分类: 漏洞事件

蓝牙漏洞导致 Windows/iOS/macOS 系统易被追踪 Android 设备不受影响

本周三,瑞典斯德哥尔摩举办了第 19 届隐私增强技术研讨会。来自波士顿大学的两名研究人员,讨论了他们的最新研究成果。其声称,蓝牙通信协议中的一个缺陷,或导致使用现代设备的用户泄露身份凭证,导致其易被识别和追踪。别有用心者可借此实现对用户的监视,配备蓝牙模块的 Windows 10、iOS 和 macOS 设备均受到影响。 (截图 via ZDNet) 该漏洞影响包括 iPhone / iPad / Apple Watch / MacBook,以及微软平板与笔记本电脑在内的诸多设备。值得庆幸的是,Android 设备并未受到影响。 在这篇题为《追踪匿名蓝牙设备》的研究论文(PDF)中,其宣称许多蓝牙设备都存在着 MAC 地址。 即便有随机 MAC 地址的选项,但他们发现了可以绕过这一层的方法,以实现对特定设备的永久性监控。 识别令牌通常与 MAC 地址搭配使用,而 David Starobinski 和 Johannes Becker 开发的“地址携带”新算法,能够利用有效载荷的异步特性和地址变化,来实现超越设备地址随机化的追踪方案。 其写到,该算法无需消息解密、或已任何方式破坏蓝牙的安全性,因其完全基于公共、未加密的‘广播流量’(advertising traffic)。 这项研究主要针对 2010 年引入的低功耗蓝牙规范(同样被用于蓝牙 5.0),在实验室中,研究人员建立了基于苹果和微软设备的测试平台,以分析 BLE 广播频道和标准蓝牙接近度内的‘广告事件’。 测试期间,研究人员使用了 Xianjun Jiao 的 BTLE 软件套件和定制版本的嗅探器。通过被动收集一段时间内的广告事件和日志文件,分析相关信息并引出显示设备 ID 令牌的数据结构。 研究指出,多数计算机和智能手机操作系统都会默认实施 MAC 地址的随机化,以防止被长期被动追踪,因为永久标识符是不会被广播的。 然而研究人员在运行 Windows 10、iOS 或 macOS 的设备上发现,系统会定期发送包含自定义数据结构的广告事件,它们会被用于与 BLE 范围内其它设备 / 特定平台的交互。 结果就是,通过为攻击者提供所谓的“临时 / 次要伪装身份”数据,研究人员可以通过算法筛出这些标识符,实现规避地址随机化的设备追踪。 有趣的是,这一缺陷并不影响 Android 设备,因为该移动操作系统不会不间断地发送广告信息。相反,Android SDK 会扫描附近的广播,而不是持续地暴露自身。 研究人员总结道:“如果不改变老旧的算法策略,任何定期发布广播信息的数据设备都会受到影响”。 预计 2019 至 2022 年间,蓝牙设备数量会从 42 亿增加到 52 亿。想要在未加密的通信信道上建立反追踪方法,将是至关重要的。   (稿源:cnBeta,封面源自网络。)

iOS 13 和 iPadOS 爆安全漏洞:解锁状态下可访问用户名和密码

援引外媒报道,在 iOS 13 和 iPadOS 的最新测试版本中发现了一个安全漏洞,允许绕过安全机制访问设置应用中的用户名称和密码。不过外媒也坦言该漏洞在实际场景中对于消费者的安全威胁并不大。外媒 iDeviceHelp 本周一指出,用户反复点击“网站&应用密码”选项可以绕过 Face ID、Touch IS 或者密码进行访问。不过这个问题对用户的影响并不是特别大,只有用户在解锁状态下访问设置应用才能起效。 目前苹果已经收到这个问题的报告,但官方并未做出承认。不过毕竟是Beta版本,存在漏洞在所难免,而iOS 13和iPadOS的正式版将于今年秋季正式推出。 视频来源:https://player.youku.com/embed/XNDI3NTA3MDE1Mg== 视频来源:https://player.youku.com/embed/XNDI3NTA2OTg2MA==    (稿源:cnBeta,封面源自网络。)

