分类: 安全快讯

苹果 iPhone 现在可作为 Google 的物理安全密钥

谷歌更新了iOS上的Google Smart Lock应用程序。用户现在可以使用iPhone作为物理2FA安全密钥登录Chrome中的Google第一方服务。设置完成后,尝试在笔记本电脑等设备上登录Google服务,就会在附近的iPhone上生成推送通知。然后,您需要解锁支持蓝牙的iPhone,并点击谷歌应用程序中的一个按钮进行身份验证,然后才能在笔记本电脑当中登录Google第一方服务。 双因素身份验证是保护在线帐户最重要步骤之一,它提供了标准用户名和密码之外的附加安全层。物理安全密钥比当今普遍使用的六位数代码安全得多,因为这些代码几乎可以像密码本身一样被截获。谷歌之前已经允许用户使用自己的Android手机作为一个物理安全密钥,现在谷歌在iOS上提供了这个功能,这意味着拥有智能手机的任何人现在都拥有安全密钥,而无需购买专用设备。 谷歌Smart Lock应用程序通过蓝牙工作,而不是通过互联网连接。这意味着用户手机必须靠近笔记本电脑才能进行身份验证,从而提供了另一层安全保护。但是,该应用程序本身并不需要任何生物特征认证,如果用户的手机已被解锁,理论上来说,附近的攻击者可以打开该应用程序并验证登录尝试。 据Google的一位加密货币专家说,新功能利用了iPhone处理器的Secure Enclave功能,该安全区用于安全存储设备的私钥。该功能最初是在iPhone 5S上引入的,Google表示,这项安全功能需要iOS 10或更高版本才能运行。Smart Lock应用程序的新功能意味着iPhone现在可以与谷歌的高级保护程序一起使用,该程序是谷歌对网络钓鱼或其他攻击的最强保护。   (稿源:cnBeta,封面源自网络。)  

Facebook 漏洞或泄露主页管理员信息

Facebook于上周解决了一个安全漏洞,该漏洞暴露了主页管理员的帐户,并且被黑客利用于向若干个名人的主页发动在野攻击。 主页管理员的帐户是匿名的,除非页面所有者选择公开,但漏洞将会泄露管理员的帐户。 Facebook的“查看编辑历史”允许主页管理员查看所有相关的活动,包括修改过帖子的用户的用户名。黑客可能根据这个漏洞泄露修改者以及管理员的账号,并严重影响隐私。 在安全研究员警告后,Facebook迅速解决了该问题。 黑客攻击的页面列表包括 Donald Trump总统,街头艺术家Banksy,俄罗斯总统Vladimir Putin,前美国国务卿Hillary Clinton,加拿大总理Justin Trudeau,黑客组织匿名人士,气候活动家Greta Thunberg,以及说唱歌手Snoop Dogg等。 2018年2月,安全研究员Mohamed Baset 在Facebook上发现了一个类似漏洞。 Baset解释说,该漏洞属于“逻辑错误”:他之前曾在一个界面点赞了一篇帖子,之后他收到来自Facebook的邀请邮件,邀请链接就指向了这篇帖子所在的页面。研究人员分析了社交网络发送的电子邮件的源代码,发现其中包括页面管理员的姓名和其他信息。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客谎称微软遭受伊朗网络攻击进行邮件钓鱼

黑客正试图利用伊朗最近可能发动网络攻击的警告,来搜集Microsoft登录凭据进行网络欺诈。由于美国和伊朗之间关系日渐紧张,美国政府就伊朗可能会对重要基础设施发起网络攻击发出警告。在这样的局势下,一名攻击者谎称自己源于“Microsoft MSA”并发送了主题为“电子邮件用户受到伊朗网络攻击”的邮件,谎称微软服务器受到了来自伊朗的网络攻击来进行网络欺诈。 仿冒邮件还写到:为了应对这一攻击,微软会将邮件和数据锁定在服务器上以此保护用户免受伤害,若想要再次获得锁定用户的数据访问权,用户需要重新登录。 关于进行网络欺诈的电子邮件 据收到该钓鱼邮件的用户Michael Gillett说:他发现该邮件能够绕过Outlook的垃圾邮件过滤器,到达收件人的邮箱中。 以下是邮件内容 Cyber Attack 我们的服务器今天遭到伊朗政府的网络攻击,为了确保您的网络安全,我们不得不采取额外措施来保护您的帐户和个人数据。 一些电子邮件和文件可能会被锁定,为了您的账户安全,您需要再次登录账户。如果您在接收电子邮件时仍有问题,请耐心等待,我们的技术支持团队正在加紧处理,会尽快恢复数据。 Restore Data 如果收件人点击“还原数据”按钮,则会返回到仿冒的Microsoft登录页面,但从URL可以看到,这并不是一个合法的Microsoft站点。 伪造的Microsoft登录页面 如果用户输入登录凭证,用户信息将会被攻击者盗取被进行其他方面的网络攻击,而这些攻击可能包括:有针对性的网络欺诈、凭证填充攻击,数据盗窃。 因此,在这里提醒用户:当收到奇怪电子邮件,要求登录账户执行某项操作时,需要保持警惕,有问题可以联系网络或邮件账户管理员。此外,用户还要注意检查包含Microsoft登录表单在内的任何登录页面的URL,而合法的登录表单会在Microsoft.com、live.com和outlook.com域上进行公布。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

