本周的七個關鍵詞: 破解 iPhone丨 女黑客破解任天堂丨假的身份證 丨 掃黃打非丨華盛頓特區發現手機間諜裝置 丨 Telegram被俄羅斯監管機構告上法庭丨價值5萬美金的Firefox浏覽器漏洞
-1- 【iOS】 全美警局已普遍擁有破解 iPhone 的能力
來源:
MacX------------------------------------------------------
來自 Motherboard 的報道稱,目前全美範圍内的當地警署以及聯邦機構都可以很輕易的擷取到解鎖 iPhone 的專用工具,繞過加密手段輕松解鎖嫌疑人的 iPhone,即使裝置更新至最新版的作業系統也沒有問題。
執法機關使用的是一種被稱作 GrayKey 的解密工具,據稱可以在數小時内解鎖 4 位 iPhone 密碼,不過 6 位密碼可能需要花上兩三天時間。GrayKey 是由一家稱作 Grayshift 的初創公司開發的,其創始人 Braden Thomas 是前蘋果安全工程師,據稱其在蘋果五個專利中都有署名。
http://jaq.alibaba.com/community/art/show?articleid=1620-2- 【硬體漏洞】女黑客破解任天堂Switch,稱硬體漏洞無法修複
來源:
Freebuf.COM------------------------------------------------------------------
由于遊戲的付費模式,讓無數黑客樂此不疲的投身于破解主機的工作中去。近期,一位女性黑客正式宣布已經破解任天堂Switch,适用于目前所有系統版本的Switch,并表示這是由NVIDIA Tegra晶片中的漏洞導緻,已出廠的Switch主機無法通過系統更新修複。
Kate Temkin深知此次漏洞的影響重大,她決定給與廠商足夠的反應時間,然後才會公布這個漏洞的詳情。她在個人部落格上表示,對于此漏洞,她沒有接受任何獎勵或者賞金,也沒有簽署任何關于Switch的保密協定,并且未來也不會有這種打算。
如果真如Kate Temkin所述,已出廠的Switch不再能夠通過系統更新來解決此漏洞的話,就意味着大量的Switch使用者都可以利用此方法對主機進行破解,安裝自制系統,盡情的享受免費破解遊戲甚至運作模拟器。
http://jaq.alibaba.com/community/art/show?articleid=1610-3- 【Google】娛樂目的生成假的身份證?今後Play商城将封殺此類APP
cnBeta------------------------------------------------------------------------------
Google Play應用商城近日宣布封殺虛假身份認證應用,包括身份證、駕駛證、行駛證等相關證件的虛假APP。目前存在于Play商城上的此類應用,大部分都是粗制濫造,而且存在很多的安全風險隐患。
根據Google開發者政策中心更新的最新條款:
我們不允許任何應用幫助使用者誤導他人,包括但不限于生成或促使生成身份證、社會保障号、護照、文憑、信用卡和駕照的應用。
即使應用聲稱是“惡作劇”或“純屬娛樂”(或其他類似描述),仍不能免除應用遵守我們政策的要求。
http://jaq.alibaba.com/community/art/show?articleid=1616-4- 【内容安全】全國“掃黃打非”辦推進開展“淨網2018”等三大專項行動
來源:新華網
記者9日從全國“掃黃打非”辦公室獲悉,為推進“淨網2018”“護苗2018”“秋風2018”等專項行動深入開展取得更大成效,全國“掃黃打非”辦公室作出專門部署,要求各地各部門即日起至11月,圍繞打擊非法有害出版活動、淫穢色情低俗資訊、新聞“三假”和侵權盜版等重點任務,抓住人民群衆高度關心的問題,緊盯網上網下重要傳播管道,精準發力,重拳出擊,持續淨化社會文化環境。
http://jaq.alibaba.com/community/art/show?articleid=1613-5- 【移動安全】美國土安全局在華盛頓特區發現手機間諜裝置
cnbeta.com-------------------------------------------------------------------------------------
美國國土安全局(DHS)近日公開表示,他們在華盛頓特區發現了電子監控裝置的存在。這些被稱為國際移動使用者識别碼(IMSI)捕捉器的裝置通過僞裝成手機信号塔并截獲手機信号的方式來達到監聽通話和資訊的目的。
作為國家保護和計劃理事會(NPPD)的主席,Krebs還指出,他們還在首都之外的地方也發現了同樣的異常行動但并未提供具體的地點以及數量。
信件寫道:“NPPD認為外國政府對IMSI捕捉器的使用将可能會威脅到美國國家和經濟安全。”
http://jaq.alibaba.com/community/art/show?articleid=1605-6- 【加密】 拒不交出加密密鑰 Telegram被俄羅斯監管機構告上法庭
--------------------------------------------------
俄羅斯媒體監管機構 Roskomnadzor 已經将總部位于迪拜的即時通訊工具企業 Telegram Messenger LLP 告上了法庭,理由是該公司未交出它們的加密密鑰。在本周五于莫斯科提起的訴訟中,該監管機構提出了它們的要求 —— 限制 Telegram 對俄羅斯境内資訊資源的使用。Roskomnadzor 曾援引俄羅斯聯邦安全局(FSB 是該國境内的首要安全機構)的請求稱 —— 為解密該應用内的加密資訊,需要用到 app 的加密密鑰。
Telegram 是一款擁有 2 億活躍使用者,目前在全球同類 app 中的排行為第 9 位。由于對消息采用了端到端加密,其在俄羅斯和中東都深受歡迎。
遺憾的是,這一特性也使得它被許多别有用心的人濫用,比如恐怖分子和分享兒童色情的人們。
http://jaq.alibaba.com/community/art/show?articleid=1608-7- 【Pwn2Own】詳解Pwn2Own中價值5萬美金的Firefox浏覽器漏洞
來源:嘶吼
--------------------------------------------------------------------------
在最近的Pwn2Own 2018比賽中,Richard Zhu僅僅使用一個漏洞就成功攻破了Mozilla Firefox。在比賽中他将錯誤交給Mozilla後,在不到24小時内他們迅速進行了更新。
該漏洞的核心是由于407行内部for循環中的數組邊界檢查不足造成的(上圖)。使用精心制作的Vorbis音頻檔案指定足夠大的book-> dim,可以使i大于n,并在408行内部for循環的界限以外通路a []數組。
Mozilla修複軟體的時間确實令人驚訝,尤其是漏洞本身不在其代碼庫中。您可以在他們的部落格中詳細了解他們如何實作如此驚人的壯舉的。
http://jaq.alibaba.com/community/art/show?articleid=1577——————————————————————————————
以上是本周的安全周刊,想了解更多内容,請通路
阿裡聚安全官方部落格![數說安全公布2020年中國網絡安全市場全景圖,中安威士榜上有名[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)