据BleepingComputer消息，一名黑客在论坛上发帖称自己从丰田美国分公司窃取的240GB数据，丰田官方随后表示这一情况属实。 根据这名黑客的描述，这些数据不仅涉及丰田员工和客户的信息，还包括合同和财务信息，并通过AD-Recon搜集了更多类型的数据。 黑客发布的贴子截图 虽然丰田没有透露这次数据泄露的日期，以及黑客是通过何种方式入侵并窃取了多少人的数据，但 BleepingComputer 发现这些文件被至少是在 2022 年 12 月 25 日创建的。这个日期可能表明，攻击者访问了存储数据的备份服务器。 丰田表示，这次事件不是系统范围的问题，影响程度有限，并正在与受影响的人员保持接触以提供必要的帮助。 近期数据泄露事件频发 据悉，仅在去年，丰田就已发生至少两起数据泄露事件。 2023年 12 月，丰田子公司丰田金融服务公司（Toyota Financial Services，TFS）向客户发出警告，该公司的欧洲和非洲分部在 11 月受到 Medusa 勒索软件攻击，导致敏感的个人和财务数据泄露。 2023年5月，丰田披露了一起云环境中因配置错误导致的数据泄露事件，暴露了2013 年 11 月 6 日至 2023 年 4 月 17 日这10年间215万车主的位置信息；而在几周后，又有两个配置错误的云服务被发现，暴露了 2016 年 10 月至 2023 年 5 月期间亚洲和大洋洲部分车主的个人信息。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409015.html 封面来源于网络，如有侵权请联系删除

恶意行为者正在使用一种名为 Xeon Sender 的云攻击工具，通过滥用合法服务大规模开展短信钓鱼和垃圾邮件活动。 SentinelOne安全研究员亚Alex Delamotte在与《黑客新闻》分享的一份报告中提到：攻击者可以利用Xeon通过多个软件即服务（SaaS）提供商，使用服务提供商的有效凭证发送信息。 据悉，用于大规模分发短信的服务包括亚马逊通知服务（SNS）、Nexmo、Plivo、Proovl、Send99、Telesign、Telnyx、TextBelt 和 Twilio。 值得注意的是，该活动并没有利用这些提供商的任何固有弱点，而是使用合法的 API 进行垃圾短信群发攻击。还引用了 SNS Sender 等工具，这些工具越来越多地成为批量发送钓鱼信息并最终获取目标敏感信息的途径。 其主要是通过 Telegram 和黑客论坛传播，其中一个旧版本归功于一个专门宣传破解黑客工具的 Telegram 频道。最新版本以 ZIP 文件形式提供下载，归功于一个名为 Orion Toolxhub的 Telegram 频道，该频道有 200 名成员。 Orion Toolxhub 创建于 2023 年 2 月 1 日，免费为成员提供可用于暴力破解攻击、IP 地址反向查询的软件，如 WordPress 网站扫描器、PHP web shell、比特币剪切器，以及一个名为 YonixSMS 的程序，该程序声称可提供无限短信发送功能。 Xeon Sender 也被称为 XeonV5 和 SVG Sender。这个基于 Python 的程序的早期版本最早在 2022 年被检测到。 Delamotte 表示：该工具的另一个化身是托管在带有图形用户界面的网络服务器上。这种托管方式消除了潜在的访问障碍，使那些可能不擅长运行 Python 工具并对其依赖关系进行故障排除的技术水平较低的攻击者也能使用。 无论使用哪种变体，Xeon Sender 都为用户提供了一个命令行界面，可用于与所选服务提供商的后台 API 通信，并协调垃圾短信群发攻击。 这也意味着威胁分子已经掌握了访问端点所需的 API 密钥。精心制作的 API 请求还包括发件人 ID、信息内容以及从文本文件中的预定义列表中选择的电话号码之一。 除了短信发送方法外，Xeon Sender还具有验证Nexmo和Twilio账户凭证、为给定的国家代码和地区代码生成电话号码以及检查所提供的电话号码是否有效等功能。 