Nginx Ingress 迁移,提供企业级 AI 网关
我们期待与 CNCF 生态携手,共建安全、可扩展、AI 友好的云原生基础设施。
509 27
|
10月前
|
人工智能 前端开发 数据安全/隐私保护
淘宝商品详情接口(item.get)实操指南:从认证到响应解析
淘宝item.get接口是获取商品标题、价格、库存等核心数据的官方通道,也是电商系统对接、选品分析的基础工具。本文从账号认证、凭证获取到接口调用、问题排查,拆解全流程关键步骤,附可复用代码与高频问题解决方案,助你快速上手。
|
人工智能 运维 数据可视化
玩转云服务器——阿里云操作系统控制台体验测评
在云服务器日益普及的背景下,运维人员对操作系统管理工具的要求不断提高。我们需要一款既能直观展示系统状态,又能智能诊断问题,提供专业指导的控制台。阿里云操作系统管理平台正是基于API、SDK、CLI等多种管理方式,致力于提升操作效率,为用户带来全新的系统运维体验。阿里云操作系统控制台凭借便捷易用的设计和高效的管理功能,成为云服务器运维的强力助手。本次测评基于真实体验截图,对其整体表现进行了深入探索。
559 33
|
机器学习/深度学习 监控 数据可视化
DeepSeek模型解释与可视化
深度学习模型常被视为“黑盒”,其决策过程难以理解,但在医疗、金融等高风险领域,理解模型决策至关重要。DeepSeek提供多种工具和方法,帮助解释和可视化模型的决策过程。本文介绍如何使用DeepSeek进行特征重要性分析、中间层可视化、局部解释(如LIME和SHAP)及训练过程监控,并通过代码示例详细讲解这些技巧,助力你掌握模型解释与可视化的方法。
|
缓存 前端开发 网络协议
性能优化|几个方法让图片加载更快一些
对电商网页的性能而言,图片优化是至关重要的事情,本文就此探讨了一些简单、可靠的图片优化手段。
|
Oracle NoSQL 关系型数据库
主流数据库对比:MySQL、PostgreSQL、Oracle和Redis的优缺点分析
主流数据库对比:MySQL、PostgreSQL、Oracle和Redis的优缺点分析
3405 3
|
SQL 运维 关系型数据库
记一次 MySQL 主从同步异常的排查记录,百转千回!
这篇文章主要讲述了在 MySQL 主从同步过程中遇到的一个问题,即从库的 SQL 线程因 Relay Log 损坏导致同步停止。作者首先介绍了现象,从库的 Slave_IO_Running 正常,但 Slave_SQL_Running 停止,报错信息提示可能是 binlog 或 relay log 文件损坏。
944 7
|
数据采集 机器学习/深度学习 人工智能
【AI 初识】描述数据预处理在 AI 中的重要性
【5月更文挑战第2天】【AI 初识】描述数据预处理在 AI 中的重要性
|
安全 Java
针对String、StringBuffer、Stringbuilder区别及使用场景
针对String、StringBuffer、Stringbuilder区别及使用场景
|
Java 索引
【Java】String类常用方法总结
【Java】String类常用方法总结
396 0