标签: 安全漏洞

小米米家摄像头被爆安全漏洞:谷歌已紧急禁止集成功能

近期,不时有报道称“智能”安全摄像头出现了一些愚蠢的安全问题,而绑定谷歌账号的小米米家安全摄像头发现的严重漏洞更令人担忧。援引外媒Android Police报道,由于小米米家摄像头存在的风险隐患,目前谷歌官方已经宣布在Google Home、Google Assistant设备上禁止绑定小米的集成功能。 谷歌阻止小米访问Assistant: https://www.bilibili.com/video/av81851575?zw 据悉,这个问题最初是由Reddit社区用户/r/Dio-V发现并分享的,他表示他自家的小米米家1080P Smart IP安全摄像头,会通过小米的Mi Home应用/服务连接绑定谷歌账号从而使用Google /Nest设备。Dio-V表示Nest Hub和米家摄像头都是从AliExpress新购买的,摄像头正在运行固件版本3.5.1_00.66。 在尝试访问小米米家摄像头的监控视频时候, 他并没有看到摄像头拍摄的监控视频流,而是显示来自家中其他房间的静态图片。在上传到Reddit社区的8张静态照片中,包括熟睡婴儿、封闭的门廊以及男子在椅子上睡觉的画面。 Dio-V表示反馈回到Google Nest Hub展示的随机静止图像中,还包括Xiaomi/Mijia品牌的日期和时间戳的,而且所显示的时区和他当前所处的时区也不同。从技术上讲,这可能是一场精心策划的恶作剧,但Dio-V提供的证据却相当可信。另外,这些图片也有可能是测试图像,Dio-V无意中访问了调试模式。当然也存在其他可能的解释。 随后谷歌非常重视这个问题,表示:“我们已经意识到了这个问题,并正在与小米联系以进行修复。同时,我们正在禁用设备上的小米集成。”随后外媒Android Police进行了实测,确实发现在Google Home等设备上已经禁用了米家所有产品的集成。     (稿源:cnBeta,封面源自网络。)

SQLite 漏洞 Magellan 2.0 允许黑客在Chrome浏览器上远程运行恶意程序

近日腾讯刀锋(Tencent Blade)安全团队发现了一组名为“Magellan 2.0”的SQLite漏洞,允许黑客在Chrome浏览器上远程运行各种恶意程序。这组漏洞共有5个,编号分别为CVE-2019-13734、CVE-2019-13750、CVE-2019-13751、CVE-2019- 13752和CVE-2019-13753,所有使用SQLite数据库的应用均会受到Magellan 2.0攻击影响。 Magellan 2.0(麦哲伦)是一组存在于SQLite的漏洞。它由Tencent Blade Team发现,并验证可利用在基于Chromium内核的浏览器的Render进程中实现远程代码执行。作为知名开源数据库SQLite已经被应用于所有主流操作系统和软件中,因此该漏洞影响十分广泛。经测试,Chrome浏览器也受此漏洞影响,目前Google与SQLite官方已确认并修复了此漏洞。 根据腾讯刀锋安全团队官方博文,除了所有基于Chromium的浏览器和Google Home智能音箱设备受到影响之外,苹果旗下iPhone, iPad, MacBook,, Apple Watch, Apple TV等多款热门产品也受到影响。 SQLite漏洞是Tencent Blade Team在安全研究中,通过人工代码审计与自动化测试发现的。这一组漏洞被团队命名为“Magellan(麦哲伦)”。根据SQLite的官方提交记录,麦哲伦漏洞中危害严重的漏洞可能已经存在8年之久。利用麦哲伦漏洞,攻击者可以在用户电脑上远程运行恶意代码,导致程序内存泄露或程序崩溃。 目前,Tencent Blade Team已联合Google、Apple、Facebook、Microsoft及SQLite官方安全团推动漏洞修复进展。与此同时,Tencent Blade Team也提醒用户及时关注系统与软件更新通知,需将SQLite升级到目前最新的3.26.0 版本。 上周发布的谷歌Chrome 71,也已经修补该漏洞。Vivaldi和Brave等基于Chromium的浏览器,都采用最新版本的Chromium。但Opera仍在运行较老版本的Chromium,因此仍会受到影响。 另外,虽然并不支持Web SQL,但Firefox也会受到这个漏洞的影响,原因在于他们使用了可以在本地访问的SQLite数据库,因此本地攻击者也可以使用这个漏洞执行代码。腾讯Blade安全团队建议,使用Chromium系产品的团队,请尽快更新至官方稳定版本71.0.3578.80,如果使用产品中涉及SQLite,请更新到3.26.0. 另外,如暂时没有条件采用官方提供的修补方案,也有一些应急建议方案: 关闭SQLite中的fts3功能; 禁用WebSQL:编译时不编译third-party的sqlite组件。由于WebSQL没有任何规范,目前仅有Chrome、Safari支持。 最后,验证方法:重新编译后的内核应无法在控制台调用openDatabase函数。   (稿源:cnBeta,封面源自网络。)