SentinelOne 表示，尽管该工具缺乏精细度，但源代码中充满了单个字母或字母加数字等模棱两可的变量，使调试工作更具挑战性。 Xeon Sender 主要使用供应商特定的 Python 库来制作 API 请求，这给检测带来了更大的挑战。因为每个库都是独一无二的，提供商的日志也是如此，团队可能很难检测到对特定服务的滥用行为。 因此，为了抵御 Xeon Sender 这样的威胁，企业应该监控与评估或修改短信发送权限相关的活动，或对分发列表的异常更改，如大量上传新的收件人电话号码。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409012.html 封面来源于网络，如有侵权请联系删除

近日，网络安全研究团队Cyberint发现了一种难以检测的新型恶意软件UULoader，主要针对中韩用户。该软件被黑客用于投放后续恶意载荷，如Gh0st RAT和Mimikatz等工具，进而实施信息传播、窃密、诈骗、投放恶意软件、窃取加密货币等非法活动。 据Cyberint的技术报告披露，UULoader通过伪装成合法应用程序的恶意安装程序，主要针对韩语和中文用户。这些恶意软件通常以微软柜文件（.cab）格式分发，内部包含两个核心可执行文件，一个为.exe文件，另一个为.dll文件。这些文件的文件头已被剥离，使其难以被传统检测工具识别。 值得注意的是，UULoader的代码中包含了中文字符串，且嵌入的DLL文件中存在程序数据库（PDB）文件，进一步指向其开发者可能为中文母语者。Cyberint指出，该恶意软件利用合法的二进制文件进行DLL侧加载，最终加载的文件名为“XamlHost.sys”，实际上是远程访问工具（RAT）或Mimikatz凭证窃取器。 此外，UULoader的安装文件中包含了Visual Basic脚本（.vbs），负责启动Realtek等合法可执行文件，同时部分样本还会运行诱饵文件，作为混淆策略。例如，若伪装为Chrome更新程序，诱饵文件就是真实的Chrome更新程序。 UULoader攻击路径 这并非UULoader首次曝光，早在上个月，网络安全公司eSentire就曾报告过类似的攻击链条，攻击者通过伪造的Google Chrome网站传播Gh0st RAT，目标为中国的Windows用户。 UULoader的出现恰逢近年来以加密货币为诱饵的钓鱼攻击激增。攻击者利用免费托管服务搭建钓鱼网站，冒充Coinbase、Exodus和MetaMask等加密钱包服务，诱导用户点击恶意链接。Symantec的报告指出，攻击者利用Gitbook和Webflow等服务，创建仿冒加密钱包的域名，诱骗受害者访问钓鱼页面。 不仅如此，部分钓鱼攻击还伪装成印度和美国政府机构，诱导用户访问虚假域名，窃取敏感信息，并用于进一步的诈骗、信息传播或恶意软件分发。值得警惕的是，这些攻击还滥用微软Dynamics 365 Marketing平台，通过创建子域名和发送钓鱼邮件，绕过常规的邮件过滤机制。 同时，随着生成式人工智能（GenAI）的广泛应用，社会工程攻击也开始利用这一趋势，设置伪装成OpenAI ChatGPT的诈骗域名，用于钓鱼、灰色软件、勒索软件等恶意活动。据Palo Alto Networks的报告显示，超过72%的诈骗域名包含gpt或Chatgpt等与生成式AI应用有关的关键词。 面对日益复杂的境外网络攻击，中国企业和个人需提高警惕，尤其是在使用与生成式AI、加密货币相关的服务时，应加强防范措施，避免成为网络犯罪的目标。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/9s1Shc-UO4GuzJ3WBcZzwQ 封面来源于网络，如有侵权请联系删除

