0
本文作者: 李勤 | 2017-01-15 09:00 |
都快过农历新年了,谁家都怕出幺蛾子,有的是大新闻,有的却害怕大新闻。
不信,你看——
本周关键词
▼
小程序发布 | 支付宝漏洞 | 剪刀手拍照指纹泄密 | 浏览器自动填充漏洞
社交网站账号密码
1月9日,很多人的朋友圈被小程序刷屏了……一边是张小龙发在朋友圈野心勃勃地向乔布斯致敬,一边是吃瓜群众把小程序玩得不亦乐乎。雷锋网同时也搜集到一波体验(吐)感受(槽)。
小程序有这些槽点:小程序找起来还是很困难;微信小程序加载耗费流量,加剧微信耗费的内存,所以整体对内存的占用并不比原生APP低;虽然微信小程序重新构建了架构,不再采用H5的架构,提升了加载速度,但总体加载速度依然低于原生 App,影响用户体验。
雷锋网宅客频道本着看热闹不怕事大的原则,决定探寻一个重要的问题:黑客有没有可能通过微信小程序的漏洞,偷偷地用你的微信给他发一个大红包?
为了搞清这个问题,雷锋网(公众号:雷锋网)宅客频道咨询了几位黑客大牛,整理回答如下:
小程序改变了业务前端实现的形式,但是基本的业务没有变化。所以对于小程序服务商而言,有两方面风险依然存在:Web接口的漏洞。例如 xss、csrf、各类越权等等。这类是服务构架本身的漏洞。业务功能的逻辑漏洞。例如:订单额任意修改,验证码回传、找回密码设计缺陷等等。这些也是后端服务本身的漏洞。
传统的 App 客户端,由于代码比较复杂,体系比较大,经常存在很多漏洞。现在,由微信提供接口,服务商只需要调用微信的接口就可以实现服务功能。这使得以前针对 App 客户端的攻击行为失去了对象。
小程序跑在微信中,以前人们关心 App 客户端手否存在漏洞,现在人们需要关心微信是否安全了。
由于微信主程序会通过 JS 接口向小程序暴露规定的服务。如果小程序可以获取到规定服务外的信息(比如:用户的钱余额等)即是信息泄露。
总之,可以将微信理解成浏览器,将小程序理解成网页。如果执行小程序可以在微信中执行任意代码,就是传统意义上的远程代码执行。
例如:攻击微信;实现小程序之间的跨站攻击;攻击操作系统。
所以,我们需要担心黑客通过微信小程序盗走我的红包吗?目前看来,没这个必要。
根据以往的经验,腾讯在自身产品的安全性上,会投入巨大的精力。而对于皇冠级产品微信,相信腾讯更是不敢有丝毫疏漏。就在小程序退出的当天,TSRC(腾讯安全应急响应中心)也发布了英雄帖《微信小程序如约而至,安全需要你的守护》,宣布即日起到2017年1月20日,“重金”收集有关微信小程序的漏洞和威胁情报。
雷锋网编辑在上班路上忽然收到了一条支付宝验证码的短信,察觉到异常后立刻打开了支付宝客户端,结果被吓出了冷汗:
他发现自己的支付宝账号竟正被别人登录,随即他收到一条朋友发来的微信消息:
我刚才用网上流传的“支付宝致命漏洞”来重置你的登录密码,竟然成功了!你还不知道吗?朋友圈都传开啦!