VPN 警告:REvil 勒索软件盯上未打补丁的 Pulse Secure VPN 服务器

使用REvil(Sodinokibi)勒索软件勒索大型组织的网络罪犯瞄准未打补丁的Pulse Secure VPN服务器,并禁用防病毒软件。 安全研究人员正在敦促使用Pulse Secure VPN的组织立即进行修补,否则将面临犯罪分子的“大规模”勒索软件攻击,这些犯罪分子可以轻松地使用Shodan.io IoT搜索引擎来识别易受攻击的VPN服务器。 上个月,在纳斯达克上市的美国数据中心提供商CyrusOne遭到REvil(Sodinokibi)勒索软件攻击,而去年夏天,美国的几个网络服务商、德克萨斯州的20多个地方政府机构以及400多个牙医诊所也相继遭到了网络攻击。 由于犯罪分子利用该勒索软件来加密关键业务系统,并要求巨额赎金解密,英国安全研究员凯文·博蒙特将REvil归为“big game”类别,该勒索软件病毒株于去年4月被发现,主要是使用Oracle WebLogic中的漏洞来感染系统。 去年10月,美国CISA、美国国家安全局联合英国国家网络安全中心发布的警告称:REvil瞄准的Pulse secure VPN服务器还未打补丁。此前有证据显示,政府支持的黑客正在利用Pulse Secure 以及Fortinet VPN产品中的漏洞,由于该漏洞已被网络犯罪分子广泛使用,因而波及范围也越来越广。 凯文·博蒙特指出:由于该服务器允许远程攻击者在没有有效凭据的情况下连接公司网络,同时禁用多种形式的身份验证,在这样的情况下以纯文本的形式远程查看包括活动目录和账户密码在内的日志和缓存密码,导致Pulse Secure VPN 漏洞情况越来越糟糕。上周发生的两起漏洞事件都采用了类似的手段:通过访问网络来获取域管理控制,然后使用开源VNC远程访问软件来访问移动网络。 在这样的流程后,所有安全端口都会被禁用,REvil(Sodinokibi)勒索软件会通过PsExec渗透到Windows远程管理系统中。网络安全公司Bad Packets 1月4日扫描数据显示:仍有3825台Pulse secure VPN服务器漏洞还未被修补,其中去年10月警报中所提到的CVE-2019-11510漏洞就包含其中,而1300多个易受攻击的漏洞VPN服务器均位于美国。   消息来源:zdnet, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Mozilla 宣布将在全球范围内遵守美国加州隐私规定

据外媒报道,Mozilla日前宣布,它计划在新的一年里在全球范围内遵守新的《加州消费者隐私法(CCPA)》,而不只是针对美国西部各州的用户。《CCPA》是一项给加州人更多隐私保护的新法律,类似于欧盟推行的《GDPR》。据悉,CCPA将于当地时间1月1日正式实行。 有了《CCPA》,加州的总检察长将可以加强隐私保护、那些在加州的人也可以起诉那些没有按照该法处理数据的公司。根据《CCPA》,加州用户可以询问公司收集了哪些个人信息、获得访问权限、更新和更正信息、删除信息、了解其跟谁共享这些信息并选择不向第三方出售这些信息等。 Mozilla在声明中指出,它已经收集的用户数据非常少,然而,在即将到来的更新中,Mozilla计划让用户能从Mozilla的服务器上删除他们的遥测数据。在Firefox中,遥测只能提供Mozilla一般信息,比如打开了多少个标签页、打开了多长时间,但其无法知道用户在浏览的具体网站也不会在用户处于私密浏览模式时收集任何数据。 等到1月7日的浏览器更新中,用户将能找到一个可以删除其遥测数据的控件。   (稿源:cnBeta,封面源自网络。)

