分类: 安全快讯

百度搜索和地图应用被 Google Play 商店下架 回应称并非因数据收集问题

在美国网络安全公司 Palo Alto Networks 报告发布后,谷歌随机对两款来自百度的 Android 应用展开了调查。报告称百度搜索框和地图应用内含收集用户信息的代码,而谷歌也在 2020 年 10 月将之从 Play 商店下架。不过上周,百度搜索框再次出现在了广大用户的面前。 具体说来是,Palo Alto Networks 称数据收集代码存在于百度推送 SDK 中,用于在两款 App 内显示实时通知。然而数据收集行为研究员 Stefan Achleitner 和 Xuchengcheng 指出: “该代码会收集包括电话型号、MAC 地址、运营商信息、国际移动订阅用户身份(IMSI)等在内的详细信息。 Achleitner 和 Xu 补充道,尽管这种行为看似无害,但诸如 IMSI 代码之类的数据,仍可被用于精准识别和追踪用户,即使该用户切换到了另一设备也无解。” 一方面,尽管向谷歌报告了此事,但尴尬的是,该公司的 Android 应用政策并未特别禁止收集个人用户的详细信息。 不过另一方面,Play 商店安全研究团队还是在两次调查中发现了百度 App 的其它未指明的违规情况,最终导致两款 App 于 2020 年 10 月 28 日被官方应用商店下架。 “百度发言人在今日的一封电子邮件中称,最初报告提到的数据收集行为引发了谷歌团队的调查,但这并不是两款 App 被 Play 商店下架的原因,因为该公司已从用户那里获得了收集此类信息的许可。 与此同时,百度团队表示正在努力解决谷歌发现的其它问题。截止发稿时,百度搜索框应用已经重返 Play 商店,而地图应用也会在修复相关问题后尽快回归。” 10 月下架之前,两款百度 App 的下载量总计超过了 600 万。此外 Palo Alto Networks 研究人员在中国广告技术巨头 MobTech 开发的 ShareSDK 中发现了类似的数据收集代码。 Achleitner 和 Xu 表示,该 SDK 已被 37500 多款应用程序使用,且允许开发者收集包括电话型号、屏幕分辨率、MAC 地址、Android ID、广告 ID、运营商 / IMSI / IMEI 等在内的个人信息。 显然,这类事件并非孤立发生,而是围绕 Android 生态的一个老大难问题。       (消息来源:cnBeta;封面来自网络)

在 Web 托管软件 cPanel 中发现 2FA 旁路

来自Digital Defense的安全研究人员发现了托管软件 cPanel中的一个安全问题。黑客可以利用此漏洞绕过帐户身份验证(2FA)并管理关联网站。 “漏洞和威胁管理解决方案的领导者宣布,其 漏洞研究团队(VRT) 发现了一个未披露的漏洞,该漏洞影响了cPanel&WebHost Manager(WHM)网络托管平台。” “ c_Panel&WHM版本11.90.0.5(90.0 Build 5)具有两因素身份验证绕过漏洞,易受到攻击,从而导致了解或访问有效凭据的黑客可以绕过两因素身份验证。” 该漏洞可能会产生巨大影响,因为Web托管提供商当前正在使用该软件套件来管理全球超过7,000万个域。   “双重身份验证cPanel安全策略并未阻止攻击者重复提交双重身份验证代码。这使黑客可以使用技术绕过两因素身份验证检查。” “现在,将两因素身份验证代码验证失败的情况等同于帐户的主密码验证失败以及cPHulk限制的速率。” 研究人员补充说,攻击者可以在几分钟内绕过2FA。通过发布以下内部版本解决了此问题: 11.92.0.2(ZoomEyes搜索结果) 11.90.0.17(ZoomEyes搜索结果) 11.86.0.32(ZoomEyes搜索结果) 网站管理员敦促检查其托管服务提供商是否已更新相关cPanel版本。     消息来源:securityaffairs ;封面来自网络;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

