分类: 热点

Zoom 就隐私和安全问题道歉 并将冻结新功能以专注于修复各种问题

由于在冠状病毒大流行期间使用量增加,外界开始关注视频会议软件Zoom众多安全和隐私问题。现在,Zoom公司首席执行官Eric S Yuan向用户发表了冗长的声明,对不可预见的问题表示歉意,并承诺会进行改善。 ric S Yuan表示:“这些新的用例帮助我们发现了平台上无法预料的问题。记者和安全研究人员还帮助识别了先前存在的问题。我们感谢这些详细检查和疑问,其中包括有关服务的工作方式,我们的基础架构和容量,以及我们的隐私和安全政策。这些问题将使Zoom本身变得更加完善,为用户提供更好的服务。我们非常认真地对待这些详细检查和疑问,我们正在仔细研究每一个问题,并尽快解决它们。” Zoom已经采取了措施来回应对此提出的批评。该公司已更新了隐私政策,从其iOS应用中删除了Facebook SDK,试图解决Zoombombing问题,修复了UNC链接的安全性问题,并阐明了其在端到端加密中的地位。 Eric S Yuan解释了Zoom在接下来的几个月中还会做什么。在接下来的90天内,Zoom致力于提供必要的资源,以更好地主动识别,解决和解决问题。Zoom还致力于在整个过程中保持透明,Zoom将尽一切努力保持您的信任,其中包括:立即冻结添加新功能,并立即转移所有工程资源以专注于最大的信任,安全和隐私问题。与第三方专家和代表用户进行全面审查,以了解并确保Zoom所有新消费者使用案例的安全性。准备透明度报告,其中详细说明了与数据,记录或内容请求有关的信息。增强当前的漏洞赏金计划。进行一系列白盒渗透测试,以进一步发现和解决问题。 Eric S Yuan表示,从下周开始,将在太平洋标准时间每周三上午10点举办每周一次的网络研讨会,向社区提供隐私和安全更新。   (稿源:cnBeta,封面源自网络。)

新 COVID-9 恶意程序会删除计算机数据

安全研究人员发现了至少五种 COVID-19 主题的恶意程序,其中四种设计是去破坏被感染的计算机,删除文件或覆写主引导记录,还有一种可能只是测试或恶作剧。第一种能覆写主引导的新冠恶意程序是 MalwareHunterTeam 发现的,名字就叫 COVID-19.exe;第二种则伪装成勒索软件,但其主要功能是窃取密码。 MalwareHunterTeam 还报告了数据删除的新冠主题恶意程序,其中一种使用中文文件名,可能设计针对中文用户,还不清楚这种恶意程序是否广泛传播或只是测试。   (稿源:solidot,封面源自网络。)

Zoom 正在将数千个电子邮件地址和照片泄露给陌生人

自从冠状病毒大流行迫使全球各地的员工在家办公以来,Zoom已成为数十万人选择的视频会议服务。Zoom提供了高质量的视频和许多有用的功能,但是围绕该应用程序的隐私保护问题仍在继续增加。 Motherboard网站在一份新报告中透露,Zoom正在将成千上万个用户的私人信息泄露给陌生人,并使这些陌生人能够呼叫其他他们不认识的用户。上周,Motherboard报告说,即使用户没有登录Facebook或没有Facebook帐户,Zoom的iOS应用也正在向Facebook发送分析数据。不仅没有选择退出这种行为的方式,而且Zoom还没有提及数据将根据其隐私权政策发送给Facebook。 值得庆幸的是,在报告发布后不久,Zoom就从其应用程序中删除了Facebook SDK,但开始看起来Facebook只是Zoom隐私问题的冰山一角,近来涌现了许多问题。在Motherboard关于Zoom的最新报告中,揭示了该视频会议服务正在泄漏成千上万用户的电子邮件地址和照片,并让陌生人试图对其进行呼叫。 正如Motherboard所解释的那样,Zoom有一个“公司目录”设置,如果你注册了一个共享同一域的电子邮件地址,它会自动将其他人添加到你的联系人列表中。尽管对于不需要手动添加彼此的同事来说,这听起来像是一个有用的工具,但一些用户报告说,他们使用电子邮件地址注册Zoom之后,自己已与成千上万的陌生人分组,并且可以看到陌生人的名字,图片和邮件地址,并且可以和他们进行视频通话,同时退出分组需要用户与Zoom客户联系,并且需要等待较长时间。   (稿源:cnBeta,封面源自网络。)

