脸谱爆新漏洞
一位印度电子工程师发现了Facebook的又一漏洞。利用这一漏洞,用户可以在所有者不知情的情况下删除其账户内的任何照片,无需任何用户交互。这名工程师叫做阿鲁尔?库马尔,21岁来自泰米尔纳德邦。库马尔将收到Facebook的白帽错误赏金计划的12500美元奖励。
他发现的漏洞藏匿于Facebook移动版的控制面板。这一程序允许用户跟踪他们对Facebook账户的任何操作。其中包括显示需要被删除的照片。当用户提交删除请求,这一程序会将删除链接转发给用户,由用户决定是否删除。但是问题就出现在这一链接上。
库马尔发现,此链接的参数包含“photo_id”和“profile_id”,所以好事者可以修改他们。然后,点击链接Facebook就会执行删除命令。但是如果photo_id被修改为其他用户照片,那么照片删除请求就会在这一照片上执行。
库马尔利用他控制的另一个账户,验证了这一想法。库马尔可以删除任何用户的任意照片。而受害者只有在查看照片时,才会发现它消失了。库马尔表示,该漏洞可以被用来从任何用户页面或群组,以及状态、相册、位置和留言部分删除照片。
微信染毒
智能手机的凶猛扩张,让各种病毒、恶意软件也紧紧盯上了“它”。
仅今年上半年,手机病毒感染总量超过4.8亿人次,已相当于去年一年的感染总量。这是360手机安全中心发布的《2013年上半年中国手机安全状况报告》中所透露的数据。当然,火爆的微信也不能幸免——通过“挂羊头卖狗肉”欺骗用户安装,或是“借刀杀人”导致微信乱弹广告等方式,目前发现针对微信的恶意软件超过650款。
2013年上半年Android新增恶意软件月度统计
微信接收图片,钱就不见了
“就是轻轻一点,支付宝的钱就被搬空了。”谈起自己在微信上被种“木马”的经历,网店店主小何还是心有余悸。
因为经营网店的关系,小何喜欢在微信的朋友圈里分享自己的新品。有一天,一名“买家”在网上联系到她,希望能找一款女装,并请求她用微信接收图片。小何丝毫没有犹豫,就加了这位“买家”的微信,收到一条所谓的“衣服照片”的链接地址,点击进去后,突然弹出一个下载安装的授权提示,“也没有仔细看,就装了。”随后,小何就发现,支付宝里的钱被搬得一干二净。
原来,小何点击的“衣服照片”的链接,真身为手机木马病毒,可以把她支付宝修改密码时最为关键的手机校验码“挪移”到对方手机上。
微信系恶意软件已超650款
“仅仅是针对微信的恶意软件,光我们就已经发现了650款以上。”360手机安全中心的专家告诉记者,今年上半年,针对微信的恶意软件及相关诈骗行为大量涌现,而且表现形式多样。
据介绍,早在2月份,360手机卫士就曾经截获过34款新型Android手机木马,这一系列木马分别伪装在包括“圆桌骑士”、“双截龙”、“侍魂”、“三国志”、“名将”等热门游戏中,并伪装成微信消息诱骗用户安装,而一旦安装这些应用,用户的手机就会联网接收黑客通过服务器发出的各种指令,联网自动下载各种用于流氓推广的应用,以产生大量流量,甚至二次传播手机木马进行恶意扣费。
“微信好友都是实时在线,信息随时推送,所以微信被盗后的诈骗速度更快、范围也广。”相关人士透露,除了通过朋友圈“钓鱼”的方式以外,还涌现出一大批“借刀杀人”的恶意软件,可以致使微信、微博等APP乱弹广告耗费流量。
“据统计,携带此恶意广告插件的恶意软件有300余款。”而上半年感染量更多达31万人次。
新增手机木马97%为Android平台
微信系的遭遇仅仅是手机病毒的冰山一角。
报告显示,上半年360手机安全中心截获新增手机木马、恶意软件及恶意广告插件共计45万余款,感染总量超过4.8亿人次,接近2012年全年感染量。其中,Android新增木马占总量的97%,九成以上含有隐私窃取行为。
而在新增的235696款手机木马中,Android平台占比超过97%,感染人数达4696万人次。
与此同时,上半年手机恶意软件的主要危害,资费消耗、隐私窃取以及恶意扣费位列前三。以隐私窃取为目的的恶意软件数量仅次于资费消耗,Android平台感染量高达1137万余人次。
此外,盗取用户隐私也成为智能手机时代值得关注的问题。360对上半年最热门的1000款手机应用抽样分析显示,90.1%的热门应用会读取设备信息;53.1%的应用会读取用户的位置信息;24.2%的应用可以发送短信;22.6%的应用会读取联系人;还有22.9%的应用可以调用摄像头。
手机族要多查查话费清单
移动公司的相关人士介绍说,手机病毒有“一硬二软”之说。硬病毒是指一些手机出厂时就有的“后门”,这种病毒多见于山寨机,就是通过手机内部的软件“吸费”、盗取信息。而软病毒就是人们通常所说的手机软件病毒,一种是会私下损害用户的利益,比如会让您的手机自动大量发送彩信产生高额话费,另一种软病毒会把用户的信息,包括短信、通话记录,甚至手机位置,都上传给不法分子,或者上传到特定的网站,如果用户在短信中涉及银行账号等个人隐私,那后果就更严重了。
虽然运营商的手机防病毒系统可以起到一定的保护作用,但对手机病毒的防患,普通手机用户还是要积极防护。傅周艳
▲移动网络专家表示,四招可以预防手机病毒:
第一招:收到不明来历短信、彩信、图片、网址链接,不要轻易打开。即使是以“安全软件”为名的也不要轻信。
第二招:商务机、智能机不要长期给别人使用,防止被装恶意软件。手机如需维修时,也最好把SIM卡拔出来。蓝牙等功能,不用时关掉。
第三招:经常查一查话费清单,看有无流量特别和异常扣费的情况。
第四招:给智能手机安装防病毒软件,定期进行升级。
网友评论