Awake Security的研究人员表示，他们在谷歌的Chrome浏览器的扩展程序中发现了一个间谍软件，含有这个间谍软件的扩展程序已经被下载了3200万次。这一事件凸显出科技企业在浏览器安全方面的失败，而浏览器被广泛使用在电子邮件、支付以及其他敏感性功能中。 Alphabet旗下的谷歌表示，在上个月接到了研究人员的提醒之后，他们已经从Chrome Web Store中移除了超过70个存在此恶意软件的扩展程序。 谷歌发言人斯科特·维斯托弗（Scott Westover）表示：“当我们得到通知Web Store中存在违反了政策的扩展程序之后，我们立即采取了行动，并将此作为培训材料，从而提升我们的自动和手动分析效果。” Awake联合创始人兼首席科学家加里·戈隆布（Gary Golomb）表示，按照下载数量计算，这是Chrome商店中出现过的影响最为严重的恶意软件。 谷歌拒绝讨论新间谍软件与此前出现的恶意软件有何区别，也拒绝透露该软件的影响范围，以及谷歌为何没有主动监测并删除该软件，而此前他们曾承诺将密切留意产品安全。 现在还不清楚是谁散播了这个恶意软件。Awake表示，在将还有恶意软件的扩展程序上传到谷歌商店的时候，软件的开发者填写了虚假的联系信息。戈隆布称，这些扩展程序可以躲避反病毒企业或安全软件的扫描。 研究人员发现，如果有普通用户在家用电脑上使用带有恶意软件的浏览器，它会联系多个网站，然后传输用户信息。如果用户使用的是企业网络，由于企业网络存在安全服务，那么该恶意软件则不会传输敏感信息。 近些年来，欺骗性扩展程序一直存在，但是此前他们的危害程度并不高，只是强迫用户观看广告等等。然而现在，它们却变得越来越危险，甚至可以用来监测用户的位置和他们的活动。 很长时间以来，都有恶意软件开发者利用谷歌的Chrome Store散播恶意软件，2018年，研究发现每十个提交到Chrome Store的扩展程序中，就有一个存在恶意软件。随后，谷歌宣布他们将提升安全程度，增加人工审核员。 但是今年2月，独立研究者加米拉·凯亚（Jamila Kaya）和思科系统的Duo Security发现，Chrome浏览器出现了一个恶意插件，盗取了大约170万用户的数据。随后谷歌参与了调查，并且发现了500个欺诈性扩展程序。     （稿源：新浪科技，封面源自网络。）

据外媒报道，欧洲推出的首批国家新冠病毒接触追踪应用之一在挪威被叫停，原因是该国数据保护部门(DPA)担心这款名为Smittestopp的软件会对用户隐私造成严重威胁。不过继监察机构周五发出警告后，挪威公共卫生研究所(FHI)今日宣布，他们将从明天开始停止上传数据–DPA曾要求在6月23日截止日期之前暂停该应用的使用以便做出改变。 该机构补充称，它不同意监管部门的评估，但仍会尽快删除用户数据。 据FHI统计，截至6月3日，这款应用已被下载了160万次，活跃用户约为60万，占挪威人口的10%多一点，在年龄16岁以上的人口中约占14%。 FHI主管 Camilla Stoltenberg在一份声明中说道：“我们不同意数据保护机构的评估，但现在我们不得不删除所有数据并暂停工作。（然而）这样一来，我们就削弱了对不断增加的感染传播的防备的一个重要部分，因为我们在开发和测试这款应用上浪费了时间。与此同时，我们对抗感染传播的能力也在下降。” “大流行还没有结束。我们在人群中还没有免疫力、没有疫苗，也没有有效的治疗方法。如果没有Smittestopp这款应用，我们就无法预防可能在本地或全国爆发的新疫情。” 据了解，导致监管机构进行干预的则是该应用在该国的低传播率和低下载率–这意味着该机构现在认为，Smittestopp不再是一种比例干预。 跟欧洲许多国家的新冠病毒应用不同的是，挪威的这款还可以跟踪实时GPS定位数据。欧洲国家的新冠病毒应用则仅使用蓝牙信号来估计用户距离以此作为计算感染新冠病毒的风险的手段。 这个国家还在欧洲数据保护委员会提出指导方针之前对GPS追踪下了决定。据悉，该委员会特别指出新冠接触者追踪应用不需要对个人用户的位置展开追踪，另外还建议使用邻近数据来代替。 此外，挪威还选择了一个集中应用架构,也就是说用户数据被上传到为健康机构控制的中央服务器上而非本地储存设备。 FHI一直在使用该应用中所谓的“匿名”用户数据来跟踪全国各地的移动模式，该机构称这些数据将用于监控旨在限制病毒传播的限制措施是否奏效。 针对这种情况，DPA今日表示，该应用用户没有只允许追踪新冠病毒接触者的权利，这违反了欧盟数据保护目的限制原则。 另一个反对意见是关于应用数据是如何被匿名化和聚合到FHI上的–因为众所周知，定位数据是很难做到完全匿名化。 尽管如此，FHI今日表示，它希望用户能暂停该应用程序–通过在设置中禁用其对GPS和蓝牙的访问，而不是将其全部删除–这样该软件在未来被认为是必要和合法的情况下就可以更容易地得到重新激活。     （稿源：cnBeta，封面源自网络。）

