安全快讯Top News

研究发现罗技 M185 等热门无线鼠标易受到 MouseJack 漏洞攻击

所谓全球知名的 PC 外设大厂,罗技带来了诸多深受消费者欢迎的设备,但这有时也会带来一些麻烦,比如近日曝光的 MouseJack 漏洞。安全研究人员 David Sopas 指出,鉴于罗技设备的用户基数很大,以 M185 为代表的无线鼠标,正面临着严重的安全隐患。 尽管这是一款售价仅为 25 美元(168 RMB)的非高端外设,但其品质还是相当坚固、持久、耐用的。 基于这三个卖点,M185 成为了许多人出行时的好搭档。遗憾的是,近日曝光的 MouseJack 按键注入攻击,让以罗技 M185 为代表的无线鼠标,瞬间掉入了一个难以被阻挡的漏洞陷阱中。 对于不知情的用户来说,MouseJack 是一项可被别有用心的人们轻松发起的漏洞攻击,可借助低成本的无线电设备进行,且覆盖范围可达到 100 米远。 黑客可借此控制目标计算机的鼠标,运行脚本以实现命令注入。需要指出的是,并非所有无线鼠标都受到 MouseJack 漏洞攻击的影响,比如基于蓝牙方案的无线鼠就对此免疫。 Bettercap + HID + Logitech mousejacking(via) 在 Sopas 的案例中,其演示了如何攻击自己的无线鼠标,并以 Windows 10 操作系统内置的计算器应用作为概念验证。 遗憾的是,尽管厂商可以通过发布固件更新来提升无线鼠标的安全性,但并非所有受影响的设备都可以轻松升级。 如果您不清楚自己的设备是否安全,还请翻阅这份《受影响设备清单》。传送门: https://www.bastille.net/research/vulnerabilities/mousejack/affected-devices     (稿源:cnBeta,封面源自网络。)

一家健康科技公司正在泄露大量医疗记录和处方

据外媒TechCrunch报道,一家健康科技公司在安全证书失效导致服务器没有密码后,每天泄露数千张医生药方、医疗记录和处方。这家名不见经传的软件公司来自加利福尼亚州的Meditab,自称是医院、医生办公室和药房领先的电子医疗记录软件制造商之一。该公司为医疗保健提供商处理电子传真,仍然是将患者文件共享给其他提供商和药房的主要方法。 但据发现数据的安全公司称,该传真服务器没有得到妥善保护。总部位于迪拜的网络安全公司SpiderSilk告诉TechCrunch遭泄露的服务器。自2018年3月创建以来,公开的传真服务器运行的Elasticsearch拥有超过600万条记录。 由于服务器没有密码,任何人都可以实时读取传输的传真 – 包括其内容。 根据对数据的简要回顾,传真包含大量个人身份信息和健康信息,包括医疗记录、医生药方、处方数量和数量,以及疾病信息等。传真还包括姓名、地址、出生日期,在某些情况下还包括社会安全号码和健康保险信息以及支付数据。 传真还包括有关儿童的个人数据和健康信息。没有数据被加密。   在传真服务器上找到两份泄露的文件。(图片来源:TechCrunch) 该服务器托管于MedPharm Services的子域,MedPharm Services是总部位于波多黎各的Meditab的一家分支机构,由Kalpesh Patel创立。MedPharm 作为一家独立的公司在圣胡安被分拆出来,以便为那些在岛上开展业务的人提供减税优惠。 TechCrunch通过联系几位从传真中确认其详细信息的患者来验证记录。 Patel表示,关于安全证书失效问题,该公司正在“调查问题以确定问题和解决方案”。“我们仍在审查我们的日志和记录,以查看任何潜在风险的范围,”该公司总法律顾问Angel Marrero在一封电子邮件中说。 我们询问该公司是否计划通知监管机构和客户。Marrero表示,该公司“将遵守现行联邦和州法律法规规定的任何及所有必要通知(如适用)。” Meditab和MedPharm都声称符合HIPAA,即《美国健康保险流通与责任法案》,该法案管理医疗服务提供者如何正确管理患者的数据安全。 泄露数据或违法的公司可能面临巨额罚款。 去年是“创纪录”罚款的一年 – 几次暴露和违规行为约为2500万美元,其中包括对德克萨斯大学无意中披露加密个人健康数据的430万美元罚款,费森尤斯的解决方案为350万美元。五个不同的违规行为。 美国卫生和公共服务部的发言人没有发表评论。     (稿源:新浪科技,封面源自网络。)

