安全快讯Top News

OAuth 2.0 协议漏洞允许黑客远程登录 10 亿应用账户、窃取数据

据外媒报道,这周五在 201 6欧洲黑帽会议上,来自香港中文大学的三位研究员展示(PPT)了一种针对 Android 和 iOS 应用程序无需用户授权即可登录 Facebook 、谷歌和新浪微博账户的方法,而此类数百种应用程序已被下载超过二十四亿次、超过十亿账户受到威胁。 研究员称大多数手机应用支持单点登录( SSO )功能 。 SSO 是目前比较流行的企业业务整合的解决方案之一,用户只需要登录一次就可以访问所有相互信任的应用系统。然而,该功能使用了不安全的 Oauth2.0 协议,Oauth 是允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表)而无需将用户名和密码提供给第三方应用的协议。 理论上,当用户通过 OAuth 协议登录第三方应用程序时,应用程序会与ID提供商(例如 Facebook )检查其是否具有正确的身份验证详细信息。然而,研究人员发现,应用程序的开发人员没有正确检查ID提供商(例如 Facebook )发送的信息有效性。忽略了验证用户和ID提供商是否有关联,只验证ID提供商(例如 Facebook )信息的真伪。攻击者可利用OAuth协议漏洞通过修改服务器设置伪装成来自 Facebook 的数据,从而发动中间人攻击登录账号。 稿源:本站翻译整理,封面来源:百度搜索

研究称 Let’s Encrypt 推动了 HTTPS 的普及

卡内基梅隆大学的计算机科学家在预印本网站发表论文,分析了Let’s Encrypt的影响和普及(PDF)。Let’s Encrypt旨在普及 HTTPS,证书免费配置自动,解决证书昂贵、不透明、安全问题严重,对 HTTPS 生态系统产生了革命性的影响。 它如今一天要签发5.5万个证书。研究人员分析了从 2015 年 9 月 17 日到 2016 年 5 月 15 日之间的 Certificate Transparency 日志和使用 Let’s Encrypt 证书的域名分布,以及这些域名的 Alexa 排名。他们发现:西欧国家使用的 Let’s Encrypt 证书的比例最高,其次是北美、日本、新加坡和俄罗斯,中国没有进入前 20,使用者估计也不会很多。 此外,使用 Let’s Encrypt 的证书的网站绝大多数位于 Alexa 排名 10 万名以下,这一“重尾分布”现象显示 Let’s Encrypt 确实在普及 HTTPS 。 稿源:cnbeta.com,封面来源:百度搜索

创宇资讯 2016-11-05

[创宇资讯]中国创量子通信新纪录 [国际要闻] 1、中国创量子通信新纪录:超 400 公里抗黑客攻击量子密钥分发 2、Mirai 僵尸网络差点将利比里亚全国网络攻击下线 [黑客事件] 1、Steam 服务器遭黑客团体“ Phantom Squad”DDoS 攻击 2、瑞士检察院承认 “伊朗核问题协商会议” 曾遭遇黑客入侵 [推荐阅读] Wi-Fi 变身 IMSI 捕捉器可跟踪监控移动用户 知道创宇整理分享,详细内容请戳 hackernews.cc

Mirai 僵尸网络差点将利比里亚全国网络攻击下线

今年 10 月,物联网僵尸网络 Mirai 对美国 DNS 服务提供商进行了大规模 DDoS 攻击,就在本周 Mirai 僵尸网络再次出手几乎将利比里亚全国网络攻击下线,攻击流量一度超过 550 Gbps。调查显示本次攻击源是被称为 Botnet 14 的僵尸网络,属 Mirai 僵尸网络分支。利比里亚本身只是个网络覆盖率非常小的西非国家,主要依靠一条 2011 年西非海岸建成的海底光缆提供带宽, 不过它所提供的容量却可以达到 5.1 Tbps。此次事件恐怕只是黑客组织拿利比里亚小国试手,为将来 Mirai 僵尸网络的大规模爆发做准备。 稿源:本站翻译整理,封面来源:百度搜

Steam 服务器遭黑客团体“ Phantom Squad”DDoS 攻击

11 月 3 日就是全世界的 steam 玩家都在为 G 胖庆祝生日时,Steam 服务器突然遭遇大规模 DDOS 攻击,导致许多玩家的库存不能正常浏览,比赛匹配也无法进行,各大平台更是纷纷无法启动。 Steam 紧急启动了维护状态,而就在广大玩家众说纷纭的时候,黑客团体 Phantom Squad 突然发推表示,这次袭击是我们干的,我们为此负责。 图片来源于游研社微博 目前服务器状态正常。 稿源:178.COM 节选,封面来源:百度搜索

