安全快讯Top News

脑洞略大,为破解 iPhone 英国警方竟要抢手机?

据外媒报道,今年 2 月,美国的政客、科技大佬、律师因圣贝纳迪诺枪击案解锁事件而陷入一场激烈的争论,并且直到现在也没有制定出一套令各方都满意的解决方案。不过在英国,情况好像就完全不同了,据了解,大都会警察局 (Metropolitan Police) 会趁 iPhone 锁屏之前,从毫无戒心的罪犯手中抢过手机并展开搜查。BBC 解释称,警察局此举则是为了打压利用伪造信用卡购买奢侈品然后将其转售的犯罪团伙。 很明显,警察认为嫌疑人的手机中存有关键证据,但只要没在使用手机,他们就会让手机一直处于被锁的状态。美国 FBI 已经证明,想要从一部加密手机(特别是 iPhone )中获取数据是一件非常困难的事情,所以英国警方决定跟踪嫌疑人,然后等到他在街道打电话时立即抓住并拿走处于解锁状态的手机。有一位警员将会专门负责滑动抢来设备的屏幕,借此来保证设备不被锁屏或关机。通过这种快速的方法,警方就能在设备被嫌疑人销毁之前拿到它。 稿源:cnBeta.com 有删改, 封面:百度搜索

ipad 内存缓冲区溢出漏洞,可绕过 iOS 10.1.1 激活锁

漏洞实验室安全分析师 Benjamin Kunz Mejri 发现利用缓冲区溢出漏洞和 ipad 某些特有 bug 可绕过开启激活锁功能的 iOS 10.1.1 设备。 苹果公司 Find My iPhone 服务允许用户在设备丢失或失窃时激活 iPhone、iPad 或 iPad 的“丢失模式”( Lost Mode ),这种模式启动后会自动启用“激活锁”功能, 激活锁在开启之后,iOS 设备便会拒绝其他人进行操作,除非使用用户的 iCloud 密码,即便是抹去或者重置系统也不会让该功能失效。这一功能在了 iOS 7 系统中开始启用。这使得偷来的苹果设备失去了“价值”很难转售出去,只能拆成零件。 启动激活锁,设备开机后,第一步需点击“选择另一个网络”连接无线网络,选择安全类型,然后输入一个非常非常长的字符串填写网络名称和网络密码。之后,iPad 开始卡,这时你可以合上 Smart Cover (保护套),然后重新打开,屏幕将故障片刻并绕过激活锁进入主显示屏。 研究员将视屏上传到 Youtube ,视频中运行 iOS 10.1.1 的 iPad Mini 2 设备受到影响,但运行 iOS 10.1.1 的 iPhone 5 无法复现,此外运行 iOS 9 的 iPad 也不受影响。 稿源:本站翻译整理,封面来源:百度搜索

杀人于无形 —— 植入式心脏除颤器可被黑客轻松入侵

据国外媒体报道,研究人员发现一些最新一代的植入式心脏除颤器(ICD)使用了安全性较弱的通信协议,攻击者无需具备专业知识即可利用反向工程、漏洞或拒绝服务(DDoS)进行攻击。 来自比利时和英国的研究人员报告发现,植入性医疗器械(IMDS)使用了私有通信协议,主要用于执行关键功能如改变 IMDS 的治疗或收集遥测数据。逆向工程是非常可行的方案,即使在有限的知识和资源下攻击者甚至无需出现在设备附近,利用工具或定向天线足以延长攻击距离,杀人于无形。 目前已发现市场上至少 10 种以上 ICD 设备会受到影响。缓解或解决设备漏洞的方式包括:当 ICD 处于待机模式时干扰无线通道,发送关机指令使设备将进入睡眠模式,从而添加基于对称密钥的身份验证等。 稿源:本站翻译整理, 封面:百度搜索

分布式猜测攻击,破解 VISA 信用卡仅需 6 秒?

