文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
国内的一个独立安全研究机构 DarkNavy 发表文章披露,国内一家互联网巨头的 APP 利用了 Android 系统漏洞提权使其难以卸载。报道没有公开相关公司的名字,但称得上巨头也就那四五家公司。报道称,该 APP 首先利用了多个厂商 OEM 代码中的反序列化漏洞提权,提权控制手机系统之后,该 App 即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息(包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等)。之后,该 App 利用手机厂商 OEM 代码中导出的 root-path FileContentProvider, 进行 System App 和敏感系统应用文件读写;进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活,修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载;随后,还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码,进行更加隐蔽的长期驻留;甚至还实现了和间谍软件一样的遥控机制,通过远端“云控开关”控制非法行为的启动与暂停,来躲避检测。
新闻集团以及旗下的媒体 WSJ 披露,疑似中国黑客在其网络中活动了近两年时间。新闻集团是在 2022 年 2 月首次披露它遭到了黑客入侵,Google 旗下的安全子公司 Mandiant 协助它进行调查。调查显示,在 2020 年 2 月到 2022 年 1 月之间,未授权方从受影响系统的个人账号内访问了企业文档和邮件,其中包含有个人信息。黑客的目的主要不是为了个人信息,而是情报收集。新闻集团没有发现与数据泄露相关的身份盗窃或欺诈。黑客窃取到的个人信息包括员工姓名、出生日期、社会安全号码、驾驶执照号码、护照号码、金融账户信息、医疗信息和健康保险信息等等。
提供密码管理服务的 LastPass 更新了去年发生的严重安全事故的最新调查结果:它的一名高级工程师的家用电脑遭到黑客入侵,而这名员工拥有企业密码库的访问权限。LastPass 称,8 月 12 日到 26 日之间,未知黑客窃取到了一名高级 DevOps 工程师的有效凭证。黑客利用了第三方媒体软件包的漏洞入侵了该工程师的家用电脑,植入了按键记录器,窃取到主密码。该工程师是 LastPass 四名能访问企业密码库的工程师之一。在进入企业密码库之后,黑客导出了所有条目,其中包括 AWS S3 LastPass 产品备份的密钥。匿名消息来源透露,黑客利用的媒体软件是 Plex,而 Plex 在去年 8 月 24 日披露遭到了入侵,但暂时还不知道两起安全事故是否存在关联。
根据 Google 子公司 Mandiant 的报告,勒索软件黑帮在过去的一年里不太成功。Mandiant 响应的勒索软件事件减少了 15%。而勒索软件组织索要的赎金平均金额下降了 28%,从一年前的 570 万美元减少到 410 万美元。另一家安全公司 CrowdStrike 认为原因包括勒索软件黑帮的成员遭到逮捕,比特币等加密货币的币值下降,等等。根据 Chainalysis 的分析,2022 年勒索软件组织的总收入从 2021 年的 7.656 亿美元下降到 2022 年的大约 4.568 亿美元,下降了 40.3%。受害者支付赎金的概率也在下降。这种情况导致了勒索软件组织也发生了裁员事件,有报道称前勒索软件组织 Conti 的成员解雇了 45 名客服。这些客服是实施网络骗局的一部分。