黑客在暗网上出售第四批数据 涉及 6 个网站 2600 万新账户

据外媒The Hacker News报道,曾三次兜售从32个热门网站上窃取的近8.9亿线上账户数据的黑客,目前正在暗网上出售第四批数据——来自其它6个网站的数千万条记录。 The Hacker News今日收到了一份来自巴基斯坦黑客“Gnosticplayers”的电邮,他声称自己已经攻击了数十个热门网站,而这些网站可能根本不知道已经遭到入侵。这名黑客上个月在暗网市场“Dream Market”上发布了三批数据,第一批是从16个网站上窃取的6.2亿账户详情,第二批是从8个网站上窃取的1.27亿条记录,第三批是从8个网站上窃取的9200万条记录。尽管在放出第三批数据时,黑客“Gnosticplayers”声称是最后一批盗取的数据库,但他还是放出了第四批从另外6个网站窃取的将近2700万新用户的数据。 第四批遭受入侵的网站如下: Youthmanual – 印度尼西亚大学和职业平台 – 112万个账户 GameSalad – 在线学习平台-150万个账户 Bukalapak – 在线购物网站 – 1300万个帐户 Lifebear – 日本在线笔记本 – 386万个帐户 EstanteVirtual – 在线书店 – 545万账户 Coubic – 预约安排软件 – 150万个账户 (图:知道创宇暗网空间搜索引擎“暗网雷达”搜索到的信息) 根据知道创宇暗网雷达搜索到该黑客售卖数据的页面显示,入侵的账户数据包括账户名、邮箱地址、IP地址、加密密码等信息。 黑客单独销售每个被攻击的数据库,总价值为1.2431比特币,大约是5000美元。目前还不清楚上述网站是否意识到数据泄露,The Hacker News已经联系这些受影响的公司并了解他们是否已经警告过用户关于这类安全事件。如果你是上述网站或服务的用户,请考虑更改这些网站上的密码以及其它网站中所使用的相同密码。       消息来源:The Hacker News,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

电商 Gearbest 被曝泄露信息:含数百万用户和订单数据

北京时间3月15日上午消息,美国科技科技媒体TechCrunch报道,一名安全研究人员发现,中国环球易购(Globalegrow)旗下自营网站Gearbest泄露了数百万用户资料和购物订单。 研究人员诺姆·罗特姆(Roam Rotem)发现,一个Elasticsearch服务器每周都会泄露数百万条记录,包括客户数据、订单和支付记录。该服务器并没有用密码保护,所有人都可以搜索到这些数据。 Gearbest排名全球前250位,为华硕、华为、英特尔和联想等品牌提供服务。 已经通过该公司的专用安全页面与之取得联系。但Gearbest尚未作出回应,也没有对数据加以保护。 罗特姆已公开了他的发现,他表示,泄露的数据中包含用户姓名、地址、电话号码、电子邮箱和订单及产品信息。该还包含支付和发票信息,附带有支付金额以及半隐藏的姓名和电子邮件地址。 在对部分数据进行评估后,TechCrunch发现该数据库可以查到用户购买商品的时间和邮寄地址。 其中一些会员订单还包含护照号等身份信息。罗特姆表示,该数据库并没有多少加密措施,有的甚至完全没有加密。 鲁特曼还在相同的IP地址上发现了另外一个网络数据库管理系统,让所有人都可以操纵和破坏Gearbest母公司环球易购的数据库。 目前还不清楚这些数据库曝光了多长时间。互联网扫描网站Binary Edge的数据显示,这些数据库是在3月7日首次被探测到的。 总部位于深圳的Gearbest在欧洲触角很广,在西班牙、波兰、捷克共和国和英国都设有仓库,那里都要遵守欧洲的隐私保护法。任何违反《通用数据保护条例》(GDPR)的企业都有可能面临最多相当于全球年营收4%的罚款。 这是Gearbest近年来遭遇的第二起安全事故。该公司2017年12月曾经证实其帐号信息泄露。   (稿源:新浪科技,封面源自网络。)

