安全快讯Top News

特斯拉:黑客如找出旗下汽车软件漏洞 将获赠 Model 3

新浪科技讯 北京时间1月15日上午消息,据彭博社报道,特斯拉近日表示,如果网络安全研究人员可以侵入特斯拉汽车并找到漏洞,那么公司可以给他们赠送一辆Model 3轿车。 网络安全公司趋势科技(Trend Micro)举办的的春季竞赛Pwn2Own Vancouver会邀请安全研究人员曝光网页浏览器以及企业软件中的漏洞。而今年首次在竞赛中新增了汽车类别,也就是特斯拉最新推出的Model 3。 特斯拉在2014年推出了悬赏寻找汽车软件漏洞的项目,将奖励那些发现并上报漏洞的研究人员。这种形式在科技行业非常普遍,但汽车领域却不常见。 由于越来越多的车辆会连接到互联网,这就使得它们很容易受到黑客攻击,所以这种悬赏项目会在汽车行业开始盛行。 “我们均是按照最高安全标准来研发车辆的,与安全研究社区的合作对我们来说非常重要。”特斯拉车辆软件副总裁大卫·刘(David Lau)在周一的声明中说道。   稿源:新浪科技,封面源自网络;

广为使用的 PremiSys 门禁系统 被曝存在严重的硬编码后门

据外媒报道,被公立院校、政府、以及财富 500 强企业广泛使用的 PremiSys 门禁系统,近日被曝出存在硬编码后门。其实早在去年年底的时候,Tenable Research 的一安全分析师,就已经在一套名为 PremiSys IDenticard 的访问控制系统中,发现了一个硬编码的后门。该软件用于未员工创建身份识别信息(ID badges)和远程管理读卡器,以便对建筑内各个部分的访问权限进行管理。 Tenable Research 的 James Sebree 指出,IDenticard 的 PremiSys 3.1.190 版本,包含了一个允许攻击者访问管理功能的后门,让它能够在系统中添加、编辑和删除用户,分配权限、并控制建筑物内的读卡器。 PremiSys 基于 .Net 框架构建,因此 Sebree 能够借助 Jetbrain 的“dotPeek”.Net 反编译器,对该软件进行逆向工程。 发现漏洞后,Sebree 多次通知 IDenticard、并试图取得联系,但直到 45 天过去,该公司还是无动于衷。无奈之下,Sebree 选择向计算机紧急响应小组(CERT)通报此事。 遗憾的是,尽管 CERT 尝试与 IDenticard 联系,但 90 天后,该公司仍未作出回应。事已至此,他们只得公开披露相关漏洞。 鉴于未能访问系统的物理组件,因此 Tenable 只是简单描述了这款应用程序的服务流程。 PremiSys 中的身份验证例程,包含一个名叫 IgnoreAuthentication()的函数。只要使用硬编码凭证,此命令就能够完全按照它所说的那样去执行。 由于 IDenticard 的软件被广泛使用,因此漏洞的波及面相当之广。 该公司的称,其为财富 500 强企业、K-12 学校、各大院校、医疗中心、工厂,甚至地级、州级和联邦政府机构与办事处所采用。 鉴于这是一个硬编码的漏洞,因此必须 IDenticard 自行修补。然而截止发稿时,该公司仍未就此事作出回应。   稿源:cnBeta,封面源自网络;

新勒索软件 Ryuk 瞄准大企业 半年获近 400 万美元

新浪科技讯 北京时间1月14日早间消息,据美国科技媒体ArsTechnica援引信息安全公司CrowdStrike和FireEye上周四发布的两项研究结果显示,自去年8月以来,一家最近被发现的勒索软件组织已经获利近400万美元。 该组织选择了一种在行业中不常见的做法:针对被初步感染、资金实力雄厚的目标,选择性地植入恶意加密软件。这不同于用勒索软件感染所有可能受害者的常见策略。 两份报告都显示,该组织使用被称作“Ryuk”的勒索软件感染大企业。而在此之前几天、几周,甚至一年,这些目标大多就已经被感染了一种被称作Trickbot的木马。相比而言,小企业在感染Trickbot之后很少会再遭到Ryuk的攻击。CrowdStrike表示,这种方法是“寻找大目标”,而自去年8月以来,其运作者已经在52笔交易中收入了370万美元的比特币。 除了精准定位目标之外,这种方式还有其他好处:存在“驻留时间”,即从初始感染到安装勒索软件之间的一段时间。这让攻击者有时间对被感染网络进行分析,从而确定网络中最关键的系统,并获取感染这些系统的密码,随后才释放勒索软件,从而最大限度地造成损害。   稿源:新浪科技,封面源自网络;