谷歌宣布针对 Chrome 扩展程序的重大隐私政策更新

扩展程序已成为现代浏览器体验中不可或缺的一环,而 Google Chrome 也是许多用户的不二之选。发展迅猛的 Chrome 网上应用店,已经能够满足大多数用户的实际需求。与此同时,谷歌希望进一步提升隐私体验。比如在最新宣布的隐私政策中,该公司就要求开发者必须披露其收集和分享的数据。 虽然日常使用中可能很难察觉,但某些扩展显然会对用户的数据隐私和安全构成威胁,尤其是那些能够读取浏览器中所加载的所有信息、有时也包括敏感细节的恶意扩展。 庆幸的是,在最新提出的隐私要求中,谷歌将强制扩展程序开发人员附带明确的数据收集信息,以便用户在安装时就有所了解。 “从 2021 年 1 月开始,Chrome 网上应用店中的每款扩展程序的详情页,都将以清晰易懂的语言来描述和披露其收集的数据信息。” 此外谷歌还宣布了一项新的约束政策,以限制开发者对其通过加载项收集的数据进行利用,进而保护用户的相关权益: “(1)确保对用户数据的操作使用符合用户的主要利益,并且符合扩展的合理使用目的。 (2)重申坚决不允许转售用户数据,谷歌自己不会、也不允许第三方扩展程序开发者这么做。 (3)禁止利用用户数据开展有针对性的广告营销活动。 (4)禁止将用户数据用于任何形式的信贷、数据经纪、或其它形式的转让和使用目的。” 即日起,开发者已能够在 Chrome 网上应用店中更新其隐私详情,正式功能将于 2021 年 1 月正式上线。逾期未更新的扩展程序,将被挂上“开发者未提供此类信息”的显眼提示。     (消息来源:cnBeta;封面来自网络)

微软认为基于短信的多重安全认证机制并不安全 应该被放弃

身为微软身份安全总监的Alex Weinert写了一篇博客文章,强调了摆脱基于公共交换电话网络(PSTN)的多因素认证(MFA)机制的必要性。这位高管强调了基于PSTN的MFA系统存在安全隐患的各种理由,如短信和语音验证码,他强调,MFA本身是必不可少的,只是人们使用它的方式应该改变。 Weinert表示,基于PSTN的机制是目前最不安全的MFA方法,因为实际上所有的利用技术,如网络钓鱼和账户接管等仍然可以借此进行。一旦攻击者将兴趣转移到破解MFA系统上,这种情况只会变得更糟,而这取决于公众使用MFA系统的程度。此外,PSTN消息也不能适应不同类型的用户,所以通过它们进一步提高安全性的潜力是有限的。 例如,攻击者可以在大多数网络上部署软件来拦截基于PSTN的消息,意味着这又是一个独特的攻击面,对于恶意行为者来说是有利用价值的。 值得注意的是,大多数PSTN系统都有在线账户和丰富的客户支持基础设施支持。可悲的是,客户支持代理很容易受到魅惑、胁迫、贿赂或敲诈。如果这些社会工程学攻击成功,客户支持可以提供对SMS或语音通道的访问。虽然社会工程攻击也会影响电子邮件系统,但主要的电子邮件系统(如Outlook、Gmail)拥有更发达的 “肌肉”,可以通过其支持生态系统防止账户泄露。这就导致了从信息拦截、呼叫转发攻击到SIM卡劫持等一切问题。 不幸的是,PSTN系统并不是100%可靠,报告也不是100%一致。这取决于地区和运营商,但消息到最终接收人那里的路径可能会影响它需要多长时间才能得到,以及是否完全得到它。在某些情况下,运营商会在投递失败时报告投递情况,而在另一些情况下,消息的投递可能需要足够长的时间,以至于用户认为消息已经无法通过。在一些地区,投递率甚至低至50%。MFA提供商没有实时信号反馈来提示问题的出现,只能依靠统计完成率或服务台电话来发现问题,这意味着向用户提供替代方案或警告问题的信号难以提供。 不仅如此,监管方面,有关短信和通话的规定变化很快,而且各地区的规定也不尽相同,当使用基于PSTN的MFA系统时,可能会导致中断。     (消息来源:cnBeta;封面来自网络)

英特尔发布 20201110 CPU 微代码更新包 修复一系列 Bug 和安全漏洞

英特尔在周二晚上发布了 20201110 CPU 微代码更新包,这也是自 6 月以来的又一个重大更新。此前,安全社区已经披露了影响英特尔产品的大约 40 个新安全公告,其中包括利用 RAPL 接口来窃取 CPU 敏感数据的“鸭嘴兽”(PLATYPUS)安全漏洞。在等待许久之后,该公司终于为 Linux 用户发布了新版微代码更新包,以修复相关 Bug 和漏洞。 首先是刚才已经详细介绍过的《RPAL 接口安全漏洞》(INTEL-SA-00389),今日更新的 CPU 微码、与新版 Linux 内核补丁一起发布,旨在阻止非 root 权限用户读取 Intel CPU 的能耗信息。 其次 INTEL-SA-00381 修复了围绕“快速存储前向预测器信息泄露”的问题、以及另一个 AVX 漏洞。受此影响,本地攻击者可获取先前 AVX 执行的寄存器状态。 除了 CPU 安全更新,英特尔还修复了影响多代处理器的“功能性问题”。比如 Ice Lake 处理器的 VT-d 虚拟化 Bug,以及可能导致系统挂起的 Type-C 端口问题。 此外至强可扩展(Xeon Scalable)Cascade Lake 处理器在内核退出 C6 状态时中断丢失等问题也得到了解决,并且包括了其它各种随机的处理器 Bug 修复程序。 最后,英特尔 20201110 微码更新包也首次包含了面向了 Cooper Lake、Lakefield、Tiger Lake、以及 Comet Lake 的二进制文件。     消息及封面来源:cnBeta

