分类: 漏洞事件

攻击者利用漏洞可以通过 Wi-Fi 网络劫持 Android 版 Firefox

ESET安全研究人员Lukas Stefanko昨天在推特上发布了一条警报,报告显示最近披露的一个影响Android版Firefox的高危远程命令执行漏洞已被利用。 该漏洞最初由澳大利亚安全研究人员Chris Moberly发现,该漏洞存在于浏览器的SSDP引擎中,攻击者可以利用该漏洞将安装了Firefox的Android手机锁定为与攻击者连接到同一Wi-Fi网络的Android手机上。 SSDP是简单服务发现协议(Simple Service Discovery Protocol)的缩写,它是UPnP的一部分,用于查找网络上的其他设备。在Android中,Firefox会定期向连接到同一网络的其他设备发送SSDP发现消息,寻找第二个屏幕设备。 本地网络上的任何设备都可以响应这些广播并提供一个位置来获取UPnP设备的详细信息,然后Firefox尝试访问该位置,期望找到符合UPnP规范的XML文件。 视频链接:https://thehackernews.com/2020/09/firefox-android-wifi-hacking.html Moberly提交给Firefox团队的漏洞报告显示,受害者的Firefox浏览器的SSDP引擎可以通过简单地用一条指向Android意图URI的特制消息替换响应包中XML文件的位置,从而诱使其触发Android恶意命令。 为此,连接到目标Wi-Fi网络的攻击者可以在其设备上运行恶意SSDP服务器,并通过Firefox在附近的Android设备上触发恶意命令,这些过程无需与受害者进行任何交互。 哪些恶意命令包括自动启动浏览器和打开任何已定义的URL,据研究人员称,这足以诱使受害者提供其凭据、安装恶意应用程序以及基于周围场景的其他恶意活动。 Moberly表示,“目标只需在手机上运行Firefox应用程序。他们不需要访问任何恶意网站或点击任何恶意链接。不需要中间攻击者或安装恶意应用程序。他们只需在咖啡厅中使用Wi-Fi喝咖啡,攻击者就会控制他们的设备启动应用程序URI。” 视频链接:https://thehackernews.com/2020/09/firefox-android-wifi-hacking.html “它类似于网络钓鱼攻击,在这种攻击中,恶意网站会在他们不知情的情况下强行攻击目标,使受害者输入一些敏感信息或同意安装恶意应用程序。” Moberly在几周前向Firefox团队报告了这个漏洞,Firefox浏览器制造商目前已经在Firefox Android 80及更高版本中修补了这个漏洞。 Moberly还向公众发布了一个概念验证漏洞,Stefanko曾在上述视频中针对连接到同一网络的三个设备演示了该漏洞。   稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