漏洞预警 | ThinkPHP5 再爆任意代码执行漏洞 创宇盾无需升级即可防御

继去年12月10日爆出任意代码执行漏洞后,创宇盾网站安全舆情监测平台于近日发现ThinkPHP5再次出现任意代码执行漏洞。目前,已发现境外黑客对国内政府、企业等网站进行探测,请相关单位企业做好防御应急工作。 创宇盾安全专家于第一时间进行响应,经确认,知道创宇云安全旗下云防御平台创宇盾无须升级安全策略即可有效拦截利用该漏洞的攻击。 漏洞的综合评级为“高危” ThinkPHP 是一个快速、兼容而且简单的轻量级国产 PHP 开发框架。ThinkPHP 从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进。 由于 ThinkPHP 框架对控制器名没有进行足够严格的检测,导致在没有开启强制路由的情况下,攻击者可以在服务端执行任意恶意代码。 影响版本 ThinkPHP 5.0.x – 5.0.23 安全建议 1. 及时更新 ThinkPHP 至最新版,以免遭受攻击; 2. 使用第三方防火墙进行防护(如创宇盾https://www.yunaq.com/cyd/); 3. 进行技术业务咨询: 知道创宇技术业务咨询热线 : 400-060-9587(政府,国有企业) 028-68360638(互联网企业)   了解创宇盾详细信息:https://www.yunaq.com/cyd/

开源显卡驱动 Nouveau 被 Chrome 列入黑名单

据 phoronix报道,由于多次被反馈存在 bug ,Google 决定直接在 Chromium/Chrome 71 将 Nouveau 列入黑名单,Nouveau 的用户在浏览器中将默认不启用 GPU 加速。 Nouveau 是一个为 Nvidia 显卡撰写的开源驱动项目,由一群开发者通过逆向工程技术还原 Nvidia 的专有 Linux 驱动所构建。去年8月,有用户提交了一个编号为 876523 的 Chromium bug: 在 Ubuntu 系统上 Chrome 分页标签与网址栏会被多个黑色矩形部分或全部覆盖,这些黑色矩形也会在出现在浏览器的其他位置, 发生时多数还伴随着 CPU 使用率上升,系统温度升高,并造成 Chrome 大量占用内存,甚至造成电脑卡死。 之后有不少用户在讨论区反馈了相同的问题,由于该 bug 出现在 WebGL 使用 GPU 加速的时候,他们猜测出现该问题的主要原因是使用过时的 Mesa 版本。 Google 开发团队随后在此问题下方进行了回复,表示由于收到了太多关于 Nouveau 的 bug 反馈,他们没有足够的资源来调查和修复错误,他们的优先事项是保持浏览器的安全性和稳定性,因此决定将 Nouveau 列入黑名单。 此举自然引起了 Nouveau 用户的不满,他们认为 Google 这种直接判死刑的行为太过强硬且破坏信任关系,并怀疑开发团队对 Nouveau 存在敌意。 相关链接 Chrome 的详细介绍:点击查看 Chrome 的下载地址:点击下载     稿源:开源中国,封面源自网络;

Skype 已修复漏洞公开:不解锁也能访问手机数据

近日安全专家发现了新的Skype漏洞,允许用户在不输入解锁密码的情况下访问手机数据。目前Android端Skype已经确认受该漏洞影响,允许用户查看照片、联系人甚至是启动浏览器窗口。该漏洞最初由Florian Kunushevci发现,后者又向微软报告了这个漏洞。 Kunushevci表示该漏洞可以在不解锁手机的情况下,接通Skype来电之后能够访问照片、查看联系人、发送短信,甚至可以点击发送信息的URL链接打开网页。他在去年10月份向微软报告了这个问题,虽然微软官方并未发布关于该漏洞的声明,但是在Skype最新版本中已经修复该漏洞。 演示视频:https://player.youku.com/embed/XNDAwMDM2MjkzNg==   稿源:cnBeta,封面源自网络;