来自纽卡斯尔大学的一组安全研究人员发现了一种称为分布式猜测攻击的新方法,只需 6 秒即可破解 VISA 信用卡。攻击者利用 VISA 支付系统漏洞,自动生成不同的信用卡数据并在多个网站交易,通过交易回复信息判断信用卡数据是否正确。 研究人员推测,这种方法可能被用于最近针对乐购银行的网络攻击,导致 250 万英镑被黑客窃取。 研究发表在学术期刊《IEEE Security & Privacy》,讲述了所谓的分布式猜测攻击如何规避所有的安全防御功能,以保护在线支付免受欺诈。 攻击利用了支付系统两个不太严重的缺陷,但是一起使用会对整个支付系统造成严重的威胁。 首先,目前的在线支付系统无法检测出,来自不同网站的多个无效付款请求。这允许攻击者对每个信用卡片的数据字段进行无限次猜测,每个网站通常可以进行 10 到 20 次尝试。 其次,不同的网站要求卡片的不同数据字段来验证是“真实”的在线支付交易。 这意味着攻击者可以像拼玩具一样,把卡片各数据字段拼凑出来。 具体步骤: 首先,黑客以有效卡号为起点自动发送它们到许多网站去验证有限性。 下一步是到期日期,信用卡的有效期为 60 月,所以猜测日期最多需要 60 次。 CVV(信用卡安全代码)是最后的屏障,理论上只有卡持有人知道该号码,但猜测这三位数最多尝试 1000 次 通过上述步骤就可以获得被黑账户的所有数据。 如何避免此类欺诈: 1、限制在线支付金额 2、银行卡不要存大量的钱,资金已到位立刻转出 3、保持警惕、注意交易记录 稿源:本站翻译整理,封面来源:百度搜索

安全专家建议总统特朗普培训 10 万黑客保护美国

包括顶级安全专家、前 NSA 主管 Keith AlexanderKeith 和万事达卡首席执行官 Ajay Banga 在内的一个委员会在一份报告当中建议美国总统当选人唐纳德·特朗普应该训练和雇用大约 10 万黑客,其主要目的是对其它国家发动网络攻击,但也同时保卫美国免遭网络攻击。 这个安全专家小组指出,网络安全应该成为唐纳德·特朗普在美国掌舵期间的优先事项,并建议当选总统要培训黑客,为任何网络威胁做准备。美国应该加强努力培训安全专家,为该国工作,而不是为私人公司牟利,这在过去几年中已成为一个严重的问题。 此外,安全专家建议特朗普必须严格控制所有培训计划,同时创建一个所谓的“国家网络安全人力计划”。唐纳德·特朗普还被建议雇佣一个网络顾问和一个网络大使,并在他任期前几个月内制定出一套国家网络安全战略。特朗普之前数次呼吁苹果帮助联邦调查局从 iPhone 收集犯罪信息,所以只有在这些设备上安装了后门,才能采用这样手法,否则,使设备更难以入侵将不符合特朗普的呼吁和竞选期间的目标。 稿源:cnBeta.com,有删改;封面:百度搜索

Mirai 竞争对手出现,新僵尸网络针对美国西海岸发动大规模 DDoS 攻击

据 cloudflare 消息,安全研究人员近日发现了一种新的 DDoS 攻击僵尸网络,已针对美国西海岸等地区进行网络攻击长达 10 日之久。 这个尚未被命名的僵尸网络攻击于感恩节前夕(11月23日)被研究人员发现,在 8.5 个小时内不间断对目标进行 DDoS。 安全公司 Cloudflare 表示,这些僵尸网络攻击十分有规律。 “黑客从黑色星期五开始夜复一夜进行 DDoS 攻击,流量基本维持在 320 gbps,峰值可达 480 gbps”。然而从本周二( 11 月 29 日)起,事情变得有趣了,攻击者在休息一天之后开始了 24 小时不间断的工作。 最引起研究人员好奇的是,这些攻击并非来自近日非常流行的 Mirai 僵尸网络,他们使用不同软件并且是针对 TCP(L3/L4) 协议发起的攻击,受攻击地区也主要集中于美国西海岸。 物联网僵尸网络引起了越来越多的关注。由于 Mirai  源代码的公开发布,网络犯罪分子也早已采取措施积累属于自己的僵尸网络大军、频繁发动攻击测试影响力。研究发现黑客们或使用 DDoS 攻击作为掩饰,暗中进行其他类型的网络犯罪,如窃取敏感数据等,令人担忧的是,2017 年 DDoS 攻击或借助各大僵尸网络进一步崛起。 稿源:本站翻译整理, 封面: 百度搜索

