两名安全研究人员 Alexander Bolshev 和 Ivan Yushkevich 去年从 Google Play 里随机选择了 34 款企业应用进行研究，应用的开发商包括工业控制系统供应商西门子和施耐德电气。他们从应用里发现了 147 个安全漏洞。研究人员没有披露哪家公司的情况最严重，也没有披露存在漏洞的具体应用。 研究人员表示只有两个应用没有发现漏洞。他们发现的一些漏洞允许黑客干扰应用与机器或关联进程之间的数据流。举例来说，通过干扰数据，工程师可能会误以为实际已过热的机器仍然运行在安全温度阈值内。 另一个漏洞允许攻击者在移动设备上植入恶意代码，向控制机器的服务器发出恶意指令。严重的话可能会造成流水线的混乱或导致炼油厂发生爆炸。这只是极端的假设。研究人员表示他们已经联系了相关企业，其中一些已经修复漏洞，另一些则没有回应。 稿源：cnBeta、solidot，封面源自网络。

卡巴斯基实验室本周一（ 12 月 18 日）发布博文表示，发现一种名为 Loapi 的功能强大的木马病毒，其具备多重攻击手段、能够利用被感染设备挖掘加密货币、发起 DDos 攻击等，甚至于对存在该木马病毒智能手机也会造成物理损坏——使感染病毒时间超过两天的手机电池膨胀。   伪装成杀毒软件和色情应用程序感染设备 研究人员介绍，恶意开发人员利用 Loapi  挖掘加密货币、用固定广告骚扰用户、启动拒绝服务 ( DoS ) 网络攻击、访问文本消息并连接到网络。当用户被重定向到攻击者的恶意网络资源后，会自动下载恶意文件。据悉，存在  Loapi  的恶意软件可以伪装成至少 20 种不同的杀毒软件和色情应用程序去感染用户设备。 在用户安装假冒的应用程序的过程中，应用程序会尝试获取设备管理员权限， 通过循环弹框直到用户同意授权为止。随后，Loapi 将其图标隐藏在菜单中或模拟各种防病毒活动，试图让用户相信该应用程序是合法的。而具体的行为特征则取决于它所伪装成的应用程序类型，如下图： 具备强大的自我保护机制 研究发现，木马病毒 Loapi 能够积极地对抗任何想要撤销设备管理权限的企图，每当用户试图取消这些权限时，恶意应用程序将会锁定屏幕并使用设备管理器设置关闭窗口，并执行以下代码： 同时该木马还能够从其 C＆C 服务器接收一个危险的应用程序列表用于监听某些应用程序的安装和启动， 例如当木马 Loapi 检测到一个真正的反病毒应用程序，它会谎称其是恶意软件，并循环弹框迫使用户卸载该反病毒应用程序。 开采 Monero （门罗币） 导致手机电池膨胀 根据卡巴斯基实验室的说法，木马 Loapi 具备挖掘加密货币的功能，能够利用被感染设备的计算资源挖掘数字货币 Monero（门罗币），也正是这种功能甚至导致了设备电池膨胀，以至于对手机造成物理损害。 据研究人员介绍，Loapi 似乎是 2015 年发现的一个 “ Podec ” 木马的新版本，堪称恶意 Android 应用程序界中的一朵  “ 奇葩 ”。  感染木马病毒后的手机设备，两天后出现电池膨胀现象 Loapi 的开发者几乎用上了我们能够想到的所有手段对攻击设备进行攻击：该木马可以使用户订阅付费服务、任意发送短信、产生流量并通过展示广告赚钱、利用设备的计算能力来挖掘加密货币、并在互联网上进行各种活动。目前唯一缺少的行为就是 “ 间谍活动 ”，但是此类木马专业且模块化的体系结构意味着它随时都能添加这种功能。 所幸，目前 Loapi 被发现只潜伏于第三方应用商店 ，尚未出现在 Google App Store 中。但即使是在官方商店下载应用程序，用户也需时刻保持警惕，因为恶意软件随时可能会出现各种木马漏洞。 消息来源： IBTimes、securelist，编译：榆榆，校审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

苹果于 10 月 31 日向开发者发布了 iOS 11.2 第一个测试版。据悉，iOS 11.2 修复了计算器应用在快速输入时，会导致运算结果出错的 Bug。计算器 Bug 在 iOS 11 测试阶段就存在，直到 iOS 11.2 发布前，一直没有被修复。当我们在计算器应用中快速输入一些数字和运算符号时，有一些字符会被忽略。我们可以尝试一下输入1+2+3，并快速点击等于，结果并不是6。 当然，如果你每个字符都停顿一下，还是可以得到正确的结果。这个问题主要是因为动画的延迟导致两个或更多个数字添加到一起，所以1+2+3在快速输入时会得到 24 这个结果。这个问题会影响很多计算，除非用户慢慢的输入每个字符。 研究人员表示，问题出现在按钮亮起的动画阻碍了触控操作，直到动画效果完成。iOS 的这种动画等待操作的机制也让整体应用体验更流畅。目前，在 iOS 11.2 中，苹果移除了计算器 app 的动画效果，从而彻底解决了这个问题。 稿源：cnBeta、MacX，封面源自网络；

