分类: 漏洞事件

LastPass 修复了可能让恶意网站提取用户密码的漏洞

LastPass修补了一个错误,该错误会使恶意网站提取该服务浏览器扩展程序输入的先前密码。 ZDNet报告称该漏洞是由谷歌Project Zero团队的研究员Tavis Ormandy发现,并在8月29日一份漏洞报告中披露。 LastPass在9月13日修复了该问题,并将更新部署到针对所有浏览器的LastPass扩展当中。 该漏洞工作原理是诱使用户进入恶意网站,并欺骗浏览器扩展程序使用以前访问过的网站密码。 Ormandy指出,攻击者可以使用谷歌翻译等服务伪装恶意网站地址,并诱使易受攻击的用户访问流氓网站。 虽然LastPass说应该补丁自动更新,但您一定要检查您的LastPass扩展是否是最新版本,特别是如果您使用的浏览器允许您禁用扩展自动更新。这个更新之后,LastPass浏览器扩展的版本号是4.33.0。LastPass表示,它认为只有Chrome和Opera浏览器受到了这个漏洞的影响,但是还是采用严格预防措施,它已经为所有浏览器LastPass扩展部署了相同的补丁。 在其博客上发布的一份声明中,LastPass淡化了该漏洞严重性。该公司安全工程经理Ferenc Kun表示,该漏洞依赖于用户访问恶意网站,然后被“欺骗”多次点击相关恶意页面。但Ormandy仍然将该漏洞评为“高”严重等级。   (稿源:cnBeta,封面源自网络。)

黑客利用“Simjacker”漏洞窃取手机数据 或影响 10 亿人

据TNW报道,网络安全研究人员警告称,SIM卡存在一个严重的漏洞,使得远程攻击者可以在用户不知情的情况下发送短信攻击目标手机并监控受害者。都柏林的AdaptiveMobile Security公司表示,这个被称为“Simjacker”的漏洞已经被一家间谍软件供应商利用了至少两年的时间,不过该安全公司并未透露利用这一漏洞公司的名称以及受害者信息。 据称,“Simjacker”漏洞攻击包括向手机发送一条短信,短信中包含一种特定类型的类似间谍软件的代码,然后手机会指示手机内的SIM卡控制手机,检索并执行敏感命令。这一漏洞存在于称为 S@T的浏览器中,该浏览器作为GSM 普遍使用的手机应用工具包(STK)的一部分,嵌入大多数手机SIM卡中,为客户提供增值服务。 AdaptiveMobile 表示,至少有 30 个国家的移动运营商积极使用 S@T 浏览器技术,总人数超过 10 亿。这就意味着,在全球或有逾10 亿手机用户可能会受到影响。 研究人员透露,攻击每天都在发生,在 7 天的时间里,有几个电话号码被追踪了数百次。 虽然检测到主要攻击涉及到的是盗取手机用户的位置,但现在Simjacker 攻击范围已经扩大到欺诈、诈骗电话、资讯泄露、拒绝服务攻击,以至是间谍活动等等。   (稿源:cnBeta,封面源自网络。)

Telegram 在修复隐私漏洞后发布新版本

Telegram 最新发布的客户端版本为 5.11,该版本修复了一个严重的隐私漏洞。由于此应用在 Google Play 商店的下载量超过1亿次,这将会是一起严重的隐私侵权事故。 Telegram 在 3 月发布了一项新功能,允许发件人删除已发送的邮件,同时将其从收件人的设备中删除。这项功能旨在保护发件人的隐私,适用于不小心发送或者想要撤回消息的情况。 在研究 Telegram 的 MTProto 协议时,安全研究员 Dhiraj Mishra 发现了与消息删除功能相关的错误。 他注意到,当发件人从 Telegram 中删除了一条消息,图像或文件时,它将从当前会话中删除,但不会从设备本地删除。对于Android用户,这将允许收件人在`/ Telegram / Telegram Images / `路径下查看已删除的媒体。 此错误不仅发生在单人会话中,还涉及到了 Telegram 超级组。如果用户在组内误发了一个文件并撤回,这样看似自己的隐私得到了保护,但其实组内所有成员都可以从其设备的文件系统访问该文件。 “假设你是一个 2,000,00 人的小组中的一员,你不小心分享了一个媒体文件,并且想要通过‘对所有人撤回’功能来删除它。”Mishra 在他的文章中说,“但是这个方法有漏洞,所以你的文件仍然存在于所有用户的存储中。” 在报告错误后,Telegram 奖励了Mishra 2,500 欧元。此错误已在 5.11 版本中修复,该版本今天针对 Android 和 iOS 发布。 用户可以通过安装此更新来修复该错误,但 Mishra 告诉我们,收件人仍然可以查看到在旧版本中未正确删除的媒体。     消息来源:BleepingComputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