乔·拜登竞选应用现漏洞:选民敏感信息可被轻易查询

据外媒TechCrunch报道,一名安全研究人员发现,美民主党总统候选人乔·拜登的官方竞选应用存在隐私漏洞–任何人都可以查询数百万美国人的敏感选民信息。这款名为Vote Joe的竞选应用允许拜登的支持者在即将到来的美国总统大选中鼓励朋友和家人投票,方法是上传他们的手机联系人列表然后看看他们的朋友和家人是否已经注册投票。 据悉,这款应用将用户上传的联系人跟TargetSmart提供的选民数据进行匹配。TargetSmart是一家政治营销公司,声称拥有超1.91亿美国人的个人文件。 当完成匹配后,该应用就会显示选民的姓名、年龄和生日以及他们在最近的选举中投了票。该应用还称,这将被有助于用户找到自己认识的人并鼓励他们参与进来。 虽然大部分数据都已经可以公开,但这个漏洞可以让任何人都通过这个应用轻松访问任何一位选民的信息。 移动专家App Analyst在以自己的名字命名的博客上详细介绍了自己的发现。他指出,其可以通过在自己的手机上创建一个以选民名字命名的联系人名单来欺骗该应用获取任何人的信息。 他告诉TechCrunch,更糟糕的是,该应用吸收的数据比实际显示的要多得多。通过拦截进出设备的数据,他可以看到更详细、更私密的信息,其中包括选民的家庭住址、出生日期、性别、种族和支持的政党。 拜登的竞选团队修复了这个漏洞并在周五发布了一个应用更新。 拜登竞选团队发言人Matt Hill告诉TechCrunch:“我们被告知,我们的第三方应用开发商从商业数据中提供了不需要的额外信息。于是我们迅速跟供应商合作解决了这个问题并删除了这些信息。我们致力于保护我们的员工、志愿者和支持者的隐私,我们将一直跟供应商合作来做到这一点。” TargetSmart的一名发言人表示,其他用户可以访问有限数量的公开或商业可用数据。 实际上在政治竞选活动中,交易和共享大量选民信息的情况并不少见,这些信息被称为选民档案,其中包括选民的姓名、家庭住址、联系方式以及他们登记的政党等基本信息。每个州的选民档案都有着很大的不同。 虽然这些数据中有很多是可以公开获得的,但政治公司也试图从其他来源获取更多的数据来丰富他们的数据库进而帮助政治竞选活动识别和锁定关键的摇摆选民。     (稿源:cnBeta,封面源自网络。)

TikTok 已修复 Android 版应用中可能会导致账号被劫持的安全漏洞

据外媒TechCrunch报道,TikTok已经修复了其Android应用中的四个安全漏洞,这些漏洞可能会导致用户账号被劫持。应用安全启动公司Oversecure发现了这些漏洞,这些漏洞可能会让同一设备上的恶意应用从TikTok应用内部窃取敏感文件如会话令牌。会话令牌是一种可让用户登录而无需再输入密码的小文件,如果被盗,这些令牌可以让攻击者在不需要密码的情况下访问用户的账户。 恶意应用将利用这个漏洞向TikTok应用注入一个恶意文件。一旦用户打开应用,恶意文件就会被触发,从而让恶意应用访问并在后台无声地向攻击者的服务器发送偷来的会话令牌。 Oversecure创始人Sergey Toshin告诉TechCrunch,这款恶意应用还可以劫持TikTok的应用权限、允许它访问Android设备的摄像头、麦克风和设备上的私人数据如照片和视频。该公司在其网站上公布了有关漏洞的技术细节。 TikTok表示,在Oversecure报告了这些漏洞后,他们已于今年早些时候修复了它们。     (稿源:cnBeta,封面源自网络。)

蓝牙 BLURtooth 漏洞让攻击者覆盖蓝牙认证密钥

蓝牙无线技术背后的组织今天发布了关于设备供应商如何缓解对蓝牙功能设备新攻击的指南。新发现的BLURtooth是蓝牙标准中一个名为Cross-Transport Key Derivation(CTKD)组件中的漏洞。该组件用于在两个蓝牙功能设备配对时协商和设置认证密钥。 该组件的工作原理是为蓝牙低能(BLE)和基本速率/增强数据速率(BR/EDR)标准设置两套不同的认证密钥。CTKD的作用是准备好密钥,让配对的设备决定他们要使用什么版本的蓝牙标准。它的主要用途是蓝牙 “双模式 “功能。 但根据蓝牙特别兴趣小组(SIG)和卡内基梅隆大学CERT协调中心(CERT/CC)今天发布的安全通告,攻击者可以操纵CTKD组件覆盖设备上的其他蓝牙认证密钥,并允许通过蓝牙连接的攻击者访问同一设备上的其他蓝牙功能服务/应用。 在某些版本的BLURtooth攻击中,认证密钥可以被完全覆盖,而其他认证密钥可以降级使用弱加密。所有使用蓝牙4.0到5.0标准的设备都有漏洞。蓝牙5.1标准带有可以激活和防止BLURtooth攻击的功能。 蓝牙SIG组织官员表示,他们开始通知蓝牙设备的供应商关于BLURtooth攻击,以及他们如何在使用5.1标准时减轻其影响。在撰写本文时,补丁还没有立即可用。防止BLURtooth攻击的唯一方法是控制蓝牙设备配对的环境,以防止中间人攻击,或通过社会工程(欺骗人类操作员)与流氓设备配对。 不过,蓝牙SIG组织预计在某个时间点会有补丁,并且被集成作为固件或操作系统更新提供给蓝牙备。目前,这些更新的时间表还不清楚,因为设备供应商和操作系统制造商通常在不同的时间表上工作,一些设备供应商和操作系统制造商可能不会像其他供应商那样优先考虑安全补丁。 用户可以通过检查固件和操作系统的发布说明,查看CVE-2020-15802,即BLURtooth漏洞的bug标识,来跟踪他们的设备是否已经收到BLURtooth攻击的补丁。根据蓝牙SIG的说法,BLURtooth攻击是由洛桑联邦理工学院(EPFL)和普渡大学的两组学者独立发现的。     (稿源:cnBeta,封面源自网络。)

