近日，Synopsys 安全研究人员发现，在可以将智能手机用作远程键盘和鼠标的三个 Android 应用程序中存在多个未修补的漏洞。 这些应用程序分别是Lazy Mouse、PC Keyboard和Telepad，它们已从 Google Play 商店累计下载超过 200 万次。其中Telepad 不再能通过应用商店下载，但可以从其网站下载。 懒惰鼠标（com.ahmedaay.lazymouse2 和 com.ahmedaay.lazymousepro） PC 键盘 (com.beapps.pckeyboard) Telepad (com.pinchtools.telepad) 虽然这些应用程序通过连接到桌面上的服务器来代替鼠标键盘的运行，但是Synopsys 网络安全研究中心 (CyRC)发现了多达七个与弱身份验证或缺少身份验证、缺少授权和不安全通信相关的缺陷。 简而言之，这些问题（从 CVE-2022-45477 到 CVE-2022-45483）可能会被恶意攻击者利用来执行任意命令，无需身份验证通加载用户的击键来获取敏感信息。 Lazy Mouse 服务器还受到弱密码策略的影响，但其并没有实施速率限制，使远程未经身份验证的攻击者能够轻易地暴力破解 PIN 并执行命令。 更值得注意的是，两年多来这些应用程序没有任何更新，因此用户最好立即删除这些应用程序。 Synopsys 安全研究员 Mohammed Alshehri 表示：这三个应用程序被广泛使用，但它们既没有考虑到用户的隐私安全也没有进行任何迭代，显然，在开发这些应用程序时，安全性并不在他们的设计范围内。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351574.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 谷歌为Chrome网络浏览器推出了紧急安全更新，以解决一个新的零日漏洞，该漏洞在野外被积极利用，追踪为CVE-2022-4262。 CVE-2022-4262漏洞是V8 JavaScript中的一个类型混淆漏洞。 2022年11月29日，谷歌威胁分析小组的Clement Lecigne报告了该漏洞。 谷歌没有分享有关该漏洞的技术细节，以允许用户更新其Chrome安装。无论如何，黑客可以利用该漏洞来实现任意代码执行。 谷歌通过发布适用于Mac和Linux的108.0.5359.94以及适用于Windows的108.0.5359.94/.95修复了零日漏洞，该公司计划在未来几天/几周内推出。 CVE-2022-4262 是谷歌今年解决的第九个积极利用的Chrome零日漏洞，以下是这家科技巨头修复的其他零日漏洞列表： CVE-2022-4135（11月25日）– GPU中的堆缓冲区溢出漏洞。 CVE-2022-3723（10月28日）– V8 Javascript引擎中的类型混淆漏洞。 CVE-2022-3075（9月2日）– Mojo运行库集合中的数据验证不足。 CVE-2022-2856（8月17日）– Intents中不可信输入的验证不足。 CVE-2022-2294（7月4日）– Web实时通信 （WebRTC） 组件中的堆缓冲区溢出。 CVE-2022-1364（4月14日）– V8 JavaScript引擎中存在的类型混淆漏洞。 CVE-2022-1096（3月25日）– V8 JavaScript引擎中的类型混淆漏洞。 CVE-2022-0609（2月14日）– 在动画组件中释放问题后使用。 建议Chrome用户尽快更新其安装，以消除试图利用零日漏洞的攻击。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

