這是暑假里面最后一期Weekly了,祝大家暑假工作順利
================= ================= ================= =================
本期的學術會議介紹乃是今年信息安全會議的重頭戲之一CCS 2011,以及同時舉行的workshop
目前CCS的Accepted paper可以在
查到了,值得關注的是有一些Android相關的paper也出現在CCS上,說明
 
移動智能安全問題越來越熱門了,Android固然有很多人討論,但是太多人做也就很難出什么超越別人的東西,倒是iOS值得認真關注。

2011 ACM CCS Workshop on Security and Privacy in Smartphones and Mobile
 
Devices (SPSM)
單獨開辟了一個workshop來研究
 
Smartphones and Mobile
 
Devices,應該是重要的信息來源

按照慣例,現在已經有很多其中的文章都可以google到了,請自行搜索!

另外再送上一個會議
SOURCE Conference is the world's premier technical and business computer security conference.
SOURCE is designed for senior executives, company chief officers (e.g. CIOs, CTOs, CSOs), advanced security professionals, faculty and students, members of management and business communities who are looking to connect with security and technology experts. SOURCE attendees will experience two and a half days of intense one hour sessions taught by top security experts. Sessions hold 50-60 students, providing an intimate environment where attendees can ask questions, participate in discussions, and interact with other delegates and speakers.
  
================= ================= ================= =================
本期的學術機構介紹是阿根廷的信息安全實驗室Corelabs,南美洲的安全研究人員不是很熟悉,但是值得了解

List of areas

================= ================= ================= =================
本期的學術研究人員介紹主要來自上面提到的SPSM會議中的一些人員

Workshop Organizational Chair

Xuxian Jiang, North Carolina State University

Program Co-chairs

Amiya Bhattacharya, Arizona State University 
Partha Dasgupta, Arizona State University 
William Enck, North Carolina State University

點擊名字可以看到其個人網頁,其中William Enck是Android研究領域的專家
================= ================= ================= =================
黑客演示一分鐘短信偷汽車
黑帽網絡安全會議本月早些時候描述了兩名來自iSEC的合作伙伴可以利用手機偷竊汽車,這兩位名叫Don Bailey和Mat Solnik的安全研究人員今天通過網絡視頻演示了如何攻入一臺鎖上的斯巴魯汽車。首先他們要了解一臺特定汽車(必須配備車載手機或衛星報警系統裝置的汽車)內置的電話號碼,只需要用手機向汽車發送一條特別設計過的文字信息命令,汽車即可被解鎖和啟動。
雖然他們并不能隨便就能偷到車(因為必須獲得特定的汽車號碼和衛星識別碼),但這次演示的價值在于文本信息并不是那么容易被阻止,因此使用短信來與呼叫服務中心進行聯絡的汽車始終有隱患。
再擴展開來,無線系統并不僅僅在汽車上應用,大量的監控與數據采集系統(SCADA)經常也采用無線功能進行聯絡,這些設備涉及核電力工廠、水處理設施等,這些關鍵基礎設施如可以被遠程攻擊,則后果不堪設想。
iSEC并不是唯一的研究黑汽車的小組,《科學美國人》四月份曾報道美國加州大學圣迭戈分校的研究人員同樣聲稱可以通過車載藍牙和電話連接系統打開車鎖并啟動發動機,甚至還可以控制單個車輪的剎車等。
================= ================= ================= =================
研究人員發現Skype漏洞 可實現代碼注入
德國安全研究人員Levent  Kaya今天表示他在Skype上發現了一個安全漏洞,這可能導致攻擊者將有害的代碼注入到用戶的電腦上,實現運行程序命令以及執行腳本。該漏洞影響Skype 5.5.0.113,攻擊者可以通過網頁等形式實現代碼的注入,并可以獲取到底層操作系統的權限,這一切只需要執行一個特別設計過的外部網站上的惡意JavaScript文件即可。
這種可以從外部攻擊的漏洞與今年5月份爆出的Skype漏洞較為相似,共同特點是都可能會形成蠕蟲攻擊,不過目前這一漏洞似乎還沒有被利用的跡象。
================= ================= ================= =================
Android用戶恐遭致命木馬啟動襲擊
研究人員近日發布了有可能是最危險的Android惡意程序,一款4月發布的利用Android 2.3 GingerBreak進行啟動襲擊的木馬。
GingerMaster表面看起來是一款合法程序的一部分,但它會將諸多用戶及設備信息上傳到遠程服務器上,其中包括其智能手機IMEI和電話號碼。服務器將悄無聲息地下載惡意軟件,對其進行啟動襲擊,安裝后就可以全面控制智能手機。
該惡意軟件可以越過Android系統控制程序許可,如此一來,Android安全程序就無法阻止它,甚至擺脫它,用戶只能進行設備清除或恢復出廠設置。
可能受影響的是Android 2.3.3 (Gingerbread)以及Android 2.2 (Froyo)。谷歌4月份的時候曾經對該漏洞進行了修補,但是很多用戶還沒有及時收到更新,因為考慮到工作量等問題,網上只有在確定十分需要的情況下才會發布相關補丁。目前最簡單的規避方法就是不要使用第三方下載站點,只使用谷歌自己的程序下載市場。
這些如此冒險的事情或許也可以從另一個方面解釋,為何谷歌急于收購摩托羅拉手機部門構建自己的硬件部門。因為可以有效控制用戶對軟件的使用情況,及時有效地進行更新和漏洞修復。 
================= ================= ================= =================
McAfee:Android成惡意軟件最大攻擊目標
據科技博客ZDNet報道,知名安全廠商MacAfee發布的第二季度手機安全報告顯示,Android成最脆弱手機操作系統,遭受惡意軟件攻擊的比例較上一季度增長了76%。這對于手機設備和用戶來說,是個非常嚴重的信息。
McAfee稱Android為“受攻擊最多的手機操作系統”,超過了塞班。數據顯示,塞班和Java ME仍是攻擊的主要目標。
由于惡意軟件數量的快速增長,McAfee稱這種情況為“惡意軟件動物園”,McAfee預計,到2011年底,惡意軟件將達到7500萬個。現在惡意軟件數量大約有6500萬個。
McAfee警告手機用戶,特別是Android用戶,惡意軟件“可能出現在任何地方,包括日歷應用、休閑應用、短信以及偽裝成憤怒小鳥的升級程序。”
此次發布的安全報告還有以下內容:
1.越來越多的惡意軟件寫手將蘋果作為攻擊目標,很多Mac OS X電腦被假殺毒軟件感染。
2.盜號惡意軟件過去6各月增長速度史無前例,比去年同期增長38%。
3.第二季度單季至少有20起全球攻擊事件,其中大部分由LulzSec發起。
================= ================= ================= =================
送上一些勵志的東東,當做開學禮物

人生一定要聽的三個演講
1、史蒂夫·喬布斯 2005年斯坦福大學畢業演講 (中文字幕)
(您也可以在土豆網觀看: http://www.tudou.com/programs/view/WbNWyt9NL1g/ )
2、JK·羅琳 2008年哈佛大學畢業演講 (中文字幕)
(您也可以在土豆網觀看: http://www.tudou.com/programs/view/ovUEZwgeZcc/ )
3、蘭迪教授《最后一課》(中文字幕)
(您也可以在土豆網觀看: http://www.tudou.com/programs/view/26RjjQfvk-o/ )
================= ================= ================= =================