FreeBuf周报 | 安卓系统遭重大风险,可轻松破解锁屏;谷歌服软!3.9亿美金求和解
2022-11-18 15:37:49 Author: www.freebuf.com(查看原文) 阅读量:9 收藏

各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!

热点资讯

1、年末购物季将至,一复杂钓鱼工具正针对北美消费者

自 9 月中旬以来,一个复杂的网络钓鱼工具包一直以北美用户为目标,利用劳动节和万圣节等假期,对消费者发动攻击。

2、FBI 通缉 10 年的 JabberZeus 头目“坦克”被瑞士警方逮捕

一名被美国通缉了十年的乌克兰人在 10 月 23日被瑞士当局在日内瓦逮捕,他是网络犯罪团伙JabberZeus成员之一,该团伙使用恶意软件宙斯(Zeus)盗取银行账户中数百万美元。

3、臭名昭著的 Hive 勒索软件,从 1300 多名受害者手中勒索 1 亿美元

美国联邦调查局(FBI)今天表示,自 2021 年 6 月以来,臭名昭著的 Hive 勒索软件团伙已经从一千多家公司成功勒索了大约 1 亿美元。

4、Twitter 源代码表明,端到端加密私信即将到来

Twitter 正准备为其平台上用户之间的私信 (DM) 添加端到端加密 (E2EE),预计这一功能将很快到来。

5、谷歌将于 2023 年在安卓 13 中引入隐私沙盒

谷歌宣布将从明年初开始向运行 Android 13 的移动设备推出 Beta 版 Android隐私沙盒。隐私沙盒旨在创建技术来保护人们的在线隐私,限制秘密跟踪。

安全事件

1、中美俄首次参与网安演习,明年将面对面对抗

据凤凰网军事频道援引韩联社16日报道称,韩国国防部当天宣布,东盟防长扩大会议网络安全专家工作组第9次会议于16日至17日以视频方式举行。韩国和马来西亚作为共同主席国主持会议,中国、美国、俄罗斯、日本、印度、澳大利亚、新西兰和东盟的十个成员国参与其中。会议内容包括网络安全跨国演习,这将是中美俄首次共同参与此类演习。

2、速查!安卓系统可能遭遇重大风险,两分钟可轻松破解锁屏

一次偶然的机会,国外网络安全研究员 David Schütz发现了一种极为简单的绕过谷歌Pixel 6 和 Pixel 5 智能手机的锁屏的方法,任何拿到手机的用户都可以解开手机。

3、马斯克执掌推特三周后,双因素身份认证出现漏洞

11 月 15 日,据 Info Risk Today 报道,安全研究人员警告称,推特的多因素身份验证存在一个漏洞,可能导致账户接管。

4、谷歌服软!3.915 亿美金求和解

美国密歇根州总检察长办公室周一对外宣布,谷歌将支付 3.915 亿美元,就 40 个州指控其非法追踪用户位置达成和解。

5、逾期不付赎金,高科技公司泰雷兹被 Lockbit 撕票

Lockbit勒索软件组织近来可谓是动作频频,据SecurityAffairs消息,该组织在前不久攻击全球高科技公司泰雷兹(Thales)后,已开始泄露所窃取的数据。

一周好文共读

1、APP 漏洞挖掘(一)某下载量超 101 万的 APP 有几个漏洞可以 GetShell?

从开始的迷茫、啥思路也没有,甚至两三天从早挖到晚一点收获都没有,到后面不断看网上的文章、实践总结,借助神器和运气某天能挖到六七个漏洞,晚上做梦都在想挖洞挖洞,睡眠不足白天也精神抖擞的,也算是获得了些APP漏洞挖掘的经验吧。后续勤奋的话可能会陆续输出一些APP漏洞挖掘的实战文章、经验总结文章。
APP漏洞挖掘(一)某下载量超101万的APP有几个漏洞可以GetShell?

2、序列化与反序列化 | PHP 反序列化漏洞

实际上序列化就是将数据按照更易存储、传输等,改变其原有格式进行保存的一种方式,上面所说的只是最简单的一种序列化方式,实际上还可以在其序列化后的数据中加上对数据的描述控制信息(比如说长度等),方便后期更快的还原出原数据。
序列化与反序列化 | PHP反序列化漏洞

3、有趣的黑掉卫星 Hack-A-Sat CTF 比赛——模拟卫星视角 beckley

题目描述得很简略,主办方希望参赛者利用 Google Earth 软件和 KML 文件寻找到设置的 flag。

有趣的黑掉卫星Hack-A-Sat CTF比赛——模拟卫星视角beckley

省心工具

1、autoSSRF:一款基于上下文的智能 SSRF 漏洞扫描工具

autoSSRF 是一款功能强大的智能化 SSRF 漏洞扫描工具,该工具基于上下文识别漏洞,并且适用于大规模扫描任务。1668604982_6374e4363d8f4502eb369.png!small

2、VuCSA:一款包含大量漏洞的客户端-服务器安全练习平台

VuCSA,全称为 Vulnerable Client-Server Application,即包含安全漏洞的客户端-服务器应用程序,该工具主要为安全学习而设计,广大研究人员可以利用 VuCSA 来学习、研究和演示如何对非 HTTP 厚客户端执行安全渗透测试。

1668497380_63733fe4e4b4a2b42449e.png!small

3、如何使用 jscythe 并通过 Node.js 的 Inspector 机制执行任意 JS 代码

jscythe 是一款功能强大的 Node.js 环境安全测试工具,在该工具的帮助下,广大研究人员可以利用Node.js 所提供的 Inspector 机制来强制性让基于 Node.js/Electron/v8 实现的进程去执行任意 JavaScript代码。值得一提的是,即使是在目标进程的调试功能被禁用的情况下,jscythe 也能做到这一点。
1668480025_6372fc1964099698c5350.jpg!small


文章来源: https://www.freebuf.com/articles/350186.html
如有侵权请联系:admin#unsafe.sh