Zoom 客户端爆出安全漏洞 可向攻击者泄露 Windows 登陆凭据

近日,Windows 版 Zoom 客户端爆出了容易受到 NUC 路径注入攻击的安全漏洞。作为一款音视频会议应用,Zoom 还允许用户在聊天界面通过发送文本消息来互相交流。然而外媒 Bleeping Computer 指出,攻击者可利用聊天模块的漏洞,窃取点击了相关链接的用户的 Windows 登陆凭据。 发送聊天消息时,所有发送的 URL 都将经过转换,以便群内其他成员点击,继而在默认的浏览器中打开网页。 然而安全研究人员 @ _g0dmode 发现,Zoom 客户端竟然还将 Windows 网络 UNC 路径,也转换成了聊天消息中可单击的链接。 如图所示,常规 URL 和 NUC 路径(\\evil.server.com\images\cat.jpg),都被转换成了聊天消息中的可点击链接。 若用户单击 UNC 路径链接,则 Windows 将尝试使用 SMB 文件共享协议连接到远程站点,以打开远程路径中的 cat.jpg 文件。 默认情况下,Windows 将发送用户的登录名和 NTLM 密码哈希值,但稍有经验的攻击者均可借助 Hashcat 之类的免费工具来逆向运算。 安全研究人员 Matthew Hickey(@ HackerFantastic)实测发现,其能够在 Zoom 中顺利注入,并且可以借助当前的民用级 GPU 和 CPU 来快速破解。 除了窃取 Windows 登陆凭据,Hickey 还向 Bleeping Computer 透露,通过点击链接的方式,UNC 注入还适用于启动本地计算机上的程序(比如 CMD 命令提示符)。 庆幸的是,Windows 会在程序被执行前发出是否允许其运行的提示。想要堵上这一漏洞,Zoom 必须阻止 Windows 客户端的 UNC 路径转换功能(屏蔽部分可点击的超链接)。 据悉,Hickey 已经在 Twitter 上向 Zoom 官方发去了有关该安全漏洞的通知,但目前尚不清楚该公司已采取怎样的行动。 注重安全的客户,可在官方补丁发布前,通过组策略来限制向远程服务器传出 NTLM 通信(参考如下操作): 计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项 -> 网络安全:限制NTLM -> 发送到远程服务器的 NTLM 通信(然后全部配置为拒绝)。 需要注意的是,如果在已经加入相关域的计算机上配置上述组策略时,可能会在尝试访问共享时遇到问题。 如果是无权访问组策略设置 Windows 10 家庭版用户,亦可使用注册表编辑器来完成相关限制操作(dword 配置为 2): [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]”RestrictSendingNTLMTraffic”=dword:00000002 如需正确创建此键值,Windows 用户记得以管理员身份来启动注册表编辑器。 若日后有必要恢复默认发送 NTLM 凭据的 Windows 行为,也只需删除对应的 RestrictSendingNTLMTraffic 键值。   (稿源:cnBeta,封面源自网络。)  

冠状病毒爆发期间 研究人员在 Zoom 当中发现更多安全问题

在冠状病毒爆发期间,视频会议应用程序和服务使用率增加,导致安全人员在Zoom当中发现更多安全问题。据报道,视频会议服务Zoom可以通过解决苹果常规安全措施而在Mac上安装,并且还宣传其具有端到端加密功能,但显然没有。 之前它已将用户数据发送到Facebook(据称已修复),现在它还被指控存在两个单独的安全问题。Twitter用户@ c1truz_(恶意软件跟踪器VMRay的技术负责人)报告说,Zoom的Mac应用安装程序使用了预安装脚本,并据称显示了伪造的macOS系统消息。 c1truz称,在Mac上安装该应用程序时,无需用户给出最终同意,并且高度误导性的提示用于获得root特权。AppleInsider已就指控指控与Zoom取得联系,但尚未收到评论。苹果也没有公开发表评论。不过,之前苹果为纠正Zoom安全问题而强制对用户进行Mac OS更新。 另外,The Intercept声称Zoom并不是真正的端到端加密,在整个视频聊天中,用户和Zoom服务器之间的连接被加密,但是并不能阻止Zoom本身看到呼叫过程。Intercept说:“实际上,Zoom使用了其自己的术语定义,这使Zoom本身可以访问会议中未加密的视频和音频。”Zoom发言人向The Intercept证实了这一点,并表示当前无法为Zoom视频会议启用E2E加密。   (稿源:cnBeta,封面源自网络。)