支付宝漏洞?雷锋网编辑随即打开朋友圈,发现已经有很多网络安全圈内的朋友都转了一条名为“支付宝惊现致命漏洞,快解绑你的银行卡”的报道。
报道中称,有网友发现支付宝在登录方式上存在致命的逻辑漏洞,导致熟人之间可以相互登录对方的支付宝账号,流程大致如下:
进入「忘记密码」界面后,选择「无法接受短信」,这时候会出现两个相关问题:一、在9张图片当中找出你认识的人 ;二、选择与您有关的地址。
只要成功答对这两道问题,就可以重置该支付宝账号的密码,并且在登录后可以正常使用免支付密码的快捷支付功能,直接使用对方支付宝中的资金。
很快,随着该消息在朋友圈内的传播,越来越多的人表示自己收到支付宝登录验证短信,以及相关的账号异常提醒。许多人开始用身边朋友的支付宝账号来尝试复现该漏洞。
有人表示,周围已经有不下十人成功登录了身边朋友的支付宝账号,甚至有网络安全高手也中招了,由此他判断此次问题可能非常严重。
雷锋网编辑在对周围朋友的支付宝账号进行了大约7~8 次尝试后,成功重置了自己女朋友的支付宝密码,这是在双方十分了解,知道对方认识的人、购物记录和家庭住址等情况的前提下实现的。虽然结果确实令人惊讶,但成功率并没有网上说的那么夸张——“陌生人有五分之一的机会登录你支付宝,熟人有百分之百的机会登录你的支付宝”。
在测试中我们发现,两个测试题会随机出现“你认识的人”、“和你相关的地址”、“你曾经买过的东西”等不同的问题,只要答错一两次,该种方式就会被屏蔽,只允许使用其他方式找回密码,并且其他的方式也会在尝试失败后逐渐被屏蔽,这似乎触发了支付宝的某种安全机制。
在多次试验后,雷锋网编辑发现自己无论使用谁的支付宝账号,都无法再使用之前那种通过相关信息来重置密码的方式。
至上午10点左右,周围不少在测试该漏洞的朋友也表示自己测试失败,只有在自己的常用设备下才能触发相关消息找回。有安全从业者表示:“支付宝响应很快,据说目前已经对风控进行了调整。”
据人民网消息,日本国立信息学研究所教授越前功(Isao Echizen)日前在接受日本新闻网( NNN)采访时指出,如果拍照时,光线明亮,恰巧焦点对准指纹,就可以通过照片复原其指纹信息。如果由此制作出人工手指“义指”,便可冒充本人登录各种指纹识别的终端,因此拍照时要慎用“剪刀手”。
越前功在实验中采用的照片是由市面销售的 2040 万像素数码相机所拍摄,对该照片进行图像处理后,得到了指纹数据。距离镜头1.5米拍摄的照片,指纹可以清晰地呈现出来,距离 3 米处则可以判断出大致模样。因此越前功表示,距离3米处拍摄的照片存在被盗取指纹的可能性,并且“技术方面门槛并不高,谁都可以轻松处理”。
看到此消息,雷锋网(公众号:雷锋网)编辑吓得把镜头前的小手赶紧缩了回来。
不过,却有专家持不同意见。360公司安全研究人员魏党伟告诉雷锋网,指纹信息作为个人生物信息的一部分被广泛的用在各种身份识别和认证,其核心点是采集清晰的指纹信息,用于生成特征点。只有可以提取准确特征点的照片,才会泄漏指纹信息。也就是说,只有拍摄照片中,手指纹理清晰可见,才会泄漏指纹信息。
那么,具体是什么范围内“剪刀手”就会出卖你的“指纹”?同理,虹膜信息会不会也被捕捉到?
魏党伟说,目前手机拍照技术,在正常的拍摄距离(大于1米)的范围下,是不可能把手指纹理拍摄清楚的,就更不要说虹膜了。这也是正常的指纹和虹膜采集,必须要在很近的距离,严格限定的方位和特定光亮度下采集。
同时,目前的网络传播,都会降低照片的清晰度,损失的照片的细节,就更不可能泄漏指纹信息了。
但魏党伟也提到,现代的单反相机和高档手机,在微距拍摄(小于0.5米)是有机会拍摄清楚指纹的,所以不要在公开网路上传播有指纹和虹膜的微距拍摄照片原始文件。
雷锋网从公开信息中检索到,为防止指纹被盗,目前该研究所已开发出一种有特殊花纹的透明薄膜,除能隐藏指纹外,该薄膜还能够在不影响指纹解锁的同时,在拍照时将你的指纹伪装成别的指纹。
该研究所研发的透明薄膜是仅为研究性产物还是准备商用的产品?是否有为技术或产品推广之嫌?日本该研究所除了用市面销售的 2040 万像素数码相机在上面所称的3米和1.5米范围内拍摄,是否还用了其它复杂的技术来破解指纹信息?
