【阿里聚安全·安全周刊】女主换脸人工合成小电影|伊朗间谍APP苹果安卓皆中招

本周的七个关键词： 人工智能 丨 HTTP链接=不安全链接 丨  滑动验证码 丨 伊朗间谍APP 丨 加密挖矿 丨  Android应用测试速查表 丨 黑客销售签名证书

-1-   【人工智能】女主换脸人工合成小电影全网封杀：AI被乱用

来源：快科技

------------------------------------------------------

现在人工智能是如此流行，各行各业都在狂推AI，当然这个创新的技术也被一些技术宅给玩坏了。

大家应该还记得，之前有程序员居然通过AI，为一些小电影中的女主角进行了换脸，比如女神加朵就是其中一个受害者，当然这也引来了不少宅男的欢呼。

不幸的是，现在互联网主要传播通道都对上述行为进行了封杀，特别是一些巨头对外公布的开源的机器学习工具也将严格管控使用渠道。

http://jaq.alibaba.com/community/art/show?articleid=1492

-2-   【网站安全】谷歌认定：HTTP链接=不安全链接

来源： 嘶吼

------------------------------------------------------------------

谷歌于2月9日宣布，从今年7月起，Chrome浏览器的地址栏将把所有HTTP标示为不安全网站，这将是Chrome浏览器“围剿”HTTP网站的第三步。

在URL地址栏中将所有HTTP站点标记为“不安全”的决定是谷歌安全战略的一部分。

不幸的是，HTTPS将成为所有网站的标准，还需要几年的时间，但Google承诺尽一切努力使网站管理员和开发人员的采用变得轻而易举，并让Chrome用户了解所有的HTTP站点都不安全。

http://jaq.alibaba.com/community/art/show?articleid=1494

-3-   【数据风控】节日活动季安全指南 | 八招应对短信验证码攻击

来源： 阿里聚安全

------------------------------------------------------------------------------

如今，大量的网站、网站、手机app都在使用短信验证码作为验证用户身份的安全技术措施。尤其在年底，企业的促销、抽奖、互动活动会迎来一个高峰期，用到短信验证码的场景非常频繁。
但近期，阿里云·云盾WAF团队监测到，不少用户业务的短信验证码功能被攻击，短信接口被恶意利用，导致业务无法正常访问。同时，被刷的短信成本也直接造成一定量的资金损失。

阿里云安全专家提示，企业可以根据业务的实际情况考虑，从以上8大方式中选择并组合成最适合企业自身的防担心接口被刷方案。

并且提高技术人员在实际活动中的安全意识，提前防范风险。

http://jaq.alibaba.com/community/art/show?articleid=1487

-4-   【间谍APP】外媒：伊朗秘密监视用户 苹果安卓应用皆中招

来源： cnBeta.COM

------------------------------------------------------------------------------

据英国每日邮报报道，伊朗可能正借助苹果和谷歌应用商城中一些由政府秘密赞助的应用，对美国、英国和世界各地的数百万用户进行秘密监视。
这一消息来自于伊朗反抗力量政府全国议会（NCRI）周四发表的一份最新报告，NCRI是伊朗的反政府政治组织。

报告指出，苹果和谷歌Play商城上一款名为Mobogram的即时通讯App，就是由伊朗政府研发和监控的间谍App。

伊朗政府目前正在伊朗人民身上进行这些App的初步测试。如果没有阻碍，它的下一个目标将是其它国家的用户。

http://jaq.alibaba.com/community/art/show?articleid=1498

-5-    【挖矿】调查显示 49％ 的加密挖矿脚本部署在色情网站上

来源：hackernews.cc

-------------------------------------------------------------------------------------

外媒2月12日消息，安全专家近年来发现加密挖矿脚本的数量不断增加，尤其是那些通过在线黑客服务器非法部署的脚本。目前初步统计，大约 49％ 的加密挖矿脚本部署在相关色情网站上。

其实这一结果并不意外，因为访问者会花费大量时间来观看网站上的内容，从而间接带给攻击者一定的利用空间。当然这些挖掘脚本也部署在一些欺诈网站（占 8％）、广告领域（7％）以及采矿业务（7％）上。不仅如此，研究还显示最常用的加密挖掘脚本是 Coinhive（68％+ 10％），其次是 JSEcoin（9％）。

http://jaq.alibaba.com/community/art/show?articleid=1489

-6-   【Android】  Android应用测试速查表

来源： FreeBuf.COM

--------------------------------------------------

这份速查表提供了一份进行Android应用测试所需要进行的测试清单。主要根据OWASP十大移动安全问题进行叙述。

一个完整的安卓应用渗透测试包含了几个不同的领域，如上图所示。

http://jaq.alibaba.com/community/art/show?articleid=1493

-7-   【黑客】黑客正在销售合法的代码签名证书

来源： solidot

--------------------------------------------------------------------------

安全研究人员报告，黑客正在销售合法的代码签名证书去签名恶意代码绕过恶意程序检测。

黑客销售的证书来自知名的 CA 如 Comodo、 Symantec 和 Thawte，甚至还有苹果，普通证书售价 299 美元，EV 证书售价1599 美元。

http://jaq.alibaba.com/community/art/show?articleid=1502

——————————————————————————————

以上是本周的安全周刊，想了解更多内容，请访问阿里聚安全官方博客