安全快讯Top News

逾 2000 万亚马逊 Echo 与 Google Home 设备易遭 BlueBorne 攻击

网络安全公司 Armis 研究人员于今年 9 月在蓝牙协议中发现 8 处零日漏洞,允许黑客远程操控 Android、iOS、Windows 与 Linux系统后普遍影响逾 53 亿台机器,其中包括所有运行 9.3.5 或更旧版本的 iOS 设备、运行时间超过 Marshmallow 或更旧版本的 Android 设备以及运行 Linux 版本的数百万智能蓝牙设备等。随后,研究人员将这 8 处漏洞构建成一组攻击场景,并将其称为 “ BlueBorne ”攻击。 近期,Armis 研究人员在调查时发现逾 2000 万台亚马逊 Echo 与 Google Home 的智能扬声设备也极易遭到 BlueBorne 攻击,允许攻击者完全接管蓝牙设备、传播恶意软件,甚至建立 “ 中间人 ”(MITM)连接,从而在无需与受害用户进行交互时访问设备关键数据与网络。不过,要想快速实现攻击,除受害设备的蓝牙处于开启状态外,还需在攻击设备连接范围之内。 调查显示,亚马逊 Echo 或将受到 BlueBorne 其中两处漏洞影响: Ο Linux 内核中存在远程执行代码漏洞(CVE-2017-1000251) Ο Linux 蓝牙堆栈(BlueZ)中存在信息泄漏漏洞(CVE-2017-1000250) 而 Google Home 设备会受到其中一处漏洞影响: Ο Android 设备中存在信息泄露漏洞(CVE-2017-0785) 值得注意的是,BlueBorne 对亚马逊 Echo 的威胁要比 Google Home 设备更加严重,因为它所使用的 Linux 内核易受远程代码执行漏洞的攻击,且自身的 SDP 服务器也存在信息泄露的风险。然而,Google Home 主要受到 Android 蓝牙堆栈中信息泄露的影响,其允许攻击者阻止 Home 的蓝牙通讯功能后肆意开展拒绝服务(DoS)攻击。 Armis 在发现亚马逊与谷歌设备极易遭受 BlueBorne 攻击后立即对其进行了报备,随后两家公司也迅速发布了漏洞补丁修复。研究人员提醒用户可以从 Google Play 商店安装 “ BlueBorne 漏洞扫描器 ”,以检查设备是否遭受 BlueBorne 攻击。如果发现易受攻击,建议用户在不使用设备时关闭蓝牙。目前 Amazon Echo 客户应确认所使用的设备运行着 v591448720 或更高版本,而 Google 方面尚未提供有关其版本的任何信息。 原作者:Swati Khandelwal,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

FCC 下月或废除掉“网络中立原则”,新规要求电话公司主动屏蔽欺诈电话

据外媒报道,美联邦通信委员会(FCC)主席 Ajit Pai 正在为 12 月份的取消 “网络中立” 投票一事做准备。消息称,Pai 将会在下周公布他的具体计划。此外,FCC 于本周四通过一批新规,允许电话公司主动屏蔽可能存在欺诈行为的电话。 FCC 的报告显示,非法机器人电话已变得无处不在并还将不断增长:美国消费者去年平均每月接到 240 万个不请自来的电话,但这个问题很难根治。因为一些重要的合法信息像天气警报、来自学校和公共事业的电话也会用自动呼叫技术,并且技术的进步使得这种机器人电话变得非常容易。 而为了减少屏蔽合法电话,FCC 建议各大公司建立一套简单的识别和修补屏蔽错误方案。另外新规定还明确指出不准屏蔽 911 紧急呼叫。不过,FCC 委员 Jessica Rosenworcel 却提出了不一样的意见,她认为新规未将电话公司可能会向消费者收取相关服务费考虑在内。 稿源:据 cnBeta 内容综合整理,封面源自网络;