据外媒报道，赛门铁克 Dinesh Venkatesan 近期公布一份安全报告，声称 Trojan Development Kit app for Android（即针对 Android 平台开发木马开发套件软件）提供了一个极易使用的界面。目前，它正在中国的社交网络平台上传播，其整个过程不需要用户编写任何代码，而这一切均可在智能手机上就能完成。 该软件可以定制勒索信、解密密匙、图表、代码算术运算以及在主机设备上播放动画类别内容等。当填好所有信息之后，用户就能按下 “ Create（生成）” 这个按钮。赛门铁克的这篇文章指出，虽然目前这款软件的目标是中文用户，但修改界面语言非常简单并且它未来还将有可能出现在其他方言地区。 Venkateswaran 解释称，这些应用不仅能让那些经验不足但却有野心的网络犯罪提供帮助，甚至连老练的恶意软件开发者也发现这些易于使用的工具包是一种有效的替代方式。另外，他还称，随着这些开发工具包的不断普及，未来在移动客户端出现的勒索软件种类将会变得越来越多。 稿源：cnBeta，封面源自网络；

今年 4 月，某互联网公司向广东警方举报，一款名为 “ 某涩影音 ” 的手机 App 在网上蔓延，该软件以播放色情视频为诱饵，引诱用户下载安装，之后通过充值升级会员等级的手法实施诈骗。  App 会先播 20 秒左右的小视频，20 秒后会让你充值，因为第一次充值 30 多块钱，很多人都会接受这个价格 ，犯罪分子正是抓住了用户的这种心理，当用户充值完以后，犯罪分子会提供另一段 20 到 30 秒左右的影像，紧接着会再要求用户充值，如此循环。 仅短短 1 个月的时间内，该犯罪团伙控制的公司账单流水高达 1.2 亿元，每天有上万人被骗。经侦查， 5 月上旬，公安机关进行收网，将第四方支付平台 “ 某发啦 ” 的老板潘某强及涉案公司股东、法人代表、主要财务和技术人员全部抓获归案。随后，专案组乘胜追击，对全国各地的代理商和渠道商发起总攻，在福建等 11 个省份抓获嫌疑人 50 余人。截至目前，已抓获犯罪嫌疑人 100 余人，冻结银行资金约 5100 多万，止付银行账号约 190 余个。 经过警方侦查发现，该 App 从 2016 年 10 月份上线以来，为了更快推广，犯罪分子通过与各个“广告联盟”合作，将 App 挂在其广告联盟平台上。用户点击广告，就会弹出下载 App 窗口，公司以点击、展示、跳转量来结算，每天给广告联盟几百至五千元不等。同时，该犯罪团伙还发展了大量代理商、渠道商群体，代理与渠道商主要负责推广 App，一个渠道商拿到多个渠道后，就升级为代理商。 稿源：、央视新闻，稿件以及封面源自网络

安全研究人员开发的 verify.ly 服务通过扫描 iOS App Store 中的应用发现，有 76 款知名的应用存在安全漏洞，数据传输容易被拦截。无论 App Store 开发者是否使用  App Transport Security（应用传输安全功能），安全漏洞都存在。verify.ly 服务专门帮助开发者扫描 iOS App Store 中的应用，并帮助开发者增强应用安全性。今天的发现令人真震惊，因为这 76 款应用在 App Store 的累积下载量超过了 1800 万。 iOS 系统的 App Transport Security 功能无法帮助阻止这个安全漏洞。App Transport Security 在 iOS 9 中出现，主要帮助提升用户安全性和隐私，简单的说，这个功能强制应用使用 HTTPS。这次出现的安全漏洞问题是因为错误配置网络代码导致的，错误的网络代码导致苹果 App Transport Security 一直认为连接是安全的 TLS 连接，即使连接不是。因为安全问题，Strafach 并没有公开存在安全漏洞的应用名单。 稿源：cnBeta；封面来源于网络

工业和信息化部信息中心 1 月 26 日通过微博公布消息称，2016 年四季度工信部对 46 家手机应用商店的应用软件进行技术检测，发现违规软件 34 款，涉及违规收集使用用户个人信息、恶意“吸费”、强行捆绑推广其他无关应用软件等问题，这些不良软件已被全部责令下架并公开曝光。其中包括小米应用商店、新浪应用中心、豌豆荚、百度手机助手等知名软件商店都被发现存在不合格 App。 游戏类应用占据此次被下架不合格 App 的较大比例，另外也不乏教程类、优化类、锁屏壁纸类的工具型 App，可见恶意吸费、非法收集用户个人信息的应用类型依然覆盖面较广。 值得注意的是，工信部此次公布的名单可能也还是冰山一角，且仅靠工信部的管控处理仍然会有各种漏网之鱼，对吸费软件恶意应用的严打依然是任重道远，需要各方加大力度配合推进。 稿源：cnBeta，有删改；封面：百度搜索

挪威互联网安全公司 Promon 日前指出，特斯拉为其电动汽车定制的专属应用(App)实为一把“双刃剑”。在为车主提供方便的同时，它也可能被盗车贼利用。 Promon 首先在特斯拉超级充电站附近建立一个免费的 WiFi 热点，然后发起一个虚假的免费提供汉堡的促销活动，以吸引周围的人在其网络上注册。接下来，Promon 将恶意软件安装到热点用户的移动设备上，不知不觉中就窃取了特斯拉车主的用户名和密码。通过这种方法，黑客还能窃取车主手机上的银行账户和电邮账户的登录信息，以及其他敏感信息。 Promon 创始人兼首席技术官汤姆·莱斯莫斯·汉森(Tom Lysemose Hansen)称：“取消实体钥匙与银行和支付行业的做法是一样的，实体货币正在被移动货币所取代。但我们认为，特斯拉和汽车行业需要提高其应用的安全等级。” Promon 还表示，目前正与特斯拉进行密切对话。特斯拉一位发言人称，特斯拉已经意识到该问题。到目前为止，还没有车主报告称有黑客试图通过专属应用来盗取汽车。 稿源：，稿件以及封面来源：百度搜索