本周七个关键词  新型 Android 木马丨 TLS 1.3 丨  阿里安全图灵实验室 丨 漏洞感染 Linux 服务器 丨 CPU曝极危漏洞 丨   iOS 11相机BUG R2D2技术

-1-   【Android】TeleRAT :一种利用 Telegram 秘密窃取数据的新型 Android 木马

来源:hackernews.cc

------------------------------------------------------

近日,Palo Alto Networks 的安全专家发现了一种名为 TeleRAT 的新型 Android 木马,该木马使用 Telegram 的 Bot API 来与命令和控制(C&C)服务器进行通信和窃取数据。目前安全专家猜测 TeleRAT 可能是由伊朗的几位威胁攻击者操作运营。

TeleRAT 一旦被成功安装,恶意代码就会通过电报 Bot API 发送消息来通知攻击者,并且该恶意软件还启动了后台服务,用于监听对剪贴板所做的更改。除此之外,TeleRAT 每 4.6 秒钟从 bot API 中获取更新,以监听用波斯语编写的几条命令。

http://jaq.alibaba.com/community/art/show?articleid=1578

-2-   【互联网】IETF批准TLS 1.3为互联网标准

来源: Freebuf.COM

------------------------------------------------------------------

互联网工程任务组(IETF)已正式批准TLS 1.3作为传输层安全(TLS)协议的下一个主要版本,IETF组织是专门批准互联网标准和协议的组织。

TLS 1.3将成为客户端和服务器之间的通信标准,也就是HTTPS的标准。最大的特点是,TLS 1.3将旧的加密算法和散列算法(如MD5和SHA-224)替换为较新较难破解的方案(如ChaCha20,Poly1305,Ed25519,x25519和x448)。

http://jaq.alibaba.com/community/art/show?articleid=1580

-3-   【内容安全】阿里安全图灵实验室再次刷新世界顶级算法比赛成绩

来源:阿里聚安全

------------------------------------------------------------------------------

近日,阿里安全图灵实验室(Alibaba Turing Lab)在Pascal VOC挑战赛(Pattern Analysis, Statical Modeling and Computational Learning)的目标检测(Object Detection)之Competition 3 :TRAIN ON PASCAL VOC DATA项目中获得了74.8分,刷新了该项检测的世界最好成绩。

据悉,PASCAL VOC挑战赛是视觉对象的分类识别和检测的一个基准测试,提供了检测算法和学习性能的标准图像注释数据集和标准的评估系统。

目前,图灵实验室的算法模型已广泛应用于阿里生态的淘宝、支付宝、优酷、UC等核心业务线,比如商品中的违禁内容、假货和视频的智能化防控等,并通过阿里云上的产品和解决方案(例如内容安全、实人认证等)为各企事业客户提供优质的AI服务。

http://jaq.alibaba.com/community/art/show?articleid=1586

-4-   【黑客】黑客利用存在 5 年的漏洞感染 Linux 服务器并获利

来源:cnbeta.com

------------------------------------------------------------------------------

黑客组织利用 Cacti“Network Weathermap”插件中一个存在 5 年之久的漏洞,在 Linux 服务器上安装了 Monero 矿工,赚了近 75,000 美元。

攻击者使用这种简单的操作模式收获了大约 320 XMR(75,000 美元)。所有受感染的服务器都运行 Linux,大多数受害者位于日本(12%),中国(10%),台湾(10%)和美国(9%)。

http://jaq.alibaba.com/community/art/show?articleid=1576

-5-    【漏洞】 CPU又曝极危安全漏洞 Intel二四六代酷睿中招

来源:cnbeta.com

-------------------------------------------------------------------------------------

来自美国四所大学的四名研究人员共同发现,现代CPU内存在一个高危安全漏洞,已经成功在Intel Sandy Bridge二代酷睿、Haswell四代酷睿、Skylake六代酷睿平台上成功验证,AMD平台也正在测试之中。