安全公司 Resecurity 披露了针对数据中心运营者的网络攻击。Resecurity 称总部位于上海的万国数据控股公司和总部位于新加坡的新科电信媒体全球数据公司的数据中心登陆凭证遭到窃取,它已经通知了新加坡和中国的国家计算机应急响应小组。相关数据中心的登陆凭证等信息发布在暗网网站 RAMP 上。万国数据和新科电信有两千个客户受到影响,Resecurity 称黑客登陆了至少五个客户的账号,包括一个中国外汇和债务交易平台以及四个印度的账户。Resecurity 还表示它渗透进入了该黑客组织,发现了它收集了全球知名企业的登陆凭证,其中包括阿里巴巴、亚马逊、苹果、宝马、高盛、华为、微软和沃尔玛。
Web 托管巨头 GoDaddy 证实它遭到了持续多年的入侵,源代码失窃服务器也被安装恶意程序。GoDaddy 是在去年 12 月初收到客户报告其网站被重定向到随机域名后发现未知攻击者入侵了它的 cPanel 共享托管环境。它的调查显示攻击者在它的服务器上活跃了多年,近几年披露的多起安全事故都与此相关。黑客在它的服务器上安装了恶意程序,还窃取到部分服务相关的源代码。它在 2021 年 11 月和 2020 年 3 月披露的安全事件都与此相关。其中 2021 年 11 月的事件影响到了它管理的 120 万 WordPress 客户,攻击者利用一个窃取的密码入侵了它的 WordPress 托管环境,窃取到了客户的邮件地址、管理员密码、sFTP 和数据库凭证,以及部分 SSL 私钥。
安全公司赛门铁克的研究人员发现一种恶意程序滥用微软 IIS 的一项功能隐蔽的渗出数据和执行恶意代码。微软 IIS(Internet Information Services)是广泛使用的 Web 服务器,它的一项功能叫 Failed Request Event Buffering(FREB),旨在帮助管理员诊断错误,FREB 能从缓存中将部分错误相关的请求写入磁盘。黑客找到了滥用该功能的方法,攻击者首先需要入侵运行 IIS 的 Windows 系统,启用 FREB,通过将恶意代码注入 IIS 进程内存劫持执行,它随后就能拦截所有 HTTP 请求,寻找特殊格式的请求,这种特殊的请求能以隐蔽的方式执行远程代码,系统上没有可疑文件或进程在运行。研究人员将这种恶意程序命名为 Frebniis。
现代和起亚正在向数百万辆汽车提供免费软件更新,以应对 TikTok 上病毒式传播的“起亚挑战(Kia Challenge)”视频。该视频助长了汽车盗窃案,起亚挑战视频被认为导致了数百起汽车盗窃,至少 14 起车祸和 8 起死亡事故。被称为 the Kia Boyz 的盗车贼发布了视频,详细介绍了如何使用 USB 线等简单工具绕过汽车的安全系统。盗车非常容易,2015-2019 年款的现代和起亚汽车缺乏电子防盗控制系统以阻止盗车贼闯入和绕过点火装置,该功能在其它厂商同期的汽车中几乎是标配。现代及其子公司起亚释出的软件更新,将警报声长度从 30 秒延长到 1 分钟,且需要车钥匙插入点火开关才能启动汽车。
CDN 服务商 Cloudflare 披露了发生在周末的一次流量创记录的 DDoS 攻击,在峰值期间攻击流量每秒请求数超过了 7100 万。这是有记录以来规模最大的 HTTP DDoS 攻击,比之前的记录每秒请求数 4600 万高 35%。攻击源头来自逾 3 万 IP 地址,被攻击的网站包括游戏服务商、加密货币公司、托管服务商和云计算平台。Cloudflare 称,过去一年 DDoS 攻击频率在显著增加,HTTP DDoS 攻击年度增加 79%,规模超过 100 Gbps 的攻击次数季度增加 67%,持续时间超过 3 小时的攻击次数季度增加 87%。勒索性质的 DDoS 攻击也有显著增加。
丰田正在召回 16,680 辆 2021 年款混动汽车 RAV4 Primes,以修复可能导致牵引电池过度放电的软件 bug,该 bug 最终会导致混动系统关闭。该问题主要在寒冷天气下发生。当 RAV4 Primes 只用电池不使用内燃机的情况下行驶,快速踩下踏板加速,电池有可能降到特定阈值下。如果发生这种情况,汽车会显示错误信息,混动系统将关闭,汽车将失去动力。
