梆情报：美国大片里的神奇魔力技术如何变为现实？

本期情报看点

①美国大片里的神奇魔力技术如何变为现实？日前，外媒motherboard刊文称，当警察想要访问一部手机，那么他们要做的可能只是打开箱子里的一台笔记本那么大小的设备，然后通过一根数据线将两者连接起来即可绕过设备主人设置的密码。就像变魔术一样，警方可以访问设备里的日志、短信记录甚至一些已经被删掉的数据。不过，想要获得这种魔术般的能力，美国国家警力得花上百万美元才行。据了解，Cellebrite（以色列的一家公司）销售的工具几乎涵盖了市场上所有的移动手机，它们可用于通讯录、邮件、删掉的短信等数据访问。另外，它还有部分产品能够绕过手机的密码或其他安全保护。一般情况下，警方都是在逮捕犯罪嫌疑人之后才会使用这些工具，但也存在一些滥用的情况。除了Cellebrite之外，美国警方还会从其他公司购置手机取证工具，比如专供苹果设备破解的BlackBag、Magnet Forensics、Paraben等等。

②漫威娱乐官方Twitter账号被黑客团队OurMine攻破。自称是白帽子的安全团体 OurMine 声称，他们刚刚攻破了漫威娱乐(@Marvel Entertainment)和多位“超级英雄”的 Twitter 账号。OurMine 声称自己对攻破美队(Captain American)、钢铁侠(Tony Stark)、蚁人(Ant-Man)、复联(The Avengers)、无敌浩克(Incredible Hulk)等账号负责。在这些账号上，其发布了至少一条消息，称此举只是安全测试，且可通过电子邮件联系他们以提升安全性。此前，OurMine 曾高调拿下了 Netflix US 、Google CEO(Sundar Pichar)、以及 Facebook CEO(Mark Zuckerberg)等人的 Twitter 账号。

友情提示：

如需阅读详细内容，请复制链接至浏览器进行阅读。

漏洞时间

1、西门子Desigo PX和SIMATIC产品发现安全漏洞

http://www.securityweek.com/vulnerabilities-found-siemens-desigo-px-simatic-products

2、Exim 4.69-4.87隐私信息泄露漏洞

http://seclists.org/oss-sec/2016/q4/693

攻防论道

1、两个CVE案例分析：如何利用Android中的可信区域

http://bobao.360.cn/learning/detail/3327.html

2、移动银行木马现在加密超过2000个APP的数据

https://www.scmagazine.com/mobile-banking-trojan-now-has-encryption-and-is-targeting-over-2000-apps/article/580291/

3、Rootkit基础：从SYSCALL 到 HOOK

https://d0hnuts.com/2016/12/21/basics-of-making-a-rootkit-from-syscall-to-hook/

4、GNU Radio无线通信嗅探基础

http://bobao.360.cn/learning/detail/3324.html

5、物联网设备安全分析之MAX! Cube LAN Gateway篇

http://bobao.360.cn/learning/detail/3310.html

6、你所知道的PHP中的公钥加密是错误的

http://bobao.360.cn/learning/detail/3313.html

7、恶意软件经常使用的传播技术

https://www.virusbulletin.com/blog/2016/december/paper-spreading-techniques-used-malware/

8、恶意软件分析第二部分：在快捷方式中插入恶意脚本

https://www.phrozensoft.com/2016/12/shortcuts-as-entry-points-for-malware-poc-part-2-19

9、在低成本的家庭路由器上安装OpenWrt（或WiFi Pineapple）

https://medium.com/@tomac/install-openwrt-or-pine-apple-on-low-cost-wifi-router-67cbd26a1a15#.hiqijjmrk

10、黑客组织OurMine接管Netfix官方Twitter账户

http://news.softpedia.com/news/ourmine-hacks-netflix-s-twitter-account-511191.shtml

11、俄黑客组织利用安卓木马入侵乌克兰炮兵部队

http://www.cnbeta.com/articles/569889.htm

12、安全厂商警告新型垃圾邮件活动hailstorm威胁

http://www.securityweek.com/spam-hailstorms-deliver-variety-threats

安全资讯

1、漫威娱乐官方Twitter账号被黑客团队OurMine攻破

http://t.cn/RICiD50

2、Facebook推出无需短信两步身份认证功能组件

https://www.grahamcluley.com/facebook-instant-verification/

3、欧盟报告声称植入加密后门或使情况更加糟糕

https://www.techdirt.com/articles/20161219/13242936307/european-information-security-advisory-says-mandating-encryption-backdoors-will-just-make-everything-worse.shtml

4、美国警方为购买电话破解工具已花费上百万美元

http://t.cn/RICiFvc

5、大数据时代，你的个人信息安全吗？

http://t.cn/RICisO4

（信息来源于网络，梆梆安全搜集整理）