一组黑客因为发现了苹果公司系统的55个漏洞，获得了超过5万美元的除虫奖励。Sam Curry、Brett Buerhaus、Ben Sadeghipour、Samuel Erb和Tanner Barnes花了3个月的时间对苹果平台和服务进行黑客攻击，发现了一系列弱点。该团队发现的55个漏洞严重程度不一，其中一些漏洞非常严重，他们如此描述： 在我们的参与过程中，在苹果基础设施的核心部分发现了各种漏洞，这些漏洞将允许攻击者完全入侵客户和员工的应用程序，甚至启动一个能够自动接管受害者的iCloud账户的蠕虫，检索苹果内部项目的源代码，完全入侵苹果使用的工业控制仓库软件，并接管苹果员工的会话，并能够访问管理工具和敏感资源。 苹果公司收到报告后迅速处理了大部分漏洞，有些漏洞在短短几个小时内就得到了解决。 总的来说，苹果公司对我们的报告反应非常迅速。对于我们比较重要的报告，从提交到修复的时间只有四个小时。 作为苹果公司安全赏金计划的一部分，该小组的一些工作能够获得可观的报酬。截至10月4日周日，他们已经收到了四笔款项，共计51500美元。其中包括披露iCloud用户全名的5000美元，发现IDOR漏洞的6000美元，进入企业内部环境的6500美元，以及发现包含客户数据的系统内存泄露的34000美元。 由于没有人真正了解他们的bug赏金计划，所以我们几乎是在进入一个未知的领域，投入了如此大的时间。苹果与安全研究人员合作的历史很有趣，但他们的漏洞披露计划似乎是在与黑客合作保护资产安全、让感兴趣的人发现并报告漏洞的正确方向上迈出了一大步。 自去年以来，苹果一直在积极投资其漏洞赏金计划。现在，安全研究人员根据安全漏洞的性质和严重程度，每个漏洞最高可以获得100万美元的奖励。 在得到苹果安全团队的许可后，该小组发布了一份内容广泛的报告，其中详细介绍了一系列漏洞以及定位和利用弱点的方法。他们还暗示，更多的悬赏可能会在路上。     （稿源：cnBeta，封面源自网络。）

据悉，大多数现代 macOS 设备中使用 T2 协处理器，可负责启动和安全相关的操作，以及音频处理等不同的功能。自 2018 年起，苹果已经为自家多款基于英特尔处理器平台的 macOS 设备配备了 T2 安全芯片。然而近日有位网络安全研究人员指出，该芯片存在一个无法修复的漏洞，攻击者或借此轻易获得设备的 root 访问权限。 iMac Pro 主板特写（图自：iFixit） 据 Niels H. 所述，由于 T2 芯片基于苹果 A10 处理器，因而容易受到 iOS 设备同源漏洞攻击（checkm8）的影响。   通常情况下，如果在 DFU 模式下检测到解密调用，T2 芯片将以发生致命错误的形式退出。 但该漏洞利用程序可与 Pangu 开发的另一个漏洞配合使用，以绕过 DFU 的出口安全机制。 对于经验丰富的攻击者来说，显然可借此绕过激活锁定，并执行其它恶意攻击。 一旦被攻击者获得了对 T2 芯片的访问权限，他们将拥有完全的 root 访问和内核执行特权。 即便无法解密受 FileVault 加密保护的文件，但由于 T2 芯片管理着键盘访问，因而还是有可能被注入键盘记录器程序、并窃取用户的相关密码凭证。 固件级的密码也无法幸免，因为这部分还是要用到键盘访问。此外该漏洞或允许通过移动设备管理（MDM）和查找（Find My）功能，以绕过内置的激活锁安全机制。 MacBook Pro 系统截图（来自：Apple Support） 更糟糕的是，苹果也无法在不进行硬件修补的情况下彻底缓解该漏洞。因为出于安全的考量，T2 的基础操作系统（SepOS）是烧录在只读存储器（ROM）上的。 Niels H. 表示其已向苹果公司通报了这些问题，但尚未得到任何回应，感兴趣的朋友可到 IronPeak.be 博客上了解更多细节（传送门）。 聊以慰藉的是，即便该漏洞影响所有基于英特尔处理器和 T2 安全芯片的 Mac 产品，但相关问题并不会持久存在。 因为攻击者首先需要物理接触到用户设备，然后搭配特殊的硬件来执行，比如恶意或定制的 USB-C 线缆。 对于普通用户来说，只需牢记保持物理安全性、不插入未经验证的 USB-C 设备来规避这方面的风险。 至于最新的 Apple Silicon 平台是否也存在着同样的问题，仍有待时间去检验。     （稿源：cnBeta，封面源自网络。）

