如果你认为在官方应用市场里下载app就觉得安全的话，小编可以负责任的回答你：“too young too simple,sometimes native”

作为一名认真负责的小编，每次注册账号设置密码的时候都是最痛苦的，太简单的怕被破解，太难的又记不住。等你好不容易记住密码，三个月后IT同学过来拍拍你的肩膀，“你的密码到期了，记得改啊……”目前绝大部分网站对于注册账号的密码强度分为3个等级：弱密码、中密码、强密码。网站会引导用户填写密码的时候混合大写字母、...

背景近期，一批伪装成flashlight、vides和game的应用，发布在google play官方应用商店。经钱盾反诈实验室研究发现，该批恶意应用属于新型BankBot。Bankbot家族算得上是银行劫持类病毒鼻祖，在今年年初曾爆发，之前主要针对欧洲国家，可劫持50多家银行应用，而新发酵的BankBot已将攻击目标扩散到全球，可劫持银行增加到14...

移动互联网高速发展，要保持APP持续并且高速增长所需的成本也越来越高。美团网CEO在今年的一次公开会议上讲到：“2017年对移动互联网公司来说是非常恐的。”。主要表现在三个方面，手机数不涨了、竞品太多、推广费涨30%。一本财经媒体也曾报道了一条灰色产业链，1000万流量推广预算的60%被内鬼、中介、羊毛党吞噬。

2017炎炎夏日，在北京国家会议中心举办的网络安全生态峰会以‘新安全、共担当’为题，给这个夏日带来一丝凉意，让我们来看看会议的日程安排吧。（文章末尾有报名地址哟~）

Android系统似乎已经成为世界各地病毒作者的首选目标，每天都有新的恶意软件在感染更多的设备。 这一次，安全公司趋势科技发布警告，他们发现了一个新的Android后门——GhostCtrl

互联网账号泄露事件频发，脱库、洗库、撞库，形成了一条完善的黑灰产业链，盗刷信用卡、“羊毛党”猖獗、刷单炒信等业务风险背后，如何去防范，阿里聚安全专家笙华为你支招。

《阿里聚安全2016年报》发布，本报告重点聚焦在2016年阿里聚安全所关注的移动安全及数据风控上呈现出来的安全风险，在移动安全方面重点分析了病毒、仿冒、漏洞三部分，帮助用户了解业务安全端安全方面应该注意的风险，之后会描述阿里聚安全在业务安全防控方面做的一些努力和观点，帮助企业在建设互联网业务安全时，考虑...

来自安全公司Dr.Web的研究人员说，最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期，阿里聚安全检测到大量新型BankBot家族木马，木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用，可劫持全球至少50家大型银行手机用户。

在刚刚过去的2017年2月23日，Cryptology Group at Centrum Wiskunde & Informatica (CWI)和Google的研究人员公开了2个PDF文件，我也第一时间下载并按提示检查了SHA-1的校验值。文件内容和SHA1的结果如图1所示。

KDD（Knowledge Discovery and Data Mining，知识发现与数据挖掘）会议，作为数据挖掘届的顶会，一直是算法爱好者心中的圣地麦加。

直播作为近来新兴的互动形态和今年阿里巴巴双十一的一大亮点，其内容风险监控是一个全新的课题，技术的挑战非常大，管控难点主要包括业界缺乏成熟方案和标准、主播行为、直播内容不可控、峰值期间数千路高并发处理、对算法的高实时响应要求等等。

有幸参加今年11月份的上海Syscan360安全会议，会议期间有一个亮点就是360的独角兽团队设计了一款电子badge(胸牌)供参加人员进行破解尝试，类似于美国Defcon上面的那种解密puzzle的比赛，在参会现场的人都可以参加这种破解，总共9道题，规则是现场会给每道题谜面，在这块胸牌上面输入正确的谜底才能进入下一题，解题需要...

同时，阿里聚漏洞扫描器有一个检测项叫未使用地址空间随机化技术, 该检测项会分析APP中包含的ELF文件判断它们是否使用了该项技术。如果APP中存在该项漏洞则会降低缓冲区溢出攻击的门槛。

“阿里聚安全攻防挑战赛” 已成功举办过两届，并逐渐成为安全行业经典赛事品牌，本届更是推出史上最强权威导师助阵，是业界不可错过的年度盛事！挑战赛主要让参赛选手真实的挑战阿里巴巴移动安全和业务安全的防御。本次挑战赛奖励丰厚，总奖金累计20万，还有定制礼品等你来拿！

互联网发展20多年，大家都习惯了在浏览器地址里输入HTTP格式的网址。但前两年，HTTPS逐渐取代HTTP，成为传输协议界的“新宠”。​早在2014年，由网际网路安全研究组织Internet Security Research Group(ISRG)负责营运的 “Let's Encrypt”项目就成立了，意在推动全球网站的全面HTTPS化；今年6月，苹果也要求所有IOS Apps在201...

