Tag: 安全
强制–一个比认证更大的问题
认证的技术解决方案与权力结构的政治滥用正交 在发布iPhone X之前,已经对FaceID对专制政府的安全价值进行了一些评估,并评估了它的实际安全性(事实证明是相当安全的)。 在宣布FaceID身份验证机制时,似乎有必要解决对安全威胁的错误理解。 尤其令人沮丧的是,人们对强制在不同级别如何工作以及为什么“威权政权”的险恶威胁无法适用于身份验证机制安全的不良威胁模型感到困惑。 人们普遍问“这种技术将如何使威权政权滥用”,但是人们提出了这个问题,他们选择烦恼的技术,以及他们用来构建威胁模型的幻想逻辑,都需要现实的冷水。 您无法用技术 解决社会问题 您的威胁模型是错误的……没有……是更多错误的了。 很少有人会面对民族国家的对手(对不起西方的隐私权主义者,您不在任何人的视野之内。)尽管如此,大多数这样做的人都明确签署了协议(外国服务部门,情报部门,恐怖组织,跨国犯罪集团),有些只是落入其中(持不同政见者)。 前者很好,他们有玩游戏的资源和专业知识。 后一组通常没有。 他们缺乏安全培训,安全经验(尽管他们很难获得安全经验),并且基本上无法获得安全援助。 他们通常使用可用的平台进行组织,协调和消息传递(请参阅:Facebook,Facebook,Twitter等其他社交媒体平台以及带有Facebook的手机。) 持不同政见者团体使用Facebook的原因非常重要(除了梅特卡夫定律之外): 曝光 -持不同政见者群体必须是可见的且公开的,否则,不仅他们无法接触到目标受众,而且冒着被标记为恐怖分子的风险(因此,大多数隐蔽的通信技术非常适合他们-他们需要广告牌和宣传单,而不是当然,每个人都应该(并且需要)安全的临时通信保密性。 扩张 -没有增长的持不同政见者群体正在消亡。 组织必须坚持下去,而且自然流失(即使没有被死刑队追捕,例如Raqqa被无声地屠杀)。人们失去了兴趣,工作受到阻碍,优先级发生变化,等等。坚持并保持不变的规模,组织必须不断招募新成员(至少与休假人数一样。)对于希望实现变革的异见团体,他们需要招募的新成员多于休假。 接触与扩展的结合意味着通常,持不同政见者必须承担该政权的秘密警察进入其行列的风险(有110年历史的秘密警察手册在其中)。 持不同政见者意味着接受风险,并试图将机芯发展到足够大的程度,以至于它可以迫使变化(从而消除这种风险)。 持不同政见者-他们的力量是数字,他们的安全是可见性。 持不同政见者是Facebook和YouTube,其加密货币是TLS 赋予异议人士和异议团体权力的技术几乎总是会成为Facebook(以及Twitter,WhatsApp或任何占主导地位的地区的使者[见:梅特卡夫定律])。 持不同政见者的安全来自于公众的注意,可以保护他们免遭秘密报复。 当秘密警察对持不同政见的团体采取行动时,这些个人将面临国家一级的胁迫。 他们将在独自旅行时消失。 他们将在警察拘留期间自杀,“ 以使警察难堪 。”他们将自己抛弃在高楼大厦上, 而不是当面抓捕 -无法进行尸体解剖,他们的尸体在24小时内如常被火化。 可以肯定的是,他们会在头部后方开枪两次自杀。 如果他们在秘密警察的报复中存活足够长的时间,他们将入狱数十年…… 被俘虏的持不同政见者的通常目标是保持沉默24-48小时,时间长得足以使他们的战友逃脱。 如果有关于拘留的法律,可能会“遭受酷刑7天,或监禁30年。” 持不同政见者不会在任何时候想到“如果只有我的手机受到身份验证机制的保护,而该机制无法通过肉体强迫我违反我的意愿而受到欺骗。”在许多情况下,胁迫就像父母告诉孩子一样。去他们的房间。 实力较弱的政党只会合作。 强者尽其所能,弱者尽其所能。 