与每个月的情况一样，谷歌已经开始为本月支持的Pixel设备推出月度安全补丁。这家搜索巨头还发布了Android安全公告，以记录作为2020年10月补丁的一部分所解决和修复的所有错误和漏洞。补丁列表中包括操作系统中各个组件中的一些高严重性漏洞，公告中提供了详细的内容。 除了这些适用于不同Android版本的修复之外，该公司还详细介绍了针对支持的Pixel设备发布的功能补丁。这些更新通过带来Pixel手机特有的性能改进、bug修复等，提高了设备的可用性。 本月的更新为所有支持的机型带来了屏幕自动旋转的改进，为最新的中端机、Pixel 4a等带来了触控灵敏度和自动亮度的提升。此次更新还修复了最近报道的向上滑动手势访问最近应用UI的问题。 以下是该公司发布的完整变更日志： 补丁应该会在今天通过空中更新（OTA）逐步开始向所有用户推出。然而，对于带运营商锁的设备，推出时间表可能有所不同。Google还在此提供了OTA镜像，供用户手动加载镜像并更新设备。 此外，Android安全公告本月补丁的源代码将在未来48小时内在Android开源项目(AOSP)存储库上提供。     （稿源：cnBeta，封面源自网络。）

随着操作系统代码复杂度的提升，Bug 与漏洞也变得越来越难以避免。与此同时，随着 Android 与 iOS 平台在移动时代的重要性日渐提升，行业也需要越来越多有这方面经验的安全研究人员。最新消息是，搜索巨头谷歌正在组建一支 Android 安全团队，并将致力于发现和消除敏感 App 中的 Bug 。 虽然 Android Security 团队早期不是什么新鲜事，但谷歌显然还是希望通过成立一支新的团队，来进一步加速发现和修复 Bug 的过程。 具体说来是，这支 Android 安全团队将主要负责对“高度敏感型的应用”展开安全评估。有趣的是，该公司也在一则招聘启事中进行了披露。   据悉，搜索巨头希望招募安全工程方面的经理人选（传送门），该职位需要负责组建一支安全团队，然后对 Google Play 上高度敏感的第三方 Android 应用进行安全评估。 外媒猜测，该团队或专注于包含敏感用户数据的 App，比如网银和最近流行的 COVID-19 密切接触者追踪通报应用程序。 此外这份招聘启事还讨论了谷歌正在寻找的新 Android 安全团队将不仅致力于发现敏感 App 中的漏洞，同时也会提供解决问题的补救措施。 更进一步的话，新团队还将负责与其它 Android 安全团队的合作，以找到更好的方法来缓解此类问题的发生，后续显然会将范围覆盖到自家的 Play 应用商店之外。 换言之，此举将提升 Android 生态系统的整体安全性和可访问性，进而带来更好的用户体验。     （稿源：cnBeta，封面源自网络。）