新的 PIN 验证绕过漏洞影响 Visa 非接触式支付

就在Visa对一款名为Baka的新型JavaScript网络掠取器发出警告之际,网络安全研究人员发现了该公司支持EMV的信用卡中的一个新缺陷,该漏洞使攻击者能够非法获取资金并诈骗持卡人和商户。 这项研究是由苏黎世联邦理工学院的一群学者发表的,它是一种PIN绕行攻击,攻击者可以利用受害者的被盗或丢失的信用卡在不知道该卡PIN的情况下进行高价值购买,甚至骗人一点销售(PoS)终端接受非真实的离线卡交易。 所有使用Visa协议的现代非接触式卡,包括Visa Credit,Visa Debit,Visa Electron和V Pay卡,都受到安全漏洞的影响,但研究人员认为它可以应用于Discover和UnionPay实施的EMV协议。然而,这个漏洞并不影响万事达、美国运通和JCB。 研究结果将在明年5月于旧金山举行的第42届IEEE 安全和隐私研讨会上进行展示。 通过MitM攻击修改卡交易资格 EMV(Europay、Mastercard和Visa的缩写)是广泛使用的智能卡支付的国际协议标准,它要求较大的金额只能从带有PIN码的信用卡中借记。 但ETH研究人员设计的设置利用了协议中的一个关键缺陷,通过Android应用程序发起中间人(MitM)攻击,“指示终端不需要PIN验证,因为持卡人验证是在消费者的设备上进行的。” 这个问题源于这样一个事实:持卡人验证方法(CVM)没有加密保护以防止修改,该方法用于验证尝试使用信用卡或借记卡进行交易的个人是否是合法持卡人。 所以,可以修改用于确定交易所需的CVM检查(如果有的话)的卡交易资格证明(CTQ),以通知PoS终端覆盖PIN验证,并且验证是使用持卡人的设备进行的例如智能手表或智能手机(称为消费设备持卡人验证方法或CDCVM)。 利用离线交易而无需付费 此外,研究人员还发现了第二个漏洞,该漏洞涉及Visa卡或旧万事达卡进行的离线非接触式交易,使得攻击者能够在数据被传送到终端之前修改一个名为“应用密码”(AC)的特定数据。 离线卡通常用于直接从持卡人的银行帐户中支付商品和服务,而无需PIN码。但是,由于这些交易未连接到在线系统,因此在银行使用密码确认交易的合法性之前会有24到72个小时的延迟,然后从帐户中扣除购买金额。 攻击者可以利用这种延迟的处理机制来使用他们的卡来完成低价值的离线交易而无需支付费用,此外,在发卡银行由于密码错误而拒绝交易之前,还可以取消购买。 研究人员说:“这构成了“免费午餐”攻击,因为罪犯可以购买低价值的商品或服务而根本不收取任何费用,”他补充说,这些交易的低价值性质不太可能是“有吸引力的业务”。罪犯的榜样。” 缓解PIN绕过和离线攻击 除了向Visa国际组织通报缺陷外,研究人员还提出了三种软件修复方案,以防止PIN绕过和离线攻击,包括使用动态数据认证(DDA)保护高价值的在线交易,以及要求所有PoS终端使用在线密码,这会导致脱机事务被联机处理。 研究人员得出结论:“我们的攻击表明,PIN对Visa非接触式交易毫无用处,而且揭示了Mastercard和Visa的非接触式支付协议的安全性存在惊人的差异,表明万事达卡比Visa更安全。”这些缺陷违反了基本的安全属性,比如身份验证和有关已接受交易的其他保证。”     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Microsoft Defender 新功能被曝安全漏洞:可下载恶意程序