本周二，据FalconFeeds、Ransomlook等多家威胁情报平台报道，某A股上市建筑公司某集团疑似发生大规模数据泄漏，勒索软件组织The Ransom House Group在数据泄漏论坛发帖称窃取了该公司2.3TB数据，并宣称如果未来2-3天内不支付赎金将撕票（公布数据）。 此次针对某集团的攻击事件未得到官方确认，也未公布具体被窃数据的种类和数量，但报道该事件的威胁情报平台预计可能涉及公司内部敏感信息。 RansomHouse勒索软件组织发布的勒索通知 曾勒索荷兰建筑巨头和AMD RansomHouse是近年来新兴的数据勒索团伙之一，自2021年末开始活跃。通过与其他网络犯罪团伙合作，利用企业系统的漏洞发动攻击，RansomHouse逐步形成了复杂的勒索网络。RansomHouse勒索软件组织并不像传统勒索软件团伙那样对文件进行加密，而是专注于数据窃取与勒索。RansomHouse主要通过复杂的网络渗透手段和钓鱼攻击来进入目标公司的网络。成功攻破后，他们会迅速下载并窃取公司数据，随后勒索赎金。 RansomHouse强调自己并非“勒索软件组织”，而是“专业调解者”，帮助受害者以最小损失解决数据泄露问题。 据报告，RansomHouse已经针对各行各业的多家知名大型企业发起攻击（上图），不断扩大其全球影响力。此前，RansomHouse曾成功攻击过包括半导体巨头AMD、非洲零售巨头Shoprite在内的多家大型公司，通过数据窃取与勒索手段获取赎金。值得注意的是，RansomHouse此前曾攻击过荷兰建筑巨头KuiperCompagnons。 勒索软件防御的关键措施 此次网络攻击凸显了在“网络攻击全球化”大潮中，中国企业的威胁态势正迅速恶化，面对RansomHouse及类似的网络勒索威胁，企业应采取多层次的防御措施，以防止数据泄露和勒索攻击。以下是GoUpSec安全顾问提供的关键防御策略： 漏洞管理与补丁更新。RansomHouse通常利用未修复的系统漏洞进行攻击，因此企业必须确保及时安装系统和软件更新，修复已知的安全漏洞。 强化访问控制与身份验证。使用强密码策略并启用多因素身份验证（MFA）可以大幅减少攻击者利用弱密码获取系统访问权限的机会。 数据加密与备份。定期备份重要数据并确保备份文件离线存储。同时，对敏感数据进行加密，以减少数据泄露后的影响。 网络钓鱼培训与防护。钓鱼攻击是网络犯罪分子常用的手段之一。企业应定期对员工进行网络安全培训，提高对钓鱼邮件的识别能力，同时部署电子邮件过滤系统。 引入威胁检测与响应平台。采用安全信息和事件管理系统（SIEM）和威胁检测平台，可以帮助企业及时识别和响应潜在的网络威胁，降低攻击造成的损害。 与专业网络安全供应商合作。企业可以考虑与专业的网络安全公司合作，进行定期的安全审计和渗透测试，以确保其安全防护体系的有效性。 通过这些策略，企业可以显著提升其网络防御能力，抵御RansomHouse等依赖数据窃取进行勒索的新兴勒索组织的威胁。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/-e-uFQGGQ0h1Uz79YtLPXQ 封面来源于网络，如有侵权请联系删除

27岁的俄罗斯公民格奥尔基·卡夫扎拉泽（Georgy Kavzharadze）因在Slilpp上出售超过30万个账户的登录凭证，被判处40个月的监禁。Slilpp是最大的在线被盗账户登录凭证市场，2021年6月该市场被查封。 判处40个月监禁 近期外媒报道，美国司法部表示，Kavzharadze（也称为TeRorPP，Torqovec和PlutuSS）在非法市场上出售了大量财务信息和其他个人身份信息（PII）。在2016年至2021年期间，他在Slilpp市场上列出了超过626100个被盗登录凭据出售，并成功售出了超过297300个。他的活动与超过120万美元的欺诈交易有关。 司法部称，“2021年5月27日，Kavzharadze在Slilpp上的账户列出了 240,495个待售登录凭据，这些凭据允许买家使用这些信息从受害者的在线支付和银行账户中窃取资金。这些凭证包括访问纽约、加利福尼亚州、内华达州和佐治亚州的银行账户。Kavzharadze只接受比特币作为凭证的支付方式。” 根据法庭文件，联邦调查局（FBI）分析师发现Kavzharadze与一个比特币账户中超过20万美元的Slilpp利润有关。该账户收取了被盗登录信息、个人和财务信息的付款。 2021年8月19日，美国司法部指控Kavzharadze共谋实施银行和电汇欺诈、银行欺诈、访问设备欺诈和严重身份盗窃。 