网络安全研究人员发现，在安卓、Linux 和 ChromeOS 设备的开源 Wi-Fi 软件中存在两个身份验证绕过漏洞。据悉，安全漏洞可能诱使用户加入合法网络的恶意“克隆”，允许威胁攻击者在没有密码的情况下加入可信网络。 安全研究人员对 wpa_supplicant 和英特尔的 iNet Wireless Daemon（IWD）进行安全评估后，发现分别被追踪为 CVE-2023-52160 和 CVE-2023-52161 的安全漏洞。 Top10VPN 在与 Mathy Vanhoef 合作进行的一项新研究中表示， CVE-2023-52160 和 CVE-2023-52161 安全漏洞允许威胁攻击者诱骗受害者连接到受信任网络的恶意“克隆”中，并拦截其流量，最终成功在没有密码的情况下加入其他安全网络。 特别是 CVE-2023-52161安全漏洞，该漏洞允许威胁攻击者未经授权访问受保护的 Wi-Fi 网络，从而使现有用户和设备面临恶意软件感染、数据盗窃和商业电子邮件泄露 (BEC)等潜在的网络攻击，主要影响 IWD 2.12 及更低版本。 CVE-2023-52160 安全漏洞影响 2.10 及以前版本的 wpa_supplicant，鉴于其是安卓设备处理无线网络登录请求的默认软件，因此是上述两个安全漏洞中更紧迫的一个。 值得一提的是，CVE-2023-52160 安全漏洞只会影响没有正确配置身份验证服务器证书的 Wi-Fi 客户端，CVE-2023-52161 则是影响使用 Linux 设备作为无线接入点 (WAP) 的任何网络。 从研究人员发布的公告来看，成功利用 CVE-2023-52160 的前提条件是，威胁攻击者必须掌握受害者先前连接过的 Wi-Fi 网络的 SSID。此外，威胁攻击者必须与受害者保持合适的物理距离。（安全研究人员指出，利用该漏洞的最优情况是威胁攻击者在受害者附近四处走动，扫描网络，然后再瞄准离开办公室的员工。） 目前，Debian (1, 2)、Red Hat (1)、SUSE (1, 2) 和 Ubuntu (1, 2) 等主要 Linux 发行版已针对上述安全漏洞发布了更新公告，ChromeOS 118 及更高版本也已解决了 wpa_supplicant 问题，但 Android 的修复程序目前仍旧尚未发布。 最后，Top10VPN 强调，为保护自身安全性，Android 用户必须尽快手动配置任何已保存的企业网络 CA 证书，以防止遭遇网络攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/392285.html 封面来源于网络，如有侵权请联系删除

GrapheneOS 团队开发了一个专注于隐私和安全的 Android 操作系统版本，并提出在 Android 中引入自动重启功能。这一功能将使得利用固件漏洞变得更加困难。 该团队最近报告了影响 Google Pixel 和三星 Galaxy 智能手机的 Android 漏洞。当设备处于非活动状态时，该漏洞可用于窃取数据并监视用户。 当设备关闭或打开后未解锁时，设备被视为“静止”。在这种状态下，隐私保护非常高，并且设备的功能受到限制，因为加密密钥尚未被可供安装的应用程序使用。 重新启动后的首次解锁会将许多加密密钥移至缓存中，从而允许应用程序正确运行并使设备从休眠状态唤醒。GrapheneOS 团队指出，使用设备后锁定屏幕并不会使其恢复到静止状态，因为仍然存在一些安全异常。 重新启动设备会结束所有可被利用的临时状态、进程或操作，并需要进行 PIN、密码或生物识别验证等身份验证操作，从而恢复所有安全机制。 GrapheneOS 开发人员没有透露有关他们发现的可利用固件漏洞的详细信息，但他们提出了一个在大多数情况下有效的通用解决方案：GrapheneOS 操作系统中已经存在的自动重启功能。 该功能的目的是通过比用户更频繁地重置所有设备安全系统来最大程度地减少攻击者的机会。GrapheneOS 自动重启系统每 18 小时重置一次设备。 GrapheneOS 发言人解释说，虽然 GrapheneOS 由于硬件限制无法直接修复固件错误，但新功能提供了重启时固件内存擦除功能，并提供了管理 API 改进，可以更安全地擦除设备中的数据。 