在不允许通过 Windows 注册表方式禁用之后,Microsoft Defender 再次成为了媒体关注的焦点。近日,微软为 Defender 新增了一项功能,不过安全专家表示黑客可以利用该功能下载恶意程序。 在 4.18.2007.9 或 4.18.2009.9 版本的 Microsoft Defender 应用中,微软增加了通过命令行下载文件的功能。使用方式是 MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file] 虽然该功能本身并没有漏洞,但是该功能运行运行脚本,可以启动命令行从互联网导入更多的文件,使用本地原生的 living-off-the-land(LOLBIN)文件。将该功能添加到Windows Defender中,意味着又多了一个管理员必须关注的应用,也多了一个黑客可以利用的应用。 安全研究人员 Askar 称,这些对 Microsoft Defender 驱动的命令行工具的改变可能会被攻击者滥用。换句话说,黑客可以滥用这些二进制文件,从互联网上下载任何文件,包括恶意软件。 这也意味着,用户将能够使用 Microsoft  Defender 本身从互联网上下载任何文件。这不太可能是一个重大的安全漏洞,因为在你使用命令行工具完成下载后,Windows Defender仍然会对文件进行检查。     (稿源:cnBeta,封面源自网络。)

美国工资协会披露信用卡被盗事件

美国工资协会(APA)披露了一个影响会员和客户的数据漏洞,此前攻击者成功地在该组织的网站登录和在线商店结账页面上安装了一个网页浏览器。 APA是一个非营利性专业协会,拥有20,000多个会员和121个APA关联的本地分会,组织培训研讨会和会议,每年有超过36,000名专业人士参加。 该组织还颁发行业认可的证书,并为专业人员提供资源文本库。 登录和财务信息被盗 大约在2020年7月23日,APA发现其网站和在线商店被攻击者攻破,攻击者收集敏感信息并将其过滤到攻击者控制的服务器上。 攻击者根据APA政府高级总监Robert Wagner 发送给受影响个人的数据泄露通知,利用组织内容管理系统(CMS)中的安全漏洞入侵APA的网站和在线商店。 一旦获得对组织站点和商店的访问权,他们就将撇取器部署在网站的登录页面和APA电子商务商店的结帐部分。 据APA的安全团队表示,该恶意活动可以追溯到2020年5月13日,大约是美国东部时间下午7:30。 APA说:“未经授权的个人可以访问登录信息(即用户名和密码)和个人支付卡信息(即信用卡信息及相关数据)。” 此外,在某些情况下,攻击者还能够访问社交媒体用户名和受影响的APA成员和客户的个人资料照片。 数据泄露背后的Magecart攻击 这种类型的攻击称为网络掠夺攻击(也称为Magecart或电子掠夺),通常是攻击者使用CMS漏洞或受感染的管理员帐户在电子商务网站上部署卡片脚本造成的。 在发现攻击后,APA立即为他们的网站和商店的CMS安装了最新的安全更新,以阻止未来的攻击。 在审查了自2020年初以来对这两个站点所做的所有代码更改之后,APA的安全团队还增加了安全补丁程序的频率,并在受影响的服务器上部署了反恶意软件解决方案。 PA还为所有受影响的用户重置了密码,并提供100万美元的身份盗窃保险和通过Equifax进行的一年免费信用监控。     稿件与封面来源:BLEEPINGCOMPUTER,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Slack 修复严重远程代码执行漏洞 可访问私人文件、私钥等隐私

