安全快讯Top News

最新安全报告:单反相机已成为勒索软件攻击目标

恶意勒索软件近年来已经成为计算机系统的主要威胁,在成功入侵个人电脑,医院、企业、机构和政府部门的系统之后就会进行加密锁定,只有用户交付一定的赎金才能解锁。不过现在安全研究人员发现了单反相机同样存在这项的安全风险。援引安全软件公司Check Point今天发布的一份报告,详细说明了如何在数码单反相机中远程安装恶意程序。研究人员Eyal Itkin发现,黑客可以轻易地在数码相机上植入恶意软件。 他表示标准化的图片传输协议是传递恶意软件的理想途径,因为它是未经身份验证的,可以与WiFi和USB一起使用。该报告中指出通过黑客可以在热门景点部署有风险的WiFi热点,只要单反连接到这些热点之后就能进行攻击,从而进一步感染用户的PC。 在一段视频中,Itkin展示了他如何通过WiFi入侵Canon E0S 80D并加密SD卡上的图像,以便用户无法访问它们。他还指出,相机对于黑客来说可能是一个特别有价值的目标:毕竟相机中可能会存在很大用户不想要删除的影像资料。而且在真正的勒索软件攻击中,黑客设定的赎金往往不会太高,因此很多人会愿意交付赎金来摆脱不便。 Check Point表示它在3月份披露了佳能的漏洞,并且两人于5月份开始工作以开发补丁。上周,佳能发布了安全公告,告诉人们避免使用不安全的WiFi网络,在不使用时关闭网络功能,并在相机上更新并安装新的安全补丁。 Itkin表示目前他们只对佳能设备进行了测试,但是他告诉The Verge:“由于协议的复杂性,我们还认为其他供应商也可能容易受到这种攻击,但这取决于他们各自的实施情况。”   (稿源:cnBeta,封面源自网络。)

鸿蒙安全吗?余承东:微内核单独加锁 安全达最高级

8月9日下午消息,华为开发者大会今日举行,华为消费者业务CEO余承东正式宣布发布自有操作系统:鸿蒙。 鸿蒙系统安全吗?余承东称,鸿蒙采取微内核,天然无Root,细粒度权限控制从源头提升系统安全。 具体而言,安卓系统有Root权限,而鸿蒙无Root,“微内核可以把每一个单独枷锁,不可能一个钥匙攻破所有地方”,余承东说,外核的相互隔离更加安全也更加高效。 “从全球最权威的安全机构评测看,现在外面的操作系统只能达到二三级,而我们的系统能达到5和5+最高级别。这是最高级别的安全OS”,余承东说道。   (稿源:新浪科技,封面源自网络。)

尽管谷歌已修复漏洞 网站仍会检测 Chrome 是否处于隐身模式

针对启用了无痕模式的 Chrome 用户仍会被不守规矩的网站强行检测一事,谷歌方面已经修复了一处漏洞。尴尬的是,这场利益攻防战并没有就此结束,因为聪明的网站仍会通过其它方法来检测 Chrome 76 是否启用了隐私浏览模式。其实 Chromium 团队自身也意识到存在这种可能,毕竟浏览器还提供了一些其它必要的应用程序接口(API)。 (题图 via Techdows) 默认情况下,Google 会在 Chrome 浏览器启用无痕模式时禁用文件系统 API,以防止将浏览历史记录保存到磁盘上。 反之,网站可以通过 Filesystem API,对用户浏览器的当前模式进行判断。然后强行要求用户登录或创建免费账户,以继续浏览完整的内容。 在意识到这个漏洞之后,谷歌引入了一个新的标记(flag),以便在无痕模式下启用 了 FileSystem API,Chrome 76 中已经默认打开。 谷歌在一篇博客文章中写到,其已经修复了某些网站不当利用 FileSystem API 的一个漏洞。 遗憾的是,即便急用了这个标记,《纽约时报》网站仍会检测到该模式是否已开启(如上图所示)。 近日有一位安全研究人员透露,Chrome 浏览器未能真的做到应对无痕模式的检测防御,因为网站仍可通过 Quota Management API 来检测。 另一位名叫 Jesse Li 的开发者,更是给出了一个技术概念验证,表明网站仍可通过评估 Filesystem API的 写入速度,来检测无痕模式。 当然,Chromium 开发团队仍可通过其它措施,来修复针对 Chrome 无痕模式的反向检测,比如可从配额和计时方面着手。   (稿源:cnBeta,封面源自网络。)