美国网络安全和基础设施安全局（CISA）上周发布了一份工业控制系统（ICS）咨询报告，警告三菱电机GX Works3工程软件存在多个漏洞。如果成功利用这些漏洞可使未经授权的用户获得对MELSEC iQ-R/F/L系列CPU模块和MELSEC iQ-R系列OPC UA服务器模块的访问权，或查看和执行程序。 GX Works3是ICS环境中使用的工程工作站软件，作为从控制器上传和下载程序的机制，排除软件和硬件问题，并执行维护操作。广泛的功能也使该平台成为希望破坏此类系统以控制被管理的PLC的威胁者的诱人目标。 10个缺陷中有3个与敏感数据的明文存储有关，4个与使用硬编码的加密密钥有关，2个与使用硬编码的密码有关，1个涉及保护不足的凭证情况。 其中最关键的漏洞CVE-2022-25164和CVE-2022-29830的CVSS评分为9.1，可以被滥用，以获得对CPU模块的访问，并获得项目文件的信息，而不需要任何权限。 发现CVE-2022-29831（CVSS评分：7.5）的Nozomi Networks表示，能够访问安全PLC项目文件的攻击者可以利用硬编码密码直接访问安全CPU模块，并可能破坏工业流程。 报告指出：“工程软件是工业控制器安全链中的一个重要组成部分，如果其中出现任何漏洞，对手可能会滥用这些漏洞，最终破坏所管理的设备，从而破坏受监督的工业流程。” CISA披露了三菱电机MELSEC iQ-R系列的拒绝服务（DoS）漏洞的细节，该漏洞源于缺乏适当的输入验证（CVE-2022-40265，CVSS评分：8.6）。 CISA指出：”成功利用这个漏洞可以使远程未认证的攻击者通过发送特制的数据包在目标产品上造成拒绝服务的情况。 在一个相关的发展中，网络安全机构进一步概述了影响霍纳自动化公司的远程紧凑型控制器（RCC）972的三个问题，其中最关键的问题（CVE-2022-2641，CVSS评分：9.8）可能导致远程代码执行或引起DoS条件。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/b9D8hfD8H_dkUVhtpXyYnA 封面来源于网络，如有侵权请联系删除

被研究人员称之为Redigo的一种基于Go的新的恶意软件，它一直针对有CVE-2022-0543漏洞的Redis服务器并植入一个隐秘的后门允许命令执行。 CVE-2022-0543是Redis（远程字典服务器）软件中的一个关键漏洞，具有非常高的威胁性。它在2022年2月被发现并修复。修复几个月后，仍有攻击者继续在未打补丁的机器上利用它。针对于此漏洞的恶意软件的名称Redigo则是由它的目标机器和构建它的编程语言创造的。 今天，AquaSec报告说，其易受CVE-2022-0543影响的Redis蜜罐捕获了一个新的恶意软件，该恶意软件并没有被Virus Total上的安全软件检测到。 Redigo攻击 AquaSec说，Redigo攻击从6379端口的扫描开始，以定位暴露在开放网络上的Redis服务器。找到目标端点后，atacker连接并运行以下命令: INFO – 检查Redis的版本，以确定服务器是否有CVE-2022-0543的漏洞。 SLAVEOF – 创建一个攻击服务器的副本。 REPLCONF – 配置从攻击服务器到新创建副本的连接。 PSYNC – 启动复制流并下载服务器磁盘上的共享库 “exp_lin.so”。 MODULE LOAD – 从下载的动态库中加载模块，该模块能够执行任意命令并利用CVE-2022-0543。 SLAVEOF NO ONE – 将有漏洞的Redis服务器转变成主服务器。 利用植入后门的命令执行能力，攻击者收集主机的硬件信息，然后下载Redigo（redis-1.2-SNAPSHOT）。该恶意软件在升级权限后被执行。 攻击者通过6379端口模拟正常的Redis通信，以逃避网络分析工具的检测，同时试图隐藏来自Redigo的命令和控制服务器的流量。 由于AquaSec公司蜜罐的攻击时间限制，其分析师无法确定Redigo在环境中站稳脚跟后到底做了什么。 AquaSec表示，Redigo的最终目标很可能是将易受攻击的服务器作为机器人加入网络，进行分布式拒绝服务（DDoS）攻击，或者在被攻击的系统上运行加密货币矿工。 