时隔三年半:罗技无线接收器依然存在 MouseJack 严重安全漏洞

三年半前,外媒The Verge的编辑Sean Hollister亲眼见证了安全专家Marc Newlin在不物理接触设备、甚至不需要知道IP地址的情况下,利用罗技无线鼠标上的小型USB收发器触发几行代码,就可以实现全格硬盘、安装恶意程序等一系列操作,更糟糕的是整个操作就像物理访问该电脑一样。于是在2016年,外媒The Verge发表了关于“MouseJack”的黑客方式,罗技官方随后也立即发布了紧急修复补丁来修复这个问题。 然而本周早些时候,安全专家Marcus Mengs表示罗技的无线Unifying dongles实际上依然存在漏洞,非常容易受到黑客的攻击。当用户配对新的鼠标或者键盘时候,就有机会入侵你的电脑。 而且Mengs表示罗技依然在销售那些容易受到MouseJack黑客攻击的USB收发器。随后外媒TheVerge就立即联系Newlin,随后他表示在近期购买的罗技M510鼠标上依然搭配的是这种有安全漏洞的USB收发器。 随后外媒The Verge联系了罗技,一位公司代表承认市场上依然存在一些尚未打上补丁的USB收发器。事实上,在2016年年初被曝光MouseJack漏洞以来公司并没有真正意义上的产品召回。 视频来源:https://player.youku.com/embed/XNDI3MzYwNTAwOA== 罗技评估了企业和消费者的风险,并没有召回已经进入市场和供应链的产品或组件。我们为任何特别关注的客户提供了固件更新,并对以后生产的产品进行了更改。 视频来源:https://player.youku.com/embed/XNDI3MzYwNTE2OA== 罗技代表表示公司确实为新制造的产品“逐步修复”,但他们还不能确认何时在工厂进行了更改。 根据Newlin的说法,MouseJack并不仅限于罗技,戴尔,惠普,联想和微软等使用了Nordic和Texas Instruments公司芯片和固件的无线接收器均存在相同的问题。不过罗技的优点之一,就是允许用户更新这些无线接收器的固件。 视频来源:https://player.youku.com/embed/XNDI3MzYwNTI5Mg==   (稿源:cnBeta,封面源自网络。)

Buhtrap 黑客组织使用微软零日漏洞进行间谍行动

Buhtrap黑客组织已将其目标从俄罗斯金融业务和机构转移。自2015年12月进行网络间谍活动以来,其影响最大的活动是在2019年6月期间使用了近期修补的Windows零日漏洞。 Windows本地权限提升零日漏洞(CVE-2019-1132)被Buhtrap滥用于其攻击,它允许犯罪组织在内核模式下运行任意代码。微软在本月的补丁星期二修复了此漏洞。 尽管Buhtrap自2014年以来不断攻击银行客户,但它直到一年之后才被检测到。根据Group-IB和ESET研究人员的说法,它从2015年以后便开始寻找金融机构等更高级的目标。Group-IB报告称,“从2015年8月到2016年2月,Buhtrap成功对俄罗斯银行进行了13次攻击,总金额达18亿卢布(2570万美元)”。   被Buhtrap利用的Windows零日漏洞 ESET研究人员通过多个有针对性的活动观察到黑客组织的工具集“是如何通过用于在东欧和中亚进行间谍活动的恶意软件进行扩展的”。 2019年6月,Buhtrap利用零日漏洞攻击政府机构,主要攻击方式是滥用旧版Windows中的“win32k.sys组件中空指针的逆向引用”。   转为网络间谍 Buhtrap发展过程 “当他们在网上免费提供工具源代码的时候,很难将行为归罪于特定的参与者,”ESET说, “然而,因为他们在源代码泄露之前更改了目标,所以我们确信首批对企业和银行进行Buhtrap恶意软件攻击的人也参与了针对政府机构的攻击。” 此外,“尽管新的工具已经添加到他们的武器库中并且更新可以应用于旧版本,但不同的Buhtrap活动中使用的策略,技术和程序(TTP)在这些年中并没有发生显著变化。” ESET在关于Buhtrap集团网络间谍活动的报告最后提供了一份完整的IOC表单,其中包括C2服务器领域,恶意软件样本哈希,代码签名证书指纹以及MITRE ATT&CK技术的表格。   消息来源:BleepingComputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国医院麻醉机、呼吸机现安全漏洞:极易遭到远程篡改

