本期雷鋒網(wǎng)專欄作者推薦： shotgun，著名安全公司啟明星辰副總裁，資深安全領(lǐng)域人士。

本期系列科普7篇：收納了轟動(dòng)一時(shí)的三星內(nèi)置SwiftKey漏洞、蘋(píng)果Xcode幽靈入侵、Hacking Team軍火庫(kù)被盜等黑客入侵事件，作者為我們解構(gòu)了一個(gè)個(gè)“驚天漏洞”。

另外，如你有感興趣的雷鋒網(wǎng)專欄作者，請(qǐng)不吝評(píng)論留言，我們會(huì)在下次的系列中優(yōu)先考慮。來(lái)，先來(lái)看看本期安全系列吧：

1、盜版軟件為什么會(huì)不穩(wěn)定，死機(jī)藍(lán)屏是誰(shuí)的錯(cuò)？  （點(diǎn)擊閱讀文章）

盜版軟件經(jīng)常不穩(wěn)定是一個(gè)事實(shí)，原因很復(fù)雜，舉個(gè)栗子：

由于盜版軟件實(shí)際上有很大的可能會(huì)往系統(tǒng)或者軟件內(nèi)部插入一段沒(méi)有經(jīng)過(guò)充分測(cè)試的代碼，而且這段代碼的權(quán)限還頗高，操作也比較危險(xiǎn)，因此，有相當(dāng)?shù)目赡苄詴?huì)導(dǎo)致軟件或者系統(tǒng)不穩(wěn)定。

2、“實(shí)名認(rèn)證驚天漏洞”背后，支付寶搞錯(cuò)了什么？ （點(diǎn)擊閱讀文章）

本周四，有支付寶用戶突然發(fā)現(xiàn)自己的支付寶賬號(hào)突然多了五個(gè)綁定賬號(hào)，而這些賬號(hào)都沒(méi)有經(jīng)過(guò)他本人的認(rèn)證。

換句話說(shuō)，他是在完全不知情的情況下，其支付寶賬戶下就多了5個(gè)綁定賬戶，而他本人也沒(méi)有收到任何形式的通知消息，包括短信、郵件、或者登錄后的站內(nèi)信息。

那么，這件事情背后，支付寶究竟搞錯(cuò)了什么？

3、三星內(nèi)置SwiftKey漏洞很嚴(yán)重？還有比這更嚴(yán)重的事情  （點(diǎn)擊閱讀文章）

三星內(nèi)置SwiftKey的漏洞被視作一起非常嚴(yán)重的安全事件，而相對(duì)漏洞本身，雷鋒網(wǎng)更關(guān)注的是產(chǎn)生漏洞的背后：三星與“軟件供應(yīng)商”、“定制運(yùn)營(yíng)商”三者之間如何協(xié)調(diào)，為何一個(gè)早早就被發(fā)現(xiàn)的漏洞，卻讓用戶長(zhǎng)期處于裸奔無(wú)防護(hù)的狀態(tài)？

更嚴(yán)重的問(wèn)題在于，這個(gè)觸摸鍵盤(pán)是系統(tǒng)內(nèi)置的，既沒(méi)有辦法卸載，也不能通過(guò)禁用的方式來(lái)阻止其自動(dòng)更新。

4、關(guān)于Hacking Team 被黑，這些事兒你可能還不知道   （點(diǎn)擊閱讀文章）

Hacking Team被黑，所謂的“互聯(lián)網(wǎng)的敵人”是怎樣的存在？針對(duì)此次事件，雷鋒網(wǎng)作者從安全專業(yè)角度出發(fā)，為我們解構(gòu)Hacking Team 被黑的前因后果，作為小白又該如何防范？ 

那么，Hacking Team被盜了什么？簡(jiǎn)單來(lái)說(shuō)，就是軍火庫(kù)、帳房和衣櫥都被洗劫了！

5、追溯蘋(píng)果Xcode幽靈入侵根源：安全防線究竟出了什么問(wèn)題？ （點(diǎn)擊閱讀文章）

近期XcodeGhost事件沸沸揚(yáng)揚(yáng)，大家都很關(guān)注此事的影響、后果和解決方案，可是這件事情的根源究竟是什么？還有沒(méi)有未被發(fā)現(xiàn)的其他類似安全隱患？未來(lái)如何防止同類攻擊的發(fā)生？

入侵者可以直接攻擊程序員的電腦，從而直接修改/替換特定的應(yīng)用程序的代碼，這樣雖然沒(méi)有XcodeGhost的傳播范圍廣，惡意代碼卻會(huì)更加精準(zhǔn)有針對(duì)性，也更難以被發(fā)現(xiàn)。

6、工行卡被盜刷分析：銀行卡里的錢(qián)是怎么丟的？  （點(diǎn)擊閱讀文章）

在支付交易的過(guò)程中，運(yùn)營(yíng)商、銀行、用戶，三者之間如何協(xié)作？哪個(gè)環(huán)節(jié)會(huì)出現(xiàn)紕漏？用戶銀行卡里的錢(qián)是怎么丟的？

銀行與運(yùn)營(yíng)商，客戶與銀行，運(yùn)營(yíng)商與客戶，只要留下數(shù)據(jù)痕跡，每一個(gè)環(huán)節(jié)都有可能出現(xiàn)紕漏讓攻擊者有機(jī)可乘。銀行希望提供更加便捷的小額支付服務(wù)，吸引更多的用戶使用 ；運(yùn)營(yíng)商希望提供更多的增值服務(wù)，從而形成長(zhǎng)尾效應(yīng)，創(chuàng)造更高的附加值。

7、蘋(píng)果系統(tǒng)嚴(yán)重漏洞，原因在于“應(yīng)用間數(shù)據(jù)交換”  （點(diǎn)擊閱讀文章）

針對(duì)此次蘋(píng)果系統(tǒng)出現(xiàn)嚴(yán)重漏洞，黑客繞過(guò)沙箱， 竊取數(shù)千種應(yīng)用程序的數(shù)據(jù)。原因并非那么簡(jiǎn)單。

根據(jù)目前已經(jīng)掌握的資料，本次漏洞為unauthorized cross- app resource access (XARA) ，“非授權(quán)跨應(yīng)用資源訪問(wèn)攻擊”，即：攻擊者可以通過(guò)偽造APP，欺騙用戶使用，從而竊取用戶的密碼和其他應(yīng)用內(nèi)的敏感信息。對(duì)于Mac OS，則還存在進(jìn)一步修改用戶密鑰鏈和劫持網(wǎng)絡(luò)通訊的可能。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。