正在英特尔努力消除多个处理器漏洞造成的负面影响的时候，三所大学的安全研究人员再次无情地曝光了 SGX 软件防护扩展指令的另外两个缺陷。对于攻击者来说，这可以让他们相当轻松地提取敏感数据。庆幸的是，新问题可通过积极的补救措施得到修复，且当前尚无新漏洞已在野外被利用的相关证据。 来自美国密歇根、荷兰阿姆斯特丹、以及澳大利亚阿德莱德三所大学的研究人员披露 —— 攻击者可利用多核体系架构的工作方式，来获得对受感染系统上敏感数据的访问权限。 其已经为两个漏洞开发了对应的攻击方法，并给出了 SGAxe 和 CrossTalk 的概念证明。 前者似乎是今年早些时候曝光的 CacheOut 攻击的高级版本，黑客可从 CPU 的 L1 缓存中提取内容。 研究人员解释称，SGAxe 是英特尔减轻针对软件防护扩展（SGX）的旁路攻击的一个失败尝试。作为 CPU 上的一个专属区域，SGX 原意是确保正在处理的代码和数据的完整与机密性。 借助瞬态执行攻击，黑客可从实质上恢复存储在 SGX 区域中的加密密钥，并将之用于解密长存储区，以获得机器的 EPID 密钥。后者被用于确保事务的安全性，比如金融交易和受 DRM 保护的内容。 至于第二个 CrossTalk 漏洞，其属于微体系架构数据采样（MDS）的一个衍生，能够针对 CPU 的行填充缓冲区（LBF）处理的数据发起攻击。 其原本希望提供 CPU 内核访问的“登台缓冲区”，但黑客却能够利用在一个单独核心上运行的特制软件，来破坏保护其运行的软件代码和数据私钥。 据悉，新漏洞影响 2015 ~ 2019 年发布的多款英特尔处理器，包括部分至强 E3 SKU（E5 和 E7 系列已被证明可抵御此类新型攻击）。 英特尔在 6 月份的安全公告中称，只有极少数的人能够在实验室环境中发起这些攻击，目前尚无漏洞在野外被利用的报告。 即便如此，该公司仍将尽快发布微码更新，同时让之前签发的证明密钥失效。     （稿源：cnBeta，封面源自网络。）

