9月27日,一个名为“
给最好的TA.apk
” 流氓软件在网络上被疯狂转发,导致大量用户“沦陷”。
据媒体报道,有知乎与微博等社区网友发文称,浙大、同济、中科大、云大等多个大学的同学均有“中招”,此外还有不少人身体力行实践“科技向善”,将该App改造后发送废青论坛上继续传播。
apk为安卓APP安装包后缀,一旦受害者安装并运行了这个软件,那么它就会将电源键功能强制更改为“增大音量”,然后开始不断的对系统截图。导致受害者无法正常控制手机,也无法关闭这个软件。
最要命的是它会一直以最大音量循环播放某些不可描述的声音,很多受害者在上课、开会、人群中“中招”,场面一度非常尴尬,声音关不掉,软件退不了。
除了强制重启以外没有任何办法(甚至有人使用了掰断手机、扔手机等操作)。
其实这种性质恶劣的恶搞软件很多年前就已经出现过了,只不过这次影响的范围较大。
这次的事件让我想起
web安全中的另一种攻击方式——网页蠕虫病毒。
网页蠕虫病毒第一次进入大众视野是因为一个小男孩,他当时发现了某知名社交网站的一个CSRF漏洞,结合XSS让每个收到恶意代码的人都把自己的签名改为“到此一游”然后这段代码还会遍历你的所有好友,给他们都发一遍这段代码。
这种裂变式增长的病毒很快感染了近百万的用户——这种攻击方式一直到现在都存在巨大安全隐患。
除了网页蠕虫之外,还存在很多千奇百怪的漏洞,比如现在很多商城都存在类似于一元购买任意物品这类严重的逻辑漏洞,一旦被大规模传播,后果不堪设想。
Web安全问题涉及到每一个网民,也关系到每一个从事Web安全研究的工程师。
很多安全意识不足的互联网公司会把一些敏感信息泄露到搜索引擎中。
比如说你在搜索引擎中搜索:”inurl:admin.php””intitle:后台管理”等关键字,可以得到非常多的后台登录页面,这些页面本身就可能存在逻辑上的漏洞。
近年来,由于技术发展和国家支持,信息安全行业正处于一个发展迅猛的时期。
Web安全岗位的薪资待遇和职业发展前景都十分可观。
其实Web安全入门并不算难,通常我们开始确定一个目标的时候,第一步是“信息搜集”,在这个阶段,通过搜索引擎、域名服务商、子域名等信息的搜集来尽可能多的获取到我们需要的可能存在漏洞的信息。
而这个阶段其实和普通网民上网的过程几乎没有什么差别,只是我们关注的重点不一样。因此,只要是熟悉互联网,稍微有点网络基本知识的都可以学习Web安全。
但是想要通过自学找到心仪工作的水平还是比较困难的,因为web安全知识非常繁杂。