Android 端 Twitter 应用曝出安全漏洞:信息恐已泄漏 推荐尽快更改密码

今天早些时候,推特(Twitter)面向所有Android端推特用户发送了一封电子邮件,在确认公司已经修复Android端APP存在的严重漏洞之外,有黑客可能通过该漏洞获取了部分用户账户信息。在公司发布的详细博文中,推特表示公司目前并没有发现任何直接证据表明这些数据已经被使用,在暗网或者其他渠道上也没有披露/出售的信息。 但是作为预防措施,推特已经通过电子邮件和移动APP的方式通知用户尽快更改密码,从而确保自己的账户安全。此外该公司还向用户发布了相关说明和APP更新。 在电子邮件中写道: 我们最近修复了存在于Android端Twitter应用中的一个漏洞,该漏洞能够让不良行为者看到非公开帐户信息或控制您的帐户(即发送推文或直接消息)。在修复之前,通过将恶意代码插入Twitter应用程序受限制的存储区域等复杂过程,不良行为者可能已经可以访问来自Twitter应用程序的信息(例如,直接消息,受保护的推文,位置信息)。 我们没有证据表明恶意代码已插入到应用程序中或已利用此漏洞,但是目前我们无法百分百确认,因此我们需要格外的小心。   (稿源:cnBeta,封面源自网络。)

安全研究人员警告 .Gov 域名的注册审核不严 或导致信任危机

本月初,KerbsOnSecurity 收到了一位研究人员的电子邮件,声称其通过简单的手段,就轻松拿到了 .GOV 域名。若这一漏洞被利用,或导致 .Gov 域名出现信任危机。其表示,自己通过填写线上表格,从美国一个只有 .us 域名的小镇主页上抓取了部分抬头信息,并在申请材料中冒名为当地官员,就成功地骗取了审核者的信任。 这位要求匿名的消息人士称:其使用了虚假的 Google 语音号码和虚假的 Gmail 地址,但这一切只是出于思想实验的目的,资料中唯一真实的,就是政府官员的名字。 据悉,这封邮件是从 exeterri.gov 域名发送来的。该域名于 11 月 14 日注册,网站内容与其模仿的 .us 站点相同(罗德岛州埃克塞特的 Town.exeter.ri.us 网站,现已失效)。 消息人士补充道:其必须填写正式的授权表单,但基本上只需列出管理员、技术人员和计费人员等信息。 此外,它需要打印在“官方信笺”上,但你只需搜索一份市政府的公文模板,即可轻松为伪造。 然后通过传真或邮件发送,审核通过后,即可注册机构发来的创建链接。 从技术上讲,这位消息人士已涉嫌邮件欺诈。若其使用了美国境内的服务,还可能遭到相应的指控。但是对于藏在暗处的网络犯罪分子来说,这个漏洞显然求之不得。 为了堵上流程漏洞,爆料人希望能够引入更加严格的 ID 认证。尽管他所做的实验并不合法,但事实表明确实很容易得逞。 今天早些时候,KrebsOnSecurity 与真正的埃克塞特官员取得了联系。某不愿透露姓名的工作人员称,GSA 曾在 11 月 24 日向市长办公室打过电话。 然而这通电话是在其向联邦机构提出询问的四天之后,距离仿冒域名通过审批更是已过去 10 天左右。 尽管没有直接回应,但该机构还是写到:“GSA 正在与当局合作,且已实施其它预防欺诈的控制措施”。至于具体有哪些附加错误,其并未详细说明。 不过 KrebsOnSecurity 确实得到了国土安全部下属网络安全与基础设施安全局的实质性回应,称其正在努力为 .gov 域名提供保护。     (稿源 cnBeta ,封面源自网络。)