一切尚未可知。
最近一个芬兰的网页开发者和黑客 Viljami Kuosmanen 发现了一个自动填写表单功能重大的潜在安全漏洞,他表示诸如 Chrome、Safari 和 Opera 等浏览器,或是 LastPass 这样带自动填充功能的浏览器插件,都可能会泄露用户的隐私。
一般来说,在使用自动填充功能之前,用户需要提前把需要自动填充的个人信息存储在浏览器或者工具中,以 Chrome 浏览器为例:
其自动填写的信息包括邮编、详细地址、组织(公司)、用户名、电话、和电子邮件等,通常可用来快速填写收货地址。
再以自动登录工具 Lastpass 为例,它提供了更为详细的资料填写项目,几乎可以帮你自动填写能想到的所有资料,包括除了基础的用户名、姓名、生日、社会保险号码(身份证号),还有详细地址、联系人、银行账户等等。
然而这些 Viljami 发现,通过极其简单的手段将一些文本输入框隐藏起来,就可以在你不知情的情况下,得到你表单中的所有个人资料。
为了实际展示该功能,Viljami 做了一个简单的演示 Demo 网站,看起来,网页上只要求输入姓名和邮箱,但是按提交键后,通过浏览器抓取信息显示,除了页面上能看到的两项信息以外,用户的电话、地址等信息也被上传了。
【图片来自:Viljami 提供的演示 demo 】
雷锋网(公众号:雷锋网)宅客频道按照这种思路绘制了一个钓鱼网站骗取用户信息的示意图如下:
钓鱼网站会将一些用户电话、地址等信息的输入框隐藏起来,虽然用户的肉眼看不到,但是自动填写程序能捕捉到,并在用户不知情的情况下“帮” 用户把信息填进去。
据雷锋网了解,喜欢海淘的人经常需要填写如信用卡卡号、有效日期和安全码等信息,此外,人们在参加“特价秒杀”等抢购活动时也需要争分多秒地填写表单,这时许多人会 选择将住址、电话等资料保存在浏览器或插件中,以便自动填充。
一旦用户在钓鱼网站使用了自动填充功能,就很可能会泄露自己的详细地址、信用卡号、安全码等信息。
问题的发现者 Viljami 表示:“该问题在 Chromium 内核中存在6年之久,这就是我不爱用自动填写表单的原因。”
他还表示 Mozilla 的 Firefox 火狐浏览器并没有此类问题,因为它只支持自动填写单个文本框而不支持一键填写整个表单,用户需要逐个点击输入框,因此那些隐藏起来的文本输入框就是去了作用。
周末了,来轻松一下。
蕾蕾一直没有想明白,身高1米8,又帅又体贴的峰峰为什么看上了自己?要知道,峰峰的前女友可是身材高挑、肤白貌美的小美女。最近,蕾蕾从峰峰身后路过时,“一不小心”看到了峰峰在聊天,而“小美女”的头像一直在跳动。蕾蕾没有问峰峰,但如晴空霹雳,又百爪挠心,想知道男票究竟和前女友说了啥。
一不做、二不休,蕾蕾想,要不干脆找到男朋友的社交帐号密码,也好时时关注“敌情”。
怎样才能神不知鬼不觉地拿到男朋友的社交帐号密码?