SpaceX 称通信系统漏洞令其未能就潜在卫星碰撞与 ESA 进行后续沟通

据外媒报道,当地时间周一,欧空局(ESA)改变了其一颗欧洲卫星在轨道上的位置,以避免与SpaceX的一颗Starlink 卫星发生潜在的碰撞 – 这是该公司5月发射的60颗卫星之一,用于提供全球宽带互联网接入。操作卫星的欧空局在计算出两颗卫星可能相互碰撞的高于平常的概率后进行了机动。SpaceX没有移动它的卫星,并表示这与一个阻止其与ESA正确通信的计算机漏洞有关。 这样的机动并不少见。如果卫星运营商计算出他们的卫星可能与其他卫星发生碰撞,偶尔会稍微改变航天器的位置。没有人想要发生碰撞,因为这些卫星正以每小时数千英里的速度穿越太空。在这些速度下,撞击可能导致航天器分裂成数百块。由此产生的高速垃圾可能会碰到其他卫星,可能产生更危险的碎片。 ESA的这种特殊情况引起了一些担忧,因为SpaceX的探测器是该公司打算进入地球低轨道的近12000颗卫星中的第一颗。规划中的Starlink星座的庞大规模促使许多太空专家猜测这些卫星如何增加太空碰撞的可能性。当轨道上有数千颗这样的卫星时,这种情况会发生多少次? 另一个担忧是围绕SpaceX不移动Starlink卫星的决定。欧空局官员表示,他们没有与SpaceX进行最好的沟通,导致机动,并且该机构最终决定自己移动卫星。初步报告声称SpaceX“拒绝”移动Starlink卫星,但SpaceX表示糟糕的通信不是故意的,而且该公司的“待命寻呼系统”中的一个漏洞阻止了Starlink团队从ESA获得额外的电子邮件通信。 “SpaceX仍在调查此问题,并将实施纠正措施,”该公司发言人在一份声明中表示。“但是,如果Starlink运营商看到了这些信件,我们就会与ESA协调,以确定他们继续进行机动或进行机动的最佳方法。” 这种情况始于上周,当时欧空局意识到它的Aeolus卫星 – 一颗2018年8月发射的地球观测航天器 – 可能接近一颗相对低轨道的Starlink卫星,距离大约198英里(320公里)。大多数Starlink卫星已经将它们的轨道提升到大约342英里(550公里)以上,但SpaceX决定降低其中几颗卫星的轨道,以测试将这些卫星带出轨道的过程。这两颗卫星中的一颗与Aeolus卫星近在咫尺。 ESA官员表示,他们在潜在碰撞发生前一周联系了SpaceX,看看该公司是否计划移动其Starlink卫星。“另一颗卫星实际上是一个可操作的航天器,”欧空局空间碎片办公室的Klaus Merz告诉The Verge。“当然,我们会尝试协调。最基本的事情是你想知道另一个是否已经有机动计划。”Merz表示,8月28日,SpaceX通过电子邮件告知ESA该公司不打算移动Starlink探测器。“他们当时说他们没有计划,”Merz说道。SpaceX证实该公司通过电子邮件与欧空局进行联系。根据SpaceX的说法,那时碰撞的概率大约是5万分之一,因此该公司认为不需要任何预防措施。 随着潜在的碰撞日期越来越近,Merz表示欧空局收集了美国太空监视网络的数据,该网络是一系列跟踪轨道物体的地面望远镜,并将其与有关Aeolus大小和形状的内部数据相结合。利用这些信息,欧空局专家计算出这两颗卫星可能相互碰撞的概率甚至更高 – 最终达到超过千分之一的可能性。通常情况下,当碰撞机率为1万分之一时,卫星会移动。 Merz表示,欧空局每天都会与SpaceX联系,讨论其不断发展的计算方法,但该机构在原始电子邮件回复后未收到任何其他回复。SpaceX承认由于该漏洞而无法通信,并且错过了有关更高碰撞概率的电子邮件。最后,欧空局在周一早上拨打了电话,利用Aeolus的推进器将卫星的轨道提升了大约984英尺(300米),而没有等待SpaceX采取纠正措施。 通常,监视太空交通的美国空军如果发生碰撞的可能性很高,将发出联合警告。SpaceX没有透露该公司是否收到了空军的警报,或者该公司是否阻止该公司看到它。 即使欧空局没有移动Aeolus卫星,如果发现潜在的碰撞,Starlink航天器可能会自行移动。SpaceX首席执行官埃隆马斯克此前声称,每颗Starlink卫星都有自己的自主空间碎片跟踪系统,如有必要,它将用于移动潜在的碎片。SpaceX尚未表明该系统已在轨道上使用过。 最终,整个情况表明需要更好的沟通,Merz认为,特别是随着越来越多的卫星被SpaceX等公司发射到太空。像OneWeb和亚马逊这样的公司也提议将数百到数千颗卫星送入轨道,以便提供全球宽带互联网接入。“我认为通过电子邮件尝试解决这些问题不是未来,”Merz说道。“我们应该有更高效的东西。”   (稿源:cnBeta,封面源自网络。)

