北京时间5月23日早间消息，据美国科技媒体ZDNet报道，一项新的设备指纹识别技术可以使用出厂时设置的详细传感器校准信息，跟踪互联网上的Android和iOS设备，任何应用或网站都可以在没有特殊权限的情况下获取这些信息。 这种新技术称为校准指纹识别攻击或SensorID，它通过使用iOS上的陀螺仪和磁力计传感器的校准细节来实现；也可以使用Android设备上的加速度计、陀螺仪和磁力计传感器的校准细节。 根据英国剑桥大学的一个学术团队的说法，SensorID对iOS设备的影响大于对Android设备的影响。原因是苹果喜欢在其工厂生产线上校准iPhone和iPad传感器，但却只有少数Android供应商通过这一过程来提高智能手机传感器的准确性。 研究小组在昨天发表的一份研究报告中说：“我们的方法是通过仔细分析来自传感器的数据，这无需对网站和应用程序提供任何特殊许可即可访问。” “我们的分析推断出制造商嵌入到智能手机固件中的每个设备的工厂校准数据，他们通过这种方法来补偿系统制造失误。”研究人员说。 然后，该校准数据可以当做指纹，产生唯一标识符，广告或分析公司可以使用该标识符来跟踪用户的上网情况。 此外，由于校准传感器指纹在使用应用程序或网站提取时都是相同的，因此该技术还可用于跟踪用户在浏览器和第三方应用程序之间的切换，允许分析公司全面了解用户的设备使用情况。 “提取校准数据通常需要不到一秒的时间，并且不依赖于设备的位置或方向。”研究人员说，“我们还尝试在不同位置和不同温度下测量传感器数据，我们确认这些因素也不会改变SensorID。” 即使在重置出厂设置之后，传感器校准指纹也永远不会改变，从而允许跟踪实体把访问标识符作为不变的唯一IMEI码。 此外，由于无需获取特殊权限，因此用户无法察觉这种类型的跟踪。 发现这种新跟踪载体的三人研究小组表示，他们分别于2018年8月和2018年12月通知了苹果和谷歌。 苹果在今年3月发布iOS 12.2修补了这个问题。但谷歌只告诉研究人员他们会展开调查。之所以出现这种情况，很可能是因为iOS设备比Android智能手机更容易受到这种类型的跟踪。(书聿)   （稿源：，稿件以及封面源自网络。）

名为SandboxEscaper的安全研究人员发布了一个针对Windows 10的零日漏洞，SandboxEscaper之前已经发现过类似的漏洞，可能是因为糟糕的与微软安全团队的沟通经历，这次他们毫不客气地说“迫不及待地想要销售他们[微软]软件中的漏洞。”截至撰稿时，@SandboxEscaper的Twitter帐户已被暂停，但博客文章依然存在。 新漏洞被归类为本地特权升级（LPE）漏洞，可用于通过在任务计划程序中利用漏洞来为黑客提升在计算机上运行有害代码的权限。幸运的是，黑客不能单独利用此漏洞在第一时间侵入计算机，但可能会与这些类型的漏洞结合使用。 除了漏洞的源代码外，SandboxEscaper还发布了一个视频展示了这个零日漏洞被攻击的情况。它已经过测试并确认可以在Windows 10 32位系统上运行，但我们相信，经过一些修改，便可以看到它可以在所有版本的Windows上运行，一直“向下兼容”到Windows XP和Windows Server 2003。 据微软并没有预先警告这个漏洞，所以公司现在必须争分夺秒才能解决这个问题。下一个补丁星期二定于6月中旬，与此同时，攻击者可以利用这段空窗期攻击世界各地的系统。   （稿源：cnBeta，封面源自网络。）

北京时间5月22日早间消息，据美国科技媒体The Verge报道，谷歌在博客文章里披露，公司最近发现一个漏洞，导致部分G Suite用户的密码以明文方式存储。 博文中称，该漏洞自2005年以来就存在，但谷歌未能找到任何证据表明，任何人的密码被非法访问过。公司正在重置可能受影响的密码，并已告知各G Suite管理员。 G Suite是Gmail和谷歌其它应用的企业版本。显然，G Suite中出现的这个漏洞源于专为企业涉及的功能。一开始，公司的G Suite应用管理员可以手动设置用户密码——例如，在新员工入职前——如果管理员这样操作了，管理控制台会以明文方式存储这些密码，而非哈希加密存储，之后，谷歌便删除了这个管理员功能。 谷歌的帖子详细地解释了加密哈希的工作原理，似在为了分清楚与这一漏洞有关的细微差别。虽然密码是以明文方式存储，但它们至少是明文存储在谷歌的服务器上，因此比起存储在开放互联网上，这些明文密码还是比较难访问的。虽然谷歌并未明确说明，但谷歌似乎也在努力让人们相信，这次的漏洞与其他遭到泄露的明文密码问题不一样。 另外，谷歌并未说明具体有多少用户受到这一漏洞的影响，只是表示该漏洞影响了“我们部分的企业G Suite用户”——估计是2005年时使用G Suite的那些人。尽管谷歌也没有发现任何人恶意使用这一访问权限的证据，但我们也无法清楚地知道究竟谁访问过这些明文密码。 目前这个漏洞已经修复，同时谷歌在博文最后表达了歉意。(图尔)   （稿源：，稿件以及封面源自网络。）