此外，由于Redis是一个数据库，访问数据并窃取它也可能是Redigo攻击的目的。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351413.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，一种名为“Schoolyard Bully”木马程序攻击遍布 71 个国家的 30 多万Android用户。该木马程序伪装成合法的教育主题应用程序，引诱毫无戒心的用户下载，随后便窃取其 Facebook 凭证。 据悉，这些应用程序可以从官方Google Play商店下载，目前已经被删除了。但是，用户仍然可以在第三方应用商店中下载并继续使用。 Zimperium 研究人员 Nipun Gupta 和 Aazim Bill SE Yaswant 在与 The Hacker News 分享的一份报告中表示，“Schoolyard Bully”木马程序使用了 JavaScript 注入来窃取 Facebook 凭证。 研究人员进一步分析发现，“Schoolyard Bully”通过在 WebView 中启动 Facebook 的登录页面来实现这一目的，该页面还嵌入了恶意 JavasCript 代码，将用户电话号码、电子邮件地址和密码渗透到配置的命令和控制（C2）服务器。 此外，“Schoolyard Bully”木马还进一步利用诸如“libabc.so”之类的本地库，以避免防病毒解决方案的检测。 虽然“Schoolyard Bully”木马专门针对越南语应用程序，但在 70 多个国家的其它应用程序中也发现了其踪迹。 一年多前，Zimperium 在代号为 FlyTrap 的活动中发现了类似活动，攻击者旨在通过恶意 Android 应用程序危害 Facebook 账户。 Zimperium 移动威胁情报主管理查德·梅里克（Richard Melick）强调，攻击者窃取 Facebook 密码会造成很大破坏，如果攻击者冒充受害者，就很容易诱使其朋友和其它联系人发送金钱或敏感信息。 值得注意的是，许多用户重复使用相同密码，如果攻击者窃取了受害者 Facebook 密码，很可能掌握其电子邮件和密、银行或金融应用程序、公司账户等。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351387.htmll 封面来源于网络，如有侵权请联系删除

虽然企业客户支出因经济下滑而放缓，但全球消息安全市场仍有望以两位数增长。IMARC Group的最新报告显示，全球消息安全市场的价值预计将从2021年的51亿美元暴增至2022年的112亿美元。Mordor Intelligence发布的另一份报告则预测该市场将从2021年的40亿美元增长到2022年的147亿美元。 面对消息安全市场需求的暴增，刚刚宣布关闭面向消费者的加密消息服务（Wickr Me）的亚马逊AWS在本周二的re：Invent大会上宣布正式推出Wickr Me的企业版本AWS Wickr。 AWS Wickr于7月首次公布，此前一直处于预览状态。 据AWS介绍，Wickr企业级消息加密服务让企业用户能够安全地通过文本、语音和视频以及文件和屏幕共享进行协作，同时还能帮助企业满足有关审计和监管要求（例如信息自由法案FOIA）。 AWS管理控制台集成Wickr 为了帮助企业配置和管理Wickr服务，AWS将加密消息服务的管理框架集成到了AWS管理控制台中，通过该控制台企业可以选择、配置和管理其所有AWS服务。 企业可以用AWS身份和访问管理(IAM)访问控制和策略来设置Wickr管理策略，管理员还可以管理加密消息服务网络，该网络可直观显示组内的用户数量及其在访问和权限方面的配置，类似于Slack Workspaces。 AWS表示，企业内的新用户可以通过现有身份系统注册消息服务，并补充说使用Wickr的企业客户可以通过iOS、Android、Windows、Linux和macOS设备访问该应用程序。 