安全技术并非没有目的或用途 技术的作用肯定有一个地方可以帮助保护异议人士,例如更好地保护他们的Facebook帐户,使用Tor的某些功能以及更好的移动电话保护功能,以防止数据被盗用和帐户被接管。 但是安全技术援助异议人士的能力必须应付这样一个事实,即一些异议人士将与安全部队合作,而另一些将成为安全部队的代理。 从字面上看,移动电话的身份验证机制是异议者数字生活中最不重要的领域,需要加以保护。 关于iPhone FaceID的最愚蠢的做法之一是,它将使专制政权滥用人权。 这种荒谬的见解表明,对独裁政权的认识极度缺乏。 这是一种幻想想法,其根源在于政治问题具有技术解决方案的信念,然后错误地将其应用于技术堆栈的错误部分。 持不同政见者在威权国家面临的风险将无法通过手机认证机制解决。 强迫某人解锁设备的功能是非常通用的功能,锁的细节无关紧要。 例如,当您到达美国边境时,警官说“解锁手机”时,您要么遵守,要么不遵守。 您的手机是否被32字符密码,FaceID或四位数PIN锁定的细节完全无关紧要。 ¹ [1]是的,在某些时候,关于生物识别技术与PIN /密码的法律问题在美国有时是相关的,但它们与威权政权从未相关。 […]
代客击败OS X钥匙串访问控制列表零日漏洞
我们如何使用测试驱动的开发来复制攻击向量并针对它加强代码 抬起头,我们已经搬家了! 如果您想继续了解Square的最新技术内容,请访问我们的新家https://developer.squareup.com/blog 由 Dan Federman 撰写 。 世界着火了 6月17日,The Register报告说,iOS和OS X钥匙串中存在一个零日漏洞,该漏洞破坏了钥匙串中存储的安全数据。 该文章声称,写入到钥匙串的数据可以被恶意应用程序读取。 在Square,我们编写可转移资金的iOS代码。 安全始终是我们的头等大事,我们非常重视这些要求。 如果这篇文章的主张是正确的,那么世界就着火了。 在太平洋标准时间上午8点过后,当我们意识到该漏洞时,我们立即打开了描述该攻击的文件。 我们发现该攻击的工作方式如下: 恶意应用会在钥匙串中搜索良性应用编写的密钥。 恶意应用程序可以看到密钥存在,但无法读取关联的秘密值。 恶意应用会删除良性应用编写的密钥。 然后,恶意应用将密钥重新添加到不包含值的钥匙串中,并将自身和良性应用添加到密钥的访问控制列表(ACL)中,从而允许恶意应用读取良性应用随后写入这些密钥的所有机密信息。 在这一点上,我们可以松一口气:访问控制列表仅存在于Mac OS X上,而不存在于iOS上,因此尽管出现了头条新闻,但我们的应用程序并不容易受到攻击。 但是,两周前,我们刚刚开放了开源的Valet,这是一个跨平台的钥匙链包装器,其OS X组件很容易受到攻击。 这是我们无法接受的,因此我们加强了代客抵御这种攻击的能力。 有毒的工具 Apple的钥匙串仅提供三种用于更新钥匙串的工具:添加,更新和删除。 但是我们现在知道在OS X上,更新本质上是不安全的。 我们不能相信钥匙串中的现有钥匙没有受损的访问控制列表。 因此,我们仅需添加和删除即可。 解决方案似乎很明显。 更改钥匙串中某项的值时,与其更新现有的钥匙串条目,不如删除现有的项然后添加一个新项。 但是Apple的文档非常清楚:请勿删除然后添加-始终更新。 为什么? 因为“ [删除钥匙串项目时,您将丢失用户或其他应用程序添加的所有访问控制和信任设置。”虽然听起来不祥,但这正是我们想要的效果。 更好的是,此警告不适用于Valet,后者使用安全的共享访问组而不是ACL在OS X和iOS上共享钥匙串值。 检验假设 我们的第一步是编写一个单元测试来检验我们的假设。 我们希望测试尽可能地模仿攻击。 因此,我们首先在ACL中具有多个应用程序的钥匙串中插入一个钥匙。 使用与测试VALValet相同的基本查询来添加此泄露密钥,以便我们的代客能够读取和写入该泄露密钥。 VALValet * valet = [[VALValet分配] initWithIdentifier:@“ MacOSVulnTest”可访问性:VALAccessibilityWhenUnlocked]; NSString […]