他被引渡到美国，并于2022年5月在美国地方法院出庭。将近两年后，即2024年2月16日，Kavzharadze承认自己是一名Slilpp供应商，并共谋实施银行和电汇欺诈。 最大暗网市场Slilpp 美国司法部于2021年6月10日宣布关闭Slilpp，此行动由美国、德国、荷兰和罗马尼亚的执法机构联合行动，行动中没收了用于托管Slilpp基础设施的服务器。自2012年以来，Slilpp已经活跃了近十年，并被网络犯罪分子用来买卖银行、在线支付、手机、零售商和其他在线账户的被盗登录凭据。 据悉，在Slilpp被关闭查封域名之前，Slilpp的供应商列出有超过8000万个被盗登录凭据，这些待售凭据归属于1400多家公司的用户，其中许多是全球知名组织。 从那时起，全球的执法机构都开始集中力量打击那些帮助犯罪分子获取敏感信息的活动。这些敏感信息是从网络攻击的受害者那里被窃取的。 例如，今年早些时候，执法部门逮捕了23岁的林瑞祥（Rui-Siang Lin），他被怀疑是Incognito暗网毒品市场的所有者和经营者。这个市场销售了价值超过1亿美元的毒品。如果林瑞祥被判定有罪，他可能会面临强制性的最低刑罚，即终身监禁。去年，当局还查封了Genesis被盗凭证市场，并在代号为Spector的执法行动后逮捕了288名暗网毒品供应商和买家。 今年6月，FBI逮捕了BreachForums黑客论坛的所有者康纳·布莱恩·菲茨帕特里克（Connor Brian Fitzpatrick，又名Pompompurin）。 去年12月，一项国际警察行动逮捕了3500名网络犯罪分子，并缴获了超过3亿美元。德国警方查获了王国市场（Kingdom Market），这是一个销售网络犯罪工具、毒品和假政府身份证的暗网市场。   转自E安全，原文链接：https://mp.weixin.qq.com/s/1bb8UZRrnjAkouYFxizyag 封面来源于网络，如有侵权请联系删除

卡巴斯基研究人员揭露了一项复杂的信息窃取活动，该活动冒充合法品牌来分发DanaBot和StealC等恶意软件。 据称，该活动集群由俄语网络犯罪分子策划，代号为“Tusk”，包含多个子活动，利用平台的声誉诱骗用户使用虚假网站和社交媒体账户下载恶意软件。 卡巴斯基研究人员 Elsayed Elrefaei 和 AbdulRhman Alfaifi表示：“所有活跃的子活动都在 Dropbox 上托管初始下载程序。” “该下载程序负责向受害者的机器提供其他恶意软件样本，这些样本大多是信息窃取程序（DanaBot 和 StealC）和剪辑程序。” 迄今为止，已发现 19 个子攻击活动中，其中三个目前仍在活跃。“Tusk”这个名字指的是攻击者在与初始下载器相关的日志消息中使用的“Mammoth”一词。值得注意的是，Mammoth是俄罗斯电子犯罪集团经常用来指代受害者的俚语。 这些活动还因使用网络钓鱼手段欺骗受害者提供其个人和财务信息而闻名，这些信息随后在暗网上出售或用于未经授权访问他们的游戏账户和加密货币钱包。 三个子活动中的第一个名为 TidyMe，模仿 peerme[.]io，在 tidyme[.]io（以及 tidymeapp[.]io 和 tidyme[.]app）上托管一个相似的网站，该网站会诱使用户点击下载适用于 Windows 和 macOS 系统的恶意程序。可执行文件由 Dropbox 提供。 该下载器是一个 Electron 应用程序，启动时会提示受害者输入显示的 CAPTCHA，然后显示主应用程序界面，同时在后台秘密获取并执行另外两个恶意文件。 此次活动中观察到的有效载荷都是Hijack Loader构件，它们最终会启动 StealC 窃取恶意软件的变种，能够收集广泛的信息。 第二个子活动 RuneOnlineWorld（“runeonlineworld[.]io”）使用一个模拟大型多人在线（MMO）游戏 Rise Online World 的虚假网站来分发类似的下载程序，为受感染主机上的 DanaBot 和 StealC 铺平道路。 