GrapheneOS 还指出，许多人认为智能手机上的飞行模式可以降低受到攻击的风险，但实际上通常仍然允许通过 Wi-Fi、蓝牙、NFC 和 USB 以太网进行数据交换。根据攻击向量的不同，飞行模式可能不是有效的防御措施。 开发人员还涉及与设备加密和安全系统相关的 PIN 和密码安全主题，因为此类身份验证方法被用作加密设备数据的密钥。使用短 PIN 码和密码来防止隐藏的暴力破解非常重要，这不仅可以解锁屏幕，还可以解锁设备芯片上的受保护区域。 作为 Android 漏洞奖励计划 (VRP) 的一部分，GrapheneOS 团队向 Google 报告了发现的漏洞。该公司正在审查和确定后续步骤。 经常重新启动 Android 或 iOS 设备已被认为是解决过热、内存或通话信号障碍等问题的有效方法。从安全角度来看，此操作可以防止攻击者恢复数据或对不具备有效恢复机制的移动设备造成其他威胁。 因此，GrapheneOS 在 Android 中引入自动重启功能的提议，是基于对该过程作为提高设备安全性手段的重要性的理解。重启不仅有助于解决常见的技术问题，而且还是对抗数据安全和用户隐私潜在威胁的关键要素。   转自安全客，原文链接：https://www.anquanke.com/post/id/292653 封面来源于网络，如有侵权请联系删除

谷歌在2024年初发布了针对 Android 平台 58 个漏洞的补丁，并修复了 Pixel 设备中的 3 个安全漏洞。 2024年1月的首次安全更新于1月1日发布，着重修补了系统框架和组件中的10个被评定为“高危”的安全漏洞。 谷歌在其公告中指出：“这些问题中最严重的是框架组件中的一个高安全漏洞，可能会导致未授权的本地权限提升。” 该安全更新解决了框架组件中的五个缺陷，包括四个权限提升和一个信息泄露错误。系统组件中还解决了其他五个问题，包括一项特权提升和四项信息泄露缺陷。 更新的第二部分，即 2024 年 1 月 5 日安全补丁级别，包括针对 Arm、Imagination Technologies、MediaTek、Unisoc 和 Qualcomm 组件中的 48 个漏洞的补丁。 虽然大多数已解决的错误的严重性评级为“高”，但高通组件中的三个问题被评级为“严重”。 所有经过2024年1月5日安全补丁更新的设备都已经得到全面修复，不仅解决了这次的问题，还包括之前所有 Android 的安全补丁。 本月，谷歌修复了影响 Pixel 设备的三个安全缺陷，所有缺陷均由高通组件构成，且全部被评为“中等严重性”。 运行安全补丁级别为 2024 年 1 月 5 日的 Pixel 设备已针对这些缺陷进行了修补，同样得到修补的还有 Android 2024 年 1 月安全公告中详细介绍的所有错误。 谷歌还宣布修复了 Wear OS 中的一个高严重性漏洞，该漏洞作为更新的一部分得到解决，该更新还包括 Android 2024 年 1 月安全更新的补丁。 所有这些缺陷也通过 Pixel Watch 设备的 2024-01-05 补丁级别更新得到解决。 尽管谷歌没有提到这些漏洞是否被实际利用，但强烈建议用户尽快更新他们的设备以确保安全。   转自安全客，原文链接：https://www.anquanke.com/post/id/292568 封面来源于网络，如有侵权请联系删除

McAfee 移动研究团队发现了一个名为 Xamalicious 的新型安卓后门，它能够完全控制设备并执行欺诈行为。该恶意软件是利用 Xamarin 实现的，这是一个开源框架，允许使用 .NET 和 C# 构建安卓和 iOS 应用程序。 Xamalicious 通过社会工程学手段获取辅助功能权限，然后连接到 C2 以评估是否下载第二阶段的有效载荷。恶意有效载荷在运行时以装配 DLL 的形式动态注入，以完全控制设备并执行广泛的欺诈行为，例如点击广告和安装应用程序。 第二阶段的有效载荷利用在第一阶段获得的强大辅助功能服务来完全控制被感染设备。恶意代码还支持主 APK 的自更新机制，使威胁非常多样化。 