Shawn the R0ck 写道:安全多方计算(Secure multi-party computation,简称MPC或者SMPC)起源于 A. Shamir, R. Rivet and L. Adleman 在1979年对于秘密分割问题的研究,其后姚期智(Andrew Yao)于 1982 年提出百万富翁问题和于 1986 年正式提出的 Garbled Circuit Protocol,成为了今天意义上多方计算的基础,Web3.0 的兴起让业界关注使用多方计算解决资产管理和跨链等场景的问题,SMPC 在多台计算节点之间分配签名过程,每台计算机都拥有一份代表密钥份额的私有数据,它们共同合作以分布式方式签署交易以降低单点失败的风险,但实际情况是这样吗?HardenedVault 的 Vault Labs 近期针对 SMPC 中安全假设,Oblivious transfer,同态加密,零知识证明,Shamir 秘密分割,Feldman-VSS,Paillier算法,EdDSA以及MPC-CMP等SMPC的主要特性进行了分析,以此为基础得出以下结论:1)建立合理威胁模型的前提是SMPC实现本身遵循密码学最佳实践。2)有一些厂商宣称的SMPC方案是去中心化的,但实际上是基于特权设置不仅会导致单点失败风险,而且可以让攻击者具备制造假签名的能力,用户需要仔细确认技术参数。3)即使没有特权节点,SMPC也并不能一劳永逸的解决单点失败风险的问题,因为系统安全问题依旧存在。4)没有银弹,高度依赖TEE(可信执行环境)并不是理性的选择,魔鬼在细节中。
社交网站 Reddit 披露了一起安全事故,称其员工遭到复杂且高度针对性的钓鱼攻击。它是在 2 月 5 日察觉到这起攻击,攻击者在窃取到一名雇员的登陆凭证之后访问了部分内部文档、代码、仪表盘和业务系统,但没有迹象表明访问了主生产系统,用户密码和账号仍然是安全的。Reddit 称泄露的主要是企业联系人以及前和现员工的联络信息,它建议用户为保护账号安全启用 2FA。
在研究人员私下警告之后,Valve 修复了一个 Dota 2 的高危漏洞。该漏洞位于 Dota 2 使用的开源 JS 引擎 V8 中,它是在 2021 年发现的,跟踪编号 CVE-2021-38003,Google 在 2021 年 10 月修复了漏洞,但 Valve 直到上个月才修复,期间隔了 15 个月。安全公司 Avast 的研究人员发现,已经有一名黑客利用修补的拖延而发布了 4 个自定义游戏模式利用该漏洞。Dota 2 支持自定义游戏模式,用户通过一个验证流程递交自己开发的自定义模式后可以公开发布供其他玩家下载。黑客递交的第一个自定义模式显然是用于概念验证的,它的一个文件名叫 evil.lua,之后递交的三个自定义模式则更隐蔽,包含了后门,可以执行通过 HTTP 下载的任意 JS 脚本。
试图勒索心理健康诊所 Vastaamo 及其患者的 25 岁芬兰黑客 Julius “Zeekill” Kivimäki 在法国被捕。2020 年 10 月,自称 Ransom Man 的黑客从 Vastaamo 诊所窃取了其客户数据库,他索要价值 45 万欧元的比特币,如果 Vastaamo 不支付赎金就公开患者的心理健康数据。在 Vastaamo 拒绝之后黑客转而尝试勒索患者,向患者发去 500 欧元的勒索通知威胁披露治疗记录。在没取得多少成功之后,Ransom Man 在暗网直接公开了所有患者记录的压缩档案。安全专家在分析公开的档案时发现 Ransom Man 犯下了大错。他将个人的主文件夹都包含在压缩档案中,Kivimäki 的身份暴露。2022 年 10 月他被缺席逮捕,芬兰随后发出了国际通缉令。2023 年 2 月 3 日警方在回应一起家庭暴力投诉时逮捕了 Kivimäki。他使用了假的身份 ID,自称是罗马尼亚人,警方怀疑其身份,在搜索了通缉犯记录之后发现他就是 Kivimäki。