俄罗斯央行遭黑客入侵,超 3100 万美元被盗

据外媒报道,俄罗斯央行遭到重大网络攻击,黑客窃取了 20 亿卢布(超过 3100 万美元)。 警察守卫莫斯科中央银行总部入口 俄罗斯中央银行周五( 12 月 2 日)发表声明确认了攻击事件并表示正在进行调查,但没有提供攻击时间等具体细节。央行官员 Artem Sychev 称网络罪犯分子入侵银行系统、伪造用户凭证试图转走 50 亿卢布,经过银行安全团队应急处理,冻结了部分账户追回了 2600 万美元。 今年 2 月,黑客通过全球银行结算系统 SWIFT 从孟加拉中央银行转走 8100 万。 周五( 12 月 2 日)早些时候, 俄罗斯联邦安全局发表声明称已成功挫败了国外势力对金融系统的大规模网络攻击。攻击拟于 12 月 5 日发动,攻击者的服务器属于乌克兰公司 BlazingFast、物理位置在荷兰。 现在看来,黑客不仅针对央行,还针对私人银行和客户试图转移资金。这次网络攻击事件标志着最新一轮针对全球金融机构袭击的到来。 稿源:本站翻译整理,封面来源:百度搜索

远程访问管理工具 AirDroid 存漏洞,泄露设备认证信息、执行代码

Zimperium 公司称 Android 远程管理工具 AirDroid 存在多个漏洞,允许攻击者发动中间人攻击,远程执行恶意代码、更新恶意 APK 、获取敏感信息。 根据谷歌应用商店数据,AirDroid 应用程序已被下载超过 5000 万次。 Zimperium 研究人员发现,AirDroid 使用不安全通信信道,给统计服务器发送认证数据。且加密密钥的应用本身采用硬编码(ECB模式)加密。攻击者可以在同一网络上进行中间人攻击,获取请求中泄露的设备认证信息。冒充受害人的设备执行各种 HTTP 或 HTTPS 协议向 AirDroid API 端点请求并重定向流量到一个恶意的代理,从而在目标设备上远程执行代码、注入恶意 APK 更新。 攻击者还可以获得完全访问该设备,并看到用户敏感的数据,包括电子邮件地址和密码等。 目前漏洞没有被修复,为了解决这些问题,AirDroid 只能使用安全通信通道(HTTPS),避免 SSL 中间人攻击,使用安全密钥交换机制,更新升级数字验证文件。 稿源:本站翻译整理,封面来源:百度搜索

都是套路:ATM 转账新规刚实施,骗子已经用上了

为降低电信诈骗所带来的伤害,央行今年 9 月份牵头发布了《防范和打击电信网络诈骗犯罪的通告》。其中规定,个人通过银行自助柜员机(ATM)向非同名账户转账的,资金 24 小时后到账。 12 月 1 日是央行新规实施首日,上述 ATM 转账新规便立刻发挥作用,帮助男子保住数万元涉嫌被诈骗的资金。然而没想到的是,新规刚刚实施,就有骗子找到了新规的漏洞。 有网友爆料称,ATM 机转账 24 小时到帐还可撤回的政策才出来三天,骗子已经用上了。前天一个陌生电话打来订货,不说要什么就说配 5000 块的货,发了 ATM 转账凭证过来,然后就不停催发货,打银行客服查询确实有这交易,不过还是多了心眼没发货,到今天了 24 小时钱也没到账,银行查询是该笔交易已撤销。 虽然不清楚事件的真相,这里也提醒大家,ATM 转账是可以24小时撤销的,如果有必要,可以要求客户通过银行柜台或电子银行转账,后两者是实时到账的。 稿源:cnBeta.com, 封面:百度搜索

欧美联合执法捣毁国际犯罪基础设施平台“ Avalanche”,80 万恶意网站被封

据外媒报道,2016 年 11 月 30 日,经过四年多的调查,来自德国警察、美国司法部和联邦调查局、欧洲刑警组织等 30 个国家的检察官和调查人员进行了一场国际执法合作,摧毁了国际犯罪基础设施平台 Avalanche 。 Avalanche 网络是一个用于启动和管理大规模全球恶意软件攻击和洗钱活动的交付平台。 国际刑警组织发现 Avalanche 在 2009 年开始利用僵尸网络发送钓鱼邮件、恶意软件,占当年所有网络钓鱼攻击钓鱼三分之二的份额,利用强大的躲避技术防范执法机关的追查。 这次逮捕行动,共逮捕了 5 人,搜查了 37 处房屋,并查获了 39 台服务器,发现 180 多个国家的受害者感染了恶意软件,并联系运行商远程强制关闭了 221 个服务器。这次行动堪称史上最大规模的利用恶意网络流量打击僵尸网络行动,超过 80 万恶意网站被阻断。 此前,欧洲刑警组织还了开展“钱骡行动”打击网络金融犯罪、逮捕 178 人。这次国际行动再次体现司法、执法部门与运行商的合作可以有效打击网络金融犯罪团伙。 稿源:本站翻译整理,封面来源:百度搜索