安全半月谈：潜伏了7年的Xen漏洞与中国地下网络犯罪报告

安全要闻

“破天”——Xen虚拟化平台虚拟机逃逸漏洞

这是一个存在了7年之久的严重漏洞。10月，阿里云安全团队发现并提交了一处Xen平台下的虚拟机逃逸漏洞，Xen 3.4～4.6版本都受影响，漏洞编号为XSA-148/CVE-2015-7835。攻击者可以利用一台以PV模式运行的虚拟机轻易实现虚拟机逃逸，从而可以进一步控制Xen Hypervisor、Dom0以及当前物理机器上运行的其他所有虚拟机。目前漏洞补丁已公布，Xen平台用户可以从官方下载并安装。

双11狂欢背后电商安全的那些事

一年一度的电商狂欢节“双11”总算过去了，但是“双12”马上就来了。笔者忍不住要扒一扒平日里大众所不知道安全问题。据不完全统计，乌云网自成立以来，已收集到的国内电商平台漏洞总数达1169个，其中2015年电商平台漏洞数为414个，相比于2014年，漏洞总数上涨了68.98%。但这只不过是电商平台目前存在的安全问题的冰山一角。从乌云平台上可以看到，大如阿里系的电商平台，拥有专业的安全团队，依然可能存在可被获取服务器权限的漏洞。其他电商网站有的刚配上专业的安全团队，有的可能对安全的重视程度还未达到需要配专业安全团队的地步。总的来说，电商网站的安全道路任重而道远。

国产KK病毒一天感染80万用户

来自中国的一家海外移动分发平台——深圳市卓越创想科技有限公司，被发现是KK插件病毒的制造者。KK插件可以在手机操作系统中弹出恶意广告，其在Google Play中的变种已有至少185个之多，感染了全球30多个国家的超过700万用户。东南亚国家的KK插件感染最为严重。又是一个明目张胆的移动安全恶性案例。

戴尔电脑的后门

今年，联想两度因笔记本产品中预装恶意软件而被暴光。前不久，戴尔电脑也被发现预装类似Superfish的自签名根证书eDellRoot，自签名根证书可用于发动中间人攻击，除了Firefox之外的浏览器将会接受eDellRoot签名的HTTPS连接，并偷偷解密用户的加密网络流量。删除eDellRoot后重启电脑又会被重新安装。戴尔起初对这一事件进行了否认，但随后变为道歉并表示发布移除工具。

除此之外，戴尔电脑的服务标签被发现可以作为指纹跟踪用户。造成这一攻击的根源在于戴尔官方技术支持应用Dell Foundation Services使用了自签名根证书eDellRoot。安全研究人员称，只有卸载Dell Foundation Services才能避免被跟踪，卸载eDellRoot没有用。

远程入侵原装乘用车

自从特斯拉汽车被黑客们成功入侵后，关于汽车破解的话题在国内安全界引爆，如2014年的GeekPwn、SyScan360等都有该项目。随着越来越多的新技术被引入到汽车上，新型的攻击方式也成为可能。近日，国外一个安全团队发布了一份报告，详细讲述了远程攻击一台原装的2014年款吉普切诺和类似的车辆的过程。唐朝实验室翻译组的朱于涛、刘家志翻译了这份报告（上、中、下）。文章证明，大量的菲亚特-克莱斯勒汽车都可以被远程攻击。存在漏洞的车辆成千上万。

安全报告

趋势科技发布2015年版中国地下网络犯罪报告

报告发现针对已泄漏数据而开发的搜索引擎和新型银行卡信息盗取设备正帮助地下网络犯罪分子更加容易地实施犯罪。比如犯罪分子可以更方便地在“社工大师”（Social Engineering Master）这样的泄漏数据搜索引擎中找到他们想要的数据。

新型银行卡信息盗取设备也帮助网络犯罪分子通过更多渠道窃取持卡人信息。报告提到当前有三种主要的“窃卡器”。一种是在刷卡机上动手脚，另一种是在自动取款机上安装窃卡设备，还有一种是口袋窃卡器。这种小到让人不易察觉的磁性读卡器可以存储多达2048张银行卡的信息。这种读卡器不用连接电脑和电源就能工作。

阿里移动发布2015年第三季度安全报告

近日，阿里无线安全团队发布了2015年第三季安全报告。报告对移动应用的病毒、漏洞、仿冒三大类安全问题进行了分析，从数据来看，应用安全问题仍然严峻。报告还指出，随着智能设备和万物互联的发展，安全问题将面临巨大的挑战。更多请查看完整版报告。

爱加密发布国内首份《P2P平台移动端安全白皮书》

近日，移动信息安全体系服务商爱加密发布了国内首份《P2P平台移动端安全白皮书》，对P2P平台移动端安全2015年上半年整体发展状况进行总览。报告显示，国内排名前300家的P2P平台移动客户端100%存在安全风险。其中，有56%的P2P平台APP存在高危风险；9%存在中危风险，35%存在低危风险。常见风险主要集中在业务安全、组件安全、发布规范、应用管理以及数据安全等五个方面。

安全开发

AWS Java SDK存在DDoS漏洞

AWS的SDK常被开发者用于整合一系列的AWS服务，包括像Amazon S3中整合Amazon APIs用于存储和索引文件等。近日，AWS Java SDK被确认一处安全漏洞。其中已确认包括1.8.0～1.10.34在内的官方版本都受此漏洞的影响。最新1.10.36版SDK则修复了这个漏洞。

产生这个漏洞的原因存在于SDK的SdkDigestInputStream类的skip方法。标准中规定其应该返回略过的字节数，但在一些特殊情况下其会返回-1。漏洞可以通过AWS Java SDK操纵存储在Amazon S3上的文件来实现对Web服务的攻击。攻击者可以上传文件到S3存储中让Web服务使用SDK执行，执行时可能会出现死循环从而导致拒绝服务。

Python安全编码指南

现在一般的Web开发框架的安全性已经做的比较好，但是一些不规范的开发方式还是会导致一些常用的安全问题，在两年的安全代码审查工作中，安全研究人员Enrico Branca针对这些常见的问题做一些总结。最后他总结道，永远不要以为那些第三方类库会一直按你期望的那样运作，也绝对不要以为在使用它的时候是安全的。当然，Python是一门伟大的语言，Enrico Branca会继续使用下去。

给InfoQ中文站投稿或者参与内容翻译工作，请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博（@InfoQ，@丁晓昀），微信（微信号：InfoQChina）关注我们，并与我们的编辑和其他读者朋友交流（欢迎加入InfoQ读者交流群）。