11月安全回顾:你造吗?短信验证码未必可靠

匆匆忙忙,11月又过去了。这个月里,我们经历了轰动全球的“麦芽地事件”,看到酷派手机云端安全的隐患,当然还有更多……

一、麦芽地事件暴露Mac、iOS安全缺陷

月初曝光、延续了半月、最终以站长被抓的“麦芽地事件”,现在已无人提及,不过它的影响还在继续。

现在复盘来看,这件事情其实很简单。作为一家Mac应用分享网站,麦芽地却涉及制造木马并捆绑到正常应用。用户在麦芽地下载应用安装后,木马就会感染电脑。不过木马的最终对象不是Mac,而是连上Mac的iOS设备,它会后台启动并盗取iOS的各类参数信息并安装应用,如果这台iOS已经越狱,木马还能盗取更多信息。

漏洞曝光几天内,苹果更新企业证书信息封堵了感染途径。但大家很容易看出,如果用户还在第三方网站下载安装应用,安全性上始终存疑。换句话说,如果你硬要用第三方来源安装应用,那么得多上心了,目前的Mac安全软件由于厂商重视不够基本没有防护能力。

二、酷派手机云端安全隐患

11月安全回顾:你造吗?短信验证码未必可靠

最初一张图片曝光,引来诸多争议。一位白帽子在乌云提交漏洞,其中图片显示,酷派手机云端存在一个恶意app推广平台,可远程控制手机静默安装卸载应用、打电话发短信等。

酷派官方回应雷锋网称,这一图片系攻击者修改后台所致,酷派并无这一后台,亦对这类后台不了解。回应还称,13年酷派叫停了某个云端项目,后无人交接导致漏洞遗留,攻击者利用这一漏洞对后台进行了修改。恶意app推广平台位于coolyun.com,酷派技术人员虽称各项目间隔离很好,但亦存在风险。

到目前为止,酷派官方并未有正式的声明。所以这起事件可能就烂在这里了。

三、运营商短信验证码可被窃取

11月安全回顾:你造吗?短信验证码未必可靠

一直以来,短信验证码在大家的各类账号中都是最高等级的验证条件。有了短信验证码,基本各大银行、各大金融机构、QQ、微信、微博等密码都能被重置,有时密保问题也能重置。

这个在大家看来几乎绝对安全的产品,其实并不那么可靠。乌云最近爆出的一个漏洞就显示,通过远程连接某运营商的短信应用服务器(JX01移动代理服务器),可直接查看该服务器上所有已发送的短信验证信息。

准确的说,白帽子发现的其实是一个较低级的安全设置缺陷,技术并不高超。如果你去检索下“JX01 漏洞”还能发现不少,所以这类服务器,说实话也不是非常安全。当然,攻击运营商服务器可是非常严重的犯罪行为,一般很少有人去做。这里是给大家提个醒,平常管理账号时记得涉及钱的网站多上心。

四、统计代码出问题,所有网站都跑不了

相信懂技术的童鞋很容易发现,雷锋网使用的是CNZZ的流量统计服务。我们会用它来查看每天雷锋网的流量分布,以及多天的历史数据。类似雷锋网(公众号:雷锋网)这样的不在少数,互联网上绝大多数有运营的网站都会使用统计服务。

如果统计服务的代码出问题了,会怎么样呢?最近一个乌云漏洞显示,某国内Top3的统计服务出现代码缺陷,将导致使用其的网站都会出现DOM XSS漏洞。DOM XSS是一个Web领域的典型漏洞,往小了说,它可以在网站上弹个窗,往大了说,它可以盗取该网站账号的cookies,从而登陆你的账号。

这个漏洞很快就修复了,但它反映的是一种可能,那些互联网基础设施出现缺陷,上层网站一个都跑不了。

ps:╮(╯▽╰)╭,要是chrome能仿照对cookies的设置,针对单独域的js也能禁用就好了,这样把所有统计网站的js代码都禁用掉,省得麻烦。(统计网站是不是会干掉小编啊啊啊……)

「每月安全回顾」是雷锋网最新试行的一档安全栏目。我们希望对大家认知的安全进行知识扩充,在安全众测的新时代,以往了解的那些常识并不一定准确,期待这档栏目能让大家在个人信息安全的边界上有更好的把握。

雷锋网原创文章,未经授权禁止转载。详情见转载须知

11月安全回顾:你造吗?短信验证码未必可靠

(完)