卡巴斯基2013授权文件文章列表:

• 1、比特币可能比你想象的安全
• 2、百度杀毒软件正式退役！百度卫士也不再提供下载
• 3、邱实 牟承晋：美国撤销中国五家网络运营商运营授权的叙事分析
• 4、供应链攻击集团的战术暴露
• 5、使用较早的安卓设备面临恶意软件感染风险

比特币可能比你想象的安全

        纽约（InsideBitcoins）——比特币的安全风险可能在降低。安全公司卡巴斯基实验室宣布，相对于2013年底完成的一个分析，二季度针对比特币的所有的恶意软件攻击减少了7%。不过，仍然有22%的金融恶意软件是指向比特币的。

       根据卡巴斯基实验室的研究，14%的恶意软件攻击是以比特币挖矿软件为目标的，去年这个数字是8.91%。然而，指向比特币钱包的恶意软件占8%，比去年降低了超过20%。大约4%可以归于键盘记录器，在电脑上记录击键。

        盗窃一个比特币钱包，需要恶意软件识别用户电脑上的钱包文件，控制它，并将其中的资金转移到另外的钱包中。如果这些文件使用强密码加密，恶意软件是不太可能暴力进入文件，并获取用户的比特币的。

比特币用户越来越聪明

        “有好几年，来自比特币核心客户端的的比特币钱包是没有加密的。一旦加密成为客户端的标配，你需要获得这个人的密码才能偷到他的币。”皮特·皮亚塞斯基，是一位比特币安全专家，是来自温哥华的研究性机构可证公司的首席科学家，他告诉我们：“我觉得，桌面客户端也许已经不是比特币新手们的首选了，而这些人正是恶意盗币软件的首选目标。”

皮亚塞斯基说，比特币用户在保护他们的数字货币资产方面更加聪明了。

他还说，“大批拥有大量币的人在存储他们的比特币方面也变得更加聪明——将他们置于加密归档文件中，使用多重签名地址，或者使用BIP-38加密钱包（暴力破解它要困难得多）。暴力破解意味着黑客要快速实验无穷无尽的密码，以期获得正确的那一个。

针对挖矿的恶意软件

使用比特币进行交易，你首先必须在你的电脑或移动设备上创建一个钱包

不管通过购买还是挖矿，往你的钱包里放一些比特币

你所有的比特币都会有独一无二的电子签名，确认它们归你所有。

当你创建一个比特币钱包时，它会生成你的第一个比特币地址

你可以向其他人公布你的地址，这样他们可以向你支付，反之亦然。

记住，比特币地址不重复使用是一个好习惯。

每一笔交易随后被记录在区块链上，这是一个可供分享的公开账本，交易在公布前要经过矿工的确认。

安全须知

       “信用卡窃贼的受害者可以终止信用卡的使用，或者撤销欺诈性的交易。但是比特币对小偷们充满吸引力，因为交易是不可撤销的。

绝大多数比特币失窃，是钱包安全性处理不适当或者管理不善的结果，使黑客窃取了私钥。

十六到十七分之一比特币属于小偷

5亿美元：2009年以来被窃的比特币估值

 比特币钱包可以通过私钥进入，越来越多的黑客试图偷这些秘钥

140：当前专门设计用来窃取比特币的病毒数量

35美元：在地下论坛赎回失窃的每个比特币的成本，这个数字被认为是三分之一的比特币窃贼的要价

12 ：超过12家比特币交易平台被黑过，包括门头沟，曾经最大的交易平台（现已倒闭）

51%攻击

通过掌握51%全部算力，有的人可以控制比特币生产的过程，即新的交易被确认写进区块链的过程。

理论上，这会允许出现“双花”或阻止交易被确认以及其他潜在问题。

2014年一月份，GHash矿池的算力一度接近临界值，引起了比特币社区的恐慌，并请求矿工撤离该矿池。

尽管一次危机已经渡过，51%攻击依然是系统关键的缺陷。

如何保护你的比特币

检查一下你买币的供应商：他们在哪里注册？他们使用的安全措施怎么样？是来自BTC-e，Bitstamp,Kraken这样的大交易所，还是从Coinbase这样信誉好的渠道呢？

