安全快讯Top News

因隐私安全漏洞 谷歌 Play 商店下架第三方短信应用 GO SMS Pro

尽管下载数量超过了 1 亿次,谷歌还是在安全研究人员披露了 GO SMS Pro 应用的隐私安全漏洞之后,立即下架了这款热门的第三方短信应用。报告指出,GP SMS Pro 存在一个可被攻击者利用的漏洞,以访问用户的图像、视频、音频等媒体文件。不过在正式向外界曝光之前,研究人员已照例给开发商预留了数月的修补时间。 Trustwave 安全研究人员指出,v7.91 版本似乎容易受此漏洞的影响。当在 App 中显示用户之间的会话时,非用户将获得一个显示消息内容的链接。 问题在于,Go SMS Pro 会顺序生成链接。这意味着只需在 URL 上动手脚,非用户就可以轻松将其他人的消息链接也扒拉下来。结合脚本等工具,攻击者可借此手机大量的敏感数据。 甚至两名 Go SMS Pro 用户之间发送的消息,也可以通过链接的形式来呈现。糟糕的是,用户根本无法确定他们的信息是否被盗。 不过最让人感到不安的,是尽管 SpiderLabs 研究人员与 GO SMS Pro 开发者取得了联系,后者仍拖延了数月时间来修补漏洞。         (消息来源:cnBeta;封面来自网络)

RegretLocker:可加密 Windows 虚拟硬盘的新型勒索软件

网络安全研究人员上个月发现了一种名为RegretLocker的新型勒索软件,尽管该软件包没有多余的装饰,但仍可能严重破坏Windows计算机上的虚拟硬盘。 RegretLocker可以绕过加密计算机虚拟硬盘时的加密时间,还可以关闭并加密用户当前打开的任何文件。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1406/         消息来源:malwarebytes,封面来自网络,译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Facebook Messenger 漏洞让黑客可以监听电话信息

Facebook在Android Messenger应用程序中修复了一个漏洞,该漏洞可能使远程攻击者呼叫没有防备的用户,并在他们接听前监听它们的声音。 10月6日,Google零项目漏洞调查团队的Natalie Silvanovich将该漏洞发现并报告给Facebook,此漏洞影响到Android Messenger的284.0.0.16.11919版本(以及更早版本)。 简而言之,该漏洞可能会使登录应用程序的攻击者同时发起呼叫,并向同时登录应用程序和其他Messenger客户端(如web浏览器)的目标发送精心编制的消息。 Facebook的安全工程经理Dan Gurfinkel表示: “这将触发一种情况,即当设备响铃时,呼叫者会开始接收音频,直到被叫者应答或呼叫超时为止。” 根据Silvanovich的技术报告,该漏洞存在于WebRTC的会话描述协议(SDP)中,该协议定义了用于在两个端点之间交换流媒体的标准化格式,从而使攻击者可以发送一种称为“ SdpUpdate”的特殊类型的消息,该消息将导致呼叫在被应答之前连接到被叫方的设备。 通过WebRTC进行的音频和视频通话通常不会在接收者单击“接受”按钮之前传输音频,但是如果此“ SdpUpdate”消息在振铃时发送到另一终端设备,“将导致它立即开始传输音频,攻击者可以借此监视被呼叫者的周围环境。”   在某些方面,该漏洞与去年Apple的FaceTime群聊功能中报告的侵犯隐私的漏洞相似,该漏洞使用户可以通过添加自己的号码作为第三方来发起FaceTime视频通话,甚至在对方接受来电之前就可以窃听目标通话。 这个漏洞非常严重,以至于苹果在解决了该问题之前就完全中断了FaceTime群组聊天。 但与FaceTime错误不同,利用此漏洞并不是那么容易。呼叫者必须已经具有呼叫特定人员的权限,换句话说,呼叫者和被呼叫者必须是Facebook朋友才能实现。 更重要的是,攻击者必须使用诸如Frida之类的逆向工程工具来操纵自己的Messenger应用程序,以迫使其发送自定义的“SdpUpdate”消息。 Silvanovich因为报告了这个问题而获得了6万美元的奖金,这是Facebook迄今为止最高的三个bug奖金之一,这位谷歌研究员表示,她将这笔奖金捐给一个名为GiveWell的非盈利组织。 这不是Silvanovich第一次发现通讯应用程序中的严重漏洞,他之前在WhatApp、iMessage、WeChat、Signal和Reliance JioChat中也发现了一些问题,其中包括“无需用户交互,被叫方设备就会发送音频”的问题。       消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

