一周移动安全热闻：无须开启GPS 照样定位你在哪儿

一周热闻之

无须开启GPS 照样定位你在哪儿

普林斯顿大学的研究人员开发出一款PoC app，即使手机已关闭GPS服务，也能追踪用户位置。研究人员表示，即使关闭GPS也能追踪用户的原因在于，现代手机上都配有大量准确的传感器，它们能追踪如高度图和天气数据佐证的大量数据并借此重构用户的移动轨迹。经Galaxy S4 i9500、iPhone 6 和 iPhone 6S三款手机上测试，证实了该App的确无需访问手机的GPS数据就能重构他们的运动轨迹。

#失去对手机传感器的控制，将面临更加复杂的安全隐患。企业安全工具开发者和企业CSO们需要关注。#

一周热闻之

Google Play严打收集用户隐私的行为

Google已经无法忍受其应用商店Google Play中的应用对用户隐私不加询问的擅自收集行为，决定展开严厉的打击。Google 表示应用在收集个人用户数据，如电话号码、邮件地址、IMEI 号等信息时必须提示并获得用户许可，如果应用收集和传输与其功能无关的个人数据，则必须在传输之前征求用户同意并强调。Google限期60天，逾期不改者将遭受严厉处罚。

#企业当然不希望自己的数据被无关或恶意应用收集，使用企业移动管理工具控制应用的权限和信息收集能力，不失为一种好办法。#

一周热闻之

因3100万数据泄露而曝光：手机虚拟键盘AI.type收集大量用户行为数据

#其他还能理解，收集用户输入文本就细思恐极了。企业保护数据安全时候，除了使用安全管理工具限制应用行为，关键词过滤和审计看来也是非常有必要的了。#

一周热闻之

补丁不完整，“大脏牛”入侵所有Android手机

近日，国外研究机构Bindecy指出，由于去年Linux系统发现的高危漏洞“Dirty Cow”（脏牛）的修复补丁不完整，导致新的、可应用于Android系统的攻击手段出现。今年9月起，利用该漏洞的新恶意软件已在悄然传播。攻击者可利用其完全掌控Android用户手机。

#安全程序的开发生命周期中，对修复程序进行审计也是非常重要的。这对移动安全厂商也是一种警醒，不完整的安全设置等于创造新的漏洞。#

一周热闻之

伪装的儿童应用，实则黑产提款机

近日，国内安全公司发现一批恶意推广应用“DowginCw”，通过伪装成儿童游戏应用，通过发布于国内各大应用商店或软件强制更新等手段，安装到用户手机设备中。用户一旦安装，设备将不停下载安装恶意扣费和系统破坏类应用，造成设备卡顿、话费资损、个人隐私泄漏，用户设备将完全沦陷，成为黑产提款机。国内多家应用商店仍能下载到此恶意应用。

DowginCw家族感染用户 top10 的应用

国内感染区域分布

#不该安装的应用从源头杜绝，应用黑白名单用起来！#

一周热闻之

看网页泄露手机号

技术飞速发展，黑产蠢蠢欲动，“手机访客营销”黑色产业链利用运营商系统漏洞，当用户用手机浏览器点击黑产预设的培训机构、金融、医院等相关网站时，黑产组织即可非法获取用户手机号、手机型号、搜索记录等信息，再将信息转卖，用作所谓的“精准营销”。据统计，大约4万个站点存在类似的情况，涉及数百万网民的隐私数据。

用户信息泄露途径示意

#此类移动安全的保护工作需要全产业链联动。而作为企业，移动安全技术升级是不可或缺的，至少用移动网址黑白名单过滤功能，保证员工手机访问网络的安全性。#

一周热闻之

身边的间谍工具：人工智能玩具

近年流行起来的人工智能玩具，正因其低劣的安全性，成为儿童隐私，甚至周安信息的泄露渠道。近日，经法国信息与自由全国委员会对某些人工智能玩具测试发现，人们可在9米外用手机与玩具相连，记录儿童与玩具的对话，以及房间中的其他声音。甚至利用玩具漏洞，进而攻击与玩具相连的手机和无线网络，智能玩具俨然成为一颗儿童和家长身边的高科技间谍工具。

#万物互联，凡是与手机相连的设备，都可能成为攻击跳板：这是企业安全不可忽略的因素。#