近期使用”新冠疫情(COVID-19)”为诱饵的 APT 攻击活动汇总

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/UXbsJsCbz6FsQ-ztbk6CaQ   一、概述 目前,由新型冠状病毒引起的肺炎疫情(COVID-19)在全球蔓延,已有190个国家存在确诊病例,全球确诊人数已经超过43万人,死亡病例超过1.9万。中国大陆已基本控制住疫情,但在意大利、西班牙、美国等发达国家疫情仍处于爆发期,世界卫生组织已将疫情的全球风险级别确定为“非常高”。 而随着新冠病毒疫情(COVID-19)在全球蔓延,以此为主题的网络攻击事件骤然增长。其中中国大陆、意大利、韩国等国家成为黑客网络攻击的高风险地区。腾讯安全威胁情报中心自疫情爆发后,已检测到多起以新冠病毒疫情为主题的攻击活动。 攻击者大多以投递邮件的方式,构造诱饵文件欺骗用户点击,恶意文件类型多种多样,覆盖EXE、MS Office宏文档、漏洞文档、lnk文件、VBS脚本等。而攻击的背景也包括具有国家背景的专业APT组织和普通黑产组织。 本文对近期发现的以新冠病毒疫情为诱饵的攻击活动加以汇总,供大家参考。在此提醒广大政企单位和个人用户,在做好疫情防控的同时,也要做好网络安全的防护工作。 二、近期活跃的APT攻击及黑产 01 具有国家背景的APT攻击活动 1)海莲花(APT32)组织 海莲花,又称APT32、OceanLotus,被认为是具有越南国家背景的攻击组织。该组织自发现以来,一直针对中国的政府部门、国企等目标进行攻击活动,为近年来对中国大陆进行网络攻击活动最频繁的APT组织。腾讯安全威胁情报中心在2019年也多次曝光了该组织的攻击活动。 自新冠疫情爆发以来,该组织正变本加厉对中国大陆相关目标进行网络攻击活动。攻击方式依然采用鱼叉邮件攻击,钓鱼邮件同样使用跟新冠病毒疫情相关的诱饵文档。如: 攻击诱饵包括lnk文件、白加黑攻击方式等: 技术细节跟之前曝光的变化不大,本文不再过多描述。 除了投递恶意木马外,海莲花还是用无附件攻击,用来探查用户的一些信息: 也有附件和探针一起的: 2)蔓灵花(BITTER)组织 蔓灵花也是对中国大陆进行攻击的比较频繁的一个攻击组织,其目标包括外交部门,军工、核能等重点企业。 在疫情爆发后,该组织同样采用了跟疫情相关的诱饵来对一些目标进行攻击: 最终释放的特种木马为2019年才开始采用的C#木马: 3)Kimsuky组织 Kimsuky组织被认为是来自东亚某国的攻击组织,该组织一直针对韩国政府部门、大学教授等目标进行攻击活动。Kimsuky组织为韩国安全厂商命名,腾讯安全威胁情报中心在2018、2019均披露过的Hermit(隐士)同属该攻击组织。 在2020年2月底到3月初期,韩国是除中国大陆外受疫情影响最严重的国家。于是Kimsuky十分活跃,开始利用疫情相关的诱饵,对韩国目标进行攻击活动。同时我们发现,该组织还同时具备多平台的攻击能力。 此外,该组织还针对MacOS进行攻击: 最终的恶意文件使用python编写,用来收集用户信息,和C&C进行通信来获取命令等: 4)TransprentTribe组织 TransparentTribe APT组织,又称ProjectM、C-Major,是一个来自巴基斯坦的APT攻击组织,主要目标是针对印度政府、军事目标等。腾讯安全威胁情报在2019年也多次曝光该组织的一些攻击活动。 虽然新冠病毒疫情暂时还未在印度爆发,但是印度也已经在进行一些疫情相关的防控举措,包括关闭国门,加强检疫等等。但是网络攻击不会因此而停止,攻击者同样借助疫情相关资讯进行攻击活动。如: 执行后的宏代码为: 执行后的宏代码为: 02 其他网络黑产活动 包括白象、毒云藤、gamaredon等攻击组织均使用新冠疫情相关诱饵对特定目标进行攻击。