永远不要将钱包地址和私钥放在同一个地方

只用你自己的手机或者电脑进行交易

将你的比特币分散在数个小一些的钱包内

使用多重钱包，在线，桌面，移动，离线

在离线硬件设备中备份你的所有钱包

使用钱包加密—第三方加密软件，比如DiskCrypt或BestCrypt是理想的选择

升级在线钱包软件

使用深度冷存储——加密钱包文件，将它放在离线设备中。

考虑比特币纸钱包，放进保险柜里。

选择你的钱包

在线钱包：最简单最易用。但是你的私钥掌握在第三方手中，这是危险的。最被信任的在线钱包：Coinbase, My Wallet (Blockchain)，Strongcoin.

桌面钱包：它们不依赖第三方服务，但是它们容易被恶意软件攻击。你只能在电脑桌面端使用它们。最被信任的桌面钱包：Hive, Bitcoin Core，MultiBit Armory.

移动钱包：移动端，便于在线购买。但是它们依赖于互联网和手机网络——并且其中有的通过第三方传输数据。最被信任的移动钱包：Mycelium, Blockchain, Bitcoin Wallet

硬件钱包：它们是最安全的，因为它们是离线的。相对来说，把它们看做离线保险箱吧。流行的比特币冷存储客户端：Armory。

        当比特币被偷了，理论上讲，是有可能追踪它们的，因为比特币的每一笔交易都是公开的。然而，精明的犯罪分子有能力系统地干扰这个过程，使该过程变得极端困难。

简而言之，就像保护现金一样的保护你的比特币的安全；你应该一直对潜在的危险保持警惕，采取每一个必要的步骤保护你的比特币的安全。

－－－－

作者：Jacob Cohen Donnelly

译者：面神护法

稿源（译）：巴比特资讯

译者btc地址：1AgQhZScPTYeZdz5zQ86Nr4dwhX1RPXkXC

译者版权声明：本文在中华人民共和国著作权法的基础上，使用署名-非商业性使用-相同方式共享（BY-NC-SA 2.5 CN）。非商业使用定义为慈善或非盈利机构使用以及个人非盈利目之使用。除此之外，如欲使用，请联系译者并付费。

百度杀毒软件正式退役！百度卫士也不再提供下载

昨日，有网友发现，百度杀毒软件已经不再提供介绍和下载。进入官网，首页写着“百度杀毒感谢一路有你”字样。

此外，官网页面还显示“了解更多清理加速、杀毒、防欺诈产品，请下载百度手机卫士”及“获取Windows安全信息获取和解决方案，请关注微软安全中心”等文字。

没错，陪了我们5年的百度杀毒软件，正式退役了！相应的，与之一体的百度卫士，也宣布退役了。

2013 年 4 月，百度公司推出了专业杀毒软件——百度杀毒，与卡巴斯基合作，基于卡巴斯基反病毒引擎，集合百度云查杀引擎，承诺永久免费、不骚扰用户、不胁迫用户、不偷窥用户隐私，致力于提供轻巧不卡机的产品体验。

那时，国内杀毒软件市场竞争激烈，优势各异，360在和瑞星、金山一战后，迅速确立了自己在杀毒软件市场的统治地位，然后顺势把手伸向了搜索引擎，与百度争抢搜索引擎的市场份额。

于是，百度推出了百度杀毒，主打免费、轻巧、不卡机。

而随着PC整体市场的收缩，加之Win10已自带WindowsDefender杀毒软件，从国外杀毒软件评级来看，它近乎可以100%抵御来自恶意软件的攻击，并且体积小巧，没有任何捆绑，对于一些用户的杀毒要求来说已经够用，因此很多人已经不再安装第三方杀毒软件，杀毒软件这个曾经火爆的战场也逐渐平息。