有人如何窃取您的iCloud密码
这是iOS向用户展示的默认“登录到iCloud”对话框(有时过于频繁且没有明显原因)。 令我感到恐惧的是,这是一个非常简单的登录提示,提示有人进行诊断,包含在诱饵应用中并用来窃取iCloud密码。 电子邮件地址 尽管开发人员无法轻松获得用户的iCloud电子邮件,但是Apple提供了API,用于验证电子邮件地址是否属于iCloud帐户。 诱饵应用程序可以在注册过程中向用户询问其电子邮件,或从其Facebook帐户获取该电子邮件。 稍后,攻击者可以验证电子邮件是否属于某个帐户,然后显示视频中显示的弹出窗口。 如果电子邮件不属于iCloud帐户,则可以将提示修改为提示所提供的电子邮件地址不正确,而只是在提示中询问电子邮件和密码-大多数人不会三思而后行。 问题 真正的“登录iCloud”弹出窗口似乎随机出现,因此很难检测到假表格。 此外,iOS使用通用的UIAlertController要求用户输入安全信息,这意味着普通人很难检测到假信息。 iOS不应让iOS从警报视图中要求用户登录,而应在iCloud部分启动设置,以便用户可以安全登录。不幸的是,用户已经习惯了当前的对话。 我感到即使苹果确保了他们登录iCloud流程,大多数人仍然会遭受这种攻击。 您可能会认为这样的应用程序将永远不会被Apple接受,但是为了在审阅过程中在雷达下飞行,攻击者可以将弹出窗口延迟显示,直到该应用程序被批准为止。 例如,可能存在一些服务器端逻辑,指示何时以及向谁显示伪造表单。 跟上我在Twitter或网站上的最新动态,请分享这篇文章以提高认识。
分析和防范Zipperdown远程DoS漏洞
0x00背景 最近,已经确定了一种通用类型的移动安全漏洞。 该漏洞在[1]中发布。 据说,大多数流行的应用程序(如微博,momo,neteasy云音乐,(腾讯)QQ音乐,快手等)都受到了影响,整个iOS应用程序应用程序中大约有10%可能会受到此漏洞的影响。 很容易猜到该漏洞与ZIP文件有关。实际上,IOS文档没有可用的官方解压缩API函数,并且大多数iOS应用程序都使用第三方库。 实现unzip功能的最流行的库是maid和ziparchive。 在对这两个第三方库的背景和使用情况进行快速分析之后,便可以确定一个漏洞,该漏洞也可以通过盘古在Chain Project问题中提交的漏洞报告来确定[2]-根本原因和解决方案。此漏洞的关键是:当开发人员在提取zip文件“ ../../”的过程中使用未考虑文件名的第三方zip库时,恶意黑客可能会利用它并产生路径操作漏洞。这是因为,如果恶意的热补丁zip文件被ziparchive库提取并被覆盖,则磁盘中的每个文件都可能被覆盖,最终将导致DoS,代码执行(RCE)等。 0x01构造恶意zip文件(POC) 由于许多应用程序无法修复该漏洞,因此我们决定隐藏POC代码,想要详细信息的人可以联系阿里巴巴SRC。 