由于已经有大量报告针对该些活动的分析,本文就不再罗列。 1)网络诈骗 网络诈骗也是网络攻击活动中的一种,在疫情爆发之后,腾讯安全威胁情报中心检测到多次使用疫情有关的内容进行恶意诈骗的案例。如: 在该案例中,借口让人捐款来研发疫苗,诱使收件人进行比特币转账。所幸,该诈骗活动并未有人上当: 2)投递窃密木马 群发垃圾邮件投递窃密木马也是近期黑产惯用的一些手法,如下: Hancitor木马 假冒保险发票信息 TA505 假冒COVID-19 FAQ的诱饵文档,欺骗目标用户启用宏代码。 商贸信 假冒世卫组织发送诈骗邮件投递商业木马。 商贸信 假冒世卫组织发送诈骗邮件投递商业木马。 最终释放的窃密木马功能包括cookie窃取、键盘记录、上传下载文件等。 4)勒索病毒 近期检测到勒索病毒主要为两种: 一种为使用新冠疫情为诱饵传播勒索病毒,如CORONAVIRUS_COVID-19.vbs ,最终释放Netwalker勒索病毒 另外一种勒索病毒直接将自己命名为新冠病毒: 三、总结和建议 从本文罗列的以新冠疫情(COVID-19)有关的攻击活动可以看到,网络攻击会紧跟社会热点,精心构造跟时事、热点有关的资讯作攻击诱饵,诱使目标用户点击再植入恶意文件或者进行网络诈骗活动。 在全球新冠疫情全球大爆发的时候,利用新冠疫情相关诱饵进行的网络攻击,其中有些攻击对象还包括医疗机构,手段可谓卑劣至极!因此我们提醒政企机关单位和个人,务必提高警惕,勿轻易信任何与疫情有关的资讯邮件,勿轻易启用Office的宏代码查看文档。 我们建议政企机构使用腾讯安全推荐的方案进行防御,个人用户推荐使用腾讯电脑管家,保持实时防护功能为开启状态。 腾讯安全解决方案部署示意图 IOCs MD5 f6fe2b2ce809c317c6b01dfbde4a16c7 0e5f284a3cad8da4e4a0c3ae8c9faa9d aa5c9ab5a35ec7337cab41b202267ab5 d739f10933c11bd6bd9677f91893986c d9ce6de8b282b105145a13fbcea24d87 a9dac36efd7c99dc5ef8e1bf24c2d747 a4388c4d0588cd3d8a607594347663e0 1b6d8837c21093e4b1c92d5d98a40ed4 31f654dfaa11732a10e774085466c2f6 0573214d694922449342c48810dabb5a 501b86caaa8399d508a30cdb07c78453 e96d9367ea326fdf6e6e65a5256e3e54 da44fd9c13eb1e856b54e0c4fdb44cc7 e074c234858d890502c7bb6905f0716e e262407a5502fa5607ad3b709a73a2e0 ce15cae61c8da275dba979e407802dad b7790bf4bcb84ddb08515f3a78136c84 379f25610116f44c8baa7cb9491a510d 7a1288c7be386c99fad964dbd068964f 258ed03a6e4d9012f8102c635a5e3dcd f272b1b21a74f74d5455dd792baa87e1 域名 m.topiccore.com libjs.inquirerjs.com vitlescaux.com vnext.mireene.com crphone.mireene.com new.915yzt.cn primecaviar.com bralibuda.com dysoool.com m0bile.net fuly-lucky.com IP 63.250.38.240 107.175.64.209  

