安全快讯Top News

语音信箱系统漏洞允许攻击者拦截验证码、获取信箱内容

InTheCyber -情报 & 防护顾问(www.inthecyber.com)是攻防网络安全的领导者,其研发实验室发现一个新的危险漏洞可影响通信系统。 语音信箱来电显示欺诈是一种存在很久的漏洞,移动运营商会依据来电显示验证用户的身份允许其进入语言邮箱。攻击者可以伪造来电显示,冒充用户并获得语音信箱访问权。目前,意大利最大的两个移动运营商都遭受这种攻击。 当登录某些应用(如 Telegram、WhatsApp 和 Signal )时会请求发送一个验证码短信,如果不及时输入验证码,国外通信服务会通过自动调用功能重新发送验证码至语音信箱。 根据用户的语音信箱的配置,在以下几种情况中,验证码会被发送到语音信箱:用户不回应、用户不可及和用户被占用。第一种场景,攻击者可以在夜间利用受害者的帐户请求一个验证码。第二种场景,攻击者可以向用户发送多个静默短信( Silent-SMS ),判断电话是否断网离开通信网络,然后进行攻击。第三种场景,攻击者可以通过电话诈骗来保持电话占线。 除了,主叫来电显示欺诈,语音邮箱还可以通过 PIN 密码用其他设备登录。 如果你启用了重发未收到短信到语音信箱的通信业务,并且没有启用双因素身份验证,那么你很可能会受到这种欺诈攻击,导致账户被非法登录。 稿源:本站翻译整理,封面来源:百度搜索

欧洲反勒索软件运动“拒缴赎金”初现成效,挽救 2500 人、赎金 130 万欧元

据外媒报道,2016 年 7 月 25 日,欧洲刑警组织,荷兰国家警察,英特尔安全和卡巴斯基实验室联合推动“拒缴赎金”( No More Ransom )运动。该运动获得欧洲司法与欧盟委员会的支持,唯一目的是帮助了勒索软件受害者了解各种勒索软件攻击信息、如何解密数据、保护设备免受勒索。在执法机构的努力下, 2500 人成功在没有支付赎金的情况下就解密了数据,这都归因于活动网站提供的解密工具。该活动已收到了不少好评,并又吸引了 13 多个国家的相关机构参与,包括英国,法国,意大利,爱尔兰。预计,未来将有更多机构参与其中,这项活动或将对勒索软件发展产生深远影响。 稿源:本站翻译整理,封面来源:百度搜索

iOS 应用程序比 Android 泄露更多的用户数据

据外媒报道,云安全服务商 Zscaler 分析了自家安全产品保护的设备发现,iOS 应用程序比 Android 应用程序泄露了用户更多的隐私信息。根据 Zscaler 对上季度 4500 万笔“交易”数据分析发现,大约 20 万起涉及应用泄露用户数据。 Zscaler 表示,它追踪了 2600 万起来自 iOS 设备(及 iOS 应用)事务,用户数据泄露的占比达到了 0.5%,即共有 13 万次操作。泄露的数据约有 72.3% 与用户的设备信息相关,27.5% 为地理位置坐标,仅有 0.2% 应用程序暴露 PII 数据。 iOS 用户普遍被人们认为 Android 更加安全,但事实上。 Zscaler 表示它追踪了 2000 万来自 Android 设备的事务,用户数据泄露的占比达到了 0.3%,只有 6 万次操作。泄露的数据中 58% 为设备元数据,39.3% 为地理位置坐标,3% 暴露 PII 数据。 稿源:本站翻译整理,封面来源:百度搜索

美黑客为报复入侵俄外交部官网闹乌龙

本周,黑客组织 NewWorldHackers 承认与匿名者一同参与了 DDoS 攻击 Dyn DNS 事件,随后,美国臭名昭著的黑客 Jester 声称入侵篡改了俄罗斯外交部的官方网站 MID.ru。 黑客 Jester 利用俄外交部网站漏洞顺利入侵并在首页留下警告: “停止攻击美国!” “同志们,我们入侵俄罗斯外交部网站是要给你们带来以下重要信息,” “少来这一套,你可以摆布你周围的国家,但这里是美国,没有人会关注你们(的举动) ……” 黑客 Jester 还通过被黑网站给俄罗斯总统普京传递消息,指责普京在俄罗斯黑客最近网络攻击美国的事情上隐瞒真相。 Jester 选择攻击俄罗斯政府网站主要是为报复本周五发生的 Dyn 大规模的 DDoS 攻击事件,并表示 “现在(23 日)是莫斯科周末的凌晨 4 点,我想他们在周一之前是无法修复这个漏洞了”。 不过 Jester 恐怕得意不了多久,“莫斯科之声”广播电台 23 日报道,俄罗斯外交部发言人当天证实被篡改的只是弃用许久的外交部“旧站”,目前真正的外交部官网并未出被“攻破”。 稿源:本站翻译整理,封面来源:百度搜索