谷歌发现的 iPhone 攻击者同样也在攻击 Android 和 Windows 系统

据外媒报道,谷歌本周披露的针对苹果iPhone的空前攻击比人们最初想象的要广泛。据匿名知情人士透露,谷歌和微软操作系统受到的网络公司也是来源于对iPhone发起网络攻击的同一家网站。 Android和Windows系统成为攻击目标表明了这个为期两年的黑客攻击行动不仅针对苹果手机还感染了比最初怀疑的更多的设备。现在,Android和Windows仍旧是世界上使用最广泛的操作系统,无论是哪种黑客攻击,它们都极具吸引力。 目前还不清楚谷歌是否知道或披露了这些网站也在针对其他操作系统。一位熟悉攻击的消息人士则指出,谷歌只看到这些网站利用了iOS系统。对此,苹果尚未发表任何声明也没有对最新进展发表评论。 而据一位跟谷歌关系密切的消息人士透露,谷歌告诉了苹果哪些网站在2月份受到了攻击。谷歌的研究人员则是在8月29日披露了这些攻击。 目前还不清楚究竟Android和Windows究竟哪些漏洞被那些被用来攻击苹果操作系统的漏洞所利用。如果是在iOS遭攻击的情况下,攻击者会利用这些漏洞在手机上植入恶意软件并可能监视大量数据,其中包括加密的WhatsApp、iMessage和Telegram以及实时位置。   (稿源:cnBeta,封面源自网络。)

Project Zero 团队深入剖析了在野外被利用的 iOS 漏洞

作为谷歌旗下的一支安全研究团队,Project Zero 致力于在第一时间发现查找和报告安全漏洞,无论是自家的产品或服务、还是来自其它企业的安全隐患。今年早些时候,谷歌威胁分析小组(TAG)发现了一小部分黑黑客入侵的站点,证实其能够利用零日漏洞,对使用 iPhone 的访客展开无差别攻击。 不慎掉入上述网站的 iPhone 用户,可能被黑客顺利地植入监控。Project Zero 团队预计,这些网站的每周访问数量在数千人。 在深入研究后,谷歌威胁分析小组(TAG)收集到了五个独立、完整、且独特的 iPhone 漏洞利用链条,发现其影响从 iOS 10 到 iOS 12 的几乎每一个版本。 换言之,黑客利用这些零日漏洞向 iPhone 用户发起的攻击,至少已经有两年的时间。遗憾的是,尽管根本原因并不新颖,但仍然经常被人们所忽视。 TAG 指出,他们在五个漏洞利用链条中发现了总共 14 个漏洞攻击,其中 7 个面向 iPhone 的 Web 浏览器、五个面向内核、两个瞄向单独的沙箱转义。 初步分析表明,其中至少有一个仍属于零日漏洞的特权升级利用链,且在被发现时没有打上 CVE-2019-7287 和 CVE-2019-7286 漏洞补丁。 Project Zero 团队在 2019 年 2 月 1 日向苹果报告了这些问题,并给出了 7 天的截止日期。庆幸的是,该公司在 2 月 7 日发布了 iOS 12.1.4 修订版本。 Project Zero 团队向苹果分享了完整的细节,然后在 2 月 7 日那天将漏洞告正式公布。几个月后,Project Zero 在一篇博客文章中展示了有关此事件的详细报告。 文章一共有好几篇,分别深入介绍了所有五个权限提升漏洞的利用链条,植入内容的拆解(包括在研究人员自己设备上运行的演示),对命令与控制服务器的逆向解析,以及演示成功植入后的功能 —— 比如窃取 iMessage、照片、GPS 位置时间等私人数据。感兴趣的朋友可以去了解一下。   (稿源:cnBeta,封面源自网络。)  