0x02 POC 在线演示:https://v.qq.com/x/page/a0655dtirv7.html 0x03如何修复 最完整的解决方案是在提取函数中修补库: +(Bozeman)图:(nsstring *)路径目标:(nsstring *)目标保留属性:(LOL)保留属性覆盖:(LOL)覆盖:(nsinteger)porterpassword:(nullable nsstring *)密码错误:(nserror ** *)错误委托人:(字母数字ID)委托人:(无效(^ _ _字母数字)(nsstring *条目,女仆zipinfo,长条目号,总长)progresshandlercompletedhandler:(无效(^ _ nullable)(nsstring *路径,婆罗洲无花果, nserror * _可为空的错误)完成处理程序 找到最终提取的str路径,并在用户可以控制路径的任何位置阻止“ ../”字符串。 此外: 如果发生中间人攻击,则应加密客户端和服务之间的传输。 hotpatch软件包应在本地加密存储,并在运行之前进行完整性检查。 尽管漏洞可能会导致对某些重要文件的拒绝服务攻击,但至少不会导致代码执行。 0x05参考资料 — Https://zipperdown.org -https://github.com/ZipArchive/ZipArchive/issues/453 -中文版本分析https://weibo.com/ttarticle/p/show?id=2309404240316772294076
新的官方更新Crypviser Secure Messenger:巨大的iOS更新将于2018年9月15日发布
新闻稿2018年10月9日, Crypviser GmbH,德国杜塞尔多夫 新的官方更新 Crypviser Secure Messenger:巨大的iOS更新将于2018年9月15日发布 我们很高兴地说,用于安全通信的Crypviser iOS应用新版本将于2018年9月15日在Apple App Store上发布。 我们的团队一直在努力进行Crypviser应用程序的大量更新和改进的新版本。 在此版本中,我们着重于可用性和更友好的用户体验。 所做的更改影响了应用程序的所有关键功能。 重新设计的帐户注册向导可简化流程,并使任何用户(无论其经验如何)都更容易。 通过新的“联系人管理器”功能,区块链中新的联系人搜索功能更加容易。 使用联系人管理器,您可以方便地管理所有传出和传入的请求,只需单击一下即可接受或拒绝邀请。 在列表中添加联系人后,您可以立即开始聊天,通话或视频通话,发送语音消息并共享媒体。 改进还触及了许多屏幕上的UI / UX,例如联系人列表,个人资料视图,聊天窗口等。 在新版本中,您还可以邀请其他人单击几下使用Crypviser,还可以选择自定义聊天背景并设置首选音调。 聊天窗口经过了重新设计,现在看起来更加令人兴奋。 新的功能! 现已提供加密货币钱包,交换和CVPAY 此版本中包括集成的Crypviser钱包,Exchange和CVPay! 您将能够安全地将CVT令牌存储在Crypviser应用程序中,交换到CVCOIN(CVN)并通过CVPay发送令牌,只需单击一下即可! 帐户备份导入/导出 此版本具有令人兴奋的功能,使您可以通过Airdrop(MAC)或iCloud将所有加密的数据备份到桌面上。 备份数据完全受密码保护并受其保护。 通过进行Crypviser帐户备份,在重新安装应用程序或更改设备后恢复帐户的情况下,您不会丢失任何数据或联系人。 该新版本是计划于2018年9月投入商业运营之前的关键一步。 将来的版本中将提供更多激动人心的功能和更新! 保持安全。 留在Crypviser。
您是否在采取正确的步骤来保护自己的在线状态?