瑞士检察院承认 “伊朗核问题协商会议” 曾遭遇黑客入侵

据法国《观点报》 11 月 3 日报道,瑞士检察院于当地时间 11 月 3 日表示, 2015 年在瑞士日内瓦一家大酒店举行关于伊朗核问题协商时,一些电脑确实遭到黑客入侵。瑞士曾对此展开调查,但因为没有足够证据确定黑客的身份,调查后来不得不终止。 报道称,为了保护国家政治机密,2015 年 5 月,瑞士官方展开了对黑客的刑事调查,进行多国协商的酒店的电脑受到调查。瑞士检察院表示,酒店的很多电脑在当时遭到了恶意软件的攻击。黑客的目的是从电脑中窃取国家情报。 自 2013 年 11 月以来,美、俄、中、英、法、德六个国家的外交人士和专家进行过多次关于伊朗核问题的讨论,讨论的地点大多在瑞士和奥地利。2015年7月14日,讨论国签订了一项限制伊朗核行为的重要协议。俄罗斯信息安全公司表示,当时已发现了黑客的行迹,路径应该来自“伊斯兰国”(IS)组织。IS 作为伊朗核问题协商的头号反对者,被认为是黑客行为的主要实施来源。 稿源:环球网,封面来源:百度搜索

Wi-Fi 变身 IMSI 捕捉器可跟踪监控移动用户

据外媒报道,在 2016 欧洲黑帽会议上,研究人员展示了一种通过 WiFi 操作的新型 IMSI 捕捉器攻击方式,允许攻击者在一秒内捕获智能手机的 IMSI 号码,然后利用该 IMSI 号码来跟踪监视移动设备用户。 IMSI 全称“ international mobile subscriber identity ”(国际移动用户识别码)是区别移动用户的标志,储存在 SIM 卡中,可用于区别移动用户的有效信息。 注意:不要将 IMSI 号码与 IMEI 号码混淆。 IMSI 绑定到用户,而 IMEI 绑定到设备。 Wi-Fi 网络可以捕获附近智能手机的 IMSI 号码,无线跟踪并监控用户的根源在于智能手机(包括 Android 和 iOS 设备)连接 Wi-Fi 网络的方式。 在大多数现代移动操作系统中有两种广泛实现的协议: 可扩展认证协议(EAP) 认证和密钥协商(AKA)协议 这些协议允许智能手机通过自身设备的 IMSI 号码切换登录到已知的 Wi-Fi 网络,实现 WiFi 网络自动连接而无需所有者交互。攻击者可利用 WiFi 认证协议的这种机制伪装成 WiFi 网络,诱骗智能手机连接、捕获 IMSI 号码,从而实现对用户的跟踪监视。 此外攻击者还可利用捕获的 IMSI 号码实现移动运营商提供的 WiFi 呼叫功能。智能手机 WiFi 呼叫功能允许用户通过使用加密的 IPSec 协议连接运营商的边缘分组数据网关(EPDG)。在这个过程中用于验证 WiFi 呼叫的互联网密钥交换(IKEv2)协议也是基于 IMSI 号码,这可导致发生中间人(MITM)攻击,允许攻击者拦截通信流量。 附上演讲PPT连接:www.blackhat.com/docs…pdf 稿源:本站翻译整理,封面来源:百度搜索

中国创量子通信新纪录:超 400 公里抗黑客攻击量子密钥分发

近期,中国科学技术大学潘建伟、张强、陈腾云与清华大学王向斌以及中科院上海微系统所等单位合作,在国际上首次实现超过400公里抵御量子黑客攻击的测量设备无关的量子密钥分发。国际物理学权威学术期刊《物理评论快报》日前发表了该成果,称其“是一个杰出的成就”,“打破BB84协议下单光子源的传输终极极限”,“为量子密钥分发和量子通信最远传输纪录”。 据介绍,量子密钥分发可以为分隔两地的用户提供无条件安全的共享密钥。从1984年国际上首个量子密钥分发协议(BB84协议)提出以来,增加安全通信距离、提高安全成码率和提高现实系统安全性,成为开发实用性量子密钥分发的三大目标。 稿源:新华社节选,封面来源:百度搜索

创宇资讯 2016-11-04

[创宇资讯]美国互联网再遇事故中断 [国际要闻] 1、美国互联网部分基础设施再次遭遇网络中断 2、Yahoo! 雅虎邮箱再次大面积故障已超 18 小时 [恶意软件] 英国 NHS 网络感染恶意软件,多家医院被迫取消数百例手术 [推荐阅读] 1、工业系统或成为下一次大规模网络攻击目标 2、信息技术提供商 NEC 研发图像数据挖掘技术:百万里“挑”一只需 10 秒 知道创宇整理分享,详细内容请戳 hackernews.cc

美国互联网部分基础设施再次遭遇网络中断

据 arstechnica 消息,11 月 2 日凌晨美国互联网基础设施再次出现大面积网络中断,故障持续数小时直至当天中午才恢复,这次的问题根源在于一级网络服务提供商 Level 3。官方并未透露更多事故细节,Level 3 通信总监通过媒体发表声明称,技术团队正在确认故障原因,首先会确保网络服务可靠性。 此次故障对 Netflix 、HBO GO 等主流媒体服务影响巨大,Level 3 在一个月前也曾由人为因素导致一场事故。 由 downdetector.com 提供的故障影响热力图 稿源:HackerNews,封面来源:百度搜索