专家们发现了 Xamalicious 与广告欺诈应用“Cash Magnet”之间存在联系，黑客利用此应用控制设备点击广告、安装应用程序和执行其他操作以获取收入。 研究人员认为，黑客出于经济动机开发了该后门软件。 使用 Xamarin 框架使得黑客能够长时间不被发现。他们还采用了各种混淆技术和定制加密，以避免被检测。 McAfee 发现了大约 25 个不同的恶意应用，其中一些自 2020 年年中以来就已经被上传到 Google Play。谷歌已经迅速将这些恶意软件应用从 Google Play 上移除。 “根据这些应用的安装数量，它们可能已经在 Google Play 上损害了至少 32.7 万台设备，还有从第三方市场下载的安装，这些市场根据 McAfee 客户在全球范围内的检测数据不断产生新的感染。” McAfee 发布的报告中写道。“Android/Xamalicious 木马应用与健康、游戏、星座和生产力相关。这些应用中的大多数仍然可以在第三方市场上下载。” 为了规避分析和检测，该恶意软件对所有的 C2 通信进行了加密。这种加密不仅限于 HTTPS 保护，还利用了 RSA-OAEP 和 128CBC-HS256 算法加密的 JSON Web Encryption（JWE）令牌。然而，研究人员注意到 Xamalicious 使用的 RSA 密钥值是硬编码在反编译的恶意 DLL 中的，这使得在分析期间如果 C2 基础架构是可访问的，就可以解密传输的信息。 大多数感染发生在美国、巴西、阿根廷、英国、西班牙和德国。 “使用 Flutter、React Native 和 Xamarin 等非 Java 代码编写的 Android 应用会为恶意软件作者提供额外的混淆层，他们有意选择这些工具以避免被检测，并试图保持在安全供应商的监测范围之外，从而保证这些恶意软件不被移除。” 报告总结道。“在一般情况下，建议用户不要使用需要辅助访问权限的应用程序，除非出于特定需求。如果一个应用程序试图在没有充分理由的情况下激活辅助功能，并且要求用户忽略操作系统的安全警告，那么这个应用程序可能存在重大安全风险。” 消息来源：securityaffairs，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 已发现一种新的 Android 后门，该后门具有强大的功能，可以在受感染的设备上执行一系列恶意操作。 该恶意软件被 McAfee 移动研究团队称为 Xamalicious ，之所以如此命名，是因为它使用名为 Xamarin 的开源移动应用程序框架开发，并滥用操作系统的可访问性权限来实现其目标。 它还能够收集有关受感染设备的元数据，并联系命令和控制（C2）服务器以获取第二阶段有效载荷，但前提是要确定它是否符合要求。 安全研究员 Fernando Ruiz 说，第二阶段是“在运行时级别动态注入程序集DLL，以完全控制设备，并可能执行欺诈行为，例如点击广告，安装应用程序，以及其他未经用户同意出于经济动机的行为。” 这家网络安全公司表示，它确定了 25 个带有这种主动威胁的应用程序，其中一些应用程序自 2020 年中期以来在官方 Google Play 商店中分发。据估计，这些应用程序至少被安装了 327,000 次。 大多数感染报告发生在巴西、阿根廷、英国、澳大利亚、美国、墨西哥以及欧洲和美洲其他地区。下面列出了一些应用程序 ： Essential Horoscope for Android (com.anomenforyou.essentialhoroscope) 3D Skin Editor for PE Minecraft (com.littleray.skineditorforpeminecraft) Logo Maker Pro (com.vyblystudio.dotslinkpuzzles) Auto Click Repeater (com.autoclickrepeater.free) Count Easy Calorie Calculator (com.lakhinstudio.counteasycaloriecalculator) Sound Volume Extender (com.muranogames.easyworkoutsathome) LetterLink (com.regaliusgames.llinkgame) NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS (com.Ushak.NPHOROSCOPENUMBER) Step Keeper: Easy Pedometer (com.browgames.stepkeepereasymeter) Track Your Sleep (com.shvetsStudio.trackYourSleep) Sound Volume Booster (com.devapps.soundvolumebooster) Astrological Navigator: Daily Horoscope & Tarot (com.Osinko.HoroscopeTaro) Universal Calculator (com.Potap64.universalcalculator) Xamalicious 通常伪装成健康、游戏、星座和生产力应用程序，是滥用 Android 辅助功能服务的一长串恶意软件系列中的最新一个。这种软件在安装时会请求用户授权辅助功能权限，以执行其任务。     “为了逃避分析和检测，恶意软件作者加密了 C2 和受感染设备之间传输的所有通信和数据，不仅受到 HTTPS 保护，还使用 RSA-OAEP 和 128CBC-HS256 算法将其加密为 JSON Web 加密（JWE）令牌”，Ruiz 指出。 更令人不安的是，第一阶段的 dropper 包含自我更新主 Android 软件包（APK）文件的功能，这意味着它可以被武器化，以充当间谍软件或银行木马，而无需任何用户交互。 McAfee 表示，它发现了 Xamalicious  与名为 Cash Magnet 的广告欺诈应用程序之间的联系，该应用程序促进了应用程序下载和自动点击活动，通过点击广告非法赚取收入。 “使用非 Java 代码编写的 Android 应用程序以及 Flutter、react native 和 Xamarin 等框架可以为恶意软件作者提供额外的混淆层，这些作者故意选择这些工具来避免检测，并试图保持在安全供应商的雷达之下，保持他们在应用程序市场上的存在”，Ruiz 说。 Android 网络钓鱼活动使用银行家恶意软件针对印度 此次披露之际，这家网络安全公司详细介绍了一项网络钓鱼活动，该活动使用 WhatsApp 等社交消息应用程序来分发冒充印度国家银行（SBI）等合法银行的恶意 APK 文件，并提示用户安装它们以完成强制性的客户身份验证（KYC）程序。 安装后，该应用程序会要求用户授予其与短信相关的权限，并重定向到一个虚假页面，该页面不仅捕获受害者的凭证，还捕获他们的帐户、信用卡/借记卡和国民身份信息。 收集的数据与截获的 SMS 消息一起被转发到参与者控制的服务器，从而允许对手完成未经授权的交易。 值得注意的是，微软上个月警告了一场类似的活动，它利用 WhatsApp 和 Telegram 作为分发渠道，针对印度在线银行用户。 研究人员 Neil Tyagi 和 Ruiz 表示：“印度强调了这种银行恶意软件在该国数字环境中构成的严重威胁，我们在世界其他地方发现了一些攻击，可能来自居住在其他国家的印度 SBI 用户。”   消息来源：thehackernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

已发现的漏洞一旦被利用，将构成严重风险，可能导致未经授权访问敏感信息。 印度计算机应急响应小组（CERT-IN）在最近发布的一份公告中，就影响印度安卓用户的新安卓漏洞发出了重要警告。 该警告对使用安卓 11、12、12L、13 和 14 版本的用户尤为重要，这些版本在目前使用的安卓设备中占很大比例。 已发现的 Android 漏洞如果被成功利用，将带来巨大风险，包括可能导致未经授权访问敏感信息、权限提升，以及助长对目标系统的拒绝服务攻击。鉴于这些安全问题，我们强烈呼吁 Android 用户保持警惕并采取必要的预防措施。 