致长期以来一直关注solidot的海内外朋友,请点击这里查看。
adv
安全
WinterIsComing(31822)
发表于2020年09月03日 12时37分 星期四
来自
Google 从 Play Store 移除了跟踪和收集白俄抗议者个人信息的 Android 应用 NEXTA LIVE (已下架)。NEXT LIVE 在官方应用商店存活了大约 3 周时间,下载量约数千次,评论数百条。它自称是白俄独立新闻机构 Nexta 的官方Android应用。但 Nexta 上周在 Telegra 发表声明称它与该应用没有任何关系,指该应用设计收集用户信息,去匿名抗议者。一位白俄安全研究人员称,该应用定期收集地理位置数据,收集机主个人信息,然后上传到俄罗斯的一台服务器。该应用与俄罗斯的一个 IP 地址(rcpi.nextialive.roimaster[.]site (89.223.89[.]47)之间有通信。该 IP 曾被用于托管可疑域名。虽然没有假应用和白俄政府有联系的确证,但这并非第一次政府试图监视举行大规模抗议的公民。
安全
WinterIsComing(31822)
发表于2020年09月02日 15时49分 星期三
来自
黑客正在利用 WordPress 插件 File Manager 的一个漏洞在网站上执行命令和恶意脚本。File Manager 的安装量超过 70 万,用于操作本地和服务器上的文件。泰国安全公司 NinTechNet 最早报告了黑客正在利用漏洞上传名叫 hardfork.php 的脚本,然后用它向 WordPress 脚本 /wp-admin/admin-ajax.php 和 /wp-includes/user.php 注入代码。另一家安全公司 Wordfence 称,过去几天它屏蔽了 45 万次漏洞利用尝试,攻击者尝试注入不同类型的文件,部分文件是空的,可能是为了侦察网站是否存在漏洞,然后再注入恶意文件。上传的文件名字有 hardfork.php、hardfind.php 和 x.php。统计显示,70 多万安装的 File Manager 中有 52% 存在漏洞。
安全
WinterIsComing(31822)
发表于2020年09月01日 17时43分 星期二
来自
白帽子黑客 Jason Hughes 曾经利用服务器端的漏洞能控制所有特斯拉的汽车。2017 年的 Jason Hughes 在特斯拉社区已小有名气,他利用自己掌握的知识和经验寻找特斯拉软件的漏洞,将发现的漏洞报告给公司。在特斯拉允许客户访问有关超级充电站的更多数据后,Hughes 对此展开了调查,在服务器端发现了一个漏洞允许他每隔几分钟从世界各地的超级充电站获取数据。他将结果发在特斯拉汽车俱乐部论坛上,20 分钟后他收到了特斯拉公司负责软件安全的高管的电话,表示希望他以后发现漏洞不要先公开而是通知他们。他随后就开始了白帽子黑客的生涯,在特斯拉的软件和服务器上继续寻找漏洞,获取小笔赏金。他最大的发现是利用一组漏洞成功访问特斯拉网络中的服务器镜像库,其中之一是 Mothership。Mothership 是特斯拉用于与客户汽车通信的主服务器名字。任何特斯拉汽车的远程指令或诊断信息都会经过 Mothership。他在 Mothership 中发现了漏洞允许他以任何特斯拉车主的身份给汽车发送指令。当时特斯拉汽车的远程控制功能还比较有限,Hughes 并不能操纵汽车开到任何地方,但可以使用召唤功能召唤它们。这些漏洞让他获得了 5 万美元的赏金。
安全
WinterIsComing(31822)
发表于2020年08月31日 17时38分 星期一
来自
前思科工程师承认非法访问了前雇主的 AWS 基础设施,删除了 456 个 WebEx 虚拟机。Sudhish Kasaba Rames 于 2016 年 7 月到 2018 年 4 月之间任职于思科,在离开公司 5 个月后的 2018 年 9 月非法访问了思科的 AWS 基础设施,破坏了用于 WebEx 视频会议服务的虚拟机。这一行动导致了 1.6 万多个 WebEx Teams 账号关闭最长两周时间,思科为此花了 140 万美元的雇员时间去进行补救,向客户退款 100 多万美元。Rames 是通过 H-1B 签证来到美国的,目前正在申请绿卡。他将面临最长五年徒刑和 25 万美元罚款。
安全
WinterIsComing(31822)