在这次活动中，通过 Hijack Loader 分发的还有一种基于 Go 的剪切板监视恶意软件，该恶意软件旨在监视剪贴板内容，并使用攻击者控制的比特币钱包替换受害者复制的钱包地址，以执行欺诈交易。 活跃活动的最后一项是 Voico，它冒充名为 YOUS（yous[.]ai）的 AI 翻译项目，并使用名为 voico[.]io 的恶意对应项目来传播初始下载程序，在安装时，该下载程序会要求受害者填写包含其凭证的注册表，然后将信息记录在控制台上。 最终的有效载荷表现出与第二个子活动类似的行为，唯一的区别是，在这种情况下使用的 StealC 恶意软件与不同的命令和控制 (C2) 服务器进行通信。 “这些活动表明，网络犯罪分子的威胁持续不断且不断演变，他们善于模仿合法项目来欺骗受害者。对网络钓鱼等社会工程技术的依赖，加上多阶段恶意软件传递机制，凸显了威胁行为者的先进能力。”研究人员表示，“通过利用用户对知名平台的信任，这些攻击者有效地部署了一系列恶意软件，旨在窃取敏感信息，破坏系统，并最终获取经济利益。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/a777eGTYEUHDwa5qfuODsw 封面来源于网络，如有侵权请联系删除

Gen Threat Labs 的安全研究人员认为，微软上周修补的一个被利用的0day漏洞与朝鲜的 Lazarus APT 组织有关。 该漏洞被编号为CVE-2024-38193，并被微软标记为“积极利用”，允许在最新的 Windows 操作系统上获得 SYSTEM 权限。 Gen 是 Norton、Avast、LifeLock 和 Avira 等消费品牌的集合，该公司发布了一条简短的说明，称此次攻击与 Lazarus 通过使用 FudModule rootkit 相关联。但是，该公司并未发布任何指标或技术文档来支持这种关联。 “6 月初，Luigino Camastra 和 Milanek 发现 Lazarus 组织正在利用 Windows 中一个关键部分 AFD.sys 驱动程序中隐藏的安全漏洞。该漏洞使他们能够未经授权访问敏感系统区域。我们还发现他们使用一种名为 Fudmodule 的特殊恶意软件来隐藏他们的活动，不让安全软件发现。”该公司表示，但没有提供更多细节。 Avast 之前曾将 FudModule 记录为 Lazarus APT 工具包的一部分，该工具包包含可追溯至二月份的管理员到内核的 Windows 0day漏洞。 这是微软在 8 月补丁日安全更新中发现的六个0day漏洞之一。安全专家还认为，朝鲜 APT 组织正在利用第二个漏洞 ( CVE-2024-38178 ) 来攻击韩国受害者。 该漏洞是 Windows 脚本引擎中的一个内存损坏漏洞，如果经过身份验证的客户端被诱骗点击链接，则会导致远程代码执行攻击。要成功利用此漏洞，攻击者首先需要准备目标，使其在 Internet Explorer 模式下使用 Edge。 Ahn 实验室和韩国国家网络安全中心报告了此脚本引擎0day漏洞，表明该漏洞被用于国家级 APT 攻击。微软并未发布 IOC（攻击指标）或任何其他数据来帮助防御者寻找感染迹象。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/OgFKCyYGQd221n52-E4Vww 封面来源于网络，如有侵权请联系删除

近日，一场大规模勒索活动利用可公开访问的环境变量文件（.env）入侵了多个组织，这些文件包含与云和社交媒体应用程序相关的凭据。 “在这次勒索活动中存在多种安全漏洞，包括暴露环境变量、使用长期凭证以及缺乏最小权限架构 。”Palo Alto Networks Unit 42 在一份报告中指出。 该活动的显著特点是在受感染组织的亚马逊网络服务（AWS）环境中设置了攻击基础设施，并将其作为跳板，扫描超过 2.3 亿个唯一目标的敏感数据。 据了解，该恶意活动以 11 万个域为目标，在 .env 文件中获取了超过 9 万个独特变量，其中 7000 个变量属于组织的云服务，1500 个变量与社交媒体账户相关联。 Unit 42 表示，这次活动攻击者成功对托管在云存储容器中的数据进行勒索。