CERT-IN 公布的重要 Android 漏洞 根据CERT-IN于11月14日发布的声明，这些Android关键漏洞的源头在于Android操作系统的框架、系统、Google Play系统更新、内核LTS、Arm组件、联发科组件、高通组件和高通闭源组件中的漏洞。 这些漏洞具有广泛性，会影响 Google Play 系统更新、框架、系统等关键组件以及与不同硬件制造商相关的组件。如此广泛的影响，加剧了对安卓设备安全的整体威胁。 网络安全专家正在积极努力解决这些漏洞，并强调安卓用户需要在安全补丁发布后立即更新他们的设备。 在网络威胁日益频繁的时代，面对这些新的网络安全挑战，采取积极主动的措施对于保护个人信息和确保 Android 设备不被入侵至关重要。 如何保护设备免受这些安卓漏洞的攻击？ CERT-IN将继续密切关注这一情况，并强烈建议安卓用户保持警惕，采取必要的安全措施保护自己的设备免受潜在漏洞的攻击。 该机构表示，成功利用这些漏洞可能导致未经授权访问敏感信息、提升攻击者权限以及对目标系统发起拒绝服务攻击。 正如上周发布的安卓安全公告所示，谷歌也承认了这些高危漏洞。作为回应，谷歌正在为所有安卓用户发布安全更新，以解决这些问题。 为确保设备安全，Android 用户最好定期检查更新。用户可以在 “设置 “应用程序中找到自己设备的 Android 版本号、安全更新级别和 Google Play 系统级别。当更新可用时，用户会收到通知，然后及时检查更新。   转自Freebuf，原文链接：https://www.freebuf.com/news/384019.html 封面来源于网络，如有侵权请联系删除

谷歌近日宣布了Google Play Protect新的实时扫描功能，使恶意应用程序更难利用多态性逃避检测。 这为所有Android用户提高安全性走出了重要的一步，期待能借此有效减少平台上的恶意软件感染次数。 实时代码扫描 谷歌的Play Protect平台是Android内置的保护系统，专门用于在设备上扫描无用的软件和恶意软件，其每日会进行1250亿次扫描并得出一定数据。 关于 Play Protect 的警告 问题在于，在 Google Play 以外推广的恶意应用程序的作者采用了人工智能和多态恶意软件，它们经常改变恶意程序中的可识别信息，以绕过自动安全平台，使这些扫描失效。 一旦这些应用程序被安装到用户的设备上，它们就会从外部资源获取额外的代码，在后检查阶段完成其恶意功能，而在这一阶段，没有任何机制可以阻止它们。 不过，谷歌在发布后也表示，他们会重新审查应用程序，包括收集动态代码加载的信号，以便在发现这种行为时保护用户。 为此，Google 现在专门增强了 Play Protect 功能，使其能够在代码级执行实时扫描，并增加了对以前未扫描过的应用程序执行扫描的建议。 扫描将从应用程序中提取信号，将其发送到 Play Protect 后端基础架构进行深入的代码级分析，并返回应用程序安全性的结果。 谷歌此前曾表示：他们的安全保护和机器学习算法会从提交至谷歌审查的每个应用程序中进行学习，谷歌会查看大量的信号，并比较每个应用程序的行为。 谷歌 Play Protect 在不断改进每一个被识别的应用程序，这样能够加强谷歌对于整个安卓生态系统的保护。 此外，增强型 Play Protect 扫描仪还将利用静态分析、启发式方法和机器学习来识别表明存在恶意活动的模式，并将从应用程序中提取的信号作为其人工智能驱动分析的关键输入。 尽管如此，仍有一些恶意应用程序可能会通过在下载恶意代码之前增加长时间的延迟或其他行为来躲过新系统的检查。 Google Play Protect 的实时代码级扫描功能现已在印度和其他部分国家推出，并将在未来几个月逐步在全球推广。Play Protect 适用于大多数安卓设备，包括安卓 5 及更高版本，并将定期进行版本更新。   转自Freebuf，原文链接：https://www.freebuf.com/news/381143.html 封面来源于网络，如有侵权请联系删除