谷歌宣布针对 Chrome 扩展程序的重大隐私政策更新

扩展程序已成为现代浏览器体验中不可或缺的一环,而 Google Chrome 也是许多用户的不二之选。发展迅猛的 Chrome 网上应用店,已经能够满足大多数用户的实际需求。与此同时,谷歌希望进一步提升隐私体验。比如在最新宣布的隐私政策中,该公司就要求开发者必须披露其收集和分享的数据。 虽然日常使用中可能很难察觉,但某些扩展显然会对用户的数据隐私和安全构成威胁,尤其是那些能够读取浏览器中所加载的所有信息、有时也包括敏感细节的恶意扩展。 庆幸的是,在最新提出的隐私要求中,谷歌将强制扩展程序开发人员附带明确的数据收集信息,以便用户在安装时就有所了解。 “从 2021 年 1 月开始,Chrome 网上应用店中的每款扩展程序的详情页,都将以清晰易懂的语言来描述和披露其收集的数据信息。” 此外谷歌还宣布了一项新的约束政策,以限制开发者对其通过加载项收集的数据进行利用,进而保护用户的相关权益: “(1)确保对用户数据的操作使用符合用户的主要利益,并且符合扩展的合理使用目的。 (2)重申坚决不允许转售用户数据,谷歌自己不会、也不允许第三方扩展程序开发者这么做。 (3)禁止利用用户数据开展有针对性的广告营销活动。 (4)禁止将用户数据用于任何形式的信贷、数据经纪、或其它形式的转让和使用目的。” 即日起,开发者已能够在 Chrome 网上应用店中更新其隐私详情,正式功能将于 2021 年 1 月正式上线。逾期未更新的扩展程序,将被挂上“开发者未提供此类信息”的显眼提示。     (消息来源:cnBeta;封面来自网络)

新加坡:穆斯林应用程序开发商出售用户数据给美国军方

据报道,Muslim Pro应用程序在全球范围内下载量超过9850万,据称已向美国军方出售了“粒度位置数据”,但这一指控被否认,目前正由新加坡个人数据保护委员会进行调查。 数据保护委员会(PDPC)确认正在对指控进行投入,并向Pros开发商Bitsmedia寻求更多信息。监管机构告诉当地媒体:“我们提醒用户要注意他们的权限和个人数据以及使用方法。如有疑问,用户不应下载或使用任何应用程序。” 成立于2009年,总部位于新加坡的Bitsmedia在马来西亚和印度尼西亚设有办事处,并已通过在200个国家的用户下载审核。 据报道,该应用程序已将位置数据出售给X-Mode,这是美国第三方数据聚合商,向其客户出售服务,其中包括美国国防承包商。美国-加拿大新闻媒体Vice Media在报告中爆料说,穆斯林Pro是向美国军方出售数据的移动应用程序之一,包括时间戳、电话型号详细信息和Wi-Fi网络的连接位置。 Bitsmedia否认了这些指控,并在星期二和星期四发表了两份声明,认为该报告“不正确且不真实”。 Bitsmedia注意到它符合诸如欧盟的GDPR(通用数据保护法规)和加利福尼亚消费者隐私法案(CCPA)之类的全球数据隐私法律和法规,称其“收集、处理和使用其用户提供的信息”开发人员在访问其应用程序以“改善我们的服务”并促进其应用程序的“研究与开发”(R&D)工作时访问开发者。 这可能包括分析数据以更好地了解用户行为,从而可以“改善其服务的整体功能”。位置数据用于祈祷时间的计算,并有助于规划和设计功能,以及改善整体用户体验。应用程序开发人员还坚持认为,它不会共享任何敏感的个人信息,例如姓名、电话号码和电子邮件。“与合作伙伴共享的任何数据都是匿名的,这意味着我们的数据不会归因于任何特定的个人。”“我们采用行业标准的安全措施和保护措施,并选择领先的技术合作伙伴,以确保我们的数据在我们的云基础架构上的安全。我们对收集、存储和处理的个人信息也保持公开和透明。” 虽然它驳斥了Vice Media的主张,但Bitsmedia表示已经终止了与数据合作伙伴包括X-Mode的所有关系,该关系“立即生效”。 它与“选定的技术合作伙伴”合作,以改善其应用程序的质量,并与合作伙伴共享数据,以实现“广告等常见目的”,这是它的主要收入来源。这样做是“完全遵守”所有相关法律的,并实施了“严格的数据治理政策”以保护其用户数据。 根据应用程序开发商的说法,它与社交媒体网络和数据分析公司等第三方合作,并在其用户同意下共享数据。它还指出,除了“社区”部分外,穆斯林Pro中提供的功能都可以使用,而无需用户登录该应用程序。“这有助于我们收集和处理的数据的匿名性。” 如果它被发现违反了新加坡的个人数据保护法(PDPA),Bitsmedia可能面临 严重的经济处罚。 新加坡本月刚刚更新了数据保护法规,以允许本地企业未经事先同意就出于某些目的(例如业务改进和研究)使用消费者数据。修正案还允许对数据泄露处以更严厉的罚款,超过先前100万新加坡元上限。 新加坡通信和信息部长伊斯瓦兰(S. Iswaran)在 讨论修正案的讲话中说,数据是数字经济中的关键经济资产,因为它提供了有价值的见识,可为企业提供信息并提高效率。 Iswaran说,它还将增强创新能力并增强产品,并成为具有变革潜力的新兴技术(如人工智能(AI))的重要资源 。 PDPA的主要变化之一是“同意的例外”要求,该要求现在允许企业出于“合法目的”,业务改进和更广泛的研发范围使用、收集和披露数据。除了用于调查和应对紧急情况外,还包括打击欺诈、增强产品和服务以及开展市场研究以了解潜在客户群的工作。 此外,PDPA“视为同意”下定义的进一步修订现在将允许组织与外部承包商共享数据,以履行客户合同。这迎合了“现代商业安排”和包括安全在内的基本目的。 企业还可以在未经同意的情况下使用数据来促进可能尚未标记为产品化的研发。除“视为”和“例外”之外,所有其他目的(例如直接营销信息)仍然需要获得消费者的事先同意。 PDPC去年调查了185起涉及数据泄露的案件,并发布了58项决定。它命令39个组织支付170万新加坡元的罚款,其中最高罚款分别为75万新加坡元和25万 新加坡元,分别由综合健康信息系统和新加坡卫生服务处处置。       消息及封面来源:zdnet;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”   