不过，攻击者并没有在勒索之前对数据进行加密，而是将数据提取出来，并将勒索信放在被入侵的云存储容器中。 这些攻击最引人注目的一点是，它并不依赖于云提供商服务中的安全漏洞或错误配置，而是源于不安全 Web 应用程序上的 .env 文件意外曝光，从而获得初始访问权限。 成功破坏云环境为广泛的发现和侦察步骤铺平了道路，目的是扩大他们的影响力，威胁行为者将 AWS 身份和访问管理（IAM）访问密钥武器化，以创建新角色并提升他们的权限。 具有管理权限的新 IAM 角色随后被用于创建新的 AWS Lambda 函数，以启动包含数百万个域名和 IP 地址的全网自动扫描操作。 Unit 42 的研究人员 Margaret Zimmermann、Sean Johnstone、William Gamazo 和 Nathaniel Quist 说：”脚本从威胁行为者利用的可公开访问的第三方 S3 桶中检索到了潜在目标列表。恶意 lambda 函数迭代的潜在目标列表包含受害者域名的记录。对于列表中的每个域名，代码都会执行一个 cURL 请求，目标是该域名暴露的任何环境变量文件（即 https://<target>/.env）。” 如果目标域名托管了已暴露的环境文件，文件中包含的明文凭据就会被提取出来，并存储在另一个由威胁行为者控制的公共 AWS S3 存储桶中新建的文件夹中。目前，该存储桶已被 AWS 关闭。 研究人员发现，这场攻击活动特别针对包含 Mailgun 凭证的 .env 文件实例，表明攻击者试图利用它们从合法域名发送钓鱼邮件并绕过安全保护。 感染链的最后，威胁者会从受害者的 S3 存储桶中提取并删除敏感数据，并上传一张勒索信，提醒受害者联系并支付赎金，以避免敏感信息在在暗网上被出售。 威胁行为者试图创建新的弹性云计算（EC2）资源用于非法加密货币挖矿，但以失败告终，这也表明了攻击的经济动机。 目前还不清楚谁是这场活动的幕后黑手，部分原因是使用了 VPN 和 TOR 网络来掩盖其真实来源，不过 Unit 42 表示，它检测到两个 IP 地址分别位于乌克兰和摩洛哥，是 lambda 功能和 S3 提取活动的一部分。 研究人员强调：”这次活动背后的攻击者很可能利用了大量自动化技术来成功、快速地开展行动。这表明，这些威胁行为者在高级云架构流程和技术方面既熟练又专业。”   转自FreeBuf，原文链接：https://www.freebuf.com/news/408949.html 封面来源于网络，如有侵权请联系删除

8月15日，记者从北京市朝阳区人民法院获悉一起侵犯公民个人信息案，该案中，天某某非法获取上亿条公民个人信息，并利用境外软件提供给他人牟利。据了解，这些信息不仅包含个人的姓名、手机号、证件号以及交易信息，还包括车辆信息、用户密码等信息，部分信息较为敏感。因侵犯公民个人信息罪，天某某被判处有期徒刑五年，罚金100万元。法院审理查明，2022年4月至8月间，天某某伙同他人，通过爬取、交换、购买等方式获取大量公民个人信息后，利用境外聊天软件向他人有偿提供公民信息查询。经鉴定，在起获的天某某的电脑内，共存储上亿条信息记录，给不特定公民的人身、财产安全造成极大的风险和隐患。天某某还让张某担任聊天软件客服负责解答客户问题，让陈某某帮助存储、转发部分公民个人信息。 法院认为，被告人天某某、张某、陈某某违反国家有关规定，向他人出售或者提供公民个人信息，情节特别严重，三被告人的行为均已构成侵犯公民个人信息罪，依法均应予惩处。 三被告人均表示认罪认罚，因张某、陈某某系从犯，天某某、张某积极退缴违法所得，法院依法对天某某予以从轻处罚，对张某、陈某某予以减轻处罚。 最终，因侵犯公民个人信息罪，天某某被法院判处有期徒刑5年，罚金100万元；张某被判处有期徒刑1年8个月，缓刑2年，罚金3万元；陈某某被判处有期徒刑1年半，缓刑2年，罚金4万元。 一审判决后，被告人均未上诉，判决已生效。 庭后，本案主审法官表示，根据我国刑法第二百五十三条之一的规定，侵犯公民个人信息罪，指违反国家有关规定，向他人出售或者提供公民个人信息的行为，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。