ThreatFabric的研究人员发现了一项向美国和世界各地的安卓用户传播Xenomorph恶意软件的新活动。2022年2月，ThreatFabric的研究人员首次发现了Xenomorph恶意软件，该恶意软件通过官方 Google Play商店分发，安装量超过50000次。 专家们注意到，Xenomorph在2022年期间不断改进，并在小型活动中分发。运营商首先通过GymDropper操作分发安卓恶意软件，后来恶意代码也通过Zombinder操作分发。 3月，专家警告称，一种新的变种被追踪为Xenomorph.C，该变种已得到显著改善。新变种支持新的自动转账系统（ATS）框架，可针对400多家银行和金融机构，主要来自西班牙、土耳其、波兰、美国、澳大利亚、加拿大、意大利、葡萄牙、法国、德国、阿联酋和印度。 这个新版本的恶意软件为已经功能丰富的Android Banker添加了许多新功能，最引人注目的是引入了一个由辅助功能服务提供支持的非常广泛的运行时引擎，实现了一个完整的ATS框架。有了这些新功能，Xenomorph现在能够完全自动化完成从感染到资金流出的整个欺诈链，使其成为流通中最先进、最危险的安卓恶意软件特洛伊木马之一。 此外，ThreatFabric识别的样本包括由400多家银行和金融机构组成的目标列表的配置，其中包括几个加密货币钱包，与之前的变体相比增加了6倍多，包括来自各大洲的金融机构。 ATS框架允许运营商自动过滤凭据、检查账户余额、进行交易和从目标应用程序中窃取资金，而无需运营商进行人工交互。 2023年8月，ThreatFabric发现了通过网络钓鱼网页分发的新样本，这些网页旨在诱骗收件人安装恶意APK。目标列表比以前的版本大。该列表为来自美国、葡萄牙和多个加密钱包的机构添加了数十个新的覆盖层。还针对西班牙、葡萄牙、意大利、加拿大和比利时的用户。 这场最新的活动还增加了大量来自美国的金融机构，以及多个加密钱包应用程序，每个样本总共有100多个不同的目标，每个目标都使用特制的覆盖层从受害者受感染的设备中窃取宝贵的PII。恶意软件是通过冒充Chrome更新的网络钓鱼页面发布的。 在调查该活动时，研究人员注意到，威胁行为者犯了一个重要错误，即无限制地暴露了包含分发恶意软件所需文件的服务器文件夹。这使得研究人员能够监控服务器，识别出多个文件。其中一个名为count.txt的文件包含一个条目列表（IP、用户代理和日期），这些条目是试图下载网络钓鱼页面有效负载的目标系统的列表。大部分下载来自西班牙。 Xenomorph的新样本没有对之前的迭代进行重大修改。这些示例支持防睡眠功能和“模拟”功能。后一个功能为恶意软件提供了充当任何其他应用程序的选项，并删除了通常与恶意软件相关的行为。 最新示例中的另一个新功能是“ClickOnPoint”，它允许恶意软件模拟特定屏幕坐标下的点击。 报告总结道：“经过数月的中断，Xenomorph又回来了，这一次的分销活动针对的是他们感兴趣的一些地区，如西班牙或加拿大，并增加了一大批来自美国的目标，以及多个新的加密钱包。Xenomorph保持着极其危险的安卓银行恶意软件的地位，其特点是具有非常通用和强大的ATS引擎，已经创建了多个模块，并支持多个制造商的设备。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/Qsx4ew3I2OxwHQZEc8u25g 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 自2023年6月下旬以来，一种名为MMRat的安卓银行木马被发现瞄准东南亚的移动用户，远程控制设备并进行金融欺诈。 该恶意软件以其独特的软件包名称com.mm.user命名,它可以捕获用户输入和屏幕内容，还可以通过各种技术远程控制受害者设备，使其操作员能够在受害者的设备上进行银行欺诈。”Trend Micro公司表示。 MMRat的与众不同之处在于，它使用了一种基于协议缓冲区(又名protobuf)的定制命令与控制(C2)协议，可以有效地从受感染的手机传输大量数据。这表明安卓恶意软件变得越来越复杂了。 根据网络钓鱼页面中使用的语言，该软件可能的目标包括印度尼西亚、越南、新加坡和菲律宾。 MMRat通常伪装成官方政府或约会应用作为它的攻击的入口点，目前尚不清楚受害者是如何被引导到这些链接的。 