FBI:黑客从美国政府机构和企业窃取了源代码

联邦调查局发出安全警报:黑客正在滥用配置错误的SonarQube应用程序访问并窃取美国政府机构和企业的源代码存储库。 联邦调查局表示,黑客最早从2020年4月开始进行网络攻击活动, 于本周在网站上公开。该警报特别提醒基于Web的应用程序SonarQube的所有者:供应商已将其集成到软件构建链中,测试源代码并发现安全漏洞,然后再将代码和应用程序推广到生产环境中。SonarQube应用程序安装在Web服务器上,并连接到源代码托管系统,例如BitBucket、GitHub或GitLab帐户、Azure DevOps系统。 联邦调查局表示:未使用默认管理员凭据(admin / admin)以其默认配置(在端口9000上)运行系统的单位不受保护。 黑客滥用了错误配置来访问SonarQube,转到连接的源代码存储库,进而访问和窃取专有应用程序的数据。   “ 2020年8月,未知黑客通过公共生命周期存储库工具从两个组织窃取了内部数据。被盗数据来自使用了受影响组织网络上运行的默认端口设置和管理员凭据的SonarQube。” “该网络攻击活动与2020年7月的一次数据泄漏事件相似,一个已知黑客通过安全性较差的SonarQube窃取并发布了被攻击企业的专有源代码。”   2018年5月以来,安全研究人员就警告将SonarQube应用程序在线暴露给默认凭据存在高度安全隐患。 鲍勃·迪亚琴科(Bob Diachenko)表示:当时在线可用的所有3000个SonarQube实例中,大约30%至40%没有启用密码或身份验证机制。 瑞士安全研究人员Till Kottmann也提出了相同问题。Kottmann在公共门户网站上收集了数十家科技公司的源代码,其中许多来自SonarQube应用程序。Kottmann告诉ZDNet: “大多数人似乎都不会更改相关设置,但SonarQube的安装指南有详细解释。” FBI发布了保护SonarQube服务器的相关措施:首先是更改应用程序的默认配置和凭据;然后使用防火墙防止未经授权的用户访问该应用程序。       消息及封面来源:ZDNet;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

微软已经放弃了 Office 2010 但第三方服务 0patch 仍然会提供安全补丁

Office 2010这一标志性的微软办公套件的经典版本从10月起不再受到官方支持,但第三方补丁服务团队0patch表示,它将通过其微补丁帮助用户防范漏洞,继续为Office 2010延长寿命。虽然微补丁一般只会提供给拥有专业或企业订阅的0patch付费客户,但该公司表示,”我们可能偶尔会决定向0patch免费用户提供一些这些微补丁,例如有望帮助减缓全球蠕虫的爆发的时候”。 然而,如果需要保证补丁安装后持续有效,需要确保原来就安装了最新版本的Office 2010以及所有可用的官方更新. 还记得0patch是如何让人们”安全地采用”Windows 7和Server 2008 R2的吗? 当他们在2020年1月达到支持结束的时候,0patch就已经针对这些系统中的21个高危漏洞发布了微补丁,其中最受欢迎的无疑是针对Zerologon(CVE-2020-1472)的微补丁,这个漏洞几乎影响了所有Windows,目前正被勒索软件团伙广泛利用。 由于Office 2010在上个月已经达到了支持的终点,而且许多组织表示有兴趣保持它的安全,0patch决定也开始设法让人们”安全采用”Office 2010,截止发稿,这项服务已经普遍可用。 这个服务是如何运作的呢?与0patch为 Windows 7 和 Windows Server 2008 R2 所做的工作类似,安全研究人员从各种来源收集 Office 2010 的漏洞信息:合作伙伴、安全社区、公共来源,以及通过测试新发现的影响仍受支持的 Office 版本的漏洞是否也会影响 Office 2010。当安全人员在评估中发现一个高风险的漏洞,并且有足够的数据来重现它时,就会为它创建一个微修补程序,这些程序在完全更新后的Office 2010上运行。就像Windows 7和Server 2008 R2一样。     (消息及封面来源:cnBeta)