CheckPoint 吐槽微软对影响 Azure 的远程桌面协议漏洞重视程度不够

微软一直吹嘘自家 Azure 云基础设施的安全性,但近期的一份报告称,它还是很容易受到网络攻击。Check Point Research 指出,其在常用协议中发现了大约 12 个漏洞,导致数以百万计的微软云用户暴露在潜在的网络攻击之下。在本周早些时候举办的黑帽安全会议上,该公司指出远程桌面协议(RDP)漏洞或被别有用心的攻击者利用。 (来自:Check Point,via MSPU) 黑客能够利用 RDP 漏洞来查看、更改和删除数据,或在受害者系统上创建具有完全管理权限的新账户。尽管 RDP 最初是由微软开发的,但也有几款 Linux 和 Mac 应用程序使用了该协议。 Check Point Research 补充道,其在 Hyper-V 管理器中发现了另一个漏洞,它允许用户在 Windows 上创建和管理虚拟机。 任何连接到云端的 Windows 计算机、在其中工作的用户、或使用微软本地 Hyper-V 虚拟机的用户,都有可能成为其描述和演示的攻击者的目标。 参考木桶原理,一套系统的安全性,取决于防护措施最不到位的那一环。换言之,通过依赖其它软件库,Hyper-V 管理器可以继承 RDP 中任何其它软件库中的所有安全漏洞。 尽管开源社区很快就对此做出了反应,并修补了相应漏洞,但微软仍未修补最初的 mstc.exe 。其辩称,尽管这些漏洞很是严重,但它并未达到该公司的‘服务标准’。 然而该公司确实在 Check Point 向其发出通知后,发布了一个涉及 Hyper-V 管理器问题的补丁、以及常见漏洞披露(CVE)警告。 (图自:Check Point Research | PDF) Eyal Itkin 表示,Check Point 对微软最初的反应感到失望。庆幸的是,在他们告诉其有关 Hyper-V 产品的联系后,该公司立即就给出了不同的响应。最终他们意识到这算是一个漏洞,并发布了一个补丁。 据悉,微软在 7 月份发布了相关安全更新,启用 Windows Update 自动更新的客户将受到保护。如果未能及时部署,还请手动检查一下。   (稿源:cnBeta,封面源自网络。)

美国一些选举系统被指连上网络 存在被攻击风险

据外媒报道,安全研究人员发现,美国10个州的35个后端选举系统在过去一年的某个时候都已经连接到互联网上,这意味着它们面临着被黑客攻击或遭篡改的风险。另外研究人员还发现,选举系统的防火墙可能配置不当或不安全。 据悉,这些州使用的选举系统由美国最大的投票机公司Election Systems & Software(以下简称ES&S)开发。ES&S曾在最新的这次研究告诉媒体,这些系统不会连接公共互联网。然而就在研究结果公布后没不久,研究人员提到的一些网站被撤下,这也表明了研究人员得出的结论是有效的。 实际上,这并不是对ES&S的安全措施第一次提出担忧:去年,这家公司披露,他们在2000年至2006年期间在一些投票机上安装了远程访问软件。虽然报告中没有提供表明该系统或投票记录被操纵的证据,但这些未披露的漏洞仍旧引发了人们对美国投票系统安全性的质疑。 此外,这家公司出售的许多新投票机都没有跟上打击选举干预所需的严格安全措施。美联社最近的一篇报道指出,宾夕法尼亚州使用的许多新选举系统包括ES&S开发的系统都还在运行Windows 7系统。而我们知道,从明年年初开始,Windows 7将不再获得补丁或技术支持,届时微软将要求对更新需求收费。   (稿源:cnBeta,封面源自网络。)