据外媒报道,安全研究人员发现,美国医院的麻醉机和呼吸机所使用的网络协议存在一个漏洞,如果利用该协议,这些医疗设备可能会遭到恶意篡改。来自医疗安全公司CyberMDX的研究人员表示,通用电气(GE)Aestiva和GE Aespire设备中使用的协议可以在连接到医院网络终端服务器时发送命令。 资料图 研究人员指出,这些指令可以关闭警报、改变记录,另外还可以被滥用来改变呼吸器和麻醉机中吸入气体的成分。 美国国土安全局在周二发布的一份报告称这些漏洞只需要低水平的技术就能遭到利用。 “这些设备使用的是一种专有协议,”CyberMDX研究主管Elad Luz说道,“计算这些命令非常简单。” Luz指出,其中一个命令会迫使设备使用仍存在于设备中的较老版协议,更糟的是,这些命令都不需要任何身份验证。 不过如果设备没有连接到网络那么就会安全得多。 据悉,CyberMDX则是在2018年10月底向GM披露了这些漏洞。后者表示,Aestiva和Aespire的7100和7900版在受影响范围内。据这家公司发言人表示,这一潜在的问题没有带来临床风险或直接的患者风险,麻醉设备本身也不存在脆弱性。不过这家公司拒绝透露受影响设备的具体数量,而2009年以后销售的系统则不再具备修改气体成分的能力。   (稿源:cnBeta,封面源自网络。)

Zoom 安全漏洞被指可以让网站劫持 Mac 摄像头

据外媒报道,当地时间7月9日,安全研究员Jonathan Leitschuh公开披露了在Mac电脑上Zoom视频会议应用中出现的一个严重零日漏洞。他已经证明,任何网站都可以在安装了Zoom应用的Mac电脑上打开视频通话。 这在一定程度上是可行的,因为Zoom应用在Mac电脑上安装了一个网络服务器用于接收普通浏览器不会接收的请求。 事实上,即便卸载了Zoom, 网络服务器仍会持续存在,并且可以在不需要用户干预的情况下重新安装Zoom。 Twitter也有其他用户报告了这个漏洞。 据Leitschuh披露,他在3月底发现了这一漏洞并给这家公司90天时间来解决这个问题,然而最后Zoom似乎并没有做好充足的工作。Chrome和Mozilla团队也都发现了这个漏洞,但由于这不是其浏览器的问题,所以这些开发人员也无能为力。 不过目前用户可以自己“修补”这个问题,他们要确保自己的Mac应用是最新的并禁用允许Zoom打开其相机参加会议的设置,见下图:     (稿源:cnBeta,封面源自网络。)