首个 HomePod 越狱事件引发对智能音箱黑客潜力的猜测

iOS系统的 “Checkra1n”越狱工具背后的团队声称已经用它成功越狱了苹果的HomePod,不过目前还不清楚这对智能音箱的黑客潜力意味着什么。该消息是由Twitter用户L1ngL1ng宣布的,他分享了一张macOS终端窗口的截图,似乎显示了通过SSH连接实现对HomePod的命令行root访问。 命令行上的信息表明,相关设备是2018年的原始HomePod型号(标识符为AudioAccessory 1,1),而不是苹果新的HomePod mini(AudioAccessory 5,1)。原版HomePod运行在苹果设计的A8芯片上,这也是iPhone 6首次推出时使用的芯片。 这确实是一个新奇的发展,但越狱HomePod的实际效用在很大程度上是未知的,尽管这并没有阻止r/jailbreak Subreddit上的评论者对可能性的猜测。 到目前为止,能够有机会实现的想法包括打开扬声器的蓝牙连接锁定, 改变Siri为竞争对手的虚拟助手, 显示自定义颜色的顶部屏幕, 并启用支持更多的第三方流媒体服务. 之前已经被证明能够入侵苹果的T2安全芯片的Checkm8 bootrom漏洞可能在这次越狱实践中实现了规避磁盘加密、固件密码和整个T2安全验证链.         (消息来源:cnBeta;封面来源于网络)

俄罗斯黑客窃取 2400 多名艾滋病患者资料打包出售

在网络黑市上,有些黑客真的是什么都能搞到,什么资料都敢卖,现在有2400多名艾滋病患者的资料被盗,网上打包只要5100多块就能买下。据俄罗斯媒体报道,有黑客在网上叫卖艾滋病患者的数据信息,据他所说这些资料是从俄罗斯诺夫哥罗德市艾滋病预防和控制中心获得的,总计有2400多人。 被盗取的信息非常丰富,有患者的姓名、出生日期、护照信息、电话、工作地址、登记及实际住址,还有详细的医疗信息。 为了证明自己所售资料的真实性,这个黑客还在网上公布了三个患者的医疗信息在网站上的截图。 这个包含2400多人医疗信息的资料价格倒不算很高,打包只要6万卢布,约合5100多元,100人的信息则要3000卢布,不到260块。 不知道有哪些人会对这些艾滋病患者的信息感兴趣,不过很大可能这是逼迫被盗机构来赎回这些信息,毕竟当地疾控中心显然不愿意看到这些信息扩散。 盗窃患者的医疗信息出售,这个黑客的行为怎么看都有点缺德,不过这也不是他第一次这么干了,本月初他还从当地肺病医学中心盗取了肺结核患者的医疗信息。         (消息及封面来源:cnBeta)