美国每年10月都会举办 “国家网络安全意识月”活动。该活动最早是由国土安全部和国家网络安全联盟在2004年发起的，目的是围绕网络安全和保障建立更多的意识。随着2020年10月的到来，微软也宣布了自己的计划，以促进网络安全的重要性。 在微软安全、合规和身份认证部CVP Vasu Jakkal撰写的一篇博客文章中，这位高管曾表示，由于COVID-19流行病迫使人们在家中的场所进行大部分日常活动，现在对网络安全的需求越来越大。 为此，微软将与Terranova合作，在10月份启动 “Gone Phishing Tournament”，双方将利用诈骗者的真实邮件样本为企业提供数据驱动的见解，以便他们加强各自的网络安全计划。该公司还将围绕网络安全这一主题发表5篇文章，用36种语言进行本地化，涵盖广泛的主题和受众。 微软商店将举办网络安全意识的虚拟研讨会。”与Microsoft 365一起更安全、更智能地工作”和 “与Microsoft Teams一起更好地工作 “研讨会也将分别强调Microsoft 365 Business和Microsoft Teams中存在的在线安全功能。 微软还将更加重视网络安全团队的多元化招聘。Jakkal表示，建立多元化的网络团队是他的主张。这不仅仅是正确的事情，它也带来了作为一个公司的战略优势，有利于对全球威胁行为者的防御。 AI仍然是对抗网络威胁的最佳工具之一。但有效的、负责任的人工智能需要不同群体的投入和想法。这种思想的多样性不仅仅是性别或种族的多样性。当然，这两者都有，但还不止这些。有效的人工智能需要经验、文化、观点、教育、观点和其他许多因素的多样性。在一个团队中，如果每个人都有相似的技能和背景，成员们就有可能陷入群体思维，失去创造力。 确保团队的多样性有助于创建值得人们信任的人工智能系统，同时更接近于未来防止技术中的偏见。微软已经建立了合作伙伴关系，创建了倡议，并建立了透明度，作为我们解决导致女性在网络安全领域代表性低的系统性问题的整体方法的一部分。 你可以通过访问其专门的网络安全网站了解更多关于该公司的努力。     （稿源：cnBeta，封面源自网络。）

微软周一表示，伊朗国家支持的黑客目前正在现实世界的黑客活动中利用Zerologon漏洞。成功的攻击将使黑客能够接管被称为域控制器(DC)的服务器，这些服务器是大多数企业网络的核心，并使入侵者能够完全控制其目标。 微软今天在一条简短的推文中表示，伊朗的攻击是由微软威胁情报中心(MSTIC)检测到的，已经持续了至少两周。 MSTIC将这些攻击与一个伊朗黑客组织联系在一起，该公司追踪到的这个组织名为MERCURY，但他们MuddyWatter的绰号更为人所知。 该组织被认为是伊朗政府的承包商，在伊朗主要情报和军事部门伊斯兰革命卫队的命令下工作。 根据微软的《数字防御报告》，这个组织历史上曾针对非政府组织、政府间组织、政府人道主义援助和人权组织。 尽管如此，微软表示，”MERCURY”最近的目标包括 “大量参与难民工作的目标 “和 “中东地区的网络技术提供商”。 但当安全研究人员推迟公布细节，给系统管理员更多的时间打补丁时，Zerologon的武器化概念验证代码几乎在详细撰文的同一天公布，在几天内就引发了第一波攻击。 漏洞披露后，国土安全部给联邦机构三天时间打补丁或将域控制器从联邦网络中断开，以防止攻击，该机构预计攻击会到来，几天后，它们确实来了。 MERCURY攻击似乎是在这个概念验证代码公布后一周左右开始的，大约在同一时间，微软开始检测到第一个Zerologon利用尝试。     （稿源：cnBeta，封面源自网络。）

据报道，全球航运业在一周内遭受了第二次网络攻击，这引发了人们对供应链中断的担忧。目前，这些供应链已经十分紧张，可能无法在消费者需求的传统旺季及时运送商品。国际海事组织（International Maritime Organization）周四发表声明说，该组织的IT系统遭受了一次复杂的网络攻击。 国际海事组织是联合国旗下的一个海事行业监管机构，组织表示，目前一些网络服务无法使用，网络入侵正在影响他们的公共网站和内部系统。 本周早些时候，全球运力第四大集装箱班轮公司达飞海运（CMA CGM SA）披露，其信息系统受到了攻击。达飞海运星期四表示，公司各办事处“正在逐步重新连接到网络，以提高了预订和文件处理的时间。” 