近日，Linux 内核项目负责人 Linus Torvalds 拒绝了 AWS 工程师提交的一个补丁，该补丁的目的是减轻 Intel CPU 遭遇一种新型窥探攻击而导致数据泄露的风险。 这种新型攻击名为“探听辅助 L1 数据采样攻击”，简称 Snoop （CVE-2020-0550）。今年 3 月，来自 AWS 的软件工程师 Pawel Wieczorkiewicz 率先发现了 Intel 处理器的这一漏洞，它可能会泄露 CPU 内部存储器或缓存中的数据，涉及 CPU 包括 Intel 旗下流行的 Xeon 和 Core 系列处理器。Pawel 迅速向 Intel 报告了此问题，随后该漏洞被 Intel 定位为中等严重性漏洞。 新的 Snoop 攻击利用了 Intel CPU 多级缓存、缓存一致性和总线监听等特性，通过位于 CPU 内核中的一级数据缓存（L1D），通过“总线监听”（bus snooping）功能 —— 在 L1D 中修改数据时发生的缓存更新操作，将数据从 CPU 中泄漏出来。 以近代 CPU 的视角来说，计算机通常会采用三级缓存的设计来提高 CPU 的运行效率。三级缓存包括 L1 一级缓存、L2 二级缓存、L3 三级缓存，这些缓存都集成在 CPU 内，它们的作用是作为 CPU 与主内存之间的高速数据缓冲区。其中 L1 最靠近 CPU 核心；L2其次；L3再次。运行速度方面：L1最快、L2次快、L3最慢；容量大小方面：L1最小、L2较大、L3最大。在执行一项任务时，CPU 会先在最快的 L1 中寻找需要的数据，找不到再去找次快的 L2，还找不到再去找 L3，L3 都没有才去内存找。 而一级缓存其实还分为一级数据缓存（Data Cache，D-Cache，L1D）和一级指令缓存(Instruction Cache，I-Cache，L1I)，分别用于存放数据及执行数据的指令解码，两者可同时被CPU 访问，减少了 CPU 多核心、多线程争用缓存造成的冲突，提高了处理器的性能。一般CPU 的 L1I 和 L1D 具备相同的容量，例如 I7-8700K 的 L1 即为 32KB+32KB。Snoop 攻击就是一种窃取 L1D 缓存中数据的攻击手段。 不过 Intel 的用户也不用惊慌，据 Intel 官方解释说，这种新攻击「很难实施」，并且不会泄露大量数据，毕竟 L1D 缓存中的数据非常有限，并且只有在任务运行时调用数据的短暂时间内才会存在。“我们不认为 Snoop 攻击在可信赖的操作系统环境下是一种实用的攻击方法，因为要利用这一漏洞需要同时满足很多苛刻的条件，比如攻击的时间要正好与用户打开程序的时间吻合，且程序调用的数据正好是攻击者想要窃取的数据。” 该漏洞披露之后，另一位来自 AWS 的软件工程师 Balbir Singh 为 Linux 内核提交了一个补丁，该补丁使 Linux 的应用程序能够选择在任务切换时自动刷新 L1D 的缓存，以降低 Linux 系统遭遇 Snoop 攻击的风险。 Singh 在 4 月份曾解释说：“这个补丁可以防止他们的数据在任务结束后被监听或通过旁道泄露。”他原本打算该补丁可以随 Linux 内核的 5.8 版一起发布。“如果硬件支持，该特性将允许基于可选加入的应用程序调用 prctl() 功能来刷新任务关闭后残留在 CPU 中的 L1D 缓存。” 但是，知名技术测试网站 Phoronix 指出，在任务结束后刷新 L1D 缓存会导致 CPU 的性能降低。Linux 内核项目负责人 Linus Torvalds 认为，这将导致使用该补丁的所有 Linux 用户（无论是否采用 Intel CPU）的 CPU 性能降低，严正拒绝了该补丁，同时还一如既往地说起了骚话。 Torvalds 在回复该提交的邮件列表中写道：“因为在我看来，这基本上是将缓存刷新指令导出到用户空间，并为进程提供了一种方式，可以说让与这事情无关的其他人也慢了下来。” “换言之，据我所知，这就是疯狂的 Intel 发布了有缺陷的 CPU，它给虚拟化代码带来了问题（我对此并不太在意），但现在要因为它的问题影响到本来就没有这些问题的 Linux 用户，这是完全没有意义的。” 在一番非常 Linus 式的回复下，Linus 对虚拟化的引用其实也是针对 AWS 的，AWS 和其他云服务提供商一样，销售的虚拟 cpu 通常启用了同步多线程（simultaneous multithreading，SMT）功能。Linus 接着指出，“在启用 SMT 的情况下，任务调度是分布式进行的，所以说，在任务结束与新任务开始之间刷新 L1D 缓存是非常愚蠢的。” 值得一提的是，AWS 的首席工程师 Benjamin Herrenschmidt 在与 Red Hat Linux 内核贡献者 Ingo Molnar 的讨论中也为该补丁的争论添加了一些背景。Herrenschmidt 承认这个补丁对 SMT 来说毫无意义，但他敦促 Linux 内核开发人员不要“把婴儿和洗澡水一起扔掉”，并反驳了这个补丁是因为 AWS 想把超线程作为虚拟 cpu 出售的说法。Herrenschmidt 说，“这些补丁并不是要解决运行 SMT 的客户 VM 内部出现的问题，也不是要保护 VM 免受同一系统上其他 VM 的攻击。” 事实上，Linus 已经不是第一次严辞拒绝与 Intel CPU 有关的补丁。2018 年初，为了修补 Spectre 漏洞，Intel 工程师提供了一个间接分支限制推测（indirect branch restricted speculation, IBRS）功能的补丁，Linus 当时就在邮件列表中公开指出 IBRS 会造成系统性能大幅降低。 而就在上个月，Linus 对自己的私人电脑进行了升级，同时公开了自己最新的主力机器配置，他把自己的 CPU 换成了 AMD Ryzen Threadripper ，放弃使用了 15 年的 Intel 处理器。     （稿源：开源中国，封面源自网络。）