在破解了犯罪分子使用的加密消息应用 Exclu 后欧洲警方逮捕 42 名嫌疑人,缴获了枪支、毒品和数百万欧元现金。Exclu 是最新一个被警方破解的加密消息应用,在欧洲多地发起联合突击搜查前,警方和检方在 Exclu 系统中潜伏了五个月,阅读了犯罪分子之间的通信。有大约 3000 人使用 Exclu 系统,其半年订阅费用高达 800 欧元。调查始于 2020 年 9 月,警方在比利时、德国和荷兰的 79 处地点展开了搜查,关闭了 Exclu 消息服务。被捕者包括了该应用的使用者和控制者,以及所有者。荷兰警方称其突击搜查行动至少发现了两个毒品实验室、一个可卡因加工厂、数公斤毒品、400 万欧元现金、奢侈品和枪支。
最大的代码托管平台 GitHub 披露,未知入侵者未经授权访问了其部分代码库,窃取了其桌面应用 Desktop 和 Atom 的代码签名证书。签名证书可被用于签名恶意应用,伪装成合法更新。GitHub 表示,目前没有证据表明证书被恶意使用,但作为预防措施它撤销了两个应用的证书。证书撤销将于周四生效,预计会影响部分版本,包括 Mac 版 GitHub Desktop 3.1.2、3.1.1、3.1.0、3.0.8、3.0.7、3.0.6、3.0.5、3.0.4、3.0.3 和 3.0.2,以及 Atom 1.63.1 和 1.63.0,Desktop for Windows 不受影响。GitHub 在 1 月 4 日发布的新版 Desktop 应用使用了不同证书签名,该证书没有遭窃取。
2022 年勒索软件的攻击频率没有发生显著变化,但随着越来越多的受害者拒绝支付赎金,勒索者的赎金收入出现了显著下降。Chainalysis 对勒索软件攻击相关的钱包地址的跟踪显示,受害者在 2022 年支付的赎金为 4.57 亿美元,而 2021 年为 7.66 亿美元。当受害者发现勒索软件 Conti 背后的黑客组织与俄罗斯有关联,因本国政府实施的制裁他们有更多的理由拒绝支付赎金。网络安全分析公司 Coveware 也观察到了类似的趋势,受害者支付赎金的比例从 2019 年一季度的 85% 降到了 2022 年四季度的 37%。
奥地利警方本周披露,一名荷兰黑客于去年 11 月被捕,这名黑客窃取并出售几乎所有奥地利人的个人数据,包括全名、性别、完整地址和出生日期。这名黑客是于 2020 年 5 月在一个黑客论坛上出售这些数据,该数据集已被调查人员确认是真实的。它包含了近 900 万组数据,而奥地利人口为 910 万,因此几乎所有奥地利人都包含在内。该黑客还出售了意大利、荷兰和哥伦比亚等国的类似数据集。
俄罗斯科技巨头 Yandex 的源代码库被以 Torrent 磁链的方式在一黑客论坛上泄露。泄露者声称源代码是在 2022 年 7 月窃取到的,文件总容量 44.7 GB。该源码库包含了 Yandex 几乎所有产品的源代码,其中包括搜索引擎和索引爬虫,地图、AI 助手、邮件、云盘、云服务和支付服务,等等。Yandex 在一份声明中表示,它没有遭到黑客入侵,源代码库是一位前雇员泄露的。
苹果向 2013 年上市的 iPhone 5S 释出安全更新,修复可能导致任意代码执行的漏洞。苹果 iPhone 系列智能手机通常提供五到六年的系统更新。iPhone 5S 最后一次系统更新是 2018 年推出的 iOS 12,本周它向 iPhone 5S 这款有大约十年历史的手机推送了安全更新 iOS 12.5.7, 修复了在处理恶意网页内容时可能导致任意代码执行的问题,苹果警告在运行 iOS 15 之前版本的设备上该漏洞可能正在被利用。iPhone 6 和 6 Plus 等旧型号设备也都收到更新。