谷歌挖出 iMessage 新漏洞 运行旧系统的 iPhone 只能重置修复

在 iMessage 中输入特定的字符串,并将其发送给其他人,可能会引发一些奇怪的事情。我们曾在过去报道过多次这样的偶然发现,万幸苹果通常会很快完成 bug 修补,并发布软件更新。不过近日,谷歌 Project Zero 团队曝光了又一个重大的 iMessage 漏洞。若收到一组特定的字符,你的 iPhone 可能会变得一团糟。 (图自:Apple,via BGR) 不停崩溃重启,导致 UI 无法显示、直至手机停止了对输入的响应。 即便经过了硬件重置,该问题依然存在,一旦解锁就会导致手机无法使用。 结果唯一的解决方案,就是重启进入恢复模式,但出厂复位后会丢失设备上所有未保存的数据。 若用户手上的 iPhone 运行的是 iOS 12.3 之前的版本,他们会在面对该问题时束手无策。 此前的类似 bug,顶多导致手机变卡、或使应用程序崩溃,但至少可以在大多数情况下修复问题,而不丢失任何数据。 不过这一次,用户必须进行完整的出厂重置,才能避免陷入无限的循环,意味着任何尚未备份到 iCloud 或计算机上的数据都将丢失。 (图 via ChromeBlog / Project Zero) 为防止问题再次发生,请在初次设置手机时移除 SIM 卡并关闭 Wi-Fi,并参考以下操作: (1)通过‘查找我的 iPhone’擦除手机数据; (2)将 iPhone 设置为恢复模式,并通过 iTunes 获取更新(强制安装最新版系统); (3)取出 SIM 卡、关闭 Wi-Fi,并在菜单中选择擦除手机数据。 值得庆幸的是,苹果已经在 iOS 12.3 中修复了这个问题。 这意味着您只需更新到最新的稳定版 iOS 系统(或 iOS 13 测试版),都不会有这样的烦恼。   (稿源:cnBeta,封面源自网络。)

行业组织称苹果 ID 登陆第三方有漏洞,必须加以修复

网易科技讯 7月2日消息,据国外媒体报道,一行业组织声称,苹果最新的登录功能Sign in with Apple允许用户使用Apple ID登录网站和应用程序,这一功能存在严重的隐私和安全漏洞,必须加以修复。 OpenID基金会是一个非营利组织,其成员包括谷歌、PayPal和微软。该组织运行跨网站验证个人身份的行业标准OpenID Connect,和苹果登录功能相似,可以使用同一密码进行身份验证。 据该组织称,Sign in with Apple功能与OpenID Connect有一些相似之处,但并不完全符合行业标准。OpenID基金会发给苹果公司负责工程的高级副总裁克雷格·费德里吉(Craig Federighi)的一封信中说,这个问题可能会让人们面临“更大的安全和隐私风险”。 OpenID基金会主席Nat Sakimura在信中表示:“目前OpenID Connect和Sign in with Apple之间的一系列差异缩小了用户使用Sign in with Apple的范围,并使他们面临更大的安全和隐私风险。” Sakimura表示,苹果尚未推出的这种单点登录功能,也给开发者带来了“不必要的负担”。他们必须使用OpenID Connect标准,并了解苹果登录功能的不同之处。 OpenID基金会要求苹果加入该组织,并遵守行业标准。一份描述行业标准与苹果产品之间差异的文件详细列出了一系列必要的代码更改,以“解决这些差异”。 网络安全公司Mimecast威胁情报主管弗朗西斯·加夫尼(Francis Gaffney)表示,OpenID表明了人们对潜在安全风险的切实担忧。 加夫尼表示:“鉴于黑客对潜在漏洞的查找力度加大,发现并利用这些’差异’只是时间问题。” 苹果没有立即回应置评请求。该公司正在大力宣传Sign in with Apple,将其作为隐私意识强的用户登录所喜爱网站的一种方式。苹果表示不会与应用程序开发商分享不必要的数据。 Sign in with Apple还没有公开发布,然而任何一个iPhone用户都将会在自己最感兴趣的应用中看到这一功能选项。因为苹果要求提供其他单点登录功能的应用开发者也必须支持Sign in with Apple。   (稿源:网易科技,封面源自网络。)