Slack 及其几十个桌面应用程序刚刚躲过一劫。这款被记者、科技工作者和 D&D 爱好者广泛使用的通讯工具本周五披露了一个“关键漏洞”,允许黑客在用户电脑上肆意妄为。这个安全漏洞并不是由 Slack 的内部安全团队发现的,而是由第三方安全研究人员报告的,在 1 月份通过漏洞赏金平台 HackerOne 报告的。 该漏洞被称之为“远程代码执行”,在Slack修复之前,使用该漏洞的攻击者可以做一些非常疯狂的事情,比如获得 “对私人文件、私钥、密码、秘密、内部网络访问等的访问权”,以及 “对Slack内部私人对话、文件等的访问权”。 更为重要的是,根据披露的细节有恶意倾向的黑客可能会让他们的攻击变得“wormable”。也就是说,如果你团队中的一个人被感染了,他们的账户会自动将该危险的有效载荷重新分享给所有同事。 值得强调的是,发现这个漏洞的安全研究人员决定做一个很多人认为正确的事情,通过HackerOne向Slack报告。对于这位安全研究人员来说,他的 HackerOne 账号是oskars,这让他获得了 1750 美元的漏洞赏金。 当然,如果那个人愿意,他们很可能通过把它卖给第三方漏洞中介,得到更多更多的钱。像Zerodium这样的公司,出价数百万美元购买零日漏洞,再把这些漏洞卖给政府。 外媒联系了Slack,试图确定它是如何决定其bug赏金的规模,以及它是否对安全社区成员提出的批评有回应。对此,该公司发言人回答说,Slack为bug赏金支付的金额并非一成不变。 “我们的bug赏金计划对于维护Slack的安全至关重要,”该发言人在部分内容中写道。”我们非常重视安全和开发者社区的贡献,我们将继续审查我们的支付规模,以确保我们认可他们的工作并为客户创造价值。”     (稿源:cnBeta,封面源自网络。)

AI 关键基础设施正面临三重风险 人脸识别有漏洞

360公司表示,AI关键基础设施正面临三重风险,包括某些人脸识别设备能让任意人通过,不仅AI算法存在漏洞,其所依赖的关键基础设施也同样会被攻击。 360 AI安全研究院表示,目前AI的三重风险包括:学习框架风险、硬件风险及云平台风险。 第一,针对深度学习框架安全风险。深度学习框架主要可以划分为云端学习框架和终端学习框架。云端框架安全风险主要来自于自身代码的实现以及第三方的依赖库问题;终端框架安全风险主要存在于模型网络参数、模型网络结构,以及模型转换过程。 第二,针对硬件相关的安全风险。据英伟达官网统计,截至今年7月,关于GPU驱动漏洞的数目达到数百个;芯片漏洞以幽灵、熔断为例,幽灵漏洞可以造成泄露敏感数据、执行特定代码,熔断漏洞导致用户态获取特权内存的数据,这些漏洞影响了Intel、部分ARM的处理器。 第三,针对云平台的安全风险。用于深度学习任务的节点性能强大,因此总会有一些攻击者想要非法使用这些资源进行挖矿。比如,今年6月,微软通报部分Kubeflow存在未授权访问的问题,导致大量设备被非法挖矿。 “只有在确保AI系统的安全,才有可能放心享受AI的便利,那么保证系统中AI关键基础设施的安全至关重要”,360 AI安全研究院表示,AI关键基础设施的安全问题可以通过权限控制、访问隔离、参数过滤等措施进行缓解,针对AI关键基础设施的安全问题,需要建立多维度、一体化风险评估方法以及对应防御措施。(大鹏)     (稿源:新浪科技,封面来自网络)