达飞海运在一份电子邮件声明中表示：“我们怀疑这是一次数据泄露，我们正在尽一切可能评估其潜在规模和性质。”据Alphaliner的数据，达飞海运是全球五大集装箱班轮之一，其运力占全球的65%。 近年来，一系列网络事件困扰着航运业，其中最大的一起是2017年的网络入侵，导致总部位于哥本哈根的马士基公司损失了约3亿美元。 网络安全公司Pen Test Partners的安全专家肯·芒罗（Ken Munro）表示：“马士基事件显然引起了骗子和网络罪犯的注意，他们意识到航运业受到了严重冲击。如果岸上的系统无法预订集装箱，船只就无法装载货物，也就无法产生收入。因此，针对航运公司的网络攻击对勒索软件运营商来说是有利可图的。” 虽然暂时并不能肯定，最近的网络攻击会对全球贸易造成短暂的刺激，还是会引发更大范围的破坏。但物流专家李·克拉斯科夫（Lee Klaskow）表示：“网络威胁短期内肯定会带来不利影响，让人头疼。” 对于那些仍在等待季节性周期恢复正常的航运公司来说，最近网络攻击行动发生的时机尤其糟糕。 由于消费者被迫在家工作、在网上购买必需品，从纸巾、口罩到蹦床和电脑显示器等各种物品的供应链都很紧张。此外，由于电子商务采购依然强劲，企业也在补充库存，货主对供应链的需求并未减少，但运力却在下降。因此，自今年年初以来，跨越太平洋运输集装箱的基准成本增加了两倍。     （稿源：cnBeta，封面源自网络。）

Joker是最著名的恶意软件家族之一，它不断地攻击Android设备。尽管人们意识到了这种特殊的恶意软件，但它通过改变代码、执行方法或有效载荷检索技术，不断地进入谷歌的官方应用程序市场。这个间谍软件的目的是窃取短信、联系人名单和设备信息，同时悄悄地为受害者注册高级无线应用协议（WAP）服务。 我们的Zscaler ThreatLabZ研究团队一直在不断监视Joker恶意软件。最近，我们看到它定期上传到Google Play商店。一旦接到我们的通知，谷歌安卓安全团队立即采取行动，从谷歌Play商店删除可疑应用（如下所列）。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1352/     消息与封面来源：zscaler  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

9月24日，在与《The Hacker News》共享的一份报告中，Check Point研究人员披露了有关 Instagram Android应用程序中一个关键漏洞的详细信息，该漏洞可能允许远程攻击者仅向受害者发送特制图像即可控制目标设备。 更令人担忧的是，该漏洞不仅使攻击者可以在Instagram应用程序中代表用户执行操作（包括监视受害者的私人消息，甚至从其帐户中删除或发布照片），而且还可以在设备上执行任意代码。 根据Facebook发布的一份咨询报告，堆溢出安全问题（CVE-2020-1895，CVSS评分：7.8）影响到了Instagram应用程序128.0.0.26.128之前的所有版本。 Check Point Research在9月24日发表的一份分析报告中说：“这一缺陷使该设备成为了一种工具，攻击者可以在他们不知道的情况下监视目标用户，并可以恶意操纵其Instagram个人资料。” “无论哪种情况，攻击都可能导致对用户隐私的大规模入侵，并可能影响声誉——或者导致更严重的安全风险。 在将调查结果报告给Facebook之后，这家社交媒体公司通过六个月前发布的补丁程序更新解决了该问题。公开披露一直被推迟，以允许大多数Instagram用户更新应用程序，从而减轻此漏洞可能带来的风险。 尽管Facebook证实，没有迹象表明这一漏洞在全球范围内被利用。但这再次提醒人们，让应用程序保持更新并注意授予他们的权限至关重要。 