前端时间，杀软评测机构AV-TEST发布了2018年7至8月杀软排名，其中五款杀软取得了满分成绩，这里就有大家最熟悉的小红伞和卡巴斯基，而在这份杀软排名中，最吸引我们的还是Win10自带的Defender安全中心，它获得了17.5分的好成绩（满分18分），仅仅是在性能方面丢失了0.5，这就意味着Win10自带的Defender同满分杀软的防护能力一样强悍。

在2016年初，百度杀毒软件公布了5.0版本，使用了全新宽式交互界面，新增智能“弹窗“拦截功能，其搭载的自研引擎“雪狼“全新升级为雪狼二代，全面提升引擎识别技术，根除病毒残留痕迹，解决病毒死灰复燃的问题。

百度杀毒的最后一个版本为5.6，两年多，只进行过6次更新，可能早就萌生退意了。现在，只是到了一个合适的时候与大家说再见。

那么，百度杀毒，再见！

点击下方阅读原文，关注电脑报新媒体矩阵更多精彩

邱实 牟承晋：美国撤销中国五家网络运营商运营授权的叙事分析

2022年3月23日，美国联邦通信委员会（FCC）正式发布“撤销及终止令”（以下简称“撤销令”），撤销及终止太平洋网络公司（Pacific Networks Corp）及其子公司ComNet（美国）公司在美国国内以及国际的运营服务授权，即所谓“214条款”。

FCC专员杰弗里•斯塔克斯（Geoffrey Starks）在声明中称，这项“撤销令”终止了“由‘电信小组’（Team Telecom）所确定的在美国的最后一家中国网络运营商的214条款授权。”

同一天，针对俄罗斯乌克兰冲突的北约峰会在比利时的布鲁塞尔召开。美国总统拜登24日出席会议。“北约国家元首和政府首脑声明”要求中国，“不以任何方式支持俄罗斯”，“避免采取任何帮助俄罗斯规避制裁的行动”。

一、相关背景

“电信小组”成立于1997年，是从属于美国外国投资委员会（CFIUS）的一个临时和松散的机构，由司法部、国防部、商务部、国土安全部等政府部门组成，审查范围是电信行业（审查过程和信息不完全公开），包括启用涉密的“外国情报监视法”（FISA），主要是协助FCC对外国电信运营商的安全审查。自2011年，“电信小组”开始“重点关注”中国网络（电信）运营商在美国的运营和服务，由于“缺乏资源和协同”，使得“工作效率低下，而且效应滞后。”例如，对中国移动（美洲）公司2011年9月1日申请“214条款”的授权审查，历时7年，至2018年7月2日给出拒绝中国移动（美洲）公司申请运营和服务授权的建议。

2020年4月4日，时任美国总统特朗普发布行政令（EO 13913），成立“外国参与美国电信服务行业评估委员会”，由司法部长负责，使原“电信小组”的任务和工作被常态化和有组织化。

同年6月9日，美国参议院常设调查小组委员会公布了一份专题报告：对美国网络的威胁暨对中国国有网络运营商的失察。其中对中国五家网络（电信）运营商逐一做了分析，并成为FCC采取行动和发布“命令”的主要依据：

二、定性要素

回顾FCC的撤销（和拒绝）命令及其过程（包括法院诉讼、FCC的决定和声明），尽管所针对中国国有五家网络（电信）运营商的状况和背景不尽相同，但是FCC所给出的最终理由却如出一辙。

2022年3月24日，FCC公开一份部分解封的文件，是美国国家电信及信息管理局（NTIA）代表“电信小组”于2018年7月2日，给FCC的关于中国移动（美洲）公司申请“214授权”的审查意见。其中：

● 2011年9月1日，中国移动（美洲）公司提出“214条款”的授权申请，包括：提供基于设施的国际电信服务和零售电信服务，向与外国运营商有联系的目的地国家和所有的国际点提供国际电信服务，提供国际数据交换、国际专线电路和移动虚拟网络运营商（MVNO）的服务，以及提供“不需要国际214条款授权的服务”，如数据中心和云服务。