如果您不习惯使用最新版本的Linux内核，那么现在可能是考虑升级的好时机。基于早于5.0.8的内核版本的系统在通过TCP实现RDS时已经发现一个缺陷。如果没有打补丁，该漏洞可能会使攻击者破坏系统。 Red Hat，Ubuntu，Debian和SUSE都受到了这个漏洞的影响，并且这些发行方均已为其Linux发行版发布了安全建议。值得注意的是，“攻击复杂性”被评为“高”，因此虽然安全漏洞的影响可能很严重，但成功实施攻击的难度较大。 在对该漏洞的分析中，红帽表示：在Linux内核的TCP上RDS实现中发现了一个漏洞。加载了rds_tcp内核模块的系统（通过运行listen（）的本地进程通过自动加载或手动加载）可能会导致在释放后使用（UAF），其中攻击者能够操纵网络命名空间的处理套接字状态，从而可能导致内存错误和权限提升。 在对该漏洞的分析中，红帽表示：在Linux内核的TCP上RDS实现中发现了一个漏洞。加载了rds_tcp内核模块的系统（通过运行listen（）的本地进程通过自动加载或手动加载）可能会导致在释放后使用（UAF），其中攻击者能够操纵网络命名空间的处理套接字状态，从而可能导致内存错误和权限提升。 无论如何，该问题已在Linux内核的5.0.8版本中进行了修补，因此如果您还没有这样做，请更新它就可以一次性解决问题。   （稿源：cnBeta，封面源自网络。）

安全研究人员近日报告称，黑客组织BlackTech在中国台湾通过中间人攻击（“MITM攻击”）部署了Plead恶意软件。该组织被曝利用华硕WebStorage软件的漏洞来上传绕过身份验证的恶意软件。 根据Eset的安全研究人员的说法，黑客一直在利用华硕的WebStorage软件在受害者的计算机上安装后门。其使用的恶意软件称为Plead，主要由被称为BlackTech的黑客组织部署，该组织主要针对亚洲政府和公司。 通常，恶意软件通过网络钓鱼攻击进行传播。然而，这一次研究人员注意到一个名为AsusWSPanel.exe的进程正在激活Plead后门。该程序是华硕云存储客户端WebStorage的合法部分。 研究人员认为，黑客正在使用中间人攻击。“华硕WebStorage软件很容易受到此类攻击，”Eset的Anton Cherepanov说道。“使用HTTP请求并传输软件更新。下载更新并准备执行后，软件在执行前不会验证其真实性。因此，如果更新过程被攻击者截获，他们就可以推送恶意更新。” Plead将使用受感染的路由器作为恶意软件的命令和控制服务器。大多数受到攻击的组织使用相同品牌的路由器，其管理设置可通过互联网访问。 “因此，我们认为路由器级别的MitM攻击是最可能的情况，”Cherepanov说道。“为了应对这次攻击，华硕云已经改进了更新服务器的主机架构，并实施了旨在加强数据保护的安全措施。” Eset表示另一种可能性是黑客正在使用供应链攻击。这种类型的破坏发生在制造商的供应链中，其中安全措施可能不严格。然而，研究人员表示，尽管这种载体是可能的，但它的可能性要小得多。 Cherepanov提供了这样的建议：“对于软件开发人员来说，不仅要彻底监控他们的环境是否存在可能的入侵，还要在他们的产品中实施适当的更新机制，以抵御MitM攻击。” TechSpot就其对情况的认识与华硕进行了联系。该公司发表以下声明： “华硕云首次了解到2019年4月下旬发生的一起事件，当时一位遭受安全问题的客户与我们取得联系。在得知此事件后，华硕云立即采取行动，通过关闭华硕WebStorage更新服务器并停止来缓解攻击发布所有华硕WebStorage更新通知，从而有效地阻止攻击。 “为了应对这次攻击，华硕云已经改进了更新服务器的主机架构，并实施了旨在加强数据保护的安全措施。这将防止未来发生类似攻击。不过，华硕云强烈建议华硕WebStorage服务的用户立即运行完整的病毒扫描，以确保您的个人数据的完整性。”   （稿源：cnBeta，封面源自网络。）