这款应用严重依赖Android辅助服务和MediaProjection API，而这两种API都被另一款名为SpyNote的Android金融木马所利用。恶意软件还能够滥用其访问权限来授予自己其他权限和修改设置。 紧接着，它会进一步设置持久性，以便在重新启动之间存活下来。然后MMRat会启动与远程服务器的通信以等待指令，并将这些命令的执行结果传回给远程服务器。该木马利用不同的端口和协议组合来实现数据泄露、视频流和C2控制等功能。 MMRat具有收集广泛的设备数据和个人信息的能力，包括信号强度、屏幕状态、电池状态、安装的应用程序和联系人列表。人们怀疑，在进入下一阶段之前，攻击者会利用这些细节来进行某种形式的受害者侧写。 攻击结束后，MMRat会收到C2命令UNINSTALL_APP并删除自己。这通常发生在成功的欺诈交易之后，可以有效地从设备中删除所有感染痕迹。 为了减轻这种强大的恶意软件带来的威胁，建议用户只从官方来源下载应用程序，仔细审查应用程序评论，并在使用前检查应用程序请求访问权限。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

为了从根本上缓解伪基站攻击风险，更好地保护用户移动数据和通信，谷歌近日宣布即将推出的Android14将增加两大新的蜂窝网络安全功能，预计将于本月晚些时候推出。 Android14的两大新安全功能分别是： 允许消费者和企业关闭其设备或托管设备群上对2G移动网络的支持 在调制解调器级别禁用对空密码（未加密）蜂窝连接的支持。 谷歌的声明中写道：“Android是第一个为消费者和企业引入先进的蜂窝安全缓解措施的移动操作系统。” “Android14引入了对IT管理员的支持，以在其托管设备群中禁用2G支持，并且还引入了禁用对空加密蜂窝连接的功能。” 禁用2G移动网络，以防范伪基站 谷歌在声明中强调了伪基站和“黄貂鱼”攻击的风险，因为这些攻击可以通过窃听网络流量来拦截用户的数据、语音和短信。 黄貂鱼攻击使用一种蜂窝基站模拟器（伪基站），可以模仿手机基站来欺骗信号范围内的设备与其连接，从而拦截敏感的个人数据，例如呼叫元数据、短信和语音呼叫内容、数据使用和浏览历史记录以及设备IMSI。 黄貂鱼攻击在4G网络中已得到很大程度的缓解。然而，由于用户的手机网络连接仍有可能被降级到2G，因此攻击者依然可以借助伪基站发动中间人攻击。 谷歌此前在Android12上提供了关闭2G连接的选项，方法是“设置→网络和互联网→SIM卡→允许2G”。 在Android13中，该选项位于“设置→网络和互联网→SIM→[选择SIM]→允许2G”。 从Android14开始，管理设备群的人员（例如政府机构、企业实体或其他组织）可以限制其控制下的所有Android设备上的2G连接降级。 关闭2G网络的选项将添加在AndroidEnterprise的200多个控件中，其功能包括禁用WiFi、蓝牙和USB数据信号传输。 在过去的几年里，黄貂鱼攻击变得越来越普遍，执法和监控公司纷纷利用黄貂鱼攻击来监视手机，因此Android14新增的蜂窝网络安全功能受到很多企业安全人员的欢迎。 阻止未加密的蜂窝网络 虽然Android上所有基于IP的用户流量都是端到端加密的，可确保任何拦截都不会导致数据泄露，但谷歌警告称，某些通信类型（例如电路交换语音呼叫和SMS消息）仍可能暴露在蜂窝网络上。 暴露的数据通常受到蜂窝链路层密码的保护，但用户无法控制或查看该密码，因此其强度和可靠性值得怀疑。 此外，最新报告显示，空密码（无加密）在商业移动网络中并不少见，用户通信数据会以明文和易于阅读的形式暴露给能够拦截数据的人。 为了缓解空密码蜂窝网络的风险，Android14引入了一项新功能，允许用户在采用最新无线电硬件抽象层(HAL)的设备上，从调制解调器级别关闭空密码连接。 与禁用2G移动网络的功能一样，用户的紧急呼叫仍然可以降级为空密码连接，以避免危及用户的安全。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/aQwquYZsIwxgNae7LvVNJA 封面来源于网络，如有侵权请联系删除