●“电信小组”的审查意见认为，“在目前的国家安全环境下，批准中国移动的国际运营授权申请不符合公共利益”。理由是（省略相应的具体说明）：

1）中国移动受到中国政府的利用、影响和控制；

2）批准中国移动的（国际）“214条款”申请将对国家安全和执法产生重大且不可接受的风险，包括：

——将有助于中国政府对美国的有针对性情报收集，而造成重大和不可接受的风险。

——将有助于中国政府对美国的经济间谍活动，而造成重大和不可接受的风险。

——将对美国的执法和外国情报收集造成重大和不可接受的风险。

——自FCC在此之前批准一家大型中国国有企业的“214条款”申请以来，美国的国家安全和执法风险已经发生变化。

3）在当前国家安全环境下，重大的和不可接受的国家安全和执法风险不能通过某种缓和协议得以解决。

4）结论：综上，“电信小组”建议，拒绝中国移动的“214条款”申请。“电信小组”认为，上述非涉密信息足以充分证明拒绝中国移动申请的建议之合理性。

5）附件提供了附加的涉密信息，进一步支持关于拒绝中国移动申请的建议。10个文件目录是：

（1，2）2011年11月3日，中国移动回复“电信小组”于2011年10月5日提出的问题。

（3，4）2012年4月27日，中国移动回复“电信小组”于2012年2月28日提出的问题。

（5）2013年10月7日，中国移动给“电信小组”的信函。

（6）2014年9月25日，中国移动的法律顾问（代表）肯特•布雷西（Kent Bressis）给美国司法部的信函。

（7）2014年10月31日，中国移动给美国国务院的介绍演讲稿。

（8）2015年1月28日，中国移动给美国国防部的电子邮件。

（9） 2015年5月14日，美国司法部给中国移动的信函。

（10）2015年6月12日，中国移动提出的缓和建议。

显见，“电信小组”于2018年7月2日建议拒绝中国移动的“214条款”申请，其“非涉密理由”不仅成为FCC“撤销令”的定性要素和模板，而且推动了FCC的转型和法定职权的潜在扩展，以及采取进一步的关联和协同行动。

三、叙事分析

2021年3月12日，FCC公布了“有史以来第一份对国家安全构成不可接受的风险的通信设备和服务的清单”，被称为“覆盖清单”（Covered List），其中包括五家中国民营企业：华为技术，中兴通讯，海能达通信，海康威视，大华技术。

2022年3月25日，FCC更新了“覆盖清单”，增加了中国移动（美洲）公司和中国电信（美洲）公司；并在其公告中称，“FCC认为，‘电信小组’也明确了中国电信（和中国移动）所运营的服务还能够以其他方式对美国国家和民众的安全构成不可接受的风险。”

至此，针对中国的“清洁网络”计划的阶段性和目标性已见实质性端倪，并且还在“紧锣密鼓”地进行时。

【图1 “清洁网络”的构成（来源：美国国务院）】

FCC明确表示，下一步将审查在美国的外国数据中心以及边界网关协议（BGP）。由此，必然涉及网络自治系统（AS）和网络接入点（PoP）以及网络路由路径（Path）。

目前，FCC的法定监管范围是“电信行业”（主要是电话和卫星的通讯以及电视和广播）；可以预见，随着当前趋势发展，对网络化数字通信的监管，也将被纳入FCC的法定监管范围。

对于中国五家国有网络运营商被“终止”在美国国内及国际的运营服务授权，综合时序和过程的开源信息，值得注意（但不限于）：

1）这五家网络运营商都被作为是“主导性”（dominant）类型，即在技术上拥有自建和自管的物理网络（包括光缆网络），以及基于设施（facility-based）的网络资源租赁和集成。因此，所面临的问题和挑战，不同于完全依赖于网络资源租赁和集成的“非主导性”（non-dominant）的虚拟网络（民营服务）运营商。