卡巴斯基公布 NSA 机密文件泄漏的调查报告

据《华尔街日报》上月报道称,俄罗斯黑客利用卡巴斯基从 NSA 合同工的家用计算机上窃取了美国情报机构的机密文件,导致美国国土安全部下令政府机构卸载卡巴斯基软件。11 月 16 日,卡巴斯基为自己辩护并在官网公布了详细调查报告,承认获得 NSA 机密文件,但否认对泄密知情。 最新的报告增加了更多细节,其卡巴斯基称事件发生在 2014 年 9 月 11 日,NSA 总部所在地马里兰州巴尔的摩的一个 IP 地址报告了与 NSA 黑客团队 Equation Group 相关的恶意程序,恶意程序样本被上传到卡巴斯基服务器供研究人员进行进一步分析,并发现 7zip 压缩文件包含了属于 Equation Group 的恶意程序和源代码。 分析人员将此事直接报告给 CEO,CEO 下令销毁了所有存档。随后该 IP 相关的计算机被发现在 2014 年 10 月 4 日当地时间 23:38 感染了恶意程序,原因是计算机安装了一个盗版的 MS Office 2013 程序,安装镜像 “Office-2013-PPVL-x64-en-US-Oct2013.iso” 包含了恶意程序。为了安装和运行盗版 Office,用户关闭了卡巴斯基,但卡巴斯基在随后的运行中探测到了恶意程序。 附:卡巴斯基原文报告《 美国黑客组织 Equation Group 分发恶意软件调查报告》               稿源:solidot奇客,封面源自网络;

数据显示:俄罗斯曾利用上百个虚假账号发布英国脱欧信息

据外媒报道,来自英国爱丁堡大学的研究人员近期发现至少有 419 个由俄罗斯互联网研究机构(IRA)运营的账号被发现曾试图影响英国脱欧公投。特别是其中一个账号发布的一条煽动伊斯兰情绪的推文,展示了一位穆斯林女性在威斯敏斯特大桥发生恐袭后对身后奄奄一息的受害者视而不见的情景。很快这条推文被多家主流媒体出版发表。 负责调查假新闻的英国下议院文化、媒体和体育特别委员会的主席 Damian Collins 表示,俄罗斯机构似乎正在试图分类社会、破坏政治稳定。这位议员希望 Twitter 能够告知他们其如何认为俄罗斯曾试图影响英国政治。出于对国外势力对其国内民主进程的担心,Collins 要求 Twitter 首席执行官杰克·多尔西提供来自 IRA 公布的关于供应国政治的帖子。 而在此前,美国国会情报委员会曾调查过俄罗斯在去年 11 月份对总统大选展开的活动。Twitter 方面的回应是停掉了 2752 个发表了美国大选相关推文的账号,它们都被认为是由俄方控制。爱丁堡大学神经政治研究主任 Laura Cram 教授指出,这 419 个账号中发表的脱欧相关内容次数达到了 3468 次,而他们大部分都出现在公投之后。 稿源:cnBeta,封面源自网络;

2017 互联网自由报告:中国蝉联倒数第一

美国非营利组织 Freedom House 于近期公布了一份安全报告《Freedom of the Net 2017》,宣称中国连续第三年被评为互联网自由度最差的国家。据悉,报告根据三大类指标进行评分(满分 100 分),包括网络访问障碍、对内容方面的限制以及侵犯用户权利的情况等。 研究人员表示,一个国家得分越高,该国网络受到的限制就越严重——中国得分为 87 分,其互联网环境被认为受到的限制最多。而冰岛和爱沙尼亚均为 6 分,代表网络访问环境最自由。 今年 6 月生效的网络安全法要求中国境内的跨国公司存储用户数据。苹果等公司为了遵守新规已经开始在中国建设新的数据存储设施。 稿源:据 solidot奇客 节选,封面源自网络;