最近,我看到许多大学生在笔记本电脑上遮盖相机。 我仍在决定是否在阅读电子邮件以及开发网站和应用程序时是否在担心黑客或政府在监视我。 坐在咖啡店对面或班上我旁边的人也在看着我。 有人真的在看着我吗? 我了解人们为何为此感到担忧,尤其是因为他们并不真正了解所使用的技术是如何工作的。 人们似乎不了解的是,Apple试图通过每个macOS版本及其后的安全更新来保护您免受恶意软件和安全漏洞的侵害。 正如该Mashable文章所述,从理论上讲,恶意软件可以接管计算机的摄像头。 黑客可以通过恶意软件访问…摄像机。 如果您不小心单击了错误的链接或下载了错误的文件,则该恶意软件可能包含可执行代码以打开网络摄像头并将该视频提要发送到网站或将其保存在其他位置。 这意味着您应该非常小心从Internet上随机站点下载和安装的内容。 我见过几位大学生带有恶意的Chrome扩展程序或他们不经意下载的软件中的其他恶意软件。 软件更新 苹果明确指出,您应该始终更新Mac和iPhone: 使软件保持最新是维护Apple产品安全的最重要的事情之一。 我已经开始问我的朋友和同学们他们正在运行哪个版本的macOS。 大多数计算机运行的是2到3年前购买计算机时所用的相同版本。 我已经看到许多人仍在运行10.9或10.10,即使macOS当前在10.12上也是如此。 您可以通过菜单下的“关于本机”轻松查看正在运行的版本。 我在Facebook上进行了一次非正式的Twitter调查和一个Google Forms调查,以查看谁的Mac确实存在恶意软件问题: 答案在民意测验中是一致的。 大多数人不会感染恶意软件,而回答我的民意调查的人中只有4–6%曾经在运行最新的操作系统时感染过恶意软件。 我还进行了两次民意测验,以了解人们在其主要计算机上运行的macOS版本: 只要您掌握最新的安全更新,运行两个最新的macOS版本(Sierra和El Capitan)可能就可以了。 如果您的运行低于10.11.6,建议您更新计算机。 同样,如果您使用的iOS版本低于9.3.5,则可能应更新设备。 密码 我没有看到别人考虑的另一件事是密码的强度和变化性。 我见过许多大学生(和其他人)使用容易猜到的密码,例如他们的街道或城镇的名称。 通过强密码保护计算机和电话非常重要。 此外,保护您无数的在线帐户(如Gmail,Dropbox,Facebook等)也同样重要。 如果您的一个帐户被盗,您可能会丢失甚至不知道的有价值的数据。 我强烈建议您使用密码管理器来存储您的安全密码,这样您就不必为使用的所有内容记住其他强密码。 我在Mac和iPhone上使用1Password,我喜欢它。 iMore在审查不同的密码管理选项时很好地说明了这一点: 容易记住,广泛重复的密码适用于傻瓜。 写下来重新输入,或者每次都复制/粘贴它们不仅麻烦,而且是等待发生的灾难。 那么如何更好地保护自己呢? 将Mac和iOS设备更新为最新的操作系统版本。 这不必是第一天,但应该在前几个月。 将您的网络浏览器更新到最新版本。 Chrome通常会自动执行此操作,而Safari更新包含在macOS中。 注意下载的内容。 它来自什么URL? 尝试打开Apple时,Apple是否警告您未由经过批准的开发人员签名? 使用强大而多样的密码。 您的密码不应该与您的生活有关,并且您的安全性问题的答案也不能让人猜到。 如果您不做这些事情,遮盖网络摄像头可能会有所帮助,但是它不会保护您免受其他任何事情的侵害,例如有人用您的麦克风为您录音。
Apple iOS 12:有史以来最安全的iOS吗?
如果您碰巧看到了Apple在2018年6月4日发布的iOS 12初始版本,您可能已经注意到它缺少我们从其他iOS版本中看到的“大飞溅”。 部分原因是苹果公司忙于专注于新的iOS 12数据安全功能。 尽管将在2018年9月12日的Apple Keynote活动上发布更多功能,但已揭示的iOS 12的许多功能可能不会引起普通消费者的注意。 那是故意的。 良好的数据安全性功能对于大多数用户而言并不明显。 如果有的话,苹果最新的移动操作系统中的这些功能将使普通iPhone用户的生活更加轻松。 但是,如果您恰好是IT或安全专家,那么新的iOS 12可能会激起您的兴趣。 