微软成功清理与朝鲜黑客攻击有关的 50 个域名

外媒报道称,微软刚刚清理了由朝鲜网络黑客组织 APT37 运营的 50 个域名。软件巨头称,这些域名一直被 Thallium(亦称作 PT37)组织用于发动网络攻击。通过持续数月的关注、监视和追踪,该公司数字犯罪部门(DCU)和威胁情报中心(MSTIC)团队得以厘清 Thallium 的基础架构。 12 月 18 日,总部位于雷德蒙德的微软,在弗吉尼亚法院向 Thallium 发起了诉讼。圣诞节过后不久,美当局即批准了法院命令,允许该公司接管被朝鲜黑客用于攻击目的的 50 多个域名。 此前,这些域名常被用于发送网络钓鱼电子邮件和网站页面。黑客会诱使受害者登陆特制的站点,窃取凭证,从而获得对内部网络的访问权限,并执行后续针对内网的升级攻击。 微软表示,除了追踪该组织的网络攻击,该公司还调查了被感染的主机。微软企业客户副总裁 Tom Burt 表示: “攻击主要集中在美、日、韩三国的目标,受害者包括了政府雇员、智囊团、高校工作人员、平权组织成员、以及普通人”。 在诸多案例中,黑客的最终目标是感染受害机器,并引入 KimJongRAT 和 BabyShark 两个远程访问木马(RAT)。 Tom Burt 补充道:“一旦将恶意软件安装在受害者计算机删,它就会从中窃取信息,保持潜伏并等待进一步的指示”。 当然,这并不是微软首次通过法院命令来阻断有外国背景的黑客组织的运作。 此前,微软曾对有俄方背景的 Strontium(又名 APT28 或 Fancy Bear)黑客组织发起过 12 次行动(上一次是 2018 年 8 月)、并成功撤下了 84 个域名。 以及通过法院命令接管了与伊朗有关的网络间谍组织 Phosphorus(APT35)运营的 99 个域名。   (稿源:cnBeta,封面源自网络。)

继美国之后 韩国也对 TikTok 展开安全调查

据外媒报道,在美国政府封杀并被标记为网络安全威胁之后,TikTok(抖音国际版)现在韩国也面临着类似的问题,出于安全考虑,韩国地方当局宣布调查这款应用。日前, 韩国通信委员会(KCC)宣布对TikTok展开调查,此前自由韩国党众议员Song Hee-kyeoung曾在10月发布警告称,这家中国公司可能对个人信息处理不当。 Song指出,TikTok收集的某些用户信息可能会跟中国政府共享。 根据KoreaTimes的一份报告,TikTok在韩国拥有400万用户,不过目前韩国当局并没有对该应用或其母公司字节跳动(ByteDance)实施制裁。 字节跳动曾在最近的一份声明中表示,该应用必须在多国需要处理的法律问题并不意味着他们会把TikTok卖掉。 有知情人士在本月早些时候表示,字节跳动正在考虑出售TikTok的可能性,原因是越来越多的政府表达了对该应用存在的安全问题的担忧。 字节跳动尚未就韩国发起的调查发表声明。   (稿源:cnBeta,封面源自网络。)

马斯特里赫特大学遭勒索攻击:几乎所有 Windows 系统都瘫痪

马斯特里赫特大学(Maastricht University)成为了勒索软件的最新受害者,黑客于圣诞节前夕(12月23日)入侵并破坏了该大学的Windows系统。这家位于荷兰的大学在12月24日发布的公告中表示,几乎所有Windows系统都感染了勒索软件,电子邮件系统影响尤为严重。 在12月27日发布的后续更新中,该大学工作人员日夜不停地进行恢复工作。并解释称团队已经付出最大努力,希望最大程度地减少对教育、科研人员以及学生的影响。在公告中并未提及黑客部署的勒索软件类型,也不确定黑客是否已经获得了数据访问权限,并且在被勒索软件感染之前提取了相关信息。 在最初的公告中写道:“马斯特里赫特大学(UM)正在研究解决方案。UM正在调查网络攻击者是否有权访问此数据。目前尚不清楚UM需要多少时间来找到解决方案,但是,要使这些系统再次完全投入运行,肯定会需要一段时间。” 马斯特里赫特大学解释说,它已经向执法部门提交了一份报告,目前正在与专家合作进行进一步调查,并在袭击发生后进行康复。“自发现攻击以来,UM的IT人员以及该领域的外部专家一直在全力以赴。当前阶段主要是进行相关调查和维护工作。而且团队正在开发解决方案,确保大学未来能够收到更全面的保护,免受此类攻击。” 团队表示:“为了尽可能安全地工作,UM暂时将所有系统脱机处理。一切目的都是为了让学生和员工尽快(可能分阶段)访问系统。考虑到攻击的规模和程度,尚无法指出何时可以准确地做到。目前也无法确认哪些系统受到影响那些没有,这需要进一步的调查。”   (稿源:cnBeta,封面源自网络。)