苹果将向漏洞研究者提供百万美元奖金:创企业界纪录

北京时间8月9日早间消息,据路透社报道,苹果将向网络安全研究人员提供高达100万美元的资金,以鼓励他们寻找iPhone手机的缺陷,这也成为一家企业为防范黑客而提供的最高奖励。 与其它技术提供商不同,苹果此前仅向受邀的研究人员提供奖励,这些研究人员试图在手机和云备份中发现漏洞。 周四在拉斯维加斯举行的年度黑帽安全会议上,该公司表示将向所有研究人员开放这一流程,并增加了Mac软件和其他检测目标。 100万美元的奖金仅适用于无需手机用户的任何操作即可远程访问iPhone内核的漏洞。苹果之前提供的最高奖金是20万美元。他们会在收到报告后通过软件更新解决问题,避免将其暴露给不法分子。 政府承包商和经纪人针对最有效的黑客技术支付的最高金额已经达到200万美元,他们希望借此从设备获取信息。然而,苹果的最新奖金计划与承包商公布的一些价格处于相同区间。 苹果正在采取其它措施来简化研究难度,包括提供一些已禁用某些安全措施的改版手机。漏洞攻击的主要方式就是一些软件程序,借此利用手机其软件或已安装应用中的未知缺陷。 以色列NSO Group等许多私营公司都在向政府出售黑客攻击能力。   (稿源:新浪科技,封面源自网络。)

亚马逊为美国警方开发高科技监控工具 引发社会担忧

北京时间8月8日晚间消息,据美国财经网站CNBC报道,亚马逊子公司Ring不仅制造无线安全摄像头,它还可以访问警方数据,提醒居民注意潜在的犯罪行为,鼓励用户分享可疑行为的录音,并将其与执法部门联系起来。对此,隐私和公民自由的倡导者认为,Ring与政府的合作关系正在创造一种新的政府监控层。 今年的7月12日,在黎明之前的几个小时,美国亚利桑那州钱德勒(Chandle)地区的一名男子被手机上的警报惊醒。警报来自于他的Ring安全摄像头,后者检测到有人在他家外面移动。 视频显示,一群年轻人闯入了几辆汽车。这名男子从前门向他们大喊,然后报警。当一名警官赶到时,这几名男子乘车疾驰而去,留下了手机、作案工具和其他一些东西。当天上午晚些时候,他们自首了。 当时,房主已经向警方展示了其摄像头所拍摄的视频片段,并将其发布到了Ring的应用程序Neighbors上,Ring是亚马逊去年收购的一家智能设备厂商。Ring不仅制造无线安全摄像头,它还可以访问警方数据,提醒居民注意潜在的犯罪行为,鼓励用户分享可疑行为的录音,并将其与执法部门联系起来。 后来,这位房主在Neighbors上写道:“感谢Ring!!!”而钱德勒的一名警官回复称:“感谢你的发帖。” 这次交互是警方使用Ring的典型方式,在利用Ring侦查和调查犯罪的同时,也帮助Ring拓展业务。Ring在钱德勒的这种部署也是全美数十个这样的合作关系中的一部分,也是亚马逊更广泛努力的一部分,即加深与执法部门的合作。但同时,也有批评人士指出,亚马逊这是在帮助政府强化对国人的监控。 如今,亚马逊的政府业务已经成为该公司拓展电子商务以外业务、进入互联网工具市场的重要组成部分。金融咨询服务公司韦德布什证券(Wedbush Securities)分析师丹尼尔·艾夫斯(Daniel Ives)称,通过云计算子公司Amazon Web Services(AWS),亚马逊与政府部门(包括警察部门、联邦执法部门、国家情报机构和移民当局)签订的合同规模已经从2014年的2亿美元激增到今天的20亿美元。 艾夫斯说:“在许多调查中,时间是至关重要的。与亚马逊的合作,使得许多警察部门能够更快地获取数据,并以更有帮助的形式获取数据。” 但批评人士却指出,亚马逊与政府的合作表明,一家公司在与政府的合作中如何定位至关重要,它可能导致过度扩张和滥用。 隐私权和公民自由的倡导者警告说,Ring的合作伙伴关系正在创造一个新的政府监控层。亚马逊员工、人工智能研究人员和激进投资者已要求亚马逊停止向执法部门出售其面部识别服务,停止向联邦移民局提供网络托管服务,并成立一个委员会来审查其产品的潜在社会后果。 倡导数字权利的非营利性组织“新美国开放技术研究所”(New America‘s Open Technology Institute)政策主管莎伦·布拉德福德·富兰克林(Sharon Bradford Franklin)称:“虽然提供安全的云存储似乎不会构成隐私威胁,但提供一系列技术,包括面部识别和门铃摄像头等强大的监控工具,再加上将数据汇集到大型数据库并运行数据分析的能力,确实会造成真正的隐私威胁。” 对此,亚马逊在一份声明中称:“我们相信我们的客户,包括执法机构和其他致力于保护我们社区安全的团体,应该能够获得最好的技术,并相信云服务可以使社会获得实质性的裨益。” 事实上,亚马逊此前在这方面已经引发了社会的担忧。通过子公司Ring,亚马逊将摄像头安放在数百万人的门铃上,还邀请他们跟邻居、警察通过一个预防犯罪的社区共享视频。此外,亚马逊还向警方和私企出售人脸识别系统。   (稿源:新浪科技,封面源自网络。)