GitHub 终于修复了 Google Project Zero 报告的高危安全漏洞

谷歌的Project Zero团队致力于寻找公司自身软件以及其他公司开发的软件中的安全漏洞。其方法是私下向供应商报告缺陷,并在公开披露前给他们90天的时间来修复。根据情况的严重程度,这一期限可能会根据该集团的标准准则被延长或拉近。 11月初,谷歌公开披露了GitHub中的一个 “高”严重性安全问题,此前后者无法在104天内修复–超过了标准时限。不过,GitHub用户现在会很高兴地知道,这个安全漏洞终于被填补了。 该安全漏洞源自GitHub Actions中的工作流命令,它作为执行动作和Action Runner之间的通信渠道极易受到注入攻击。谷歌Project Zero的Felix Wilhelm最初报告了这个安全漏洞,他表示工作流命令的实现方式 “从根本上来说是不安全的”。短期的解决方案是废止命令语法,而长期的修复方法是将工作流命令转移到一些外链通道,但这也很棘手,因为这会破坏依赖性代码。在GitHub未能在规定的104天内修复该问题后,谷歌于11月2日公开披露了该问题。 显然,这给该公司带来了一定的压力,目前该漏洞已经被修复。补丁说明显示,该修复方法与Wilhelm提出的短期解决方案一致。 停用add-path和set-env runner命令(#779) 更新了dotnet安装脚本(#779) 几天前,GitHub已经修复了这个问题,但现在已经被谷歌Project Zero团队验证,并在问题库中标记。这样一来,安全团队报告的公开问题清单就减少到了9个。其中包括微软、高通和苹果等众多厂商开发的软件。唯一存在于谷歌自家软件中的开放问题与Android上的指针泄露有关,但这一 “中等”严重性缺陷的状态自2016年9月以来一直处于开放状态。         (消息及封面来源:cnBeta)

微软发布 Windows 10 累积更新,修复 Kerberos 认证系统漏洞

在几天前发布适用于 Version 1809 的修复之后,今天微软再次发布了适用于 Windows 10 Version 2009/2004/1909/1903/1607 的安全更新,重点修复了 Kerberos 认证系统中存在的高危漏洞(编号 CVE-2020-17049)。 在更新日志中写道 修复了 CVE-2020-17049 漏洞,修复了 PerformTicketSignature 注册表子项值相关的 Kerberos 身份验证问题,该漏洞修复已经包含在11月10日发布的累积更新中。 当 PerformTicketSignature 设置为1(默认值)时,对于非Windows Kerberos客户端,Kerberos服务票证和票证授予票证(TGT)可能不会续订。 当PerformTicketSignature设置为0时,所有客户端的用户服务(S4U)方案(例如计划任务,群集和业务线应用程序服务)可能会失败。 如果不一致地更新中间域中的DC并将PerformTicketSignature设置为1,则在跨域方案中的票证引用期间S4UProxy委派失败。 下载地址 KB4594440  20H2 / 2004 Update Catalog KB4594443 1909 / 1903 Update Catalog KB4594441 1607  Update Catalog         (消息及封面来源:cnBeta)

Firefox 83 引入仅 HTTPS 模式:为你提供安全、加密的连接

在本周发布的 Firefox 83 稳定版更新中,Mozilla 为其引入了仅 HTTPS 模式。在选项描述中写道:“HTTPS 可在 Firefox 和您访问的网站之间提供安全、加密的连接。现今,大多数网站都支持 HTTPS,若选择启用 HTTPS-Only 模式,Firefox 将会升级所有连接为 HTTPS”。 虽然不是默认启用但用户可以在设置应用中启用。这个安全增强功能可以确保你访问的都是 HTTPS 网站。如果在该模式启用之后你访问 HTTP 网站,那么就会自动升级为 HTTPS 网站。如果你访问的站点并不支持 HTTPS,那么就会显示“Secure Connection Not Available”错误信息。 在启用该模式之后,能够让你所有的连接都是加密且安全的。因此,你放心,没有人可以窥探你的网页内容,或者侵入你网站的连接来窃取密码,信用卡信息或其他个人信息。当你使用公共 WiFi 这种无法确定互联网连接完整性的连接时,这一点非常有用。       (消息来源:cnBeta;封面来自网络)