据外媒AppleInsider报道，一个研究团队披露了一个新的漏洞，可以让攻击者欺骗现代蓝牙设备，使其与伪装成受信任的恶意设备配对。这个安全漏洞被团队称为蓝牙冒充攻击(BIAS)，影响了一系列使用蓝牙的设备，包括iPhone、iPad和Mac。 从本质上说，BIAS攻击利用了蓝牙设备如何处理长期连接的漏洞。当两台蓝牙设备配对后，它们在一个“链接密钥 ”上达成一致，这样它们就可以在不经过配对过程的情况下重新连接到对方。瑞士洛桑联邦理工学院的研究人员发现，他们能够在不知道这个链接密钥的情况下，欺骗之前配对过的设备的蓝牙地址来完成认证过程。 更具体地说，当攻击设备假装是一个只支持单边认证的先前受信任的设备时，该漏洞就会启动–这是蓝牙中最低的安全设置。通常情况下，用户的设备将是验证该连接是否有效的设备。然而，通过使用一种被称为“角色切换”的策略，攻击者可以欺骗认证，并与用户设备建立安全连接。 结合其他蓝牙漏洞，如蓝牙密钥协商(KNOB)，攻击者可以破坏在安全认证模式下运行的设备。一旦BIAS攻击成功，被攻击的设备就可以被用来进行其他的利用，包括访问通过蓝牙发送的数据，甚至控制之前配对的设备所拥有的功能。 由于蓝牙连接通常不需要用户进行明确的交互，因此BIAS和KNOB攻击也是隐蔽的，可以在用户不知情的情况下进行。 谁会受到BIAS攻击的威胁？ 这个缺陷只影响到蓝牙基本速率/增强数据速率，也就是经典蓝牙。但这仍然使相对较新的苹果设备受到攻击，包括iPhone 8及以上版本、2017年版 MacBook设备及以上版本、2018年的iPad机型及以上版本。 为了实施攻击，不良行为者需要在易受攻击设备的蓝牙范围内，并知道之前配对设备的蓝牙地址。对于一个熟练的攻击者来说，找到这些蓝牙地址相对来说是件小事，即使是随机的。 研究人员已经通知了蓝牙特别兴趣小组(SIG)，该小组已经更新了蓝牙核心规范来缓解这一漏洞。苹果和三星等厂商很可能会在不久的将来推出固件或软件补丁，配合修复措施。   （稿源：cnBeta，封面源自网络。）

Edison Mail是一款在iPhone、iPad和Mac上比较流行的第三方电子邮件应用，不过近日曝光的一个BUG引起了人们对隐私的极大关注。Edison Mail用户报告称，在该应用中开启新的账户同步功能后，他们可以完全访问其他Edison Mail用户的电子邮件账户。 Edison Mail在给外媒9to5Mac一份声明中表示这个BUG目前只影响iOS用户： 10小时前，我们向少部分iOS用户推出了一个软件更新。在收到这些更新的部分用户遇到了影响邮件账户的应用漏洞，今天早上我们已经注意到了这个漏洞。我们已经迅速回滚了该更新。我们正在联系受影响的Edison Mail用户（仅限于过去10小时内更新并打开应用的用户子集），通知他们。 目前来看，这似乎是一个BUG，而不是安全漏洞。这个问题似乎源于上周在Edison Mail客户端推出的新同步功能。 Zach Knox是Edison Mail的首批用户之一，他今天早上在Twitter上反馈存在这个问题。 我刚刚更新了@Edisonapps Mail，在启用了一个新的同步功能后，一个不是我的邮件账户出现在应用中，我似乎可以完全访问。这是一个重大的安全问题。在没有凭证的情况下访问他人的电子邮件! 我再也不会相信这个应用程序了。   （稿源：cnBeta，封面源自网络。）

Zerodium 是一个漏洞利用获取平台，旨在向研究人员支付一定的费用来收买零日安全漏洞，然后转手卖给政府和执法机构等客户。然而本周，Zerodium 竟然宣布 —— 由于短期内提交的 iOS 漏洞利用程序太多，其计划在未来 2~3 个月内不再购买此类内容。据悉，Zerodium 专注于高风险的漏洞，通常每个功能完善的 iOS 漏洞利用会被给予 10 万到 200 万美元的奖励。 Zerodium 首席执行官 Chaouki Bekrar 在一条推文中表示，iOS 的安全状况并不如大家所想的那样良好，并指出持续有一些影响所有 iPhone 和 iPad 零日漏洞利用出现。当然，Bekrar 还是希望 iOS 14 能有所改善。 除了 Zerodium 等第三方，苹果也有自己的漏洞赏金计划。若发现 iOS、iPadOS、macOS、tvOS 或 watchOS 中的安全漏洞，将被给予 5000 到 100 万美元的奖励。   （稿源：cnBeta，封面源自网络。）

