【阿里聚安全·安全週刊】全美警局已廣泛擁有破解 iPhone 的能力 | 女黑客破解任天堂Switch，稱硬件漏洞沒法修復

時間 2019-11-06

標籤阿里聚安全·安全週刊全美警局廣泛擁有破解 iphone 能力任天堂 switch 硬件漏洞沒法修復欄目 iPhone 简体版

原文原文鏈接

本週的七個關鍵詞： 破解 iPhone丨 女黑客破解任天堂丨假的身份證 丨 掃黃打非丨華盛頓特區發現手機間諜設備 丨 Telegram被俄羅斯監管機構告上法庭丨價值5萬美金的Firefox瀏覽器漏洞 數組

-1- 【iOS】 全美警局已廣泛擁有破解 iPhone 的能力瀏覽器

來源：MacX安全

------------------------------------------------------app

來自 Motherboard 的報道稱，目前全美範圍內的當地警署以及聯邦機構均可以很輕易的獲取到解鎖 iPhone 的專用工具，繞過加密手段輕鬆解鎖嫌疑人的 iPhone，即便設備更新至最新版的操做系統也沒有問題。工具

執法機關使用的是一種被稱做 GrayKey 的解密工具，據稱能夠在數小時內解鎖 4 位 iPhone 密碼，不過 6 位密碼可能須要花上兩三天時間。GrayKey 是由一家稱做 Grayshift 的初創公司開發的，其創始人 Braden Thomas 是前蘋果安全工程師，據稱其在蘋果五個專利中都有署名。加密

http://jaq.alibaba.com/community/art/show?articleid=1620spa

-2- 【硬件漏洞】女黑客破解任天堂Switch，稱硬件漏洞沒法修復操作系統

來源： Freebuf.COMhtm

------------------------------------------------------------------blog

因爲遊戲的付費模式，讓無數黑客樂此不疲的投身於破解主機的工做中去。近期，一位女性黑客正式宣佈已經破解任天堂Switch，適用於目前全部系統版本的Switch，並表示這是由NVIDIA Tegra芯片中的漏洞致使，已出廠的Switch主機沒法經過系統更新修復。

Kate Temkin深知這次漏洞的影響重大，她決定給與廠商足夠的反應時間，而後纔會公佈這個漏洞的詳情。她在我的博客上表示，對於此漏洞，她沒有接受任何獎勵或者賞金，也沒有簽署任何關於Switch的保密協議，而且將來也不會有這種打算。

若是真如Kate Temkin所述，已出廠的Switch再也不可以經過系統更新來解決此漏洞的話，就意味着大量的Switch用戶均可以利用此方法對主機進行破解，安裝自制系統，盡情的享受免費破解遊戲甚至運行模擬器。

http://jaq.alibaba.com/community/art/show?articleid=1610

-3- 【Google】娛樂目的生成假的身份證？從此Play商城將封殺此類APP

來源：cnBeta

------------------------------------------------------------------------------

Google Play應用商城近日宣佈封殺虛假身份認證應用，包括身份證、駕駛證、行駛證等相關證件的虛假APP。目前存在於Play商城上的此類應用，大部分都是粗製濫造，並且存在不少的安全風險隱患。

根據Google開發者策略中心更新的最新條款：

咱們不容許任何應用幫助用戶誤導他人，包括但不限於生成或促使生成身份證、社會保障號、護照、文憑、信用卡和駕照的應用。

即便應用聲稱是「惡做劇」或「純屬娛樂」（或其餘相似描述），仍不能免除應用遵照咱們政策的要求。

http://jaq.alibaba.com/community/art/show?articleid=1616

-4- 【內容安全】全國「掃黃打非」辦推動開展「淨網2018」等三大專項行動

來源：新華網

------------------------------------------------------------------------------

記者9日從全國「掃黃打非」辦公室獲悉，爲推動「淨網2018」「護苗2018」「秋風2018」等專項行動深刻開展取得更大成效，全國「掃黃打非」辦公室做出專門部署，要求各地各部門即日起至11月，圍繞打擊非法有害出版活動、淫穢色情低俗信息、新聞「三假」和侵權盜版等重點任務，抓住人民羣衆高度關心的問題，緊盯網上網下重要傳播渠道，精準發力，重拳出擊，持續淨化社會文化環境。

http://jaq.alibaba.com/community/art/show?articleid=1613

-5- 【移動安全】美國土安全局在華盛頓特區發現手機間諜設備

來源：cnbeta.com

-------------------------------------------------------------------------------------

美國國土安全局(DHS)近日公開表示，他們在華盛頓特區發現了電子監控設備的存在。這些被稱爲國際移動用戶識別碼(IMSI)捕捉器的設備經過假裝成手機信號塔並截獲手機信號的方式來達到監聽通話和信息的目的。

做爲國家保護和計劃理事會(NPPD)的主席，Krebs還指出，他們還在首都以外的地方也發現了一樣的異常行動但並未提供具體的地點以及數量。

信件寫道：「NPPD認爲外國政府對IMSI捕捉器的使用將可能會威脅到美國國家和經濟安全。」

http://jaq.alibaba.com/community/art/show?articleid=1605

-6- 【加密】 拒不交出加密密鑰 Telegram被俄羅斯監管機構告上法庭

來源： cnBeta

--------------------------------------------------

俄羅斯媒體監管機構 Roskomnadzor 已經將總部位於迪拜的即時通信工具企業 Telegram Messenger LLP 告上了法庭，理由是該公司未交出它們的加密密鑰。在本週五於莫斯科提起的訴訟中，該監管機構提出了它們的要求 —— 限制 Telegram 對俄羅斯境內信息資源的使用。Roskomnadzor 曾援引俄羅斯聯邦安全局（FSB 是該國境內的首要安全機構）的請求稱 —— 爲解密該應用內的加密信息，須要用到 app 的加密密鑰。

Telegram 是一款擁有 2 億活躍用戶，目前在全球同類 app 中的排行爲第 9 位。因爲對消息採用了端到端加密，其在俄羅斯和中東都深受歡迎。

遺憾的是，這一特性也使得它被許多別有用心的人濫用，好比恐怖分子和分享兒童色情的人們。

http://jaq.alibaba.com/community/art/show?articleid=1608

-7- 【Pwn2Own】詳解Pwn2Own中價值5萬美金的Firefox瀏覽器漏洞

來源：嘶吼

--------------------------------------------------------------------------

在最近的Pwn2Own 2018比賽中，Richard Zhu僅僅使用一個漏洞就成功攻破了Mozilla Firefox。在比賽中他將錯誤交給Mozilla後，在不到24小時內他們迅速進行了更新。

該漏洞的核心是因爲407行內部for循環中的數組邊界檢查不足形成的（上圖）。使用精心製做的Vorbis音頻文件指定足夠大的book-> dim，可使i大於n，並在408行內部for循環的界限之外訪問a []數組。

Mozilla修復軟件的時間確實使人驚訝，尤爲是漏洞自己不在其代碼庫中。您能夠在他們的博客中詳細瞭解他們如何實現如此驚人的壯舉的。

http://jaq.alibaba.com/community/art/show?articleid=1577

——————————————————————————————

以上是本週的安全週刊，想了解更多內容，請訪問阿里聚安全官方博客