Kryptowire 在预装 Android 应用中发现了 146 个安全风险

在美国国土安全部资助的一项研究中,Kryptowire 在廉价的 Android 智能机上,发现了由预装应用造成的严重安全风险。这些 App 存在潜在的恶意活动,可能秘密录制音频、未经用户许可就变更设置、甚至授予自身新的权限 —— 这显然与 Android 设备制造商和运营商的固件脱不了干系。 类型占比(图自:Kyrptowire,via Cnet) 在新工具的帮助下,Kryptowire 得以在不需要接触手机本体的情况下,扫描固件中存在的漏洞。最终在 29 家制造商的 Android 设备上,查找到了 146 个安全隐患。 在被问及为何特别针对廉价 Android 设备展开软件安全调查时,Kryptowire 首席执行官 Angelos Stavrou 在一封邮件中解释称:这与谷歌对产品的管理态度,有着直接的关系。 Google 可能要求对进入其 Android 生态系统的软件产品进行更彻底的代码分析,并担负起供应商应有的责任。 当前政策制定者应要求该公司将最终用户的信息安全负起责任,而不是放任其置于危险之中。 对此,谷歌亦在一封邮件中称:其感谢合作并以负责任的态度来解决和披露此类问题的研究工作。 (厂商列表) 正如 Kryptowire 研究中发现的那样,预装应用通常为小型、无牌的第三方软件,其被嵌入到了较大的品牌制造商的预装功能中。 然而这类应用很容易构成重要的安全威胁,因为与其它类型的 App 相比,预装应用的权限要大得多、且很难被应用删除。 在 2017 年于拉斯维加斯举办的黑帽网络安全大会上,Kryptowire 披露了上海 Adups Technology 生产的廉价手机中的类似安全威胁。 该手机的预装软件被发现会将用户的设备数据发送到该公司在上海的服务器,而不会提醒这些用户,后续其声称该问题已得到解决。 2018 年的时候,Kryptowire 发布了面向 25 款 Android 入门机型预装固件缺陷的研究,同年谷歌推出了 Test Suite,以部分解决这方面的问题。 (部分漏洞详情) 尽管 Kryptowire 曝光的事情每年都难以避免,不过 Stavrou 认为,谷歌的整体安全策略,还是有所改善的。 他表示:“保护软件供应链是一个非常复杂的问题,谷歌和安全研究界一直在努力解决该问题”。 在今年黑帽安全会议(Black Hat 2019)的演示期间,谷歌安全研究员 Maddie Stone 表示: “Android 设备的常见预装 App 有 100~400 款,从恶意行为者的角度来看,他只需说服一家企业来打包恶意 App,而无需说服成千上万的用户”。     (稿源:cnbeta,封面源自网络。)

新的 PHP 漏洞可能使黑客入侵在 Nginx 服务器上运行的网站

如果您正在 NGINX 服务器上运行任何基于 PHP 的网站,并且启用了 PHP-FPM 功能,请当心最近新公开的一个漏洞,黑客有可能利用这个漏洞远程入侵您的网站服务器。 PHP-FPM 是一个PHPFastCGI管理器,可为用 PHP 编程语言编写的脚本提供高级且高效的处理。 主要漏洞是 PHP-FPM 模块中的“ env_path_info”下溢内存损坏问题,攻击者可能借助这个漏洞在易受攻击的 Web 服务器上远程执行任意代码。 尽管公开发布的PoC漏洞专门针对运行PHP 7+版本的易受攻击的服务器,但PHP-FPM下溢错误也影响到了早期的PHP版本,并且可以采用其他方式进行武器化。 简而言之,如果存在以下情况,则网站容易受到攻击: NGINX经过配置,会将PHP页面请求转发到PHP-FPM处理器, fastcgi_split_path_info指令存在于配置中,并且是以’^’符号开头和以’$’符号结尾的正则表达式, PATH_INFO变量是使用fastcgi_param指令定义的, 没有诸如try_files $ uri = 404或if(-f $ uri)之类的检查来确定文件是否存在。 受影响的提供商之一就是Nextcloud,该公司昨天发布通知,警告其用户“Nextcloud NGINX的默认配置也会受到此漏洞影响”,并建议管理员立即采取行动。 在专家们向PHP开发人员小组报告该漏洞近一个月后,该漏洞补丁已于10月25号发布。 即使当前的配置不会受到攻击,用户也最好将PHP更新到最新的PHP 7.3.11和PHP 7.2.24。   消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Windows 10 Mobile 还有 2 月退休 但微软拒绝修复新发现的漏洞

微软承认Windows 10 Mobile上存在一个安全漏洞,该漏洞能允许默认人绕过你的锁屏屏幕来访问你的相册。不过好消息是,该漏洞只有在锁屏界面启用Cortana才会存在,不过坏消息就是微软表示不会修复该安全漏洞。 目前已经有工程师成功利用该漏洞访问用户手机相册,并在不需要进行系统身份认证的情况下修改和删除照片。该工程师表示:“这个漏洞可以绕过Windows 10 Mobile系统中的安全功能,在锁屏状态下通过Cortana访问文件和文件夹。”而想要利用该漏洞,攻击者需要物理接触到手机并且需要在锁屏界面上启用Cortana。 所有Windows 10 Mobile均存在该安全漏洞,不过微软表示目前并没有证据表明有黑客利用该漏洞来窃取数据。如果你目前依然在使用Cortana,那么唯一的解决方案就是禁用锁屏界面的Cortana。 Microsoft提供了以下步骤来保护您的手机: 1.从应用程序屏幕打开Cortana应用程序。 2.点击Cortana应用程序左上方的“菜单”按钮(3个水平条)。 3.点击设置选项。 4.将“锁定屏幕”选项的滑块设置为“关”,以防止在锁定设备时访问Cortana。 Windows 10 Mobile v1709还将于11月和12月获得2个最后的补丁,因此尚不清楚微软为何在支持周期内不修复该漏洞。虽然微软提供的临时解决方案已经足够保护Windows 10 Mobile用户,但是这项决定依然让很多人感到意外。   (稿源:cnBeta,封面源自网络。)