假装成新冠病毒应用的勒索软件正在威胁着人们的钱包

据外媒报道,新冠病毒大流行给相当一部分人带来了困惑。为了更好地应对这种情况,一些人开始使用移动应用来跟踪疾病的传播。然而这些用户惊讶地发现,他们可能不小心安装了一个恶意软件应用。 一款叫做“COVID19 Tracker”的Android应用就向担心病毒爆发的人们宣传自己是病毒地图。用户在搜索一个显示病毒传播的应用时得到了COVID19 Tracker的链接。然而用户无法在Google Play Store上下载这款应用而需要前往该应用网站。当用户下载并打开应用时他们会迎来一个令人不快的意外。跟其他应用一样,COVID19 Tracker也要求获得设备许可,但一旦获得许可它就会启动一个名为“CovidLock”的程序。CovidLock则会发出威胁,要求用户在48小时内以比特币的形式支付100美元,否则的话将删除其手机上的所有数据。 CovidLock是一种被称为勒索软件的恶意软件,它会劫持用户的数据一直到用户支付赎金为止。通常情况系啊,勒索软件都会把企业作为目标,因为它们有更大的财力或能力,但CovidLock针对的是个人用户。 据了解,CovidLock在被用户打开后会给用户的手机上锁,之后用户只有输入解密密钥才能使用。如果用户通过屏幕上的一个链接支付了比特币赎金,该应用就会向用户提供密钥。网络安全公司DomainTools通过对该应用进行反向工程找到了解密代码:4865083501。 实际上,自2016年Android Nougat发布以来,Android手机就内置了针对CovidLock等屏幕锁定攻击的保护。但如果用户没有为他们的手机设置密码那么这些保护措施将无法起到作用。 另外,DomainTools还设法访问了连接到CovidLock的比特币钱包。该团队正在监视发生在上面的任何活动以此查看黑客是否成功勒索到了钱。当地时间3月16日,COVID19 Tracker网站已被关闭。 实际上,COVID19 Tracker并不是唯一一个跟新冠病毒相关的恶意软件。另一款名为“Corona Live 1.1”的Android应用虽然提供了实际的病毒数据,但它会在用户的手机上安装间谍软件。跟COVID19 Tracker一样,用户必须从应用网站或第三方应用商店下载到Corona Live 1.1,而不能通过Google Play store下载。 虽然假冒应用和其他形式的恶意软件可能正在增加,但用户可以采取措施来避开它们。为了获得关于新冠病毒传播的信息,人们应该只求助于可靠的来源,比如官方医疗机构和政府机构,它们对此都有准确的数据。另外,下载的移动应用只能来自于官方应用商城而非第三方。 最近的一项研究发现,名字跟新冠病毒相关的应用和网站传播恶意软件的可能性比其他域名高出50%。 即使是最基本的安全措施也能有效地防止恶意软件和假冒应用的传播。如果用户启用了他们手机中的所有安全功能并限制应用权限,那么他们就避开许多潜在的安全问题。   (稿源:cnBeta,封面源自网络。)

假冒 Corona 杀毒软件宣称能提供新冠病毒防护

据外媒报道,网络犯罪从不会休眠,而现在全世界都在关注着这种新冠病毒疫情,于是前者想着利用后者来为自己牟利。这一次则是一个叫做Corona Antivirus的假冒Windows杀毒软件。Malwarebytes和MalwareHunter在两个不同的网站都发现了这个假冒应用。 该应用网站写道:“我们来自哈佛大学的科学家一直在研究一种特殊的AI开发技术,通过使用Windows应用来对抗这种(新冠)病毒。当应用运行时,你的电脑会主动保护你免受冠状病毒(Cov)的攻击。” 该网站提供了一个被感染的安装器,据Malwarebytes披露,它不会在一台被攻击的机器上丢下BlackNET RAT,而设备则会自动添加到BlackNET僵尸网络中。 恶意软件感染自身具有一系列功能,包括作为僵尸网络的一部分发起DDOS攻击、截屏、窃取Firefox cookie等敏感信息、保存密码和比特币钱包以及运行一个键盘记录器来监控系统上的活动等。 Malwarebytes表示:“在此期间,在家和上网都要注意安全。我们在过去几周看到的诈骗数量表明,罪犯会利用任何情况。我们建议您随时更新您的计算机,并在下载新程序时格外小心。当心即时通知和其他消息,即使它们看起来像是来自朋友。”   (稿源:cnBeta,封面源自网络。)