俄克里姆林宫疑开启屏蔽 GPS 系统装置,定位受极大影响

近日,俄罗斯民众反映,最近首都莫斯科的克里姆林宫附近 GPS 信号异常,不是导航无法定位,就是定位地点飘出去老远,这让出租、网约车等老司机们无可奈何。 俄罗斯著名搜索引擎 Yandex 的一位程序员 Grigory Bakunov 在研究后认为克里姆林宫内有屏蔽 GPS 的系统,政府安装该系统应该是出于国家安全考虑。不过目前普京总统的发言人 Dmitry Peskov 表示对此并不知情,但他承认自己驾车时也遭遇了这一现象。他说已经将该问题转给了保护普京的联邦安全局,但联邦安全局拒绝置评。 鉴于GPS系统源于美国,因此这款定位系统对于其他国家的安全可能会构成威胁。中国自己拥有独立的“北斗星”定位系统,在精度等方面都优于美国的GPS,因此今后有希望完全摆脱 GPS ,增加安全系数。 稿源:IT之家,封面来源:百度搜索

DirtyCow (脏牛漏洞)带给内核社区的反思

编号为 CVE-2016-5195 的漏洞在 Linux 内核社区修复完成后的故事并没有结束,72 小时内公开的可作非稳定漏洞利用的 PoC 已经有 9 个,如果是标准版本的内核,写 /proc/pid/mem,vDSO  (部分版本)以及常规 ptrace() 方法都可以直接利用, PaX/Grsecurity 内核对于这个 PoC 也难以防御,针对 ptrace/madvise 做 seccomp 的规则虽然可以减缓攻击进度,但带来性能开销的同时也不能一劳永逸的解决这个问题,如果没有 RBAC 的场景还是建议升级。 这个漏洞在自由软件世界是比较罕见的,对 GNU/Linux 服务器构成巨大威胁和风险的同时也成为了 Android root  恶意代码链条(包括root 一键工具)以及 IoT 入侵的强大助攻,Jonathan Corbet的文章 提到Linux内核社区对待安全的态度需要反思,这个严重漏洞的修复竟然是和cleanup的patch一起合并到主线的,即使是单独的提交也像往常一样并未提供更多的安全评估信息。 这种不提供公开漏洞信息的做法是在1990年代用于防御脚本小子获得更多信息,后来Linux基金会的”客户”们并没有提出改变的意见所以一直沿用至今,但2016年的互联网环境和1990年代有着很大的区别,即使没有公开的漏洞信息攻击者可以凭着对代码提交的理解也可以打造出相应的漏洞利用,或许在Linux内核自防护项目开始10个月后遇到了DirtyCow并不是件坏事,内核自防护项目尝试移植PaX/Grsecurity的一些特性终结掉Linus Torvlads的”A bug is bug“流派,而DirtyCow有望在生态上让Linux基金会的”客户”们向Linux内核社区施压,说不定会改变”security through obscurity“的格局,毕竟今天是一个更开放的年代,个体更注重安全。 稿源:cnBeta.com,封面来源:百度搜索

新木马”FakeFile”:无需 root 即可执行,针对 openSUSE 以外所有 Linux

据外媒报道,俄罗斯杀毒软件供应商 Dr.Web 在 10 月发现针对 Linux 系统的新木马“ FakeFile ”,该木马以 PDF 、 Microsoft Office 、 OpenOffice 文件形式传播。木马的源代码中有一个特定的规则:如果系统使用的 Linux 发行版是 openSUSE,则终止感染进程。也许恶意软件作者就是使用的该系统版本。FakeFile是一个成熟的后门木马,具备常见的一系列操作功能。此外木马还可以运行文件、shell命令,获取或设置所需文件和文件夹的权限,终止进程或将其从受感染的主机中移除。最令人担忧的是,木马不需要root权限就可以执行这些操作。 稿源:本站翻译整理,封面来源:百度搜索