HPE 修补了两个关键的远程可利用漏洞

Hewlett Packard Enterprise发布了针对两个关键漏洞的补丁程序,一个漏洞在StoreServ管理控制台中被确认,另一个漏洞则影响了BlueData EPIC软件平台和Ezmeral容器平台。 最严重的问题存在于HPE StoreServ管理控制台(SSMC)3.7.0.0中,CVE-2020-7197漏洞可以利用远程绕过身份验证保护,其CVSS评分为10。SSMC是基于节点的Web控制台,它为多个阵列的管理提供支持,通常安装在Linux或Windows服务器上,并与托管列上的数据隔离。该漏洞可能使黑客无需身份验证,直接获得对应用程序的访问权限。 MindPoint Group的Elwood Buck报告了规避远程身份验证的情况。根据HPE的说法,3.7.0.0之前的HP 3PAR StoreServ Management和Core Software Media受到影响。HPE建议受影响的用户将软件升级到HP 3PAR StoreServ3.7.1.1或更高版本。在BlueData EPIC软件平台版本4.0和更早版本以及Ezmeral Container Platform 5.0中确定了第二个漏洞CVE-2020-7196,其CVSS评分为9.9。HPE解释说,问题在于这两个应用程序“都使用不安全方法来处理Kerberos密码,导致密码容易受到未经授权的拦截和/或检索。” HPE建议将相关软件更新至Ezmeral Container Platform 5.1或更高版本。除此之外,HPE还在上周发布了针对Aruba CX交换机、Aruba AirWave Glass和其他Aruba产品中的几个高危漏洞的补丁程序。       消息来源:securityweek;封面来自网络;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软承认 Windows 10 网络和开始菜单磁贴存在问题 承诺尽快修复

微软已经承认了存在于 Windows 10 系统中的两个新错误,并承诺会尽快修复。正如本站近期报道的那样,Windows 10 系统中存在一个令人讨厌的错误,当某些用户启用 Microsoft Store 应用或启用 VPN 连接时候会出现网络连接错误的情况。 Windows 10 May 2020(20H1/Version 2004)功能更新及更高版本都存在这个问题。在某些情况下,Windows 10 的这个 BUG 会破坏互联网连接,并阻止了 Spotify,Office,Microsoft Store 等重要应用程序上线。 一些报告表明该问题可能与VPN或代理使用有关,而其他报告则指出 Windows 10 更新破坏了“网络连接状态指示器(NCSI)”。目前仍不清楚网络断开错误的根源是什么,但是微软表示将解决类似的问题,该问题将阻止重要的应用程序联网。微软计划在本月的补丁星期二活动日中发布补丁进行修复。 此外微软还承认了可能会导致开始菜单中动态磁贴无法正常工作的问题。发生这种情况时,您会注意到磁贴显示为灰色,并带有“正在进行应用更新”进度条。目前尚不清楚微软何时计划解决该特定错误,但该技术巨头已经在9月发布的预览版本中对其进行了修补。 值得注意的是,微软还注意到Windows 10中的其他问题,其中一个问题是睡眠模式无法按预期工作,并且“重置此PC”功能无法刷新系统映像。     (消息来源:cnBeta;封面来自网络)

WeWork 被曝使用简单密码 引起安全隐患

被诸多 WeWork 员工用于访问打印机设置的共享账户使用了非常简单的密码,以至于他们的客户都猜出来了。在伦敦 WeWork 办公的 Jake Elsley 表示之所以能发现这个密码,是因为他所在地区的 WeWork 员工在办公之后没有及时登出而发现的。 像 Elsley 这样的客户会被分配到一个七位数的用户名称和四位数的密码,用于在 WeWrok 办公场所打印密码。但是,WeWork 的员工所使用的用户名称是“9999”四位数,然后 Elsley 猜测使用了和用户名称相同的密码,随后他们成功以 9999 作为账号和密码登录。 WeWork 社区经理使用“9999”账号来监管每个地区的每日打印情况,不过想要访问这些打印的文档,需要使用客户账号。Elsley 说,“9999”帐户看不到文件名以外的文档内容,但是登录到 WeWork 打印管理终端,允许将这个打印任务分配给该网络内的其他 WeWork 打印机。 WeWork 发言人 Colin Hart 说:“WeWork 致力于保护我们的成员和员工的隐私和安全。我们立即对这一潜在问题进行了调查,并采取了措施解决任何问题。我们还将将所有打印功能升级为一流的安全性和体验解决方案,历时数月,即将结束。我们预计该过程将在未来几周内完成。”     (消息及封面来源:cnBeta)