新的物联网基础模块漏洞可能使全球大量设备面临安全风险

社会对技术的依赖程度非常高,预计到2025年,全球使用的互联网连接设备数量将增长到559亿台。这些设备中的许多设备涵盖了工业控制系统(ICS)的各个部分,它们影响着世界,协助我们在家中的日常生活,并监控和自动化生产工作中从能源使用到机器维护的一切。滥用这些系统的潜力已经引起了网络犯罪分子的注意;根据2020年IBM X-Force威胁情报指数,自2018年以来,针对这些系统的攻击增加了2000%以上。 作为持续研究的一部分,IBM的黑客团队X-Force Red发现了一个新的物联网漏洞,可以被远程利用。制造商泰雷兹自2020年2月起向客户提供了CVE-2020-15858的补丁,X-Force Red一直在合作,以确保用户了解该补丁,并采取措施保护他们的系统。 在今天使用的数十亿智能设备中,泰雷兹是使它们能够连接到互联网、安全存储信息和验证身份的组件的供应商之一。泰雷兹的整个产品组合每年连接超过30亿个设备,从智能能源表到医疗监控设备和汽车,有超过3万家机构依赖其解决方案。 然而,在2019年9月,X-Force Red发现了泰雷兹(原金雅拓)的Cinterion EHS8 M2M模块中的一个漏洞,该模块在过去十年中被用于数百万个互联网连接设备。经过进一步的测试,泰雷兹确认该漏洞会影响到EHS8同一产品线中的其他模块(BGS5、EHS5/6/8、PDS5/6/8、ELS61、ELS81、PLS62),进一步扩大了该漏洞的潜在影响。这些模块是实现物联网设备移动通信的微型电路板。 更重要的是,它们存储和运行的Java代码通常包含密码、加密密钥和证书等机密信息。利用从模块中窃取的信息,恶意行为者有可能控制设备或获得中央控制网络的访问权,从而进行广泛的攻击–在某些情况下甚至可以通过3G远程攻击。利用这个漏洞,攻击者有可能指示智能电表打掉一个城市的电力,甚至给医疗病人注射过量的药物,只要负责这些关键功能的设备使用的是一个暴露在攻击者面前的未打补丁的模块,例如,通过这个模块启用的3G/4G连接。 关于该漏洞 EHS8模块及其系列中的其他模块,旨在通过3G/4G网络实现连接设备之间的安全通信。将该模块视为相当于一个值得信赖的数字锁箱,公司可以在其中安全地存储密码、凭证和操作代码等一系列秘密。这个漏洞破坏了这一功能,允许攻击者窃取组织机密。 X-Force Red发现了一种绕过安全检查的方法,这种检查可以使文件或操作代码对未经授权的用户隐藏起来。这个漏洞可能使攻击者能够入侵数百万台设备,并通过转入提供商的后端网络来访问支持这些设备的网络或VPN。反过来,知识产权(IP)、凭证、密码、加密密钥都可能被攻击者轻易获得。换句话说,模块存储的机密信息可能不再是机密。攻击者甚至可以抢夺应用程序代码,彻底改变逻辑,操纵设备。 潜在的影响是什么? 这个漏洞的潜在影响根据攻击者可能入侵使用这一行模块的哪些设备而有所不同。据了解,全球有数百万台设备使用该模块,横跨汽车、医疗、能源和电信行业。 鉴于其中许多设备的关键性,有针对性的网络攻击可能会很重要。以下是一些例子,说明如果在各种类型的设备中暴露出未打补丁的模块,攻击者可能会做什么。 医疗设备: 操纵监测设备的读数来掩盖生命体征或制造虚假恐慌 在根据输入提供治疗的设备中,如胰岛素泵,网络犯罪分子可能会使患者用药过量或不足。 能源和公用事业。篡改智能电表,提供伪造的读数,增加或减少每月的账单。通过控制网络访问一大群这些设备,恶意行为者还可以关闭整个城市的电表,造成大范围的停电,需要进行单独维修,甚至更糟糕的是,破坏电网本身。 