特朗普政府发布新 VEP 机制,以防国家组织私自 “库存” 漏洞

据外媒 ZDNet 报道,美国白宫网络安全协调员罗伯·乔伊斯(Rob Joyce)于本周三在华盛顿特区出席活动时宣布,特朗普政府已发布一套非机密规则来更新 Vulnerabilities Equities Process(VEP)机制,以平息舆论中政府大量 “库存” 漏洞发起黑客攻击的虚假谣言。 VEP 是奥巴马就任时所发布的一套复杂而重要的保密机制,决定了美国政府在发现漏洞后衡量是否秘密通知受影响的科技公司,并提醒其产品或服务存在漏洞,以便黑客入侵前迅速修复。 今年早些时候,神秘黑客组织 “影子经纪人”(Shadow Brokers)通过窃取 NSA 存储的漏洞开展了大规模勒索软件 WannaCry 攻击活动,感染了全球 150 多个国家逾 30 万台电脑。随后,特朗普政府遭到指责并在 NSA 黑客工具被窃不到一年内更新了该份报告。知情人士透露,这一举措能够防止政府私自储存漏洞、黑客工具或网络武器,并被认为是美国政府所公布的一项极其罕见的行为,因为该机制自奥巴马执政以来一直处于保密状态。 据悉,美国此前在奥巴马的领导下成立了多机构审查委员会,以权衡情报机构发现漏洞后是否应该私下向科技公司披露。然而,批评人士认为,美国政府极有可以通过储存漏洞致使个人或商业网络处于危险之中。但乔伊斯近期在一篇博客中表示,一个政府执法的透明程度对于国家来说至关重要,其此次 VEP 机制的更新可以重建商务、国防、特勤、财政等各组织的信心。值得注意的是,最新公布的条例显示,如果国会决定尚不披露漏洞,其相关人员必须每年都要重新评估该项决策。另外,乔伊斯重申,超过 90% 的漏洞政府都会向受影响公司披露,但不会说这是一个直接或最终的过程。 多年来,网络安全部门一直呼吁政府能够公布 VEP 机制的具体细节,因为他们认为政府实施的行动要比公开披露的事情多得多。例如:美国国家安全局并非只是负责发现漏洞,其报告显示该机构曾在过去一年内花费了2500万美元从第三方购买了之前并未公开披露的漏洞细节。近期,政府将发布一份年度报告,旨在提供有关 VEP 工作的相关信息。 附:特朗普政府官方报告《 Vulnerabilities Equities Policy and Process for the United States Government 》 原作者:Zack Whittaker,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Google 商城 144 款应用遭恶意软件 Grabos 感染,下载量已破 1740 万次

据外媒 11 月 15 日报道,网络安全公司 McAfee 研究人员 Carlos Castillo 于本周发布一份安全报告,宣称今年 9 月曾在应用程序 “ 亚里士多德音乐播放器 2017 ” 中发现一款新型恶意软件 Grabos,允许用户免费下载音乐的同时,不断要求他们评价应用,从而获得权限并在用户不知情下安装额外程序。经进一步调查显示, Grabos 还潜伏在其他 143 款应用程序中且已被 1740 万安卓用户下载。 研究人员表示,该恶意软件不仅可以跟踪用户位置,还可强制应用播放特定广告,从而诱导用户点击链接后通过下载恶意软件牟取暴利。知情人士透露,McAfee 在发现该恶意软件时立即向谷歌进行了报备。随后,虽然谷歌迅速在 Google Play 商店中下线了所有受影响应用,但这并不意味着谷歌市场摆脱了威胁。据称,多数已被用户下载的受损应用于近期再次进行了更新。 此外,杀毒软件公司 ESET 与俄罗斯网络安全机构 Dr Web 在 McAfee 发布报告的 24 小时后也纷纷透露发现类似事件,其结果显示多款 Google 官方应用已遭恶意软件感染,致使数百万用户在不知情下下载并触发恶意软件。对此,研究人员表示,想要保护系统不受感染,其用户不应该完全依赖谷歌商店下载应用。相反,用户应该仔细检查应用的级别与评论并注意下载权限,以防在不知情下下载受感染应用。 原作者: Jason Murdock, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国时尚品牌 Forever 21 与 Supreme 的客户信息在线泄露

据外媒报道,美国快时尚品牌 Forever 21 负责人于本周二证实,旗下部分门店支付系统遭黑客未经授权访问,导致今年 3 月至 10 月期间在其涉及门店消费的用户信息或遭泄露。目前,该品牌正联合执法机构紧急展开调查。 Forever 21 目前在全球 57 个国家经营超过 815 家商店,但该品牌自今年以来逐渐失守快时尚市场,即澳洲与日本等地区频频关店,其日本的首家旗舰店已于 10 月 15 日关闭。知情人士透露,市场失守又加上发生消费者信息泄露这种事情,无疑是雪上加霜。 此外,这段时间与 Louis Vuitton、AKIRA、INDEPENDENT、Levi’s 联名的潮牌 Supreme 也发生了消费者数据泄露的案件。近日有消息人士称,在过去两个月中分别有三位消费者在美国的 Supreme 店铺使用信用卡消费后,存在其它国家被盗刷的经历。然而,Supreme 作为街头潮流的引领者,每天都有成千上万的人用信用卡在店内消费,发生这种事情实在有点说不过去。 据业界人士分析,Supreme 客户资料被盗的主要原因有三,一是客流量大,信用卡数据都是会留在刷卡机里,这也容易成为黑客盗取资料的目标;二是店员经常替换,不排除这些辞退的员工会在走的时候盗取公司的信用卡信息拿去卖;三是中国消费者惯用的无芯片信用卡容易被盗刷,在国外消费时不走银联渠道是可以非密码交易的。 目前,研究人员对于 Forever 21 和 Supreme 店内消费信息被盗这两个案例来说,想要提醒广大消费者在使用信用卡消费时需要多加小心,以便减少自身利益损失。 稿源:品牌服装网,封面源自网络;