不同系统的Wickr版本可以从各自的应用市场下载。 可选择数据存储位置 此外，Wickr的管理功能还允许IT团队为消息服务数据配置存储，包括数据的位置，以使该服务更符合医疗等行业的监管标准。 IT团队存储加密消息数据时，需要先设置数据保留流程并将其应用于网络，然后再将数据存储在他们选择的位置（本地或云端）。 AWS表示，这些功能和流程已经就续，以确保最大限度地保护数据。数据保留过程可以在任何地方运行：本地、Amazon Elastic Compute Cloud(Amazon EC2)虚拟机或用户选择的任何位置。目前，已经有数据保留流程的Docker容器可用。 此外，Wickr还附带了几个打包为Docker容器的机器人。该公司表示，这些机器人与Slack机器人非常相似，可以用Node JS创建工作流。 定价 面向企业的Wickr加密消息服务目前在美国东部（弗吉尼亚北部）的AWS区域可用，预计其他地区也将逐步启动。 亚马逊表示，不超过30名用户的个人和团队可以免费使用该服务三个月，超过30名用户的收费标准是每用户每月5美元。 AWS还提供每位用户每月15美元的高级计划，该计划包括数据保留等额外功能。 转自 安全内参，原文链接：https://www.secrss.com/articles/49599 封面来源于网络，如有侵权请联系删除

近日，美国联邦贸易委员会（Federal Trade Commission，FTC）公布了一项特殊的处罚决定：勒令一家名为「Everalbum」的公司删除其从客户手中收集的照片，以及利用这些数据训练出的所有算法。 “通过面部识别，公司可以将亲友的照片转换为敏感的生物识别数据，”FTC消费者保护局局长安德鲁史密斯说，“确保公司信守对客户关于如何使用和处理生物识别数据的承诺将继续是FTC的高度优先事项。” Everalbum提供了一个名为“Ever”的应用程序，允许用户从他们的移动设备、计算机或社交媒体帐户上传照片和视频，以使用该公司基于云的存储服务进行存储和整理。FTC在诉状中称，2017年2月，Everalbum在Ever应用程序中推出了一项名为“朋友”的新功能，该功能使用面部识别技术将出现在照片中的人的面孔分组，并允许用户按姓名“标记”人。据称，Everalbum在启动“朋友”功能时默认为所有移动应用程序用户启用面部识别。 Everalbum表示，在2018年7月至2019年4月期间，除非用户确定选择激活该功能，否则它不会将面部识别技术应用于用户的内容。尽管从2018年5月开始，该公司允许一些位于伊利诺伊州、德克萨斯州、华盛顿州和欧盟的Ever应用程序用户选择是否打开人脸识别功能，但它在2019年4月之后对所有其他用户自动激活，并且无法关闭。 FTC诉称，Everalbum将面部识别应用于Ever应用程序用户的照片不仅限于提供“朋友”功能。在2017年9月至2019年8月期间，Everalbum将从Ever用户照片中提取的数百万张面部图像与Everalbum从公开数据集中获得的面部图像相结合，创建了四个数据集，用于开发其面部识别技术。起诉书称，Everalbum使用其中一个数据集产生的面部识别技术来提供Ever应用程序的“朋友”功能，并开发面部识别服务出售给其企业客户；但该公司没有与这些客户共享Ever用户照片、视频或含有个人信息的图像。 根据起诉书，Everalbum还向用户承诺，将删除停用其帐户的Ever用户的照片和视频。然而，FTC声称，至少在2019年10月之前，Everalbum还未删除任何已停用帐户的照片或视频，而是无限期保留它们。 拟议的和解要求Everalbum删除： Ever应用程序停用帐户的照片和视频； 所有人脸嵌入——可以用于面部识别目的的、反映面部特征的数据，都是来自未明确同意使用的Ever用户的照片； 使用Ever用户的照片或视频开发的任何面部识别模型或算法。 此外，拟议的和解协议禁止Everalbum歪曲其收集、使用、披露、维护或删除个人信息的方式，包括使用面部识别技术创建的人脸嵌入，以及在多大程度上保护其收集的个人信息的隐私和安全。根据拟议的和解协议，如果该公司向消费者销售供个人使用的软件，在使用通过该软件收集的用户生物特征信息创建面部嵌入或开发面部识别技术之前，必须获得用户的明确同意。 委员会以5比0的投票结果发布了拟议的行政投诉，并接受了与公司达成的同意协议。 转自 安全内参，原文链接：https://www.secrss.com/articles/49617 封面来源于网络，如有侵权请联系删除