儿童向游戏开发者HyperBeard工作室由于非法窃取青少年用户数据信息，将向美国联邦贸易委员会（FTC）缴纳1.5万美元的和解费用。本次纠纷最初是FTC方面怀疑HyperBeard 违反“儿童线上隐私保护法案”并提起诉讼。FTC认为HyperBeard 工作室在没有获得家长统一的情况下，使用身份识别手段收集13岁以下儿童的信息。身份识别获得的数据则被用于定向广告。 FTC的消费者保护局分管负责人Andrew Smith表示：“如果你开发的app或者网站面向儿童，那就必须保证让家长知道，然后才能收集儿童的个人信息。具体做法包括允许其他人，比如广告商收集身份信息，比如广告ID或者cookie，从而进行行为广告。” HyperBeard工作室的CEO Alexander Kozachenko和经理Antonio Uribe都在诉状中被提及。他们被勒令销毁数据并缴纳400万美元罚款。 由于HyperBeard工作室没有能力缴纳400万美元的罚款，他们可以缴纳1.5万美元和解费用，暂停执行罚款。     （稿源：cnBeta，封面源自网络。）

早在今年4月份左右,Zoom被爆出漏洞,在Dark Web和黑客论坛上,超过50万个Zoom帐户可供出售,1块钱可以买7000个。在某些情况下，是免费赠送的。这些凭据是通过凭据注入攻击收集的，其中黑客尝试使用在较早的数据泄露中泄露的帐户尝试登录Zoom。然后将成功的登录名编译成列表，然后出售给其他黑客。 网络安全情报公司Cyble 告诉BleepingComputer，大约2020年4月1日，他们开始在黑客论坛上看到免费的Zoom帐户发布，以在黑客社区中获得越来越高的声誉。 这些帐户通过文本共享站点共享，黑客在该站点上发布电子邮件地址和密码组合的列表。 在以下示例中，免费放出了与佛蒙特大学，科罗拉多大学，达特茅斯，拉斐特，佛罗里达大学等学院相关的290个帐户。 BleepingComputer已联系了这些列表中显示的随机电子邮件地址，并确认某些凭据是正确的。 一位暴露的用户告诉BleepingComputer，列出的密码是旧密码，这表明其中一些凭证可能来自较旧的凭证注入攻击。 批量出售帐户 在看到卖家在黑客论坛上发布帐户后，Cyble伸出手来大量购买大量帐户，以便可以将潜在的漏洞用于警告客户。 Cyble能够以每个帐户0.0020美元的价格购买不到5美分的Zoom凭证（大约530,000个）。 购买的帐户包括受害者的电子邮件地址，密码，个人会议URL及其HostKey。 Cyble告诉BleepingComputer，这些帐户包括大通，花旗银行，教育机构等知名公司的帐户。 对于属于Cyble客户的帐户，情报公司能够确认它们是有效的帐户凭据。 Zoom在给BleepingComputer的声明中说，他们已经雇用了情报公司来帮助查找这些密码转储，以便他们可以重置受影响的用户的密码。 “为消费者服务的网络服务通常会受到此类活动的攻击，这通常涉及不良行为者测试来自其他平台的大量已被破坏的凭据，以查看用户是否在其他地方重用了它们。这种攻击通常不会会影响使用他们自己的单点登录系统的大型企业客户，我们已经聘请了多家情报公司来查找这些密码转储以及用于创建密码转储的工具，并且该公司已关闭了数千个试图欺骗网站的网站用户下载恶意软件或放弃其凭据。我们将继续进行调查，以锁定我们发现遭到入侵的帐户，要求用户将其密码更改为更安全的方式，并正在寻求实施其他技术解决方案以支持我们的努力。” 更改Zoom密码（如果在其他地方使用） 由于所有公司都受到凭据注入攻击的影响，因此对于注册帐户的每个站点，您必须使用唯一的密码。 通过这些攻击，利用暴露在过去数据泄露中的帐户，然后在线销售，每个站点使用唯一的密码可以防止一个站点的数据泄露影响另一个站点数据。 您还可以通过“ 我已被拥有”和Cyble的AmIBreached数据泄露通知服务检查您的电子邮件地址是否因数据泄露而泄漏。 两种服务都将列出包含您的电子邮件地址的数据泄露事件，并进一步确认您的凭据已被公开。     （稿源：TechWeb，封面源自网络。）