埃因霍温科技大学的安全研究员 Björn Ruytenberg 透露，由于常用的 Thunderbolt 端口存在缺陷，2019 年之前生产的所有 PC 都可能遭到黑客入侵。 即使 PC 处于睡眠模式或处于锁定状态，这一被称为 Thunderbspy 的攻击也可以从用户的 PC 读取和复制所有数据。此外，它还可以从加密驱动器中窃取数据。 Thunderspy 属于 evil-maid 攻击类别，这意味着它需要对设备进行物理访问才能对其进行攻击，因此与可以远程执行的其他攻击相比，它的利用程度较低。但是另一方面，Thunderspy 还是一种隐身攻击，在成功执行入侵之后，犯罪分子几乎不会留下任何利用的痕迹。 事实上，早在 2019 年 2 月，一群安全研究人员就发现了一个与 Thunderspy 类似的相关入侵事件 Thunderclap。同年，英特尔发布了一种可以防止 Thunderspy 攻击的安全机制，称为内核 DMA 保护（Kernel Direct Memory Access Protection）。 不过该机制在较早的配置中未实现，这也就是在 2019 年之前生产的计算机更易受到影响的原因。但有趣的是，当苹果 MacOS 笔记本启动到 Bootcamp 时，所有的 Thunderbolt 安全都会被禁用。 Ruytenberg 指出，所有在 2011-2020 年之间出货的、配备 Thunderbolt 的设备都容易受到攻击。自 2019 年以来已交付的提供内核 DMA 保护的设备，也都在一定程度上易受攻击。 Thunderspy 漏洞无法在软件中修复，会影响到未来的 USB 4 和 Thunderbolt 4 等标准，最终将需要对芯片进行重新设计。     （稿源：开源中国，封面源自网络。）

三星本周发布了一个安全更新，修复了自2014年以来一直存在于旗下所有智能手机中的关键漏洞。该漏洞最早可以追溯到2014年下半年，三星开始在所有发布的设备中引入了对自定义Qmage图像格式（.qmg）的支持，而三星的定制Android系统在处理该图像格式上存在漏洞。 视频连接：https://www.cnbeta.com/articles/tech/975843.htm 谷歌Project Zero的安全研究员Mateusz Jurczyk发现了一种利用Skia（Android图形库）来处理发送到设备上的Qmage图像的方法。Jurczyk表示，这个Qmage漏洞能在零点击的情况下被利用，不需要用户之间的互动。所以能在用户不知情的情况下，将所有发送到设备上的图片重定向到Skia库中进行处理–比如生成缩略图预览等。 研究人员开发了一个针对三星信息应用的概念验证演示，利用该漏洞可以窃取短信和彩信。Jurczyk说，他通过向三星设备重复发送MMS（多媒体短信）信息来利用这个漏洞。每条消息都试图猜测Skia库在Android手机内存中的位置，这是绕过Android的ASLR（地址空间布局随机化）保护的必要操作。 Jurczyk表示，一旦Skia库在内存中的位置被确定，最后一条彩信就会传递出实际的Qmage有效载荷，然后在设备上执行攻击者的代码。这位谷歌的研究人员表示，攻击者通常需要50到300条彩信来探测和绕过ASLR，这通常需要平均100分钟左右的时间。 此外，Jurczyk表示，虽然这种攻击看起来可能很密集，但也可以修改后在不提醒用户的情况下执行。这位谷歌研究人员说：“我已经找到了让彩信消息完全处理的方法，而不触发Android上的通知声音，所以完全隐身攻击可能是可能的。” 此外，Jurczyk表示，虽然他没有测试过通过彩信和三星信息应用之外的其他方法来利用Qmage漏洞，但理论上来说，针对三星手机上运行的任何能够接收到远程攻击者提供的Qmage图像的应用，都有可能被利用。 研究人员在2月份发现了该漏洞，并向三星报告了该问题。这家韩国手机制造商在5月的2020年安全更新中对该漏洞进行了补丁。该漏洞在三星安全公告中被追踪为SVE-2020-16747，在Mitre CVE数据库中被追踪为CVE-2020-8899。   （稿源：cnBeta，封面源自网络。）