18 年的漏洞仍未彻底修复:黑客仍能几秒内破解特斯拉 Model S

破解一辆特斯拉Model S需要多长时间?在2018年安全团队COSIC就曾演示过在短短几秒内完成破解!这主要利用了特斯拉 Model S中PKES(无钥匙进入系统)与无线钥匙的认证过程中存在的安全问题,从而让黑客可以在几秒内复制汽车钥匙将汽车偷走。随后特斯拉立即做出反应解决了这个问题并转换到新的遥控车钥匙。 不过根据《连线》本周二发布的一篇报道称,特斯拉最新发布的车钥匙同样非常脆弱。来自比利时大学的科研团队发现新款车钥匙中同样存在原先的漏洞,不过破解过程需要更长的时间并且需要靠的更近才能完成。 值得庆幸的是,特斯拉再次迅速作出反应,并已推出其软件更新,这将允许用户在几分钟内基本上将他们的表盘重新闪存在他们的汽车中。造成车钥匙问题的关键在于它们的加密方式。于特斯拉配合的Keyless厂商Pektron公司对于这块防盗的密码不够缜密。但Pektron公司却未正面回应研究团队提出的问题。特斯拉车钥匙仅使用了40位加密协议,而这种协议相对容易打破。为了解决这个问题,特斯拉和Pektron将这些密钥转换为80位加密,这应该是更具挑战性的。 特斯拉代表在一份声明中说:“虽然没有任何东西可以防止所有车辆盗窃,但特斯拉已经部署了一些安全增强功能,例如PIN to Drive,这使得它们更不容易发生。” PIN to Drive功能允许车主在驾驶汽车之前设置必须输入的PIN码。这与车钥匙是分开的,不受漏洞影响,想要启动汽车之前必须要输入。 特斯拉继续说道“即使我们不知道单个客户受到报告问题的影响,并且启用PIN to Drive已经阻止了这种情况发生,我们已经开始发布一个无线软件更新(2019.32的一部分)这位研究人员的研究结果让某些Model S车主可以在不到两分钟的时间内更新他们车内的钥匙扣。“ 拥有无钥匙系统的车辆有一个非常简单的操作。窃贼可以通过使用电子继电器系统、钥匙干扰技术和其他黑客手段来截获这些信息,以便立即进入这些无钥匙车辆。这种快速和无声的技术非常容易成功,这也是去年英格兰和威尔士汽车盗窃案创下6年来新高的主要原因之一。 官方数据显示,2017年上报给驾驶和车辆许可机构的被盗车辆数量增至43308辆,比2016年增加了近9000辆。然而,英国国家统计局(Office for National Statistics)的犯罪调查显示,真实数字还要更高,去年英格兰和威尔士共有8.9万辆汽车被盗。在某些地区,如西米德兰兹郡,汽车盗窃率飙升了80%。 英国保险协会(Association of British Insurers)的数据显示,今年头三个月,保险公司的赔付额约为1.08亿英镑,即每天120万英镑。与2018年同期相比,这一数字增长了22%。与此同时,活动人士和政界人士呼吁汽车公司提高安全性,尤其是针对无钥匙汽车。   (稿源:cnBeta,封面源自网络。)