技术细节 EHS8模块与该系列的其他模块一样,由一个微处理器组成,内嵌Java ME解释器和闪存,以及GSM、GPIO、ADC、数字和模拟音频、GPS、I2C、SPI和USB接口。它还提供了更高层次的通信堆栈,如PPP和IP。嵌入式Java环境允许安装Java “midlet”,以提供可定制的功能和与主机设备的交互,和/或作为主逻辑。该模块在基本的OEM集成商层面上运行时,其行为很像传统的 “Hayes”调制解调器。这意味着,除了加载到系统中的Java应用程序外,还可以通过内置在电路中的物理UART连接使用 “AT “串行命令进行控制。 在安全研究实践中,Java应用程序可以被绕过,并将控制权交还给低层,允许攻击者直接控制模块。一旦控制了AT命令接口,就可以发出大量的标准命令,如 “ATD”–拨号,或 “ATI”–显示制造商信息。还有一些配置命令和用于访问覆盖在闪存上的基本文件系统的特定命令子集–“AT^SFA”。这提供了文件和子目录的读、写、删除和重命名。 为了方便Java环境,还有一些与Java相关的命令,其中一个命令是 “安装 “先前上传到闪存文件系统的Java midlet。这可以有效地将Java代码复制到闪存文件系统中的 “安全存储 “中,理论上是 “只写 “的–即数据可以复制到该存储中,但永远不会被读回。这样一来,OEM厂商包含其IP的私有Java代码,以及任何安全相关的文件,如PKI密钥或证书和应用相关的数据库,都可以防止第三方窃取。 然而,X-Force Red发现的漏洞允许对隐藏区域进行完全的读、写、删除访问(尽管Thales已经针对特定的文件类型进行了额外的检查)。这将允许攻击者读出系统上运行的全部java代码(包括OEM midlets和Thales的主 “主”代码),以及他们可能拥有的任何其他 “隐藏 “支持文件。 由于Java很容易被反转为人类可读的代码,这可能会暴露任何应用程序的完整逻辑以及任何嵌入的 “秘密”,如密码、加密密钥等,并使IP窃取成为一个非常简单的操作。掌握了这些数据,攻击者可以很容易地创建 “克隆 “设备,或者更可怕的是,修改功能以实现欺诈或恶意活动。 带有漏洞的代码列表 上图显示了该漏洞存在于计算路径子串中的字符数并检查第四个字符是否为点(字符数组中的第三个索引)的代码中。在正常情况下,任何访问带有点前缀的隐藏文件的尝试都会被拒绝(例如:a:/.hidden_file)。然而,用双斜线代替斜线(例如:a://.hidden_file)将导致条件失败,代码执行将跳转到一个字符检查循环,该循环将匹配任何可打印字符。在第二个斜线之后,系统将忽略它,没有什么能阻止攻击者使用点前缀的文件名,绕过安全测试条件。 责任披露和补救 泰雷兹公司与X-Force Red团队合作,在2020年2月测试、创建并向其客户分发补丁。 补丁可以通过两种方式管理–通过软件插入USB运行更新,或者通过管理空中(OTA)更新。这个漏洞的补丁过程完全取决于设备的制造商和它的能力,例如,设备是否可以访问互联网,可能会使它的工作变得复杂。另一项需要注意的是,设备越是受监管(医疗设备、工业控制等),应用补丁的难度就越大,因为这样做可能需要重新认证,这往往是一个耗时的过程。 我们要赞扬泰雷兹公司对这一缺陷的处理,并花费大量时间与客户合作,以确保他们了解补丁并采取步骤保护用户的安全。关于CVE-2020-15858的更多信息可以在https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15858页面当中找到。     (稿源:cnBeta,封面源自网络)