发表于2020年08月28日 17时15分 星期五
来自
北卡警方对一名特斯拉汽车司机提起了控诉,他的汽车周三早晨撞上了一位副警长的警车。这位司机承认,他启用了自动驾驶功能,发生车祸时正在手机上看电影。副警长的车被撞之后撞向了另一位警员的车,两人都倒地,但幸运的是无人受重伤。目前还没有汽车具有真正的自动驾驶功能,特斯拉的 Autopilot 技术很早就被指过于夸大了其辅助司机驾驶的能力。它的汽车发生过多起引入瞩目的车祸。
安全
WinterIsComing(31822)
发表于2020年08月28日 14时57分 星期五
来自
一名俄罗斯人试图贿赂特斯拉雇员百万美元,目的是将恶意程序安装到公司内网。根据美国媒体和检方的起诉书,被告是 27 岁的俄罗斯公民 Egor Igorevich Kriuchkov,他从俄罗斯旅行到美国内华达州,多次与一名未公布名字的特斯拉内华达工厂雇员碰面,一开始他的出价是 50 万美元,之后提高到一百万美元。特斯拉雇员将此事报告给了公司,之后与 FBI 合作记录了两人会面的细节。Kriuchkov 的目的是将恶意程序安装到特斯拉的内部网络,窃取数据,然后威胁公开数据向特斯拉勒索赎金。安全研究人员认为 Kriuchkov 亲自跑去美国实施阴谋简直疯狂,网络犯罪分子几乎没人会这么做。
安全
WinterIsComing(31822)
发表于2020年08月25日 18时02分 星期二
来自
安全公司 Secure-D 和 BuzzFeed News 的调查发现,中国手机制造商传音公司在非洲销售的廉价智能手机 Tecno W2 预装了恶意程序 xHelper 和 Triada。深圳传音公司的产品在非洲手机市场的份额最高。恶意程序会悄悄下载应用,订阅付费服务。调查发现,在南非、埃塞俄比亚、喀麦隆、埃及、加纳、印度尼西亚和缅甸销售的 Tecno W2 手机被发现感染了恶意程序。传音发言人将预装恶意程序归罪于供应链中的某位未公布身份的供应商,表示该公司未从恶意程序中获利,但拒绝披露有多少手机被感染。
安全
WinterIsComing(31822)
发表于2020年08月24日 13时35分 星期一
来自
犹他大学上周披露,为了避免学生信息泄露,它向勒索软件攻击者支付了 45.7 万美元赎金。勒索软件背后的攻击者通常在入侵计算机系统加密文件前会先窃取敏感文件,以防万一受害者拒绝支付赎金,它可以以公开敏感信息的威胁来二次勒索。发生在犹他大学身上的勒索软件攻击就是如此。在攻击中,犹他大学服务器上的文件只有 0.02% 遭到加密,IT 人员利用备份恢复了文件。但攻击者威胁泄露学生相关的信息,迫使大学重新思考拒绝支付赎金的决定。犹他大学在声明中称,慎重考虑之后它决定支付赎金。
安全
WinterIsComing(31822)
发表于2020年08月21日 16时50分 星期五
来自
上个月黑客对 Twitter 的攻击首先是利用电话对公司员工发动社交工程攻击窃取到登陆凭证,而类似的攻击方法正越来越常见。因新冠疫情,科技公司推广了远程在家办公政策,而为了安全访问公司内网,企业通常会向员工提供 VPN。有攻击者组合了电话社交工程和钓鱼网站试图窃取企业的 VPN 登陆凭证。这种方法的成功率相当高。类似 Twitter 攻击,钓鱼者首先打电话给目标机构的远程办公员工,自称来自 IT 部门,试图帮助解决 VPN 问题。钓鱼者会诱骗受害者访问冒充企业 VPN 登陆入口的钓鱼网站,输入登陆凭证。
安全
WinterIsComing(31822)
发表于2020年08月21日 15时58分 星期五
来自
Google 曾制定了一条著名的规定:修一个漏洞给 90 天时间足够了,超过这个时间期限可以公开漏洞。现在我们知道,这个规定只适用于其他公司,不适用于 Google。安全研究员 Allison Husain 在 4 月份向 Google 报告了一个漏洞,该漏洞允许攻击者模仿任何 Gmail 或 G Suite 客户发送欺骗性邮件。但 Goolge 没有在 90 天时间内修复漏洞,它计划的修复时间是在 9 月份,也就是在漏洞报告 5 个月之后。8 月 19 日,Husain 在其个人博客上披露了漏洞细节,包括 POC 漏洞利用代码。Google 开发者在漏洞公开 7 个小时后给 Gmail  打了补丁阻止漏洞被利用,但完整补丁将在 9 月份部署。
安全
WinterIsComing(31822)
发表于2020年08月20日 23时26分 星期四