苹果公司对个人数据隐私和安全的强调引发了一个问题:iOS 12是苹果发布过的最安全的操作系统吗? 一言以蔽之。 让我们研究一下它为何如此安全。 更好的防黑客技术以保护数据隐私 苹果对新iOS安全所做的最大改变之一是USB受限模式的引入。 在iOS 11和更低版本的iOS上,基于USB的通信在手机锁定后最多可保持七天。 这意味着,如果iPhone被盗,则可能的黑客有7天的时间将强力设备(例如GrayKey)插入手机并强制其解锁。 纽约时报称此为期7天的窗口是iOS 11中的一个重大安全漏洞。 好消息是苹果正在关闭此窗口。 借助iOS 12上的USB受限模式,Apple将基于USB的通信时间缩短到手机锁定后仅一小时。 这使得在iOS 12上进行暴力攻击几乎是不可能的。 根据一位与我们交谈的应用程序开发人员的说法,“ USB受限模式本质上是在一小时后将手机变成电池供电的砖块。”除非该手机在该小时时间内被授权用户解锁,否则对黑客来说毫无用处。 为了进一步说明这一点,如果您公司的员工在iPhone上安装了iOS 11的iPhone被盗,那么窃贼很有可能在7天内获得对手机的访问权限。 但是,如果安装了iOS 12,则小偷将只有一个小时的时间来尝试暴力攻击。 在一个小时内实现这一目标的可能性很小。 新的操作系统会自动打开此数据隐私功能,但Apple确实提供了禁用它的选项: 图片来源 我们为提高个人数据安全性的实力和灵活性而感到兴奋。 密码重用审核 与任何数据安全系统一样,人是最薄弱的环节。 如果您开发了世界上最好的工具,但实际的操作人员没有使用它,那么它就一文不值。 这就是Apple试图在iOS 12中使密码管理尽可能简单的原因。使密码重用审核变得更加容易的功能之一。 此功能监视iPhone所有者用于不同服务的密码。 当它在不同的网站上捕获到使用相同密码的某人时,它会标记重复的密码,提供更安全的密码,然后将其保存到iCloud钥匙串。 图片来源 在不同网站上使用一个密码的问题已得到充分记录。 安全专家多年来一直在努力解决这些问题,Apple竭尽所能提供帮助。 Auth0使用基于令牌的无密码身份验证提供安全身份验证,该功能具有蛮力保护系统。 iCloud:房间里的大象 乍一看,此iOS 12安全功能似乎不太安全。 为了使用此功能,Apple必须记录您的当前密码并能够对其进行爬网以进行匹配。 同时,Apple将所有内容存储在iCloud中。 这种担忧导致苹果公司使该系统尽可能地安全。 […]
提取IPA文件和iOS应用程序的本地数据存储
本文介绍了将iOS应用程序的IPA和本地数据存储从iPhone / iPad提取到计算机上的物理磁盘的过程。 完成撰写后,您将能够从安全角度理解完成整个过程的重要性。 所需的先决条件是远程访问iPhone并了解iOS文件系统。 如果需要,请参阅我们之前的文章“了解iOS文件系统”。 让我们开始吧。 就像.APK文件被视为Android应用程序的安装文件一样,.IPA是iOS应用程序的打包文件。 区别在于,只能通过以下方法之一将.IPA文件安装在未越狱的iPhone上: 企业移动设备管理这需要Apple签署的全公司范围的证书。 通过侧面加载,即通过使用开发者的证书对应用进行签名并通过Xcode将其安装在设备上。 可以使用相同的证书安装数量有限的设备。 让我们看看如何提取从App Store安装的应用程序的IPA文件。 提取IPA文件的第一步是找到应用程序的“ .app目录”,该目录是应用程序的捆绑容器。 为此,我们将进入所需的应用程序目录。 现在,我们将尝试找到所需应用程序(例如Facebook)的.app目录。 这可以通过使用以下命令来完成: 屏幕快照中突出显示的文本是Facebook应用程序目录的名称。 请务必注意,.app目录的名称可能与应用程序的显示名称相同,也可能不同。 如果没有找到我们要查找的.app目录,我们可以简单地使用’ls *’,它将列出所有目录,然后我们可以进行手动搜索。 下一步是将.app目录复制到名称为 ‘Payload’的空目录。 如屏幕截图所示完成此操作。 现在,我们需要使用“ zip”实用程序将有效载荷目录压缩到任何所需的位置。 如果未安装“ zip”,则需要使用“ apt-get”进行安装。 