如果你是网络安全从业人员，其中重要的工作便是了解安全行业的最新资讯以及技术趋势，那么浏览各大安全博客网站或许是信息来源最好的方法之一。最近有国外网站对50多个互联网安全博客做了相关排名，小编整理其中排名前30的安全博客，希望能给大家带来一些帮助。

现今，技术引领的商业变革已无缝渗透入我们的日常生活，「技术改变生活」的开发者们被推向了创新浪潮的顶端。国内知名的开发者技术社区 SegmentFault 至今已有四年多了，自技术问答开始，他们已经发展成为一个问答、专栏、笔记、头条以及线下活动等多产品线的技术交流平台。到目前为止，SegmentFault 已成功举办 40 多场...

近年来电信诈骗案件频发，从2011年至2015年，全国电信诈骗案件数量从10万件飙升至约60万件。而在今年，电信诈骗的数量依然在上升，政府部门在各种公开场合强调必须依法严厉打击，减少其对人民群众财产安全和合法权益的损害。​电话、短信、钓鱼网址依然是电信诈骗最重要的三种方式。其中40%的用户每月都有收到诈骗电话，2...

基于阿里聚安全在2016年1-8月收录的APK样本数据，从16个行业分类分别选取了15个热门应用，共240个应用进行仿冒分析，发现83%的热门应用存在仿冒，总仿冒量高达8267个，平均每个应用的仿冒量达34个，总感染设备量达6790万台。广东省的仿冒应用感染设备量最大，占全国的13%。北京市作为首都，仿冒应用感染量也非常大，占全...

“你们安全不要阻碍业务发展”、“这个安全策略降低用户体验，影响转化率”——这是甲方企业安全部门经常听到合作团队抱怨。但安全从业者加入公司的初衷绝对不是“阻碍业务发展”，那么安全解决方案能否成为“业务促进者”，而非“业务阻碍者”呢？答案是肯定。

随着苹果对iOS系统多年的研发，iOS上的安全防护机制也是越来越多，越来越复杂。这对于刚接触iOS安全的研究人员来说非常不友好，往往不知从何入手。因此，为了让大家能够更加系统性的了解iOS上的安全机制，我们从三个方面着眼：代码签名(CodeSign)、沙盒机制(SandBox) 和利用缓解(Exploit Mitigation)，对iOS的系统安全机...

业务安全从流程设计维度可划分为账户体系安全、交易体系安全、支付体系安全、用户信息存储安全。后者对普通用户而言基本属于透明状态，对于电商/互联网金融/社交媒体更多面临的业务安全风险集中在账户/交易/支付三个维度内。​

在上一章节中我们详细分析了TaintDroid对DVM方法参数和方法变量的变量级污点跟踪机制，现在我们将继续分析TaintDroid对类的静态域、实例域以及数组的污点跟踪。

随着移动端应用市场数量爆炸式增长，App推广和曝光率也越来越难。哪里有需求哪里就有生财之道，自然，App刷榜也就形成了一条产业链，它能够在短期内大幅提高下载量和用户量，进而提高应用的曝光率。

因为ZIP压缩包文件中允许存在“../”的字符串，攻击者可以利用多个“../”在解压时改变ZIP包中某个文件的存放位置，覆盖掉应用原有的文件。如果被覆盖掉的文件是动态链接so、dex或者odex文件，轻则产生本地拒绝服务漏洞，影响应用的可用性，重则可能造成任意代码执行漏洞，危害用户的设备安全和信息安全。比如近段时间发现的...

随着移动安全越来越火，各种调试工具也都层出不穷，但因为环境和需求的不同，并没有工具是万能的。另外工具是死的，人是活的，如果能搞懂工具的原理再结合上自身的经验，你也可以创造出属于自己的调试武器。因此，笔者将会在这一系列文章中分享一些自己经常用或原创的调试工具以及手段，希望能对国内移动安全的研究起到...

Content Provider组件是Android应用的重要组件之一，管理对数据的访问，主要用于不同的应用程序之间实现数据共享的功能。Content Provider的数据源不止包括SQLite数据库，还可以是文件数据。通过将数据储存层和应用层分离，Content Provider为各种数据源提供了一个通用的接口。