原型设备使用用户的身体来防止可穿戴设备和植入物遭黑客攻击

据外媒New Atlas报道,我们已经习惯了有人侵入我们的计算机、平板电脑和智能手机所带来的安全风险,但是心脏起搏器和其他植入式医疗设备呢?为了帮助防止可能的黑客攻击,普渡大学的工程师们提出了一种类似手表的设备,将人体变成自己的网络,以此来保护个人技术的私密性。 自从在15年前变得司空见惯以来,Wi-Fi和蓝牙等无线技术一直是一种解放的体验。这些使得在没有电缆或电线的情况下登录互联网变得正常,并且还使无线耳机,耳塞和智能家居成为可能。此外这还使得出现非常个人化的技术,如健身追踪器、智能手表、高级心脏起搏器、胰岛素泵、机器人假肢和其他医疗设备等。 根据普渡大学的研究小组的说法,这会导致一个潜在的问题。目前,所谓的体域网络使用蓝牙技术在我们的人的各种设备之间发送和接收信号。不幸的是,这些设备传输的距离最远可达10米(33英尺),这意味着任何靠近的人都可以拦截信号并进行入侵。虽然还没有人这样做,但理论上也可能进入类似高级起搏器的事情并按下ENTER键进行谋杀。 为了防止这种情况,由电气和计算机工程助理教授Shreyas Sen领导的普渡大学团队正在研究如何将人体转变为自己的封闭网络。通过使用电准静态场人体通信(EQS-HBC)和身体的导电特性,沿着皮肤与周围环境之间的界面传输低频无载波无线电信号,结果导致信号的私密空间是人体附近0.15米的范围。这不仅使其变得非常难以入侵,而且使用的能量比普通蓝牙连接少100倍。 目前,Sen和他的团队正在研究如何将原型设备的尺寸缩小到可以安装在其他设备中的集成电路的大小。当技术成熟时,它不仅可以提高安全性,还可以使医生能够实现无需外科手术即可重新编程的医疗设备,用于替代药物的闭环生物电子医疗设备,以及用于神经科学应用的高速脑成像。 “我们将越来越多的设备连接到人体网络,从智能手表和健身追踪器到头戴式虚拟现实头显,”Sen表示。“挑战不仅仅是将这种通信保持在体内,以至于没有人可以拦截它,但也获得更高的带宽和更少的电池消耗。“ 该研究发表在《科学报告》上。     (稿源:cnBeta,封面源自网络。)

CheckPoint:Android 恶意广告软件 SimBad 被下载近 1.5 亿次

安全企业 CheckPoint 最新报告称,谷歌 Play 商店中的 200 多款应用,都被恶意广告代码给感染。进一步的分析发现,这可能导致设备在应用外强行显示广告、引导用户到某些网站和应用商店链接、甚至下载新的 App 。在向谷歌提交了恶意软件报告后,官方已经将它们从商店中移除。但根据 Play 商店的统计数据,其已经累积被下载了近 1.5 亿次。 【糟糕的应用软件,在不断地涌入谷歌 Play 商店】 攻击图例(来自:CheckPoint) 据悉,通过隐藏恶意代码,发布者将这些软件伪装成了合法的广告软件。但若你以为它们只会弹广告,那就大错特错了。调查发现,这类广告软件在 Play 商店中广泛存在,涵盖了诸多不同的应用和游戏。 疑似命令与控制服务器的相关代码(来自:CheckPoint) 在被恶意代码感染的流星软件中,模拟类游戏成为了一个重灾区。其中包括重型挖掘机、农业拖拉机、山地巴士、海洋动物 / 卡车运输等稀奇古怪名字的模拟器。 【Check Point 将这类恶意广告软件命名为 SimBad】 隐藏图标代码,删除谈何容易?(图自:CheckPoint) 更可恶的是,该恶意软件还暗藏了隐藏图标的代码,从而加大了用户想要查找和清除它们的难度。作为平台方,谷歌本应肩负起应用审核的责任,但它显然没有苹果 App Store 那样严格和彻底。 在疯狂弹送广告的同时,SimBad 甚至会通过色情广告的形式,引诱用户下载更多的 App 。或者滥用系统权限,劫持设备,将之用于分布式拒绝服务(DDoS)攻击。 后台广告启动代码(图自:CheckPoint) 回想去年,谷歌声称其在检测问题 App 方面取得了“重大进展”,能够在安装前拦截并移除 99% 的有害应用。 但 SimBad 的存在事实,表明这场攻防战永无终点。要让 Android 用户安全访问 Play 商店,谷歌显然还有很多事情要去完善。     (稿源:cnBeta,封面源自网络。)

Android 安全 App 大调查:大多无法有效保护用户

在病毒肆虐的Android平台上,很多消费者可能希望下载和安装防病毒产品来提供更妥善的保护。然而在对250款Android防病毒软件进行测试之后,发现这些所谓的安全APP功能含糊,不够安全甚至完全没有防护能力。独立评测机构AV-Comparatives近期对市场上的防病毒APP进行了大规模测试,发现均无法有效正确的保护用户。 AV-Comparatives测试了2000款恶意APP,结果发现只有不到十分之一的APP能够完全检测出这些恶意程序,而超过三分之二的防病毒APP识别恶意程序数量没有达到30%。AV-Comparatives采用了和因斯布鲁克大学合作自动测试程序,并使用物理Android手机并非模拟器来确保测试结果的精准性。 AV-Comparatives创始人兼首席执行官Andreas Clementi表示:“尽管去年市场上的Android安全应用数量有所增加,但是我们的测试结果发现只有极少比例的应用程序可以提供有效的保护。去年我们也做过相同的测试,发现有三分之一的安全应用检测的恶意程序样本低于30%,而今年这个数字达到了三分之二。Google Play商城应用页面的用户评级可能表明这款安全应用程序是否易于使用,但是普通用户无法确定检测结果是否真实。我们的测试报告可让您了解哪些程序可以保护您的Android设备,而不会出现误报。” 如果您想确保您的设备受到适当保护,那么有23个应用程序可以实现100%检测,14个应用程序管理超过99%。如果你想要了解更多信息,可以访问AV-Comparatives。     (稿源:cnBeta,封面源自网络。)