研究人员披露新的 Steam 客户端零日漏洞,影响超过 9600 万 Windows 用户

Kravets 此次公布的 Steam 客户端零日漏洞是一种特权升级漏洞,将影响超过 9600 万用户。 首个 Steam 客户端零日漏洞就是被 Kravets 发现的,但在 Valve 解决此漏洞之后,研究员  Xiaoyin Liu  发现并披露了绕过 Valve 的补丁的方法。 结果Valve 不仅没有奖励 Kravets,还禁止他参加赏金计划。 Kravets 发现,攻击者可以利用 Steam 客户端服务的 NT AUTHORITY \ SYSTEM 特权,通过运行可执行文件实现特权升级。 据专家解释,此方法使用了 BaitAndSwitch,是一种为了赢得 TOCTOU(检查时间\使用时间)而将链接和 oplock 的创建相结合的技术。 黑客利用Steam游戏、Windows应用程序或操作系统本身的漏洞获得远程代码执行权限,并在权限提升之后使用 SYSTEM 权限运行恶意负载。 “因此,任何代码都可以以最大权限执行,这个漏洞类称为 “特权升级”(EOP)或 “本地特权升级 ”(LPE)。尽管任何应用程序本身都可能是有害的,但实现最大特权可能会导致灾难性的结果。” Kravetz 写道,“例如,禁用火墙和防病毒, rootkit的安装,隐藏 process-miner,窃取任何 PC 用户的私人数据 – 这些还不是全部。”     消息来源:SecurityAffairs,译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

卡巴斯基修复四年老漏洞 注入 HTML 源码的唯一标识符会泄露用户隐私

多年来,卡巴斯基反病毒软件一直在各项安全测试中名列前茅。然而近日曝出的数据泄露事件,竟使得第三方能够长期监视用户的网络活动。德国网站 Heise.de 编辑 Ronald Eikenberg 指出,在其办公室电脑上的一个奇怪发现,让他知晓卡巴斯基反病毒软件造成了惊人的数据泄露。 (题图 via Heise.de) 作为 c’t issue 3 / 2019 测试第一部分,小编会定期对反病毒软件进行测试,以观察其是否履行了企业所声称的安全承诺。 在刚开始的几周和几个月,事情似乎波澜不惊 —— 卡巴斯基软件的表现,与 Windows Defender 基本相同或差强人意。 然而忽然有一天,Ronald Eikenberg 在查看了任意网站的 HTML 源码后发现,卡巴斯基竟然为其注入了如下代码: <script type=”text/javascript” src=”https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js” charset=”UTF-8″></script> 显然,浏览器正在加载来自 Kaspersky 域、名为 main.js 的外部 JavaScript脚本。尽管 JS 代码并不罕见,但当深入查看浏览器中显示的其它网站的 HTML 源码时,几乎都有同样奇怪的发现。 毫无意外的是,Ronald Eikenberg 竟然在个人网银网站上,也查看到了来自卡巴斯基的脚本。因此其断定 —— 这件事可能与卡巴斯基软件有些关联。 为了验证,Ronald Eikenberg 尝试了 Mozilla Firefox、Microsoft Edge、以及 Opera 浏览器,结果发现相同的代码随处可见。 鉴于没有安装可疑的浏览器扩展程序,他只能简单理解为是卡巴斯基反病毒软件在操纵当前的网络流量 —— 在未获得用户许可的情况下,卡巴斯基僭越了! 在此事曝光前,许多人可能只会在网银木马类恶意软件上观察到这种行为,以图窃取或篡改关键信息(比如悄悄地变更了网银转账的收款方)。现在的问题是 —— 卡巴斯基你到底在干嘛呢?! 经过对 main.js 脚本展开的一番分析,可知卡巴斯基会在判别某个‘干净’网站链接后,在地址栏显示带有谷歌搜索结果的绿色图标。 然而还有一个小细节 —— 加载卡巴斯基脚本的地址,也包含了一段可疑的字符串: https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js 链接加粗部分,显然属于某种“通用唯一标识符”(UUID)。但是作为一款计算机安全软件,卡巴斯基要拿这串字符去识别或追踪谁呢? 扩展扩展验证,Ronald Eikenberg 在其它计算机上也安装了卡巴斯基软件,发现它确实会向其它系统同样注入 JavaScript 代码、并且留意到了一个至关重要的区别。 源地址中的 UUID,在每台系统上都是不一样的。这些 ID 属于持久性的标识,即便过了几天也不会发生改变。显然,每台计算机都会拥有自己的永久分配 ID 。 而将这串 UUID 直接注入每个网站的 HTML 源码,绝对是一个糟糕头顶的主意。因为在网站域上下文环境中运行的其它脚本,都可以随时访问整个 HTML 源,甚至读取卡巴斯基这串 UUID 。 这意味着任何网站都可以读取并追踪卡巴斯基软件用户的网络 ID,只要另一个网站检测到了同一字符串,就能认定其访问源来自同一台计算机。 基于这种假设,卡巴斯基显然是打造了一套危险的追踪机制,甚至比传统的 cookie 更加极端 —— 就算你切换了浏览器,也会被追踪并识别到在使用同一台设备、让浏览器的隐身模式形同虚设。 为避免更多用户陷入风险,c’t 决定立即向卡巴斯基通报这一发现、并且迅速得到了对方的答复,称其已着手调查此事。 大约两周后,卡巴斯基莫斯科总部对这一案例进行了分析,并证实了 c’t 的这一发现。 该问题影响所有使用 Windows 版卡巴斯基安全软件的消费者版本,从入门机的免费版、互联网安全套装(KIS)、直至全面防护版(Total Security)。 此外,卡巴斯基小企业安全版(Small Office Security)也受到了该问题的影响,导致数百万用户暴露于风险之中。 Heise.de 调查显示,卡巴斯基从 2015 年秋发布的“2016”系列版本中引入了该漏洞。但既然普通网友都能在无意间发现这个漏洞,包括营销机构在内的第三方,也极有可能早就展开了野外利用。 即便如此,卡巴斯基仍表示这种攻击过于复杂,因此发生的概率极低,对网络犯罪分子来说有些无利可图。 然而 Heise.de 并不赞同该公司的说法,毕竟许多企业都在努力监视每一位网站来访者,这个持续四年的漏洞,很有可能是其展开间谍活动的一个福音。 万幸的是,在认识到事情的严重性之后,卡巴斯基终于听从了爆料者的要求,在上月发布了 CVE-2019-8286 安全公告,且相关补丁也已经打上。 当然,为了安全起见,您也可禁用卡巴斯基软件中提供的相关功能: 点击主窗口左下角的齿轮(设置)图标 -> 点击‘其它 / 网络’-> 然后取消‘流量处理’下的‘将脚本注入 Web 流量以与网页交互’选项。 (稿源:cnBeta,封面源自网络。)