安装“ zip”后,我们可以将zip压缩文件压缩并解压缩到我们的系统中。 我们应该将文件明确命名为“ .ipa”,以使其对进一步的分析,安装等有用。 为了在计算机上获取它,我们只需要使用scp或sftp即可,如屏幕截图所示。 为了提取本地数据存储,我们需要找出应用程序的数据容器的位置。 为此,我们必须首先了解以下几点: 在设备上首次启动该应用程序时,iOS将为该应用程序创建数据容器和捆绑容器。 在路径Library / Caches / Snapshots上,创建具有完全相同名称的目录。 因此,我们可以利用这一事实来定位应用程序的本地数据存储。 我们将以以下方式进行: 打开应用程序的Info.plist文件,然后搜索键“ Bundle Identifier”,如屏幕截图所示。 现在,我们需要在本地数据存储目录中搜索名称与CFBundleIdentifier相同的目录。 可以如图所示完成。 我们甚至可以优化搜索,如下所示。 可以使用Cydia的“ IPA Installer […]
如何使用iOS生物识别身份验证启用登录
在开发CloudEver应用程序时,我了解了iOS生物识别技术,包括Face ID和Touch ID。 然后,我查看了一些具有指纹登录功能的应用程序,发现其中许多应用程序没有充分利用iOS安全功能的优势。 我想与社区分享知识,并希望我们使用的应用程序将越来越安全。 大多数早期的Internet服务主要为未登录的每个人提供静态内容。 后来,出现了一些动态服务,例如论坛,聊天室等。 那时,身份验证需要密码。 然后,密码认证已被许多Internet服务广泛采用。 但是,要确保密码认证的安全性并不容易。 如果用户名和密码被他人破解,可能会泄露用户信息,甚至造成金钱损失。 那么,实现密码认证的常见错误是什么? 1.使用HTTP代替HTTPS进行密码身份验证 过去,一些著名的Internet公司设计了自己的方法来对浏览器中的密码进行加密,然后将其提交到其服务器以通过HTTP进行身份验证。 后来,他们发现这是错误的,今天几乎所有大公司都转换为HTTPS。 我们必须使用HTTPS来验证用户名和密码。 2.使用HTTPS进行密码身份验证,但通过HTTP显示登录框 一些开发人员认为,只要通过HTTPS传输,用户名和密码就不会被泄露。 因此,它们通过HTTP提供登录页面以节省服务器资源。 但是,这是一个非常常见的错误。 黑客可能会通过HTTP(即MITM javascript注入)将恶意javascript嵌入登录页面。 用户名和密码可能是由恶意JS代码收集的。 From Comcast仍使用MITM javascript注入来投放不需要的广告和消息 登录框必须通过HTTPS提供 3.用户名不存在 我发现登录某些网站时,对于不存在的用户名和错误的密码,有两种不同的错误消息。 这有什么问题吗? 绝对! 知道用户名以这种方式存在后,黑客只需要破解密码即可。 在这个数十亿美元的世界中,我们的手机号码和电子邮件地址没有任何秘密。 4.以纯文本形式存储密码 开发人员如何存储用户密码? 是的,有些只是将其插入其数据库中。 许多经验不足的开发人员通常在构建网站时都会不加思索地将用户信息保存到数据库中,然后使用SQL来验证用户密码。 如此简单,却如此不安全! 以纯文本形式保存密码意味着 开发人员,运营工程师,甚至公司的其他员工都可以直接访问用户密码! 发生数据泄露时,黑客会知道大量密码。 在不同平台上重用密码的所有用户帐户也有危险! 5.将密码存储在哈希中 一些开发人员认为,单向哈希是一种加密密码的好方法,黑客无法恢复原始密码。 那是个错误的主意。 尽管安全哈希算法是不可逆的,但密码哈希是可逆的。 这是因为哈希算法(例如MD5,SHA1)始终针对相同的密码计算相同的结果。 看一下“ MySQL.users”表,相同密码的哈希值是否相同? 您可能知道,也可能不知道,有些人正在计算所有密码哈希并将其放在Internet上免费下载。 到目前为止,已经计算出9个符号内所有字母数字组合的密码,总共1TB数据。 那么您的密码有多少个符号? 也许您会认为,在如此庞大的数据库中通过哈希查找密码并不容易。 当没有这种彩虹表技术时,您是正确的。 6.哈希组合 […]
移动安全性:攻击来自何处?