来自
安全公司 Guardicore Labs 的研究人员披露了一个没有中心服务器利用 P2P 机制进行控制的僵尸网络。这种控制机制意味着僵尸网络更难被关闭,传统的打击僵尸网络的方法是接管指令控制服务器,但这种传统方法对 P2P 控制的僵尸网络没有效果。被称为 FritzFrog 的僵尸网络具有很多先进功能,包括:只在内存中运行不留下硬盘文件的恶意负荷;自 1 月以来发布了 20 多个版本;只感染 SSH 服务器。研究人员称,僵尸网络至今成功感染了 500 台属于知名美国和欧洲大学的服务器。
安全
WinterIsComing(31822)
发表于2020年08月17日 21时39分 星期一
来自
微软上周二释出的例行安全更新修复了一个编号为 CVE-2020-1464 的漏洞,微软称该漏洞允许攻击者绕过安全功能加载没有正确签名的文件。微软没有提到哪位安全研究人员向它报告了该漏洞,只是表示该漏洞正被利用。微软这么做可能是因为它最早被利用的时间是在 2018 年 8 月,过去 18 个月有多名安全研究人员向微软报告了该漏洞,它的安全团队验证了漏洞但一直没有给出修复时间。也就是说,软件巨人用了两年时间去修复一个 0day 漏洞。利用该漏洞很简单,只要给一个已被信任软件开发商签名的 MSI 文件添加一个恶意 JAR 文件,用 .jar 扩展名重命名文件,那么 Microsoft Windows 就会将其识别为是一个有效签名的文件。微软没有回答它为什么花了这么长时间修复签名漏洞。
安全
WinterIsComing(31822)
发表于2020年08月14日 15时03分 星期五
来自
FBI 和 NSA 发表联合报告(PDF),对俄罗斯政府黑客正在使用一种先前未知的 Linux 恶意程序秘密渗透敏感网络、窃取机密信息和执行恶意指令发出警告。被称为 Drovorub 的恶意程序直到最近才被发现,其指令控制服务器由俄罗斯军方情报机构相关联的黑客组织操作。Drovorub 工具箱包含四个主要组件:感染 Linux 设备的客户端,使用 rootkit 策略长期隐藏其存在的内核模块,控制被感染机器和接收窃取数据的服务器,充当被感染机器和服务器之间中介的代理。Drovorub 以恶意程序代码中的字符串命名,其意思可能是伐木工或劈材。
安全
WinterIsComing(31822)
发表于2020年08月12日 23时18分 星期三
来自
微软本周释出了例行安全更新,修复了至少  120 个安全漏洞,有 17 个被归类为高危漏洞。其中 编号为 CVE-2020-1380 的 IE 漏洞正被利用,用户使用 IE 浏览器访问恶意网站就可能被利用该漏洞执行任意代码入侵系统,并拥有当前用户的相同权限,如果是系统权限那么攻击者就能完全控制系统;另一个正被利用的漏洞 CVE-2020-1464 允许攻击者绕过 Windows 的安全功能加载错误的签名文件;Windows Server 漏洞 CVE-2020-1472 允许未经授权的攻击者获得域控制器的管理访问权限;Windows Print Spooler 漏洞 CVE-2020-1337 允许攻击者或恶意程序进行提权。Adobe 本周也释出了安全更新,修复了旗下产品的多个漏洞,其中包括 Acrobat 和 PDF Reader 的高危漏洞。
安全
WinterIsComing(31822)
发表于2020年08月11日 21时28分 星期二
来自
在上周举行的 Black Hat 在线安全会议上,研究员和博士生 James Pavur 警告不安全的卫星互联网威胁到了船只飞机的安全。过去几年,他利用在欧洲大陆的有利位置截获了 18 颗卫星发送的互联网数据。他发现:一个中国航班接收了未加密的导航数据和航空电子数据,令人担忧的是,数据来自于乘客用于发送邮件和浏览网页的相同连接,引发了乘客发动攻击的可能性;一位系统管理员登陆了法国南部的风力涡轮机,在此过程中暴露了用于身份认证的会话 cookie;Pavur 截获了一艘埃及油轮发送的发电机故障信息,甚至还知道了派去修理的工程师名字和护照号;一艘游轮广播了 Windows 本地网络的敏感信息,包括储存在 Lightweight Directory Access Protocol 数据库中的登陆信息...Pavur 用于拦截卫星互联网通信的设备只需要 300 美元。
安全
WinterIsComing(31822)