安全漏洞导致 Suprema Biostar 2 百万人指纹数据曝光

近年来发生的多起大规模信息泄露事件,使得网络用户不得不修改那些不再安全的账户密码。但若安全性更高的指纹数据被曝光,那后果就更加严重了。遗憾的是,这正是 Suprema Biostar 2 指纹锁身上所发生的事情。据悉,研究人员在 Suprema 的系统中发现了一个安全漏洞,使之能够访问超过 100 万人的身份验证数据。 (图自:vpnMentor,via BGR) 英国《卫报》指出,这些数据包括了指纹 / 面部识别数据、未加密的用户名和密码、甚至员工的个人信息。 鉴于 Suprema 生物识别认证系统有许多企业和公共机构大客户 —— 其中包括英国大都会警察局、国防承包商和银行 —— 甚至伤害美国、巴基斯坦、芬兰、印尼等地的跨国企业。 以色列研究人员 Noam Rotem、Ran Locar 与 vpnmentor 一起寻找到了 Suprema 的安全漏洞,并且获得了 Biostar 2 数据库的访问权限。 最令人震惊的是,在获得访问权限后,安全研究人员发现该数据库缺乏应有的保护,且大多数据处于未加密的存储状态,很容易访问到总量超过 2780 万条(23GB+)的记录。 除了敏感信息,安全研究人员还能够轻松监控存储的生物识别数据的实际使用情况。比如实时查看哪个用户通过特定的安全门进入任何设施,甚至查看到管理员账户的密码。 此外,研究人员能够编辑某人的帐户,在其中加入自己的指纹。因此从理论上来讲,攻击者可以突破所有需要授权进入的地方。 更令人不安的是,研究人员发现密码数据根本没有受到任何保护,使得黑客能够轻易复制指纹数据、并将之用于恶意目的。其在一篇论文中写到: Suprema 未采用无法进行逆向工程的散列式指纹数据存储,而是偷工减料得让攻击者能够轻易复制实际的指纹数据、并将之用于恶意的目的。 即便如此,Suprema 营销主管 Andy Ahn 还是在接受《卫报》采访时称:此事并没有什么可担心的。 我司已对 vpnmentor 的报告进行了‘深入评估’,若威胁确实存在,Suprema 会立即采取行动并发布适当的公告,以保护我司客户宝贵的业务和资产。 然而目前尚不清楚是否有其他人在安全研究人员之前发现了同样的问题,并对这批数据展开了滥用。   (稿源:cnBeta,封面源自网络。)