EA 宣布已修复影响 3 亿玩家的 Origin 游戏服务漏洞

EA已经修复了此前Origin游戏服务上曝光的一系列安全问题,攻击者可以利用这些漏洞控制用户账户并获取对个人数据的访问权限。EA承认全球3亿玩家面临风险 以色列安全公司Check Point表示,攻击者可以利用一系列“漏洞”来攻击FIFA,Maden NFL,NBA Live,UFC,The Sims,Battlefield,命令与征服以及Medal of Honor等游戏。 Origin是EA推出的一个类Steam的数字发行平台,由于它是在PC上获得新发行EA游戏的唯一途径,所以它拥有不少的用户,目前已经达到数百万。 Check Point Research和CyberInt在此前发布的一份报告中指出,这个漏洞可能已经影响到来自世界各地多达3亿的原始用户。该漏洞允许黑客可以无需先盗取登录凭证的情况下就能劫持原始账户。他们可以通过使用废弃的子域名窃取身份验证令牌并利用OAuth单点登录和EA登录系统内置的信任机制来访问这些帐户。 视频来源:https://player.youku.com/embed/XNDI0NDk2OTk3Ng== 今年早些时候,Check Point在《堡垒之夜》中发现了类似漏洞。实际上,这种攻击利用了EA的微软Azure帐户中废弃的子域名,然后以此创建看似合法的网络钓鱼链接。一旦受害者点击了该链接,Check Point和CyberInt就可以得到他们的认证令牌并劫持其账户,而无需登录电子邮件或密码。   (稿源:cnBeta,封面源自网络。)

发现新漏洞后 美国西南航空与联合航空公司延长了 737 Max 的停飞时间

外媒报道称,尽管美国联邦航空管理局(FAA)希望波音 737 Max 能够重拾客户的信任,但在其飞控系统曝出新的缺陷之后,西南与联合航空公司已经延长了该机的停飞时间。按照原计划,只要 737 Max 获得了 FAA 的重新认证,西南航空会从 9 月 2 日起重新执飞。但是现在,该公司已经把重启时间推迟到了 10 月 1 日之后。如此一来,西南航空每日 4000 趟的航班,将有大约 150 趟会受到影响。 波音 737 Max(图自:Boeing 官网,via TheVerge) 与此同时,美国联合航空公司原计划在 8 月 3 日重新执飞 737 Max 航班,但现在已被延长到至少 9 月 3 日。其在一份声明中称,7 月份每日有 40~45 趟航班受到影响,8 月份每日有 60 趟航班受到影响。 本月早些时候,美国航空公司将 737 Max 的停飞时间推迟到了至少 9 月 3 日之后。不过在 FAA 曝光了波音的最新缺陷之后,该公司并没有再次推迟这一时间表。 其发言人在一封电子邮件中表示:“我司团队将继续与 FAA、波音和飞行员协会合作,目前暂无额外的信息可与大家分享”。 今年 3 月,737 Max 陆续在全球被停飞,其中两架飞机在五个月内接连坠毁,共造成了 364 人的死亡。事后调查表明,两起事故都与 737 Max 上安装的机动特性增强系统(MCAS)的缺陷有关。 为提升燃油效率,波音为 737 Max 配备了更大的发动机,这对于抢占市场份额非常重要。然而 737 Max 的安装方式与旧款 737 机型有较大差别,使得飞机在某些情况下易发生失速。 MCAS 原本有助于缓解该问题,其被设计用于识别飞机的机头倾角(数据源自迎角创拿起)。如果抬得过高,系统会控制飞机自动俯冲以抵消失速影响。 然而现实是这会造成未经充分培训的飞行员的应对难度,波音又为了省钱(数百万美元)而省略了这一步。现在的问题是,即便已经对 MCAS 实施了软件修复,但波音还需数月时间来测试。 更糟糕的是,据彭博社报道,FAA 发现了 737 Max 计算机系统的另一个潜在缺陷,或导致飞行员很难通过模拟器的测试来掌握恢复正常飞行的方法。 FAA 要求波音解决这个问题,后者也迅速承认了这一缺陷。一名波音官员在周四接受路透社采访时称,预计软件修复要等到 9 月份才能完成,意味着各大航空公司的 737 Max 可能要等到 10 月才能恢复运营。   (稿源:cnBeta,封面源自网络。)