该漏洞被命名为“BranchScope”,有点类似此前闹得满城风雨的Spectre幽灵漏洞第二个变种,利用的同样是现代CPU中的分支预测功能。

最糟糕的是,利用此漏洞完全不需要提前获取管理员权限,可以直接从用户空间内发起。

http://jaq.alibaba.com/community/art/show?articleid=1588

-6-   【IOS】 iOS 11相机BUG,恐让用户误入恶意网站

来源: Freebuf.COM

--------------------------------------------------

iOS从正式版发布到现在已经经历了好几个小版本的更新,主要还是在BUG修复和增强稳定性上。但最近,有安全机构发现了iOS 11中一个新的可被利用的漏洞,容易让用户误入恶意网站,那就是相机。

用相机直接扫描二维码就能够直接跳转应用或者用Safari浏览器打开对应的链接,这的确让一些场景变得更加方便。但用户在打开链接之前并不能确认是否安全,甚至容易被误导。这种方式很容易被黑客利用,诱导用户进入恶意网站。

http://jaq.alibaba.com/community/art/show?articleid=1587

-7-   【技术】新的R2D2技术可以保护文件免受擦除类恶意软件的攻击

来源:嘶吼

--------------------------------------------------------------------------

R2D2数据保护技术,不但可以保护虚拟机内的数据免受现代数据擦除类恶意软件的攻击,而且还可以提供了一些安全的文件删除方法。

http://jaq.alibaba.com/community/art/show?articleid=1577

——————————————————————————————

以上是本周的安全周刊,想了解更多内容,请访问阿里聚安全官方博客

阿里聚安全·安全周刊】一种秘密窃取数据的新型 Android 木马|iOS 11相机惊现BUG的更多相关文章

  1. 【阿里聚安全·安全周刊】双十一背后的“霸下-七层流量清洗”系统| 大疆 VS “白帽子”,到底谁威胁了谁?

    关键词:霸下-七层流量清洗系统丨大疆 VS "白帽子"丨抢购软件 "第一案"丨企业安全建设丨Aadhaar 数据泄漏丨朝鲜APT组织Lazarus丨31款违规A ...

  2. 【阿里聚安全·安全周刊】500万台Android设备受感染|YouTube封杀枪支组装视频

    本周的七个关键词:  500万Android 设备受感染丨 黑客将矛头指向无线传输协议 丨  YouTube封杀枪支视频 丨 AMD将发布补丁 丨 Gooligan Android 僵尸网络 丨  N ...

  3. 【阿里聚安全·安全周刊】 全美警局已普遍拥有破解 iPhone 的能力 | 女黑客破解任天堂Switch,称硬件漏洞无法修复

    本周的七个关键词: 破解 iPhone丨 女黑客破解任天堂丨假的身份证 丨 扫黄打非丨华盛顿特区发现手机间谍设备 丨 Telegram被俄罗斯监管机构告上法庭丨价值5万美金的Firefox浏览器漏洞 ...

  4. 【阿里聚安全·安全周刊】互联网时代人类还有被遗忘的权利吗 | Android与中兴

    本周七个关键词:互联网时代丨中兴和Android丨安卓厂商和安全补丁丨移动支付安全丨泰国移动运营商泄密丨格式化硬盘的恶意程序丨代码签名滥用 -1-   [互联网] 互联网时代 人类还有被遗忘的权利吗 ...

  5. 【阿里聚安全·安全周刊】Google“手枪”替换 | 伊朗中央银行禁止加密货币

    本周七个关键词:Google"手枪"替换丨IOS 漏洞影响工业交换机丨伊朗中央银行禁止加密货币丨黑客针对医疗保健丨付费DDoS攻击丨数据获利的8种方式丨MySQL 8.0 正式版 ...

  6. 【阿里聚安全·安全周刊】女主换脸人工合成小电影|伊朗间谍APP苹果安卓皆中招

    本周的七个关键词: 人工智能 丨 HTTP链接=不安全链接 丨  滑动验证码 丨 伊朗间谍APP 丨 加密挖矿 丨  Android应用测试速查表 丨 黑客销售签名证书 -1-   [人工智能]女主换 ...