发表于2020年08月11日 12时04分 星期二
来自
在 DEF CON 安全会议上,渗透测试公司 Pen Test Partners 的 Alex Lomas 透露波音 747 使用软盘更新关键软件。他指出导航数据库每 24 天需要更新一次,而更新的方法是通过软盘驱动器。对于飞机安全,很多人有一个疑问是能否通过机载娱乐系统入侵飞机控制系统。Lomas 称他们没有发现机载娱乐系统与飞机空中系统能双向通信。两个系统之间存在隔离,要从一个系统跳过隔离进入到另一个系统是非常困难的。
安全
WinterIsComing(31822)
发表于2020年08月10日 21时00分 星期一
来自
Tor 出口节点是构成 Tor 回路的三个中继的最后一跳,连接了 Tor 匿名网络与开放互联网。根据目标网站使用的是 HTTPS 还是 HTTP 协议,决定了出口节点是否能看到和操纵用户访问的内容。研究人员报告,恶意 Tor 出口节点的情况过去几个月恶化了,恶意出口节点的比例占到了所有出口节点的 24%。这意味着 Tor 浏览器用户有很高的可能性会通过恶意出口节点访问目标网站。恶意出口节点背后的运营者会对 Tor 用户发动中间人攻击,选择性的移除 HTTP-to-HTTPS 重定向,利用被称为 ssl stripping 的方法让目标网站通过 HTTP 而不是 HTTPS 加密连接访问,攻击者将能看到 Tor 用户访问的明文内容,并根据需要修改传输的内容。攻击者主要针对的是数字货币相关的网站,会修改 HTTP 明文流量中的钱包地址,用自己控制的钱包地址替换用户传输的地址,窃取比特币。此类的攻击并非罕见,但攻击规模如此巨大则是前所未有。
Android
WinterIsComing(31822)
发表于2020年08月10日 14时38分 星期一
来自
安全公司 Check Point 报告在高通公司骁龙芯片的数字信号处理器(DSP)中发现了 400 多个漏洞,它将这些漏洞统称为 Achilles。高通的芯片占据了移动手机市场份额的四成以上,这意味着会有数以亿计的 Android 手机受到影响。Check Point 称,利用漏洞攻击者可以将手机转变成完美的间谍工具,无需用户的任何互动;攻击者可以对手机发动拒绝访问攻击,使其无法使用;恶意程序可以彻底隐藏其活动,无法移除。高通已经释出了补丁,但至今为止补丁还没有整合进 Android 操作系统或使用骁龙芯片的 Android 设备中。高通在一份声明中表示,它还没有看到有证据显示这些漏洞正被利用,它建议用户在补丁可用后尽快更新设备。
安全
WinterIsComing(31822)
发表于2020年08月10日 14时02分 星期一
来自
在上周举行的 Black Hat 安全会议上,台湾安全公司 CyCraft 披露过去两年至少有 7 家芯片公司遭到入侵。这一攻击被称为 Operation Skeleton Key(PDF),原因是黑客使用了一种万能钥匙注入器技术,其目的旨在尽可能多的窃取知识产权,包括源代码、软件开发工具包和芯片设计。CyCraft 拒绝披露受害者的名字。它发现,在部分案例中,黑客通过入侵 VPN 在受害者网络获得初步的立足点。黑客使用一个定制版的渗透测试工具 Cobalt Strike,用 Google Chrome 更新文件的名字伪装植入的恶意程序。黑客还使用 Google 和微软的云服务托管其指令控制服务器。在获得内网的初步访问之后,黑客会寻找密码保护的数据库,尝试对其进行破解。CyCraft 称,黑客通常在北京时区内工作,遵循 996 工作计划表——上午九点到晚上九点,一周六天,中国假期期间也不工作。
安全
WinterIsComing(31822)
发表于2020年08月06日 21时52分 星期四
来自
佳能的 image.canon 照片和视频储存服务公布了一则通知,称 7 月 30 日它的 10GB 长期存储服务发现了一个问题,为了展开进一步调查而临时停用了服务。调查之后它发现 6 月 16 日前储存的部分照片和视频丢失了。它在 8 月 4 日恢复了服务。佳能没有透露更多信息,但消息来源透露它遭遇了勒索软件 Maze 的攻击,多个系统和应用、电邮服务受到影响。Maze 通常会先窃取数据再加密数据,该组织据称从佳能公司内部窃取到了 10 TB 的数据。image.canon 的宕机据黑客称与他们无关。佳能对此报道表示正在进行调查。