三星:20 多处安全漏洞影响所有 Galaxy 旗舰机型

据国外媒体报道,三星日前证实,发现多处安全漏洞影响Galaxy S8、S9、S10、S10e、S10Plus、S105G、Note9、Note10和Note10Plus等型号手机。 这其中,包括一个非常严重的漏洞(critical vulnerability),以及三个被评为“高危”(high)的漏洞。整体而言,它们涉及到约21个安全问题,其中17个与三星“One”用户界面有关,4个与Android有关。 关于Android的漏洞,谷歌上周已经公布,攻击者正利用谷歌Android移动操作系统中的“零日漏洞”进行攻击,该漏洞可以让他们完全控制至少18种不同型号的手机,包括四个型号的Pixel手机,以及三星Galaxy S7、S8和S9。 至于三星的Galaxy特定安全警告,三星最新的安全维护版本(SMR)现已开始向所有Galaxy设备用户推出。10月份的SMR包括来自谷歌的安全补丁,这些补丁会影响Galaxy10用户以及使用三星早期设备的用户。 此外,还有许多漏洞影响Galaxy8和Galaxy9设备用户。这其中,有一个Galaxy9漏洞被评级为“非常严重”,对Galaxy S9和Note9都有影响。目前,Galaxy9销量约为3000万部,而Galaxy Note9销量约为1000万部,意味着大约有4000万用户受该漏洞影响。   (稿源:,稿件以及封面源自网络。)

PDF 加密方式中发现两个主要的安全漏洞

来自波鸿鲁尔大学和明斯特大学的研究人员在 PDF 加密方式中发现了两个主要的安全漏洞。 PDF 文档常被使用加密方案,确保只有目标收件人才能看到私人文档,除此之外,医生、律师甚至公司也已开始使用该方法保护隐私。但是现在看来,此类文档的加密方案具有两个主要漏洞,研究人员将它们称为单个 PDFex 漏洞的两个变体。 研究人员称之为“直接渗透”的第一个变种利用了 PDF 加密规范,也就是执行加密的软件不会对 PDF 文件的每个部分进行加密,这使得文件的一部分可以被黑客查看到。攻击者通过注入代码,可以在合法用户打开文档时,运行该文件的未加密的部分文件。打开文件后,添加的代码可以将文件的内容发送到攻击者指定的站点。 第二个变体没有名称,攻击者使用密码块链接小工具将 PDF 文档中存在的纯文本更改为代码,就像第一个变体一样,当合法用户打开文件时,嵌入式代码将执行,将文档发送到攻击者指定的站点。 为了使两种攻击都起作用,攻击者必须首先获得对 PDF 文件的访问权限,然后再发送该文件。这意味着攻击者必须用一种病毒来感染初始用户的计算机,该病毒会启动侵入 PDF 文件的代码。 详情查看原博客: https://web-in-security.blogspot.com/2019/09/pdfex-major-security-flaws-in-pdf.html     (稿源:开源中国,封面源自网络。)

iOS 13 现严重漏洞:添加信用卡后显示陌生人信息

据外媒报道,就在几天前刚刚发布的iOS 13尽管带来了一系列的改进其中包括广受欢迎的全系统暗黑系统,但Reddit上的一些用户还发现了一个重要的安全漏洞。据用户Thanamite和createdbyeric披露,当用户将信用卡添加到他们的账户时,这个问题就会出现。 当添加信用卡信息后,用户会发现保存到他们个人资料中的信息并不是自己的而是来自一个完全陌生的人的。信息包括姓名、账单地址以及信用卡号码的最后四位数字,这让他们面临着严重的风险。 在发现这一漏洞后,用户createdbyeric联系了苹果,苹果迅速将问题升级到更高级别并承认问题的严重性。对于用户来说,打击当然希望这意味着修复将很快就会到来,而且很可能会在明天发布的iOS 13.1中到来。 实际上,iOS 13.1的发布提前了一周,似乎是为了解决iOS 13最初发布时的漏洞报告。相信这个新问题的出现应该会给苹果更多的理由尽快推出一个解决方案。   (稿源:cnBeta,封面源自网络。)