北京时间5月6日消息，一位化名为奥尔德森(Elliot Alderson)的法国黑客日前在Twitter上表示，其发现了印度政府“Aarogya Setu”新型冠状病毒追踪APP的安全问题，这可能会危及9000万印度人的隐私。作为一名有良心的黑客，奥尔德森已经将这个问题“标记”发送至印度计算机应急响应小组(CERT)和隶属于印度电子和信息技术部的国家信息中心(NIC)。 奥尔德森早先还曝光了印度政府“mAadhar”安卓应用程序的问题。 周二，奥尔德森在Twitter上声称，他发现了Aarogya Setu应用程序的一个安全问题，并要求印度政府私下联系他，以便向当局详细披露。印度政府很快联系了这名黑客，了解相关情况。奥尔德森现在正在等待这一问题的解决方案，如果印度政府解决不了，那么按照“白帽”黑客的核心原则，他将公开披露这一问题。 印度政府确实在昨晚凌晨对黑客的推特做出了详细的回应。但奥尔德森仍在等待政府出手修复，用他的话来说，印度政府的回应基本上是“（这里）没什么问题啊”。换句话说，按照印度政府的说法，Aarogya Setu一切正常。 Aarogya Setu的制作者回应称：“这位黑客没有证明用户的个人信息处于危险之中。我们一直在测试和升级该系统。Aarogya Setu团队向所有人保证，没有发现任何数据或安全漏洞。” 奥尔德森已经在推特上宣布，若这个问题得不到修复，他将于今天公布更多信息。 与此同时，奥尔德森不是唯一一个在隐私方面向Aarogya Setu提出警告的人。位于新德里的软件自由法律中心（Software Freedom Law Centre）声称，这个应用程序会收集如性别和旅行记录等敏感的用户数据。互联网自由基金会(IFF)也宣称Aarogya Setu缺乏透明度。 这类问题特别严重，需要深入研究，因为即使Aarogya Setu看起来是一个“自愿安装”的应用程序，但它每天都在变得越来越“强制”。按照印度警方的最新要求，在诺伊达和大诺伊达这些地方如果没有在手机上安装这个程序，甚至会面临处罚。 印度政府还要求公共和私营部门雇员把它安装在智能手机上。印度内政部最近的一项指令要求：“所有员工都必须使用Aarogya Setu应用程序，包括私人部门和公共部门的员工。各机构负责人有责任确保该应用程序在员工中的覆盖率达到100%。”所以可以说，Aarogya Setu已经是印度中央政府雇员以及居住在隔离区居民的必装软件。   （稿源：凤凰网科技，封面源自网络。）

GitLab 向报告自家平台的严重远程代码执行漏洞的安全研究人员奖励了 2 万美元。该漏洞由 William “vakzz” Bowling 发现，Bowling 既是一名程序员同时也是 Bug 赏金猎人，他于3月23日通过 HackerOne Bug 赏金平台私密披露了该漏洞。 Bowling 表示，GitLab 的 UploadsRewriter 函数用于拷贝文件，而这正是此次严重安全问题的源头。当 issue 被用于跨项目复制时，UploadsRewriter 函数会检查文件名和补丁。然而在这过程中由于没有验证检查，导致出现路径遍历问题，这可能会被利用于复制任何文件。 根据 Bug 赏金猎人的说法，如果漏洞被攻击者利用，则可能会被用于”读取服务器上的任意文件，包括 token、私有数据和配置”。GitLab 实例和 GitLab.com 域均受到该漏洞的影响，此漏洞被 HackerOne 判定为严重等级程度。 Bowling 补充到，通过使用任意文件读取漏洞从 GitLab 的 secret_key_base 服务中抓取信息，可以将该漏洞变成远程代码执行（RCE）攻击。举例来说，如果攻击者改变了自己实例的 secret_key_base 以匹配项目，那么 cookie 服务也可以被操纵以用于触发 RCE 攻击。 Bowling 将漏洞发送给了 GitLab 安全团队，工程师们重现了此问题，并指出攻击者至少需要成为项目成员才能利用该漏洞，但根据 GitLab 高级工程师 Heinrich Lee Yu 的说法，攻击者也可以”创建自己的项目或组别来达到同样的目的”。 目前，该漏洞已经在 GitLab 12.9.1 版本中得到了解决，安全研究人员 Bowling 也于3月27日获得了全额赏金。   （稿源：开源中国，封面源自网络。）