Google Play 和 Apple App Store 上的 280 多个 Android 和 iOS 应用程序以具有欺诈性的条款使用户陷入贷款漩涡，并采用各种方法对借款人进行勒索和骚扰。 为了实现该行为的勒索企图，这些应用程序从手机中窃取了通常贷款不需要提供的大量隐私数据。 在网络安全公司Lookout的一份新报告中，研究人员发现了251个安卓35个iOS的借贷应用，这些应用的下载量合计达1500万次，主要来自印度、哥伦比亚、墨西哥、尼日利亚、泰国、菲律宾和乌干达的用户。 Lookout向谷歌和苹果报告了所有这些应用的情况，并成功地将它们全部删除。 欺诈性贷款应用程序 这些贷款应用程序在发展中国家取得了巨大的收益，因为这些国家的金融机制问题，欺诈行为的报告不太可能被起诉。 在安装欺诈性贷款应用程序后，用户被要求授予风险权限，使欺诈者能够访问设备上的敏感信息，如联系人列表、短信内容、照片、媒体等。 一旦授予权限，应用程序立即开始从设备中上传敏感数据到他们自己的服务器。 如果用户不批准这些权限请求，应用程序将不允许他们提交贷款请求。 在第一次启动时，被要求授予权限，并且要求用户填写KYC（了解你的客户）表格，要求提供身份证的信息，等等。 接下来，这些应用程序向用户提供欺骗性或虚假的贷款条款，促使他们贷款。 当受害者收到部分贷款时，利率条款会发生变化，或者出现之前的隐藏费用，有时会达到总借款额的三分之一。 一些用户还报告说，这些应用程序将还款期从承诺的180天减少到只有8天，在逾期时征收高额利息和罚款。 由于大多数人无法接受，没有能力或不愿意偿还贷款。应用程序运营商则开始利用第一阶段窃取的数据对他们进行骚扰，从通讯录中联系他们的家人和朋友并透露债务情况。 甚至运营商将从用户设备上盗取的图片经过编辑发送给联系人，对贷款人造成极大的困扰。 苹果和谷歌进行了干预 苹果和谷歌允许小额贷款应用程序在其应用程序商店中使用，但有严格的政策来规范其运作。 准则规定，最短的还款期应该是60天，最高的年收费百分比应该是36%。 上述应用程序声称条款符合这些准则，但在实际应用中，并不像他们所说的这样，所以应用程序商店因违反条款而将其删除。 当然，还需要进行更多的检查，以防止这些应用程序的运营商以不同的名字重新向应用程序商店提交这类应用程序。同时用户在下载时也应该保持警惕，防止不合规的条款盗取我们的信息。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351277.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 网络安全公司JFrog的新发现表明，针对npm生态系统的恶意软件可以利用npm命令行接口（CLI）工具中的“意外行为”来逃避安全检查。 npm CLI的安装和审计命令具有内置功能，可以检查软件包及其所有依赖项是否存在已知漏洞，通过突出漏洞有效地为开发人员提供警告机制。 但正如JFrog所确认的那样，当软件包遵循特定的版本格式时，不会显示安全建议，这会造成严重缺陷，可能直接或通过软件包的依赖关系引入其系统的情况。 具体来说，只有当安装的软件包版本包含连字符（例如，1.2.3-a）时，问题才会出现，其中连字符用于表示npm模块的预发布版本。 虽然项目维护人员将常规npm软件包版本和预发布版本之间的差异视为一种预期功能，但这也使它成为攻击者试图毒害开源生态系统的成熟机会。 