研究称心情愉悦时更易被黑客欺骗 网络钓鱼反击战仍任重道远

佛罗里达大学的一支团队,对黑客如何利用受害者的心理来实施网络电子邮件钓鱼一事,展开了比较深入的研究。结果发现,那些心情比较愉悦的人们,相对更容易被诱骗点击钓鱼链接。换言之,如果你的心情不太好,就会相对更少地上钓鱼邮件的当。 (图自:Google,via Cnet) 该校教授 Daniela Oliveira 与 Natalie Ebner 博士一起带领了这项研究,并在本周三于拉斯维加斯举办的黑帽网络安全会议上公布了他们的研究成果,此外谷歌反滥用研究团队负责人 Elie Burszstein 也出席了会议。 作为肆虐互联网的一大祸害,网络钓鱼攻击被黑客频繁使用,以期闯入各个机构内网、或获取密码等个人敏感信息。根据 Verizon 的年度报告,电子邮件是网络钓鱼的高发地、也是导致数据泄露的主要原因。 Elie Burszstein 表示,谷歌每天都会阻止大约 1 亿封网络钓鱼邮件,但欺诈者的变化实在太快,有些变种甚至只间隔了 7 分钟。 攻击者不断地改变和更新他们的设计,以使之发挥出最大的效率。其能够迅速适应较少的目标用户,使之很难被各种检测措施给发现。 鉴于网络钓鱼攻击的极度复杂性,除非启用多因素认证,否则绝大多数人还是很容易受到攻击的。亚马逊首席技术官 Werner Vogels 也曾在 AWS 峰会上表示:“总有愚蠢的人会去点击那个链接”。 然而 Daniela Oliveira 的研究表明,即便你点击了网络钓鱼链接,也不该被被愚蠢羞辱,因为这是“是个人就会犯的错误”。 在为期三周的实验期间,158 名参与者被告知他们正在参与一项有关‘人们如何使用互联网’的研究,且他们每天都会收到一封网络钓鱼邮件。 钓鱼邮件的内容,基于谷歌在网络上检出的真实案例,而研究人员会追踪他们是否点击了钓鱼邮件。结果发现,钓鱼邮件深深地利用了人性的弱点。 Daniela Oliveira 指出,钓鱼邮件依赖于人们在不假思索的情况下作出的快速决策,点击链接似乎成为了一种条件反射、而不是由基础的认知所决定的。 她表示:“我们很容易受到网络钓鱼的攻击,因为它会欺骗我们的大脑做出决策”。而在决策方面,人脑会通过两种方式来工作(参考双重过程理论)。 你的大脑会自动推进日常的活动,比如刷牙。而像购买房子这样的重大决策,则需要经过深思熟虑。以点击邮件链接为例,黑客主要利用了‘快速决策’这个人性的弱点。 谷歌反滥用研究团队负责人 Elie Burszstein 补充道:在美国、英国和澳大利亚的近半受访者中,约有一半互联网用户不知道什么叫‘网络钓鱼’。 这意味着在“防止网络钓鱼攻击”这件事上,谷歌面临着一场艰难的战斗。即便这家科技巨头千方百计地开展了宣传活动,实际效用依然惨不忍睹。 Oliveira 表示:“当你心情愉悦时,身体会自然地放松戒备。但在网络钓鱼面前,你并不需要时刻保持坏心情或紧张情绪。毕竟后台的保障措施,还是相对比较完善的”。   (稿源:cnBeta,封面源自网络。)