2）这五家网络运营商在美国的电信业务和运营，不仅仅服务于在美国的企业和华人，更为重要的是，美国是全球互联网络互通之最大的重要中继中转节点或站点（包括中国境内互联网络的跨境回环互通）。换言之，根据已知中国与国际网络互联互通连接状况，一旦中国这五家网络运营商在美国的数据中心（自治系统）、网络接入点（PoP）以及虚拟路径（如MPLS VPN，IPLC）被关闭，被迫调整重构网络逻辑拓扑以及迁移第三方的周期、代价和成本将难以估计或评估。

例如，从FCC在3月23日发布的“撤销令”中可见，“太平洋网络公司估计大约需要12-19个月以完成MPLS VPN服务的迁移。”而MPLS VPN 仅是“点到点”的一种组网模式。

3）边界网关协议（BGP）是自治系统之间的路由协议，而自治系统是互联网络之间路由的基本单元，即多个自治系统的联通构成端到端的数据传输路径。曾经，美国国家安全局（NSA）以隐蔽的方法和手段在全球范围测量和采集自治系统及路由路径的信息（即“藏宝图”Treasure Map）；目前，FCC以国家安全和执法为由，名正言顺地“审查”自治系统，实则为实施“清洁网络”计划中的“清洁路径”（图1），其中并不排除美国藉此“对外国情报的收集”。

此外，“断网”一般指的是物理网络连接受损或故障（或宕机）所造成的无法联通状况；“断服”一般是由于个别业务的中断所导致的无法互通现象。然而，从“安全即是服务”的演进，不论是何原因，“断服”即是“断网”；而且“断网”可能影响的是多方（或全局）利益，“断服”则可能是“降维打击”和“精准打击”的一种手段。

美国公司Cogent，不仅管理和运营互联网的“C”根域名系统以及在全球的12个分布式站点（城市）；而且运营19个开放的自治系统（局域网络），其中的自治系统（AS 174）在全球自治系统中目前的综合排名第三，并与6,595个自治系统（局域网络）互联互通，且提供互联网络的骨干网中继传输。

在俄乌冲突中，Cogent宣布中止对俄罗斯的服务，即在技术上从互联网的路由路径中有选择性地“断服”。尽管Cogent的“断服”对俄罗斯的互联网RUnet并未造成显著的影响，但是联系到FCC正在对自治系统采取前所未有的安全“审查”行动，以及美国政府正在筹备和实施的“未来互联网联盟”，不能不“未雨绸缪”。

FCC针对中国五家网络运营商的“撤销令”再一次无可争辩地证明，“同一个世界，同一个互联网”或将成为理想化的过去，不论是情愿（主动）还是反对（被动），全球互联网络实际上是“有条件”的互联互通，是不容否认、不容回避的现实。

综上所述，从FCC的“撤销令”到俄乌冲突中的“混合战”，当前“事件驱动”凸显的一个关键支配因素是：威慑（Deterrence）。

一方面，FCC的“撤销令”可以被视为“拒止型威慑”（Deterrence by Denial）。但是，鉴于互联网“剪不断，理还乱”的特点，如若美国及其盟友欲封锁中国的互联网，或“断网”或“断服”，都必须为此付出难以（或无法）承受的代价；而美国对“外国情报收集”需要并且主要是通过互联网（如“开源情报”OSINT）。

另一方面，FCC的“撤销令”具有明显的“胁迫”（Coercion），强制在“撤销令”发布后的六十（60）天内完成网络连接的迁移和客户服务的过渡，以至于迫使中国收缩或“让渡”对互联网的管辖权和控制权及话语权，（逐步和全面）沦为美国制约或“受制”互联网的“租户”。

事实上，上述美国“电信小组”（包括安全部门）所给出的三条“非涉密”理由，清晰地揭示了在网信空间（Cyberspace）针对中国的“威慑力”和“胁迫力”并举策略，亦是“推进防御”（Defend Forward）的策略与实施。