Or Peles说：“黑客可能会利用这种行为，故意在他们看起来无辜的软件包中植入易受攻击或恶意代码，这些代码将被其他开发人员包括在内，因为它们有价值的功能，或由于感染技术的错误，如拼写错误或依赖关系混淆 。” 换句话说，对手可以发布一个预发版本格式看似无害的软件包，然后可能会被其他开发人员接收，尽管有相反的证据，但不会被告知该软件包是恶意的。 该开发再次重申了软件供应链是如何构建为各方之间的信任链的，以及一个环节的妥协如何影响使用恶意第三方依赖的所有下游应用程序。 为了应对这种威胁，建议开发人员避免安装带有预发布版本的npm包，除非已知源代码完全可靠。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

当用户购买 Sony、Lexar 或 Sandisk USB 密钥或其它任何存储设备时，都会附带一个加密解决方案，以确保数据安全。 据悉，该方案由第三方供应商 ENC Security 开发，然而 近日Cybernews 研究小组披露，该公司在一年多时间里一直在泄露其配置和证书文件。 随着事件发酵，ENC Security 迅速做出回复，声称泄露事件原因是第三方供应商的错误配置，在收到通知后已立刻修复漏洞。 ENC Security 是一家位于荷兰的公司，在全球拥有 1200 万用户，通过其流行 DataVault 加密软件提供“军用级数据保护”解决方案。 Cybernews 发现安全问题 从 Cybernews 披露的内容来看， 泄漏服务器内的数据主要包括销售渠道的简单邮件传输协议（SMTP）凭证、单一支付平台的 Adyen 密钥、电子邮件营销公司的 Mailchimp API 密钥、许可支付 API 密钥、HMAC 消息验证码以及以 .pem 格式存储的公共和私人密钥。 2021 年 5 月 27 日到 2022 年 11 月 9日 ，一年多的时间里，任何人都可以公开访问这些数据，直到 Cybernews 向 ENC Security 披露该漏洞后，该服务器才被关闭。 安全研究人员 Vareikis 表示，数据暴露长达一年多时间，潜在网络攻击者可利用上述数据进行从网络钓鱼、勒索软件等各种形势的网络攻击。 举个简单的例子，攻击者可能通过销售沟通渠道向客户发送假发票或通过可信的电子邮件地址传播恶意软件来欺骗客户。 此外，由于 Mailchimp API 密钥允许攻击者发送大规模营销活动并查看、收集线索，对攻击者来说无疑具有更大价值。不仅如此，勒索软件运营商也能够利用 .pem 文件里面的密钥开展未经授权的访问，甚至是服务器被接管。Vareikis 一再强调，泄漏一年多的数据对威胁者来说不亚于一个“金矿”。 ENC Security 公司回应 在收到并仔细分析 Cybernews 研究小组报告后，ENC Security 迅速采取措施，解决安全问题。ENC Security 发言人表示，公司始终认真对待数据的安全和保护，每一个安全问题都会被彻底研究并采取适当的措施进行补救，必要时也会通知客户进一步加强安全。 ENC Security 也曾出现其它安全事件 Cybernews 研究小组的发现与 2021 年 12 月研究人员 Sylvain Pelissier 的发现一样令人担忧。 去年，Pelissier 演示了在 ENC Security  DataVault 加密软件中发现的几个漏洞，这些漏洞可能允许攻击者在未经检测的情况下，获取用户密码并修改 vault 中的文件。不止于此，DataVaul 软件还使用了“计算工作量不足的密码哈希”，这可能会让攻击者暴力破解用户密码。 当时，ENC Security 承认 DataVault 软件 6 和 7.1 及其衍生版本易受攻击，不久后通过发布升级解决了漏洞。 Vareikis 告诫用户，一些“超级”安全公司喜欢使用类似“军用级”加密等词汇，过度夸大产品能力，进行虚假宣传，对于这种宣传，用户应当始终持怀疑态度。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351241.html 封面来源于网络，如有侵权请联系删除