只需发送一条短信 黑客就能成功入侵你的 iPhone

正在拉斯维加斯举办的黑帽安全峰会上,来自Google Project Zero团队的安全专家Natalie Silvanovich展示了存在于Apple iOS iMessage客户端中的无交互漏洞,只需要一条短信就可通过这些漏洞来控制用户的设备。目前苹果已经发布了这些BUG的部分安全补丁,但是并没有完全进行修复。 这些漏洞可以变成各种BUG,用于执行恶意代码以及访问用户的数据。所以最糟糕的情况就是有黑客利用这些错误来伤害用户。Silanovich与Project Zero成员SamueLGroß合作发现这些漏洞,通过逆向工程之后在iMessage中发现了多个可利用的漏洞。 出现这些漏洞的原因是因为iMessage提供了一系列通信选项和功能,例如Animojis和Apple Pay等等,这必然带来了更多的BUG和漏洞。这个无交互漏洞允许黑客从用户的信息中提取信息。这个漏洞还允许攻击者向目标发送特制的文本内容,偷换SMS短信或者图片中的内容。 虽然iOS通常具有阻止攻击的保护措施,但这个漏洞利用了系统的底层逻辑,因此iOS的防御措施将其解释为合法。由于这些漏洞全程不需要受害者参与,因此特别受到暗网和黑客组织的青睐。 Silanovich发现,这些漏洞在暗网上价值可能达到数千万美元。 Silanovich表示:“在像iMessage这样的程序中会有很多额外的攻击。个别错误相当容易修补,但你永远无法找到软件中的所有错误,你使用的每个库都将成为一个攻击面。因此,设计问题相对难以修复。”   (稿源:cnBeta,封面源自网络。)

KDE 存在一个很容易利用的 0day 漏洞,影响广泛

安全研究员 Dominik Penner 披露了 Linux KDE 桌面环境上存在的一个 0day 漏洞。 根据 Dominik 的说法,此漏洞存在于 KDE v4 与 v5 版本中,该漏洞使得嵌入在 .desktop 和 .directory 文件中的命令在打开文件夹或者将压缩文件夹提取到桌面时即可执行,目前几乎所有 Linux 发行版都在使用易受攻击的 KDE 版本。 .desktop 和 .directory 文件是符合 freedesktop.org 标准的桌面环境使用的配置文件,它们用于配置应用和文件夹的显示方式。.desktop 文件用于在 KDE 菜单中注册应用程序,而 .directory 文件用于描述 KDE 应如何显示文件夹。 在 BleepingComputer 的采访中,Dominik 解释:“KDE 4/5 容易受到 KDesktopFile 类中的命令注入漏洞的攻击。当实例化 .desktop 或 .directory 文件时,它通过 KConfigGroup::readEntry() 函数使用 KConfigPrivate::expandString()  不安全地评估环境变量和 shell 扩展。使用特制的 .desktop 文件,当用户在文件管理器中下载和查看文件,或者将链接拖放到文档或桌面上,就会被攻击。” 问题主要出在 KDE 允许 Shell 扩展通过环境变量或执行命令动态生成字段的值,“它们使用与 freedesktop 规范相同的语法,但是因为它们也允许 Shell 扩展(freedesktop 不允许这样做),所以这是可利用的。” 如开头 gif 所示,BleepingComputer 做了个简单的测试,可以很直观地了解该漏洞的执行过程。 该测试特别简单,测试者创建了一个 ZIP 文件,其中包含了一个带有 .directory 文件的子文件夹,在该配置文件的 icon 字段中,嵌入了一个启动并执行 kcalc 计算器的 test.sh 脚本。 因为目前无法关闭 KDE 桌面的 Shell 扩展来缓解该问题,所以 Dominik 建议用户检查每一个 .desktop 或 .directory 文件并禁用任何动态条目。   (稿源:开源中国,封面源自网络。)