打造更加安全的物联网:黑莓向智能家居设备制造商开放技术授权

近年来,智能家居设备已经变得日渐普及。但是安装专家们频频发出警告,物联网基础设施存在着巨大的安全隐患。好消息是,为了让物联网世界变得更加安全,曾经在智能手机领域叱咤多年的黑莓(BlackBerry),已决定向智能家居设备制造商们,开放自家的安全技术授权。在激烈的市场竞争下,消费者已经能够享受到包括灯泡、冰箱、电视等在内的“物美价廉”的智能产品。不过黑莓提供的付费安全技术(BlackBerry Secure),能够为你的体验加上一道“放心锁”。 随着黑莓逐渐远离智能手机制造这项“主营业务”,此举标志着该公司移动技术的一次重大转型。 黑莓高级副总裁、兼移动解决方案经理 Alex Thurber 在一份声明中称 ——  2019 将是消费者开始用钱包投票,寻找更高的安全性和数据隐私性的一年。 BlackBerry 的其中一项产品,是在制造时,为智能小工具嵌入微处理器的加密密钥 —— 如遭受黑客攻击,芯片会改变其密钥,并导致设备停止工作。 此外,黑莓还发布了一款软件,能够阻止未经批准的代码在设备上运行。2016 年的时候,全球曾爆发过针对物联网设备的 Mirai 攻击。 当时黑客将大量的联网设备(比如家用路由器和安防摄像头)纳入了僵尸网络,以便将一台重要的互联网服务器搞得宕机。不过黑莓的安全方案,有望阻止类似事件的再次发生。 此外,黑莓还为工厂或企业环境里的设备,提供了一套管理服务。其旨在让企业更加严格地控制存储在设备上的信息,制定允许设备通过 Wi-Fi 或蓝牙等协议进行通信的规则。 当然,黑莓并不是这方面的先行者。早在 4 月份的时候,微软就已经发布了 Azure Sphere 微芯片。 其允许企业在联网设备上部署安全芯片和软件,此外亚马逊和谷歌也提供了各自的解决方案(Android IoT / AWS IoT),以便为联网设备提供充分的防护。 不过,对于黑莓及其合作伙伴来说,目前正是一个不错的介入时机。 在经历了 2018 年的 Facebook 数据收集、谷歌隐私、以及前一年的大规模 Equifax 漏洞之后,消费者终将渴望寻求更加安全的替代品。 物联网市场分析机构 J. Gold Associates 负责人 Jack Gold 表示: 鉴于黑莓手机的‘安全性’已深深植入每个人的脑海,该公司显然可以顺水推舟,将这一标签打向物联网世界。   稿源:cnBeta,封面源自网络;

攻击预警 | 国内某婚庆业务相关网站数百万数据遭暴露

近日,创宇盾(Creation Shield, www.365cyd.com )网站安全舆情监测平台发现,国内某婚庆业务相关网站数百万数据因ElasticSearch服务配置不当完全暴露在公网上,目前已被国外安全研究人员公布在国外社交媒体上。 被公布的数据十分详细,包括身份证照片、电话号码、账号、密码、地址等。 安全提示:请相关业务网站管理人员及时检查网站服务配置,防止数据进一步泄露。相关业务消费者请及时修改账户密码,防止个人信息被恶意使用。知道创宇404积极防御实验室将密切跟进该事件。 了解业务安全舆情监测服务:https://www.yunaq.com/gpt/

印度当局要求该国社交网络使用微软的 PhotoDNA 扫描所有图片

微软的PhotoDNA是一种数字指纹识别工具,可以通过预先筛选用户上传的内容,帮助在线服务清除虐待儿童的图像。PhotoDNA创建图像的独特数字签名(称为“散列”),然后将其与其他照片的签名进行比较,以查找同一图像的副本。当与包含先前识别的非法图像的哈希的数据库匹配时,PhotoDNA可帮助检测,破坏和报告虐童材料的分布。 据报道,印度中央调查局CBI要求社交网络开始使用该工具扫描他们的用户照片集,该决定目前正在印度引发争议。反对者认为,似乎CBI正在请求社交网络找到可能在其集合中没有滥用迹象的特定图片,反过来这又是一种滥用识别工具的行为。 CBI此前声明称“为了协助调查,社交网络需要对照片进行PhotoDNA扫描,社交媒体公司需使用侵入式照片技术跟踪嫌疑人,警方非常迫切需要这些信息。” 而反对声音也一样强烈:“如果任何警察或调查机构正在使用PhotoDNA进行一般性犯罪调查,则严重违反了该技术的预期目的,因为技术的初衷仅用于检查儿童性虐待案件。“互联网自由基金会执行主任阿帕尔·古普塔说。 用户也抱怨说,如此广泛搜索一般人的照片会侵犯他们的隐私权,Facebook和Twitter似乎也不太愿意遵守这一要求。   稿源:cnBeta,封面源自网络;

安全预警 | 超2亿份国内简历数据遭泄露

近日,创宇盾(Creation Shield, www.365cyd.com )网站安全舆情监测平台发现,某Twitter账户发布了一条关于超过2亿份简历数据泄露的推文。 这些简历全部来自中国,内容非常详细,包括姓名、电子邮箱、电话、性别、婚姻状况、政治面貌、工作技能、工作经历等。   目前该推主正在寻找数据的所有者,并已有推友建议他向CNCERT提交该事件,当然还有人在咨询他是否能将数据分享给自己。 安全提示:年底是求职的高峰期,请各位求职人员注意个人信息泄漏,并及时修改账户密码,防止个人信息被恶意使用,知道创宇404积极防御实验室将密切跟进该事件。