苹果回应美国会隐私担忧:客户不是我们的产品

图:苹果回应美国国会隐私担忧:我们不会把客户看作产品 凤凰网科技讯 据 AppleInsider 北京时间 8 月 8 日报道,苹果在写给美国国会议员的一封信函中为公司的隐私和数据收集行为进行了辩护,称它在这些方面与 Facebook 和 Alphabet 等公司存在“根本性区别”。 在签署日期为星期二的一封信函中,苹果联邦事务主管蒂莫西·鲍德利(Timothy Powderly)回答了美国众议院能源和商业委员会主席格雷格·沃尔登(Greg Walden)向公司 CEO 蒂姆·库克(Tim Cook)提出的一系列问题。虽然鲍德利在信函中没有提到 Facebook ,但很显然的是,它是苹果的对标对象。 信函称,“我们认为隐私是一项基本的人权,在设计产品和服务时,有意识地把收集的用户个人信息降低到最低限度。在收集数据时,我们是透明的,不会把数据与用户身份联系起来。我们利用设备的处理能力,把收集的数据量降低到最低。客户不是我们的产品,我们的业务模式不依赖于大量收集客户个人信息,向客户发布有针对性的广告。” 这封信函的内容与库克多次与 Facebook 、数据有关的表态是一致的。 鲍德利在信函中还回答了国会议员提出的与公司定位服务工作原理、数据收集政策、 Siri 麦克风是否会用于不正当用途有关的问题。 鲍德利此前在发送给美国参议院司法委员会主席查尔斯·格拉斯利(Charles Grassley)的一封信函中表达了相似观点。 过去,美国国会议员也曾对苹果的隐私政策提出质疑。   稿源:凤凰网科技,编译:霜叶,封面源自网络;

Avast 回应:收集数据仅为改善 CCleaner 未来会提升透明度

自去年安全软件公司Avast宣布收购 Piriform 公司之后,包括 CCleaner 在内的多款热门应用也一并纳入 Avast 旗下。然而自收购以来问题不断,去年 9 月份 CCleaner 被黑客入侵长达 1 个多月,问题版本下载量突破 227 万次;而更令人尴尬的是,Avast 正不断疏远 CCleaner 忠实的用户群。昨天,外媒 BetaNews 编辑 Wayne Williams 撰文强烈抨击,并呼吁用户跳过最新版 CCleaner 应用。 在该抨击文章被广泛转载之后,Avast 旗下的 Piriform (CCleaner的厂商)和 Williams 进行了联系,并就文章中的某些问题进行了澄清。回应全文如下: 我们始终的目标是改善 CCleaner 并提供更好的客户体验,在 V5.45 版本中我们引入了某些新的功能,旨在为我们提供更准确的数据,帮助我们更快地检测错误,并让我们知道哪些 CCleaner 功能被使用了,哪些被闲置了。 通过这些新功能收集的信息都是汇总的,而且数据都是匿名的,只允许我们用来发现用户的使用习惯。这些数据对于我们改善软件和客户体验有非常大的帮助。在此承诺,并不会收集用户的个人身份信息。 我们非常注重用户的反馈,目前正在研发下一代 CCleaner。新版本将会从分析报告中分离出清理功能,提供更多的用户控制选项,在 CCleaner 关闭之后能够记忆用户的相关设置。 为了提升透明度,我们还将会提供所收集数据的概述,收集的目的以及数据的后续相关处理。借此机会,我们还将会重新设计 CCleaner 中的数据设置,以便于能以更清晰易懂的方式来增强和用户之间的沟通。构建和测试软件有时候需要一点时间才能完成,但是我们正努力地进行开发,以便于尽早让新版本和大家见面。 对此 Williams 认为,该公司解决问题的态度,以及采取措施应对用户投诉是件好事。例如微软在发布 Windows 10 时候遭到了很多诟病,但伴随着数据透明度的增加这方面的抱怨正在逐渐减少。       稿源:cnBeta.COM,封面源自网络;