周二的时候，谷歌公布其在苹果公司的图像 I/O 中发现了当前已被修复的一些 bug 。对于该公司的平台来说，Image I/O 对其多媒体处理框架有着至关重要的意义。ZDNet 报道称，谷歌旗下 Project Zero 团队在周二概述了该漏洞的诸多细节。若被别有用心者利用，或导致用户遭遇“零点击”攻击。 据悉，Image I/O 随 iOS、macOS、watchOS 和 tvOS 一起向应用开发者提供。因此谷歌曝光的这一缺陷，几乎影响苹果的每一个主要平台。 问题可追溯到围绕图像格式解析器的一些老生常谈的问题，这些特殊的框架很适合被黑客利用。通过编造畸形的媒体文件，便可在目标系统上运行无需用户干预的“零点击”代码。 谷歌 Project Zero 补充道，他们分析了 Image I/O 的“模糊处理”过程，以观察该框架是如何响应错误的图像文件格式的。之所以选择这项技术，是因为苹果限制了对该工具大部分源代码的访问。 结果是，谷歌研究人员成功地找到了 Image I/O 中的六个漏洞、以及 OpenEXR 中的另外八个漏洞，后者正是苹果向第三方公开的“高动态范围（HDR）图像文件格式”的框架。 谷歌 Project Zero 安全研究人员 Samuel Groß 写道：“经过足够的努力，以及由于自动重启服务而授予的利用尝试，我们发现某些漏洞可被利用开执行‘零点击’的远程代码”。 鉴于这是一种基于多媒体攻击的另一种流行途径，其建议苹果在操作系统库和 Messenger 应用中实施连续的“模糊测试”和“减少受攻击面”，后者包括以安全性的名义而减少对某些文件格式的兼容政策。 最后需要指出的是，苹果已经在 1 月和 4 月推出的安全补丁中，修复了与 Image I/O 有关的六个漏洞。   （稿源：cnBeta，封面源自网络。）

谷歌应用商店Google Play Store出现了一个新的bug，导致一些应用在Google Play Store当中反复显示有相同版本的可用更新。用户报告受影响的应用主要包括YouTube TV、Google Docs、Google Docs、Sheets、Slides、Gmail等第一方应用。 据报道，一些用户开始注意到，”我的应用和游戏 “部分列出了其中的一些更新，实际上，其中一些应用会被下载安装。然而，这些更新的应用版本号和已经安装的应用版本号似乎完全相同，这表明是bug导致了有新版本的错误提示。有趣的是，在某些设备上，当从任务切换器中关闭Play Store应用时，这些更新要么消失，要么被其他应用取代。 更新后的应用甚至会在页面的 “最近更新 “部分列出。有趣的是，据说一些第三方应用也会提示有相同版本的应用更新。而有些应用的更新，不经过下载就直接跳转到安装阶段。虽然这个bug并不严重，甚至可能大多数用户都不会注意到，但那些数据量有限的用户可能会浪费数量流量下载相同版本的应用。 （稿源：cnBeta，封面源自网络。）

据外媒报道，苹果公司表示，目前没有任何证据表明网络攻击者可以利用iPhone和iPad邮件（Mail）应用程序中的新漏洞进行黑客攻击。此次发现漏洞的Mail应用在全球可能有超过10亿用户。 苹果公司正在反驳网络安全公司ZecOps的说法。ZecOps称，苹果的软件缺陷为黑客潜入iPhone及其他iOS设备中提供了可能，且这一漏洞已经存在了一年之久。苹果公司发起了一项调查，并在一份声明中表示，Mail问题本身并不足以让网络攻击者绕过苹果内置的安全机制。同时，苹果公司补充说，它将很快发布一个补丁。 苹果公司表示：“我们已经彻底调查了研究人员的报告，并根据所提供的信息得出结论，这些问题不会对我们的用户构成直接的风险。研究人员在Mail中发现了三个问题，但仅凭这些漏洞并不足以让黑客绕过iPhone和iPad的安全保护，目前我们还没有发现任何证据表明它们可以被用来攻击苹果用户的隐私。” 总部位于旧金山的ZecOps上周五对苹果的否认做出了回应，重申它发现的漏洞确实被“一些组织”利用了。ZecOps公司在一份声明中对苹果的新补丁表示了感谢，同时宣称将在补丁发布之后“更新更多信息”。 上周三，ZecOps发布了关于漏洞的报告。报告称，当iPhone或iPad在Mail应用程序上打开一封经过特别设计的电子邮件时，网络攻击者就可以利用这些漏洞。ZecOps公司在报告中称，这一漏洞已经被“一个高级威胁的运营商”用于实施攻击了。ZecOps公司表示，遭到网络攻击的用户中有“来自北美财富500强企业的个人”、“日本一家航空公司的高管”以及“欧洲的一名记者”。 据ZecOps称，网络攻击者可能从2018年1月就开始利用这些漏洞了。ZecOps预测，当苹果发布beta版更新时，这些漏洞会被公开披露，而网络攻击者“很可能会利用这段时间，在补丁发布之前攻击尽可能多的设备”。   （稿源：新浪科技，封面源自网络。）