尤其需要关注的是，中国国内的通信网络拓扑是“扁平化”结构，纵向垂直互联，横向通而不畅，且高度依赖于境外的自治系统（如“Level 3”）和顶级域名（如“.COM”）解析的服务。当FCC完成对边界网关协议（BGP）暨自治系统的安全“审查”，“威慑力”和“胁迫力”必将会得到显著的“推进”；而应对如此态势与现实，其中的过程和问题、困难和挑战之复杂性程度，远远超出“寻求第三方替代和迁移”的应急，或难以预料。

从技术角度认知，一个残酷的现实是：

“迄今为止对互联网基础算法和通信协议的研发，90%来自美国，10%来自欧盟和日本，而中国只是拿着这些算法编应用程序、依赖于这些通信协议建设网络和扩展应用，且没有任何贡献。”

这个评价也许失之偏颇，但不得不直面的问题是：在网信空间（即“社会系统”），中国的竞争实力究竟是什么？

从技术路线反思，“跟随”或“盲从”，绝不可能实现超越，而且“能力不等于实力”。毕竟，“真正的封闭系统在客观世界中是不存在的。”

FCC针对中国国有网络运营商的一系列行动，并非突发或偶然；与此同时，FCC也将俄罗斯的卡巴斯基实验室（Kaspersky Lab）列入“覆盖清单”。乌克兰在美国和北约及其盟国支持下“激活”的全球性网络战，美国网络服务巨头企业异乎寻常地冲在了“断服”威胁的最前面。其中（而且还在持续和演变中），在网络信息领域有太多新显现的、深层次的、不可或缺的经验和教训、战略和策略、战术和技术、指挥和控制、理念和意识、原因和过程，需要关联分析和总结，并将对我们建设网络强国，产生重大的、颠覆性的认知冲击和理论与实践的影响及纠偏。

（作者：邱实，网络信息安全技术专家；牟承晋，昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任。来源：昆仑策网【原创】，作者授权首发）

供应链攻击集团的战术暴露

转自infosecurity，作者Sarah Coble

研究人员揭露了一个负责发动一系列供应链攻击的威胁集团的不正当手段。

近10年来，Winnti Group一直将目标锁定在游戏行业。他们喜欢的攻击方式是向游戏开发者妥协，在游戏的构建环境中插入后门，然后将他们的恶意软件作为合法软件发布。

2013年4月，卡巴斯基实验室(Kaspersky Lab)报告称，Winnti在2011年修改了一款视频游戏，加入了后门。

然后，在2019年3月，ESET发布了一项研究，证明了威胁集团有责任做出让步，并为另外两款游戏和一个游戏平台添加了后门。

亚洲的玩家是最近这次供应链攻击的目标，研究人员估计这次攻击影响了“数万或数十万”人。超过半数的受害者(55%)在泰国。

在这篇文章发表之后，ESET继续调查，以发现组织的数字供应链是如何被破坏的，从而在他们的应用程序中传递恶意软件。

“在庞大的现有代码库中寻找一小段隐藏良好的代码，就像大海捞针。然而，我们依靠行为和代码的相似性就是来帮助我们找到针，”ESET研究员Marc-Etienne Leveille说。

Winnti集团在一个名为PortReuse的后门中使用了一个封隔器。在与Censys的合作中，ESET进行了一次互联网范围的扫描，试图识别后门的一个变种，以及潜在的受害者。

Leveille说:“最近针对亚洲游戏产业的供应链攻击中使用的独特封隔器引起了我们的兴趣，我们开始寻找它是否被用于其他地方。比方说，和它一样的受害者。”

通过他们的新研究，ESET能够警告亚洲一家主要的移动软件和硬件制造商，他们已经在PortReuse上受到了威胁。

ESET还分析了Shadowpad的新变种，这是Winnti集团使用的另一种后门，目前仍在维护并被其运营商积极使用。

虽然Winnti主要以间谍活动闻名，但研究人员发现，该组织还使用僵尸网络来攻击加密货币。

列维耶说:“也许他们利用从矿中获得的虚拟货币来资助他们的其他业务。也许他们用它来租用服务器和注册域名。

但在这一点上，我们不能排除他们或他们的一个子群体可能受到经济利益的驱动。”