比特币挖矿用电被禁?国网四川分公司:系误读

11 月 14 日,一份落款为国网四川甘孜州电力有限责任公司丹巴县供电分公司下发的《关于禁止比特币生产的紧急通知》的文件,在国内比特币行业内流传,引发媒体报道和广泛关注。对此,记者随后联系到国家电网四川省电力公司相关工作人员,其表示没有发布过禁止比特币挖矿的文件,从管辖范围来说,电网公司也无权管辖,此前的一系列传闻是外界误读。 通知称比特币生产是非法经营 11 月 14 日晚,一位比特币 “矿工” 发给记者的截图显示,相关通知称,比特币生产属于非法经营,各并网电站也属于非法转供电经营行为,自接到通知之日起,各并网电站“全部停止比特币生产”,发电量由章谷变电站统一调度安排。文件下发时间为 11 月 3 日。该通知同时强调,对于继续非法转供电的并网电站,将予以“解网处罚”。 对此,一位矿工向记者表示,通知中的严厉措辞让他感到惊愕,“之前从没听监管层说过挖矿是非法的,而且自己的矿场也没有收到过(类似)文件。不少矿工也表达了类似的担忧。有在甘孜州经营比特币矿场的人士称:尚不确定消息是否为真,但自己的矿场已停止经营,由于冬季来临,已经准备将矿机迁往内蒙,确保“万无一失”。 系部分中小电站无供电资质 比特币挖矿真的被禁止了吗?对此,记者 11 月 15 日上午联系到国家电网四川省电力公司相关工作人员,其称,此前的一系列传闻或是外界误读。“电力公司又不是国家行政机关,怎么能决定比特币挖矿的性质呢?”该工作人员进而解释到,“电力公司的管辖范围就是用电,不管是比特币挖矿还是其他生产经营行为,只有用电方式不合法,公司才有权去约束和管控,这是一个基本前提。” 该工作人员同时称,据了解,丹巴县供电分公司下发的通知,并非公司正式文件,而是当地工作人员发布的。起因是当地进入枯水期后,发电量已经无法满足民生需求,而有部分中小电站并没有供电资质,却还在给矿场发电,才紧急发布的这一通知。 对此,有知情人士向记者透露,通知下发后,当地供电公司和水电站就已协商并达成协议,表示在冬季枯水期将优先保证民生用电。“没想到网上有人传出了这个通知,形成了比特币挖矿被禁止的一种舆论,这个解读是错误的,甚至不排除有人炒作。” 今年 9 月,ICO 等代币发行融资活动被国家多部委定性为非法融资并紧急叫停。此后,关于关闭比特币交易所的监管要求下发后,各大交易所也纷纷停止了国内的比特币交易业务。不过,就进行比特币“挖矿”是否违法,监管层面并未有过明确表态。根据财新报道称,监管人士曾表示目前还并没有国内禁止挖矿的计划。 稿源:cnBeta、每日经济新闻,封面源自网络;

白宫谈网络战漏洞使用政策:处理级别不亚于实体军事武器

据外媒报道,零日漏洞对于公众来说是一个非常大的风险,与此同时它还为攻击性网络攻击创造了一个巨大优势。随着越来越多的设备都具备了联网功能,这为该类型攻击提供额外的机会。日前,白宫网络安全协调官 Rob Joyce 公布了一份相关报告,指出政府系统中可能并没有那么多的漏洞等着攻击者利用。相反,已经知晓的漏洞会被提交给漏洞公正性评估(VEP)部门,由他们决定是否将漏洞公布于众或是保密。 根据 Joyce 的说法,在保密漏洞和未知漏洞保护这件事情上它的处理等级完全不亚于实体军事武器。许多国家都被认为对大部分漏洞进行保密处理以此来扩大它们的攻击能力,而代价是牺牲防御能力。Joyce 表示,他知道没有一个国家将其发现的所有漏洞公布于众。 稿源:cnBeta,封面源自网络;