新骗局:不明人士寄来快递,到付 39 元千万别收

财神上门绝对是一桩喜事,不少人还会专门请财神到家里到店中供奉起来保佑自己发财。本月 14 日,重庆沙坪坝区的张老板接到快递送来的一尊财神,货到付款 39 元。让张老板尴尬的是,木头财神不仅做工粗糙,找不到卖家退款退货,快递也拒绝对此事负责。专家分析,货到付款卖财神针对的是民众不愿把财神拒之门外的心理,又把价格定在 39 元这个不算高的门槛上,让收货人往往不去追究。所以这个把戏能反复得逞。 查阅最近两个月的相关报道可以发现,全国各地数十个城市都有类似被“ 39 元快递”诈骗的报道。这些用来诈骗的包裹多以劣质洗发水为主,包裹内的物品价值只要几块钱,但货到付款的金额均为 39 元。 有民众认为,这些包裹可能出自同一伙人,这个骗局的伎俩就是利用到付的金额远远高于包裹货品的价值,从而赚取差价。针对此类现象,邮政工作人员表示,39 元货到付款的财神到和化妆品一样,都是不法商家在获取消费者个人信息后进行的一种新型骗局。 业内人士称,类似货到付款骗局中,一些快递公司扮演的角色较为灰色。物品寄件量大,快递公司有一定利益分成,往往睁只眼闭只眼送货上门。大多数消费者遇到类似情况,抱着自认倒霉的心理不声张。遇到较真扯皮的,快递公司就把责任推到发货人头上。 稿源:cnBeta.com,封面来源:百度搜索  

是谁导演了影响美国东西部网络的 DDoS 攻击事件?

本站最新消息,国外黑客组织 NewWorldHackers 承认参与这次影响美国东西部网络的 DDoS 攻击。按照 NewWorldHackers 的说法,Anonymous (匿名者)中的许多黑客组织也参与了此次攻击,他们正在测试自己的僵尸网络能力并强调:将会以”Mirai” 僵尸网络 DDoS 攻击的形式持续对抗 Dyn DNS 等服务商。 今年  9 月国外黑客论坛公布了恶意软件 “Mirai” 源代码,某安全记者网站曾遭 “Mirai” 控制的僵尸网络 DDoS 攻击,流量达到 620 GB,法国主机服务提供商 OVH 也遭到攻击流量超过 1 TB 的 DDoS。本周五( 10 月 21 日)美国大型 DNS 服务商 Dyn 遭黑客海量 DDoS 攻击,一度造成了美国东西部大面积网络瘫痪,各大热门网站均出现无法登陆情况。 国外安全公司 FLASHPOINT 公司称被利用进行 DDoS 攻击的物联网设备中含有中国公司 雄迈 生产的数字视频录像机(DVR)和 IP 摄像机,其技术总监甚至指出 “雄迈”公司的产品(在此次 DDoS 事件中)几乎沦为僵尸网络的一部分,大部分设备使用着 root/xc**** 的弱密码还不允许用户更改,导致设备可被远程 telnet 或 ssh 访 问 。 此外,FLASHPOINT 公司表示雄迈 NetSurveillance 、CMS 软件存在可绕过认证漏洞。 雄迈 Netsurveillance 、“CMS”的默认登录页面,config.js 文件中含有二进制文件下载链接。 稿源:本站翻译整理,封面来源:百度搜索

全球最大证书颁发机构(CA)也发错证书

Comodo (科摩多)是世界上最大的证书颁发机构(CA),迄今为止在 HTTPS  SSL 证书市场中处于领先地位。 近日科摩多表示 已修复 证书自动颁发程序的漏洞,目前该机构 已处理曾允许攻击者请求并成功颁发不属于自己网站证书的缺陷机制。 科摩多的自动验证程序会将 Whois 记录中注册者邮件与请求证书验证的邮件做对比,系统将域名以图片形式存储再利用图像识别技术匹配两者信息。而此次出现缺陷的原因在于 OCR 识别模块无法将小写字母 “l” 与数字 “1”、字母”o”和数字”0″区分开来,另外该组件在读取”L / 1″时,如果字符后的是数字将会当成是”1″,紧随其后的是字母则会认为是小写 “l”。研究人员以域名“altelekom.at”、“a1telekom.at”作为测试请求证书也获得了通过。 安全公司在今年 9 月通报了这个漏洞,然而调查发现漏洞在科摩多自动验证程序中存在已久,目前 Mozilla 工程师们也在积极报告处理这个问题。 稿源:本站翻译整理,封面来源:百度搜索