黑客的軍火庫也曾被盜，“驚天漏洞”的隱患有哪些？| shotgun專輯

本期雷鋒網專欄作者推薦： shotgun，著名安全公司啟明星辰副總裁，資深安全領域人士。

本期系列科普7篇：收納了轟動一時的三星內置SwiftKey漏洞、蘋果Xcode幽靈入侵、Hacking Team軍火庫被盜等黑客入侵事件，作者為我們解構了一個個“驚天漏洞”。

另外，如你有感興趣的雷鋒網專欄作者，請不吝評論留言，我們會在下次的系列中優先考慮。來，先來看看本期安全系列吧：

1、盜版軟件為什么會不穩定，死機藍屏是誰的錯？  （點擊閱讀文章）

盜版軟件經常不穩定是一個事實，原因很復雜，舉個栗子：

由于盜版軟件實際上有很大的可能會往系統或者軟件內部插入一段沒有經過充分測試的代碼，而且這段代碼的權限還頗高，操作也比較危險，因此，有相當的可能性會導致軟件或者系統不穩定。

2、“實名認證驚天漏洞”背后，支付寶搞錯了什么？ （點擊閱讀文章）

本周四，有支付寶用戶突然發現自己的支付寶賬號突然多了五個綁定賬號，而這些賬號都沒有經過他本人的認證。

換句話說，他是在完全不知情的情況下，其支付寶賬戶下就多了5個綁定賬戶，而他本人也沒有收到任何形式的通知消息，包括短信、郵件、或者登錄后的站內信息。

那么，這件事情背后，支付寶究竟搞錯了什么？

3、三星內置SwiftKey漏洞很嚴重？還有比這更嚴重的事情  （點擊閱讀文章）

三星內置SwiftKey的漏洞被視作一起非常嚴重的安全事件，而相對漏洞本身，雷鋒網更關注的是產生漏洞的背后：三星與“軟件供應商”、“定制運營商”三者之間如何協調，為何一個早早就被發現的漏洞，卻讓用戶長期處于裸奔無防護的狀態？

更嚴重的問題在于，這個觸摸鍵盤是系統內置的，既沒有辦法卸載，也不能通過禁用的方式來阻止其自動更新。

4、關于Hacking Team 被黑，這些事兒你可能還不知道   （點擊閱讀文章）

Hacking Team被黑，所謂的“互聯網的敵人”是怎樣的存在？針對此次事件，雷鋒網作者從安全專業角度出發，為我們解構Hacking Team 被黑的前因后果，作為小白又該如何防范？ 

那么，Hacking Team被盜了什么？簡單來說，就是軍火庫、帳房和衣櫥都被洗劫了！

5、追溯蘋果Xcode幽靈入侵根源：安全防線究竟出了什么問題？ （點擊閱讀文章）

近期XcodeGhost事件沸沸揚揚，大家都很關注此事的影響、后果和解決方案，可是這件事情的根源究竟是什么？還有沒有未被發現的其他類似安全隱患？未來如何防止同類攻擊的發生？

入侵者可以直接攻擊程序員的電腦，從而直接修改/替換特定的應用程序的代碼，這樣雖然沒有XcodeGhost的傳播范圍廣，惡意代碼卻會更加精準有針對性，也更難以被發現。

6、工行卡被盜刷分析：銀行卡里的錢是怎么丟的？  （點擊閱讀文章）

在支付交易的過程中，運營商、銀行、用戶，三者之間如何協作？哪個環節會出現紕漏？用戶銀行卡里的錢是怎么丟的？

銀行與運營商，客戶與銀行，運營商與客戶，只要留下數據痕跡，每一個環節都有可能出現紕漏讓攻擊者有機可乘。銀行希望提供更加便捷的小額支付服務，吸引更多的用戶使用 ；運營商希望提供更多的增值服務，從而形成長尾效應，創造更高的附加值。

7、蘋果系統嚴重漏洞，原因在于“應用間數據交換”  （點擊閱讀文章）

針對此次蘋果系統出現嚴重漏洞，黑客繞過沙箱， 竊取數千種應用程序的數據。原因并非那么簡單。

根據目前已經掌握的資料，本次漏洞為unauthorized cross- app resource access (XARA) ，“非授權跨應用資源訪問攻擊”，即：攻擊者可以通過偽造APP，欺騙用戶使用，從而竊取用戶的密碼和其他應用內的敏感信息。對于Mac OS，則還存在進一步修改用戶密鑰鏈和劫持網絡通訊的可能。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。