第一招:社工
例如:1.“最近听说某某网站放出一个密码设置最容易破解排行榜,办公室的小黄今天在那一验证,发现果然是这样,他的密码就是名字+生日,你说傻不傻?”然后观察男朋友的神情,是比较轻松愉快还是尴尬,甚至说:“惨了,我也是这样。”
2.时不时在谈话中“套路”一下,比如在聊人生时,让他聊聊记忆深刻的事情、最喜欢的宠物、最爱的人(十有八九会被反套路,此刻要问那第二爱的人之类)、游戏昵称帐号……
3.如果他给过你其他密码,可以研究一下密码的规律,套用在新密码上。
第二招:查库
现在数据泄露不少,最好的情况是能直接查出密码;另外,不少人有使用通用密码的习惯,这样的话也相当于直接查出密码了;通过大量的数据,也有比较大的几率看出这个人的密码习惯,增加猜解密码的习惯。至于怎么查库,用搜索引擎搜索“社工库”就行了。
然而,这种集成的社工库“稂莠不齐”,像“700元买到同事全套信息”这种库还算“良心”,有些社工库会诱使你付费,你查询的信息也会进一步与已泄露信息绑定。当然,目的是查男朋友的账号和密码,几百块钱可能不算什么……
第三招:利用社交网站漏洞获取密码
比如,XSS 呀,注入呀,安全网站上这些案例很多,当然公开的漏洞都是已经修复的,不过你可以学到方法自己去研究哒。
这一招需要一定的编程基础,是的,现如今,不会写代码可能连密码都找不着。
简单来说,就是你瞅准了一个社交网站,
通过各种扫描工具或者人工输入来找到它的 XSS 漏洞,然后精心构造攻击字符串;
把这个字符串作为漏洞网站文本编辑框的表单值输入提交,就会造成攻击。手工输入这个字符串,并提交,浏览器地址栏自动生成攻击URL;
做成诱人的链接,让男朋友点击。
第四招:找到浏览器已保存密码
为了登陆方便,现在不少浏览器有保存登陆密码的功能哦,怎么查看?搜索“查看+浏览器名称+已保存密码”,然后根据网上的方法一步一步操作就行了。
前提是,男朋友设置了保存密码,而且,你需要在男朋友不在家时,在他的电脑上偷偷操作。但是,讲真,你有男朋友的开机密码吗?如果你都能用他的电脑,似乎去找他的密码就没什么必要了,除非你想长线操作,长期监督。
第五招:放一个键盘记录器
实在不行写个键盘记录器放他电脑上运行呀,输入了什么全部发送到你邮箱。
万万没想到,放一个键盘记录器在男朋友电脑上,原来是最难的——如果你能打开他的电脑,直接安装除外。
第六招:钓鱼
本来钓鱼也应该是属于社工的,但是上面讲的社工主要就是一些面对面的心理战术了。“上次一起出去玩的照片已经整理出来啦,“去看看吧。http://XXX.cn”这样的消息收到过没?点开链接发现是某空间要求输入账号和密码的地方,嗯,和正版一模一样哦,可是你看看链接啊,链接不对啊喂,这就是钓鱼咯。
首先,你需要做一个和正版一模一样的钓鱼网站,当然,这个社交网站可能在网上有源代码可以抄。然后,需要购买一套钓鱼工具。
第七招:编写一个美美的木马程序发过去
知乎上也曾有一个高票答案值得借鉴,编写一个玫瑰花的示爱程序,植入木马,直接发给男朋友即可。
上述技术支持均为京东安全工程师肉肉口述,雷锋网编辑采写。但是,仅为技术理论探讨,肉肉本人并不支持这些做法。为了保护另一半的权益,肉肉与雷锋网编辑建议如下:
1.不在浏览器保存常用密码;
2.不同网站设置不同密码,尤其密码设置不要按照常用套路走;
3.不随便点击链接,即使是对象发过来的,有技术基础的童鞋,可以技术反制,当然后果自行承担,比如,被骂、被分手……雷锋网(公众号:雷锋网)概不负责。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。