加密货币挖矿类恶意软件仍是互联网的一大威胁 但已有下滑的趋势

Check Point 最新发布的全球恶意软件报告显示,加密货币挖矿类恶意软件,仍然是互联网上最为活跃的一大威胁,前十里面有五个都是它。其主要借助浏览器的 JavaScript 脚本来作妖,当网友不慎访问到恶意网站时,其 CPU 资源占用就会迅速飙升。除了被黑客攻击的站点,一些不道德的 Web 开发者还是与恶意软件开发者同流合污,从灰色的挖矿过程中分得一杯羹。 好消息是,随着加密货币价格的暴跌,这类恶意软件的驱动力也有所下滑。甚至主打“正经挖矿”功能的 Coinhive ,都在上周宣布了正式停止运营的消息。 与此同时,GandCrab 之类的勒索软件和网银木马正在崛起,并衍生出了逃避反病毒软件追踪的新手段。 需要指出的是,尽管与 PC 相比,移动设备的境况略好一些,但这并不意味着后者就能完全免疫。 因为包括 Lotoor 和 Triada 在内的三大移动恶意软件,都能够获取设备的管理权限,允许其监视用户、窃取密码、或注入广告。 其中 Triada 借助了别出心裁的手段来攻入移动设备 —— 不是直接利用漏洞,而是将合法的应用重新打包并上传,然后引诱缺乏戒备心的用户去下载。 一旦进入系统,这些糖衣里面的炮弹就会被释放,提取安全密钥并做出更多匪夷所思的事情。   (稿源:cnBeta,封面源自网络。)

云盘服务 Box 帐号配置不当 致数十家公司敏感数据泄露

新浪科技讯 北京时间3月12日上午消息,据美国科技媒体TechCrunch报道,网络安全公司Adversis发现,有数十家公司因为员工公开分享云盘服务Box企业存储帐号的文件链接,而无意间泄露了敏感的企业和客户数据。 虽然存储在Box企业帐号内的数据默认设置称私密状态,但用户可以与任何人分享文件或文件夹,因而只需要一个链接就可以公开接触这些文件。但Adversis表示,这些秘密链接还可以被其他人发现。使用脚本扫描和枚举的方式,Adversis发现有90多家公司的文件夹都可以公开访问。 Box自己的员工也未能幸免。 该公司表示,虽然多数数据都是合法公开的,而且该公司也向用户发送了建议,帮助其尽可能减少风险。但很多员工可能并不知道敏感数据被分享出去,甚至可以被其他人找到。 更糟糕的是,一些公共文件夹还可以被搜索引擎索引,导致信息更容易被发现。 Adversis表示,Box应该重新配置默认共享链接,限制为“公司内部的人员”,从而降低意外暴露敏感信息的概率。   (稿源:新浪科技,封面源自网络。)

微软 Word 中的新漏洞允许攻击者绕过所有防恶意软件防御

Mimecast研究实验室的一组研究人员发现了一个影响Microsoft Word的新漏洞,它不仅仅影响这个办公应用,同时还对整个操作系统都形成了威胁:允许黑客绕过目标系统上的反恶意软件等所有安全措施。该漏洞的目标是微软处理OLE文件格式时的整数溢出错误,一群来自叙利亚的黑客发现了这一重大问题。 利用这个漏洞能绕过许多旨在保护数据免受侵扰的安全解决方案,包括领先的沙盒和反恶意软件技术。 恶意软件代码显示它能够访问URL,创建文件和/或文件夹,运行shell命令以及执行和结束程序,它还可以通过记录击键和鼠标事件来窃取信息。 Mimecast Research Labs已经向微软通报了这个漏洞,但微软公司表示因为该问题仅在特殊状况下才能被利用,对大部分人来说并不会导致内存错误和代码执行,暂时还没有修复漏洞的计划,但这一工作可能会在以后完成。     (稿源:cnBeta,封面源自网络。)