声明：我们尊重原创者版权，除确实无法确认作者外，均会注明作者和来源。转载文章仅供个人学习研究，同时向原创作者表示感谢，若涉及版权问题，请及时联系小编删除！

精彩在后面

Hi，我是超级盾

更多干货，可移步到，微信公众号：超级盾订阅号！精彩与您不见不散！

超级盾能做到：防得住、用得起、接得快、玩得好、看得见、双向数据加密！

截至到目前，超级盾成功抵御史上最大2.47T黑客DDoS攻击，超级盾具有无限防御DDoS、100%防CC的优势

使用较早的安卓设备面临恶意软件感染风险

卡巴斯基实验室的研究人员在对多个网络犯罪组织的行为进行监测过程中，在一个受感染网站上发现一种恶意脚本具有不同寻常的行为，导致安卓用户面临风险。这一脚本一半会激活Flash漏洞利用程序下载，从而对Windows用户进行攻击。但是，某些情况下，这种脚本可以检查受害者使用的设备类型，查找用户设备的安卓版本，尤其是安卓4或更早的版本。发现这一危险行为后，卡巴斯基实验室安全专家决定深度挖掘其背后的意义。

对网络罪犯来说，要感染安卓设备，比感染普通的Windows计算机要困难得多。Windows操作系统以及该平台下的很多应用程序，都包含漏洞，允许恶意代码在无需用户干预的情况下自己执行。但是，安卓操作系统一般不会遇到这种情况，因为安卓平台下安装任何应用，都需要安卓设备的使用者确认。但是，这种操作系统下的漏洞也可能被利用，从而绕过这种限制。我们的研究人员在调查中，的确发现了这种情况。

这种脚本是一组可以在浏览器内执行的特殊指令集，被嵌入到受感染网站的代码中。第一个脚本是在其查找使用较老版本安卓操作系统设备时被发现的。之后，我们又发现了两个恶意脚本。第一个脚本能够像任何手机号码发送短信，而另外一个脚本则可以在被攻击的设备的SD卡中创建恶意文件。其创建的文件是一种木马，能够拦截和发送短信。这两种恶意脚本都可以在没有用户干预的情况下，自主进行操作。用户只要访问受感染网站，就会被感染。

攻击者之所以能够成功进行攻击，是因为他们利用了安卓4.1.x版和更早版本中存在的多个漏洞，尤其是CVE-2012-6636、CVE-2013-4710和CVE-2014-1939漏洞。Google公司在2012年至2014年期间，分别修补了上述三个漏洞。但是，这些漏洞被利用的风险仍然存在。例如，由于安卓生态系统的特点，很多生产基于安卓设备的供应商在发布安全更新时，速度通常很慢。有些厂商甚至不会发布安全更新，因为有些特定型号的设备已经早过时了。

卡巴斯基实验室安全专家Victor Chebyshev说:“这次调查中发现的漏洞利用技术并不新颖，只是借用了之前白帽研究人员发表的概念验证。这表明，安卓设备的供应商应当意识到很多概念验证最终都不可避免地变成具有攻击能力的漏洞利用程序。使用这些设备的用户应当得到相应的安全更新的保护，即使这些设备当时已经不再销售.”

卡巴斯基实验室提醒大家要保护自己不遭遇路过式下载攻击，建议采取以下安全措施：

· 开启自动更新功能，确保基于安卓的设备软件保持更新；

· 限制从Google Play之外的第三方来源安装应用，尤其是在企业网络中管理多台设备时；

· 使用可靠的安全解决方案。卡巴斯基安全软件安卓版和具有移动设备管理功能的卡巴斯基网络安全解决方案——移动安全能够实时检测SD卡设备上的变化，帮助用户抵御上述提到的路过式下载攻击。