窃取或者以其他方法非法获取公民个人信息的，依照侵犯公民个人信息罪定罪处罚。 公民的个人信息受到刑法、个人信息保护法等法律法规的保护，违反规定向他人出售或者提供公民个人信息，不仅侵犯了公民的人身权利，还会进一步衍生电信网络诈骗等犯罪，给公民的人身权、财产权造成潜在的威胁，依法应受到法律的制裁。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/-dkIbXPtelPtTnLqgBf6mA 封面来源于网络，如有侵权请联系删除

自 2017 年 9 月以来，许多 Google Pixel 设备都包含可能被攻击者利用来入侵的休眠软件。 移动安全公司 iVerify 的研究人员报告称，该问题源于预装的 Android 应用程序“Showcase.apk”，该应用程序以过多的系统权限运行，允许其远程执行代码并安装远程包。 报告指出：“自 2017 年 9 月以来，iVerify 在全球出货的大部分 Pixel 设备上发现了一个 Android 软件包“Showcase.apk”，该软件包具有过多的系统权限，包括远程代码执行和远程软件包安装功能。” 该应用程序通过不安全的连接下载配置文件，并且可以被操纵以在系统级别执行代码。 允许应用程序通过不安全的 HTTP 从单个 AWS 托管域检索其配置文件，从而使数百万台 Android Pixel 设备暴露于中间人 (MITM) 攻击。攻击者可以利用此漏洞注入恶意代码、以系统权限执行命令并接管设备，从而可能导致严重的网络犯罪和数据泄露。 由 Smith Micro 开发的“Showcase.apk”软件包是数百万 Android Pixel 手机固件映像的一部分。 应用程序“Showcase.apk”无法通过标准卸载过程删除，谷歌尚未解决该漏洞。该应用程序预装在Pixel固件中，并包含在谷歌针对Pixel设备的OTA更新中。专家指出，尽管该应用程序默认未启用，但可以通过多种方法激活，其中一种方法需要对设备进行物理访问。 这个存在缺陷的应用程序名为 Verizon Retail Demo Mode （“com.customermobile.preload.vzw”），其执行需要 数十个权限。该应用程序自 2016 年 8 月起就已存在，但没有证据表明此漏洞已被利用。 “应用程序在检索应用程序配置文件时无法验证或验证静态定义的域。如果应用程序已经维护了持久配置文件，则不清楚是否进行了其他检查以确保命令和控制或文件检索的配置参数是最新的。”分析报告继续说道。“应用程序在证书和签名验证期间使用不安全的默认变量初始化，导致在失败后进行有效的验证检查。” 该应用程序存在漏洞，因为其配置文件可能在检索或传输到目标手机时被更改。它也无法处理丢失的公钥、签名和证书，从而使攻击者能够在下载过程中绕过验证过程。 需要强调的是，攻击者需要物理访问设备并获得用户密码才能利用此漏洞。 谷歌表示，该问题不是 Android 或 Pixel 系统中的漏洞，并宣布将在即将推出的 Pixel 软件更新中从所有受支持的 Pixel 设备中删除该应用。 谷歌还通知了其他 Android OEM。 Showcase.apk 的发现和其他备受关注的事件（例如在Microsoft Windows中运行第三方内核扩展 ）凸显了在将第三方应用程序作为操作系统的一部分运行时需要更多的透明度和讨论。它还表明需要进行质量保证和渗透测试，以确保安装在数百万台设备上的第三方应用程序的安全。 报告总结道：“为什么只有极少数设备需要 Showcase.apk，而 Google 却在每台 Pixel 设备上安装第三方应用程序仍不得而知。这个问题非常严重，以至于帮助发现安全问题的 Palantir Technologies 决定在未来几年内从其网络中移除所有 Android 设备并完全过渡到 Apple 设备。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aztJg6UgO97dTT0rPdA_Ew 封面来源于网络，如有侵权请联系删除