如今,我们的智能手机包含着我们日常生活中的大量信息,因此保护它们免受恶意人员攻击变得至关重要。 智能手机可以视为一把双刃剑。 一方面,我们得益于其易于使用的方式来与家人保持联系,检查我们的银行帐户,邮件等。另一方面,恶意人员很容易通过窃取您的钱来实现自己的目标,凭证,私人生活等。因此,每个智能手机用户都必须意识到自己可能会遇到的危险,以保护自己。 本文旨在通过展示一些攻击或安全漏洞的示例,使智能手机用户对其安全敏感。 目的不是要吓the读者,而是要进行教育,以便他采取更好的预防措施。 让我们先退后一步,分析移动应用程序的生命周期。 开发人员下载SDK 开发人员开发的应用程序可以完成出色的工作 开发人员打包应用程序并将其提交到商店 用户解锁手机 用户在智能手机上下载应用程序 用户使用该应用程序 简化的生命周期的每个步骤都可能受到恶意攻击,如下图所示。 开发人员使用的SDK会影响问题根源的私有数据,这似乎很不可思议。 但不幸的是,这确实发生了。 实际上,有一个名为“ Xcode Ghost”的Xcode修改器版本,它在生成的程序包中添加了间谍软件代码。 修改后的程序包甚至通过了Apple认证! 这里是其他生命周期步骤的更多攻击示例。 攻击和漏洞的一些例子 开发人员开发执行出色功能的应用程序 攻击者可以侦听移动应用程序与服务器之间的网络通信,以拦截敏感信息。 以下是一些攻击示例: 网络欺骗 中间人袭击 对网络交换的其他攻击:https://www.youtube.com/watch?v=8oI_laHhGjE&list=PLSKUhDnoJjYn0TV9V84C4Wr2DjKPc492c&feature=player_embedded 使用不受信任的或公共的Wi-Fi接入点 攻击者可以以表格形式输入恶意数据,以获取对服务器数据库的更高访问权限(SQL注入) http://artechtalks.blogspot.fr/2013/10/sql-injection-in-android-applications.html 开发人员打包应用程序并生成IPA 从iTunes下载IPA并提取plist文件以搜索密码和开发URL 反编译IPA以访问源代码http://reverseengineering.stackexchange.com/questions/1594/possibilities-for-reverse-engineering-an-ipa-file-to-its-source Xcode幽灵:https://en.wikipedia.org/wiki/XcodeGhost 用户解锁手机 即使设备被锁定,对设备具有物理访问权限的恶意人员有时也可以访问该应用程序的禁止访问部分。 http://www.telegraph.co.uk/technology/apple/iphone/11887252/iOS-9-hack-allows-strangers-to-access-photos-and-contacts-from-a-locked-iPhone。 -how-to-protect-yourself.html 用户在智能手机上下载应用程序 恶意软件可以通过下载链接或第三方商店提供经过修改的应用程序。 http://www.cnet.com/how-to/how-to-avoid-pokemon-go-malware/ 用户使用该应用程序:用户使用其智能手机和应用程序的方式容易受到多种攻击。 攻击者甚至可以伪造触摸ID传感器来强行使用用户密码 网络钓鱼:攻击者可以说服用户向其提供密码 该工具会在不知不觉中允许恶意应用访问私有数据 攻击者可以在另一个用户中找到用户的密码 恶意人员可以在有限或无限的时间内物理访问用户的设备。 这使攻击者几乎可以访问设备上的所有信息。 即使使用指纹锁定的设备也不会保存。 这是可以在物理设备上执行的攻击的另外两个示例: 越狱:它允许访问操作系统的许多或所有锁定部分,例如RAM,文件系统等。 有些攻击甚至不需要越狱或解锁设备http://www.techtimes.com/articles/88939/20150929/ios-9-security-flaw-hackers-can-access-your-messages-photos-and-与siri.htm的帮助联系 我们可以注意到,攻击的可能性非常广泛。 根据攻击的类型,所有这些攻击或缺陷都可能以不同的方式伤害用户。 下一节简要给出一些示例。 […]
