一周安全热闻之

1/3的企业正牺牲安全性以换取移动业务的表现

VERSION最近通过对美国及英国600名专业人员（具有IT决策权的人）的调查，推出《2018移动安全指数》报告，报告中指出尽管企业意识到移动设备在业务中出现的“严重且日益增长的安全威胁”，但许多人并没有做足够的事情以减轻风险。

在针对移动设备（尤其是智能手机）的网络攻击变的越来越普遍的情况下， 32%的组织认为业务表现及运行效率是最为重要的，其次才是安全。

但是，牺牲移动安全性需要付出代价。这样做的企业遭受数据丢失或停机的可能性（45％）比那些将安全问题置于首要关注的企业（19％）的可能性要高出两倍。

#业务先行的惯性思维下埋藏了巨大的安全隐患#

一周安全热闻之

顶级恶意软件RedDrop瞄准Android手机

针对Android设备的顶级移动恶意软件可以提取敏感数据和录音，收取额外的SMS费用，然后试图向受害者勒索钱财。

据安全公司Wandera称，被称为RedDrop的恶意软件正分布在53个在第三方应用程序商店中推广的Android应用程序中。应用程序包括图像编辑器，计算器，语言学习工具和成人主题应用程序。

一旦安装了RedDrop感染的应用程序，该程序将静默下载另外七个Android应用程序包（APK），这些应用程序包会添加额外的间谍软件和恶意组件，如特洛伊木马，高级SMS功能等。

#RedDrop是我们看到的最复杂的Android恶意软件之一#

一周安全热闻之

警惕！34,200份以太坊智能合约存在安全漏洞

新加坡和英国学生发布研究报告称，共发现34200个智能合约中存在可能被利用的漏洞。该研究团队分析了近一百万份智能合约，发现大约3.4%的智能合约存在安全漏洞。意味着，大约3.4%的全部智能合约可能存在被攻击或者利用的风险。研究中被标注为存在问题的一个智能合约，“可以提取的最大以太币数量接近4,905个”，价值440万美元。而且以太币资金损失早就有案例，去年的Parity钱包漏洞就成为一个典型案例。

#研究人员试图联系这些智能合约的创造者，让他们意识到易受攻击的编码#

一周安全热闻之

Android上的Cryptocurrency骗局

随着数字货币价格及民众关注度的不断增长，不仅吸引了大量的潜在用户，还吸引了越来越多的网络骗子。当然，数字货币诈骗并不是PC独有的，并且已经出现在Android平台上，并且使用各种各样的伪装。

通常，网络骗子利用虚假应用程序冒充官方交换的登录凭证进行钓鱼。然后骗子使用被盗取的凭证来接管被盗用的帐户。最近这种类型的骗局案例是钓鱼应用程序模仿数字货币兑换Poloniex，去年在Google Play 上发现并经常重新出现。

最近，我们还发现骗子利用恶意软件使用别人的设备进行数字货币挖掘，一个Google Play中的热门游戏Bug Smasher（下载量在100万到500万次之间），已经在用户的设备上秘密挖掘数字货币Monero。

#在下载数字货币交换或钱包的移动应用程序时，请确保该服务确实提供了移动应用程序。官方应用程序应该链接到服务的官方网站上#

一周安全热闻之

英特尔发布新微代码 有望修复部分芯片“幽灵”漏洞

英特尔已经向OEM发布了一套新的Spectre固件更新。它可以修复Skylake、 Kaby Lake、Coffee Lake处理器存在的“幽灵”(Spectre)漏洞，而且所有变种漏洞都能修复。

微代码更新可以化解“幽灵2号变种”(Spectre Variant 2)带来的威胁。所谓“幽灵2号变种”威胁，就是攻击者能够命令处理器分支预测器对执行什么代码给出一个糟糕的预测。然后处理器会用糟糕的预测来推断数据的数值，这些数值存储在内存中，这样一来攻击者就能窃取信息。通过对微代码更新，可以让操作系统对分支预测器进行更好的控制，防止一个进程受到另一个进程的影响。

关于指掌易科技

指掌易是中国移动办公安全的开拓者，致力于提供企业移动安全的全生命周期解决方案，帮助用户实现安全高效的移动化。秉承“技术驱动创新，专业实现价值”的核心理念，不断提升自身实力，为用户提供更出色的移动管理安全解决方案。以帮助客户全面提升移动安全能力和移动运营效率为己任，引领国内企业移动管理技术和理念，向更先进更高效的方向发展，积极推动中国企业移动化进程。