  7. 【阿里聚安全·安全周刊】Intel芯片级安全漏洞事件|macOS存在漏洞

    关键词:Intel漏洞丨mac OS漏洞丨三星漏洞丨安卓安全丨CPU漏洞丨phpMyAdmin漏洞丨iOS设备|安卓恶意软件检测|Burpsuite   本周资讯top3 [Intel漏洞]芯片级安全 ...

  8. 【阿里聚安全·安全周刊】阿里双11技术十二讲直播预约|AWS S3配置错误曝光NSA陆军机密文件

    关键词:阿里双11技术十二讲直播丨雪人计划丨亚马逊AWS S3配置错误丨2018威胁预测丨MacOS漏洞丨智能风控平台MTEE3丨黑客窃取<权利的游戏>剧本|Android 8.1   本 ...

  9. 【阿里聚安全·安全周刊】科学家警告外星恶意代码|新方法任意解锁iPhone

    本周的七个关键词: 外星恶意代码 丨 任意解锁iPhone 丨  安卓9.0 丨 黑客攻击医疗设备 丨 仙女座僵尸网络 丨  苹果联合创始人被骗比特币 丨JavaScript -1-   [恶意代码] ...

随机推荐

  1. 关于省市联动的bug

    一,问题描述 1.1,原来的思路 1.1.1,初始化加载省份 $.ajax({ 'type' : 'POST', 'dataType' : 'json', 'url' : '${rc.contextP ...

  2. Entity Framework Core 2.0 入门简介

    不多说废话了, 直接切入正题. EF Core支持情况 EF Core的数据库Providers: 此外还即将支持CosmosDB和 Oracle. EFCore 2.0新的东西: 查询: EF.Fu ...

  3. 【BZOJ2190】仪仗队(数论)

    [BZOJ2190]仪仗队(数论) 题面 粘链接,题目中有图片 题解 对于题意,可以考虑 如果有\((i,j)\)能够被看见 那么,\((ki,kj)\)就一定不能看见 所以,如果一个点能够被看见,则 ...

  4. 【BZOJ3675】序列分割(斜率优化,动态规划)

    [BZOJ3675]序列分割(斜率优化,动态规划) 题面 Description 小H最近迷上了一个分隔序列的游戏.在这个游戏里,小H需要将一个长度为n的非负整数序列分割成k+1个非空的子序列.为了得 ...

  5. idea Artifact mdn:war exploded: Server is not connected. Deploy is not available.

    idea 启动tomcat报的错误,启动tomcat无效 看了网上的好几种说发 说删除tomcat/bin/catalina.bat  里的JAVA_OPTS= -Xms512M -Xmx512M - ...

  6. Java项目中环境变量的问题

    刚入职程序员的小朋友,第一次往eclipse导入项目总会出现这样那样的错误. 总结了几种查看和处理的方法: 1.打开project-->clean.然后build.目的将工程中的.class文件 ...

  7. python数据类型——列表和元组类型

    列表类型(list) 定义一个列表类型很简单: l = ['a','b','c','d','e','f'] 变量l即为列表类型,可以用type方法查看: print(type(l)) 列表的增删改查 ...

  8. 关系型数据库工作原理-SQL解析(翻译自Coding-Geek文章)

    本文翻译自Coding-Geek文章:< How does a relational database work>.原文链接:http://coding-geek.com/how-data ...

  9. 分布式架构设计(一) --- 面向服务的体系架构 SOA

    1.1 基于TCP协议的RPC 1.1.1 RPC名词解释 RPC的全称是Remote Process Call,即远程过程调用,RPC的实现包括客户端和服务端,即服务调用方和服务提供方.服务调用方发 ...

  10. RestSharp 一个.NET(C#)的HTTP辅助类组件

    互联网上关于.NET(C#)的HTTP相关的辅助类还是比较多的,这里再为大家推荐一个.NET的HTTP辅助类,它叫RestSharp.RestSharp是一个轻量的,不依赖任何第三方的组件或者类库的H ...