堆溢出漏洞 根据Check Point的说法，内存损坏漏洞允许远程代码执行，鉴于Instagram具有访问用户相机、联系人、GPS、照片库和麦克风的广泛权限，这些代码可能被用来在受感染的设备上执行任何恶意操作。 至于缺陷本身，它源于Instagram集成MozJPEG的方式，MozJPEG是一种开源JPEG编码器库，旨在降低带宽，并为上传到服务的图像提供更好的压缩。当有问题的易受攻击的函数（“read_jpg_copy_loop”）试图使用特制的恶意图像解析恶意图像时，会导致整数溢出尺寸。 这样，攻击者可以获得对分配给图像的内存大小，要覆盖的数据长度以及最后的溢出内存区域内容的控制权，从而使攻击者能够破坏堆中的特定位置并转移代码执行。 攻击者只需通过电子邮件或WhatsApp将损坏的JPEG图像发送给受害者。一旦收件人将图像保存到设备并启动Instagram，攻击就会自动发生，从而授予攻击者对应用程序的完全控制权。 更糟糕的是，除非将其删除并重新安装在设备上，否则该漏洞可用于使用户的Instagram应用程序崩溃并使其无法访问。 Check Point的Gal Elbaz说：“对公开的代码进行模糊处理后发现了一些新漏洞，这些漏洞已得到修复。” “如果付出足够的努力，这些漏洞中的一个很可能在零点击攻击场景中被用于RCE。 “不幸的是，将来还可能会存在或将引入其他错误。因此，有必要在操作系统库和第三方库中对此和类似的媒体格式解析代码进行连续的模糊测试。 ” Check Point网络研究负责人Yaniv Balmas为智能手机用户提供了以下安全提示： 更新。确保定期更新您的移动应用程序和移动操作系统。每周都有几十个重要的安全补丁在这些更新中发布，每一个都可能对你的隐私造成严重影响。 监视权限。 更好地关注请求许可的应用程序。对于应用程序开发人员而言，向用户请求过多的权限是毫不费力的，而且用户单击“允许”也很容易，无需三思而后行。 三思而后行。 批准任何内容之前，请花几秒钟的时间思考。问：“我是否真的想为此应用程序提供这种访问权限，我真的需要吗？” 如果答案是否定的，就不批准。     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国最大的医疗服务机构之一Universal Health Services遭到了勒索软件的攻击。据两名知情人士透露，周日凌晨，UHS系统遭到攻击，全国各地包括加州和佛罗里达州的多家UHS机构的电脑和电话系统被锁定。其中一人说，电脑屏幕上的文字发生了变化，其中提到了 “影子宇宙”，与Ryuk勒索软件的典型症状一致。“每个人都被告知关闭所有的电脑，不要再打开它们，”该人士说。”我们被告知，要过几天电脑才能再次启动。” 目前还不知道勒索软件攻击对患者护理产生了什么影响。 美国另一家医院系统负责网络安全的一位高管表示，病人的医疗数据”很可能是安全的”，因为UHS依靠医疗技术公司Cerner来处理病人的电子健康记录，这位高管因未获授权向媒体发言而不愿透露姓名。 UHS在美国和英国拥有400家医院和医疗机构，每年为数百万患者提供服务。UHS的发言人没有立即回应置评请求。 安全公司Crowdstrike称，Ryuk勒索软件与俄罗斯一个名为Wizard Spider的网络犯罪集团有关。Ryuk的运营者以专门盯紧”大猎物”著称，此前曾针对大型组织，包括航运巨头Pitney Bowes和美国海岸警卫队实施勒索攻击。 一些勒索团伙在今年早些时候表示，他们不会在COVID-19大流行期间攻击医疗机构和医院，但Ryuk的运营商没有这样做。 上周，德国警方在接到一名女性因为勒索软件导致死亡后展开凶杀案调查，这名女性在勒索软件攻击后被转移到另一家医院的途中丧生。     （稿源：cnBeta，封面源自网络。）