SQLite 漏洞 Magellan 2.0 允许黑客在Chrome浏览器上远程运行恶意程序

近日腾讯刀锋(Tencent Blade)安全团队发现了一组名为“Magellan 2.0”的SQLite漏洞,允许黑客在Chrome浏览器上远程运行各种恶意程序。这组漏洞共有5个,编号分别为CVE-2019-13734、CVE-2019-13750、CVE-2019-13751、CVE-2019- 13752和CVE-2019-13753,所有使用SQLite数据库的应用均会受到Magellan 2.0攻击影响。 Magellan 2.0(麦哲伦)是一组存在于SQLite的漏洞。它由Tencent Blade Team发现,并验证可利用在基于Chromium内核的浏览器的Render进程中实现远程代码执行。作为知名开源数据库SQLite已经被应用于所有主流操作系统和软件中,因此该漏洞影响十分广泛。经测试,Chrome浏览器也受此漏洞影响,目前Google与SQLite官方已确认并修复了此漏洞。 根据腾讯刀锋安全团队官方博文,除了所有基于Chromium的浏览器和Google Home智能音箱设备受到影响之外,苹果旗下iPhone, iPad, MacBook,, Apple Watch, Apple TV等多款热门产品也受到影响。 SQLite漏洞是Tencent Blade Team在安全研究中,通过人工代码审计与自动化测试发现的。这一组漏洞被团队命名为“Magellan(麦哲伦)”。根据SQLite的官方提交记录,麦哲伦漏洞中危害严重的漏洞可能已经存在8年之久。利用麦哲伦漏洞,攻击者可以在用户电脑上远程运行恶意代码,导致程序内存泄露或程序崩溃。 目前,Tencent Blade Team已联合Google、Apple、Facebook、Microsoft及SQLite官方安全团推动漏洞修复进展。与此同时,Tencent Blade Team也提醒用户及时关注系统与软件更新通知,需将SQLite升级到目前最新的3.26.0 版本。 上周发布的谷歌Chrome 71,也已经修补该漏洞。Vivaldi和Brave等基于Chromium的浏览器,都采用最新版本的Chromium。但Opera仍在运行较老版本的Chromium,因此仍会受到影响。 另外,虽然并不支持Web SQL,但Firefox也会受到这个漏洞的影响,原因在于他们使用了可以在本地访问的SQLite数据库,因此本地攻击者也可以使用这个漏洞执行代码。腾讯Blade安全团队建议,使用Chromium系产品的团队,请尽快更新至官方稳定版本71.0.3578.80,如果使用产品中涉及SQLite,请更新到3.26.0. 另外,如暂时没有条件采用官方提供的修补方案,也有一些应急建议方案: 关闭SQLite中的fts3功能; 禁用WebSQL:编译时不编译third-party的sqlite组件。由于WebSQL没有任何规范,目前仅有Chrome、Safari支持。 最后,验证方法:重新编译后的内核应无法在控制台调用openDatabase函数。   (稿源:cnBeta,封面源自网络。)

数十个含恶意软件的《星战9》种子资源正出现在多个网站中

每当备受期待的节目或电影上映甚至临近上映时,盗版内容就会开始泛滥。成千上万的人开始寻找免费在线观看最新内容的方法,而一些不良行为者总是很快就可以利用这一趋势。例如去年,恶意软件伪装成《权力的游戏》等剧集,该剧的种子资源病毒泛滥,占比高达17%。 由于剧集非常受欢迎,骗子借此机会将病毒和其他危险软件与伪造甚至真实的视频文件一起传播。 现在,似乎骗子再次利用了这些策略。在迪士尼发行《星球大战:天行者崛起》电影之后,似乎很多互联网用户已经成为“以星球大战为主题的恶意软件攻击的受害者”。据报道,卡巴斯基实验室在2019年发现了285103次这类攻击。 就其本身而言,这是一个惊人的数字,但据报道,最近,该公司在“ 30多个”网站和社交媒体帐户中发现了65个恶意软件“活动”。所有这些活动旨在针对希望免费下载最新《星球大战》电影的个人。对于更精通技术的用户而言,这些“活动”中的大多数显然都是可疑的,并且很容易避免。 但是,对于那些缺乏网络经验的人来说,很容易就可以从表面上获得这些太过真实的提议,这些人似乎经常成为此类陷阱的受害者。 在接下来的几周内,虚假的《星球大战》下载“活动”的数量可能只会增加,因此卡巴斯基建议用户保持警惕,并最好前往影院观看电影。另外,也可以等待其登陆官方流媒体或下载平台,例如Amazon,Disney +或其他平台。   (稿源:cnBeta,封面源自网络。)