为迫使受害者支付赎金，勒索软件攻击者宣布拍卖受害者的机密数据。勒索软件 REvil、Sodin 和 Sodinokibi 背后的犯罪分子通过其维护的暗网网站 Happy Blog 启动了拍卖流程。 以前勒索软件攻击者为了迫使受害者支付赎金会选择性的披露部分窃取的数据。可能是早先的策略效果不佳，攻击者试图通过拍卖对受害者施加更大的压力。 Happy Blog 目前拍卖的数据来自于两家公司，其一是食品销售商，另一家是加拿大的农作物生产商。     （稿源：solidot，封面源自网络。）

卡内基梅隆大学安全与隐私研究所的研究人员发现，在账号泄露之后只有很少一部分用户会去更换密码。这一结果不是基于调查数据而是真实的用户浏览器流量。这项研究采用了卡内基梅隆大学 Security Behavior Observatory (SBO)项目收集的用户数据，出于学术研究的目的，用户自愿选择分享完整的浏览器流量。 数据是在 2017 年 1 月到 2018 年 12 月之间收集的，除了 Web 流量外还有登陆网站的密码以及储存在浏览器内的密码。 在数据收集期间，249 名用户中有 63 名用户有账号泄露，而这 63 名用户只有 21 名用户访问了发生账号泄露的网站去修改密码，而这 21 名用户中有 15 名是在发生账号泄露 3 个月内修改的。   （稿源：solidot，封面源自网络。）

ESET研究人员近期发现了由Turla组织ComRAT经营的恶意软件的更新版本。Turla，也被称为Snake，是一个臭名昭著的间谍组织，已经活跃了十多年，之前也介绍过许多该组织的活动。 ComRAT，也称为Agent.BTZ，是一种用于远程访问特洛伊木马（RAT），该木马在2008年因违反美国军方使用规则声名狼藉。该恶意软件的第一版（约在2007年发布）通过传播可移动驱动器来展现蠕虫功能。从2007年到2012年，已经发布了RAT的两个主要版本。有趣的是，它们都使用了著名的Turla XOR密钥： 1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s 2017年，Turla开发人员对ComRAT进行了一些更改，但这些变体仍然是从相同的代码库中派生出来的，相关研究报告请见https://www.welivesecurity.com/wp-content/uploads/2020/05/ESET_Turla_ComRAT.pdf。此外还发布了不同的ComRAT版本。这个新版本使用了全新的代码库，相比之前的版本会复杂很多。以下是该恶意软件的几个特征： ComRAT v4于2017年首次亮相，直到2020年1月仍在使用。 其至少确定了三个攻击目标：两个外交部和一个国民议会。 ComRAT用于窃取敏感文档，运营商使用OneDrive和4shared等云服务来窃取数据。 ComRAT是用C ++开发的复杂后门程序。 ComRAT使用FAT16格式化的虚拟FAT16文件系统。 其使用现有的访问方法（例如PowerStalli on PowerShell后门）部署ComRAT。 ComRAT具有两个命令和控制通道： 1.HTTP：它使用与ComRAT v3完全相同的协议； 2.电子邮件：它使用Gmail网络界面接收命令并窃取数据。 ComRAT可以在受到感染的计算机上执行如泄露其他程序或文件的操作。   …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1222/     消息来源：welivesecurity， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

安全公司 ESET 的研究人员披露了俄罗斯国家支持黑客组织 Turla 发动的最新攻击。攻击发生在今年1月，三个目标分别是国家议会和外交部，黑客部署了新版的 ComRAT 恶意程序。旧版的 ComRAT 曾在 2008 年用于从五角大楼网络窃取数据。 ComRAT 的最新版本是 v4，研究人员观察到了 ComRAT v4 的新变种包含了两项新功能：收集杀毒软件的日志和使用 Gmail 收件箱控制恶意程序。 安全研究人员认为，黑客收集杀毒软件日志是为了更好的理解对其恶意程序的检测。如果程序被检测出来，他们可以进行调整以躲避检测。     （稿源：solidot，封面源自网络。）