美国 Red Ballon 安全研究公司近日发布了一份报告，公布了思科产品的两个漏洞。 第一个漏洞被称为（Thrangrycat），允许攻击者通过现场可编程门阵列（FPGA）比特流操作完全绕过思科的信任锚模块（TAm）。 第二个是针对 Cisco IOS XE 版本 16 的远程命令注入漏洞，该漏洞允许以 root 身份执行远程代码，通过链接和远程命令注入漏洞，攻击者可以远程持续绕过思科的安全启动机制，并锁定 TAm 的所有未来软件更新。 报告称， 是由 Cisco Trust Anchor 模块中的一系列硬件设计缺陷引起的，Cisco Trust Anchor 模块（TAm，信任锚）于2013年首次商业化推出，是一种专有的硬件安全模块，用于各种思科产品，包括企业路由器，交换机和防火墙。 TAm 是专门用来验证安全开机程序的硬件装置，在系统开启时执行一连串的指令，以立即验证开机载入程序的完整性，一但侦测到任何不妥，就会通知使用者并重新开机，以防止设备执行被窜改的开机载入程序。 而 可藉由操纵 FPGA（Field Programmable Gate Array，现场可编程门阵列）的比特流（bitstream）来绕过 TAm 的保护。这是因为 TAm 原本就得依赖外部的 FPGA，在设备开机后，FPGA 会载入未加密的比特流来提供 TAm 的信任功能。 Red Balloon Security 已在去年11月知会思科，思科也在同一天发表了安全通报。 根据思科所列出的产品列表，总计超过 130 款产品受到波及。 迄今为止，除了研究人员针对思科 ASR 1001-X 设备所进行的攻击示范之外，尚未发现其它攻击行动。Red Balloon Security 也准备在8月的黑帽（Black Hat）安全会议上对此进行展示。 目前，思科正在持续发布针对该漏洞的软件更新。 题外话：研究人员表示，以取代 Thrangrycat，是为了彰显该研究并无任何语言或文化上的偏见，表情符号已是数位时代的象征，它跟数学一样都是透过语际符号来表达，而猫咪的矛盾特性恰好可用来形容该漏洞。   （稿源：开源中国，封面源自网络。）

安全研究人员今日公布了一系列影响英特尔微处理器的潜在安全漏洞，其可能导致用户机器上的信息被泄露。由英特尔安全公告可知，新漏洞使得恶意进程能够从同一 CPU 核心上运行的另一个进程那里读取数据（涉及在 CPU 内核中使用的缓冲区）。因为数据不会在进程切换时被清除，恶意进程可以推测性地从所述缓冲区中采样数据、知晓其中的内容、从同一 CPU 内核上执行的另一个进程中读取数据。 （图自：Intel，via Softpedia） 据悉，当在内核和用户空间、主机和客户机、或两个不同的用户空间进程之间进行切换时，就有可能发生这种情况。这几个漏洞分别为： ● CVE-2018-12126：存储缓冲区数据采样（MSBDS） ● CVE-2018-12127：加载端口数据采样（MLPDS） ● CVE-2018-12130：填充缓冲区数据采样（MFBDS） ● CVE-2019-11091：对不可缓存内存的数据采样（MDSUM） 受影响产品列表（PDF） 为了修复上述影响英特尔旗下各款处理器的问题，该公司已于今日发布了专门的微代码更新。但想要顺利缓解这些潜在的威胁，仍需各个制造商进行固件的分发。 对此，我们建议所有已知的计算机操作系统（含 Windows、Linux、Mac、BSD 等）用户，均在第一时间部署安装新的固件更新。 在某些 Linux 发行版上（Canonical、Red Hat 等），用户不仅需要更新英特尔的微代码固件，还需要安装相应的 Linux 内核与 QEMU 软件包，才能充分缓解新曝光的安全漏洞的影响。 还有一些计划外的产品 英特尔表示，其已与各大操作系统厂商和设备制造商们采取了密切的合作，为保护用户受潜在的攻击而提供切实可行的解决方案。 （稿源：cnBeta，封面源自网络。）

据外媒报道，当地时间周一下午，Twitter披露了一个漏洞，即在某些情况下，一个账户的位置数据会被共享给Twitter的合作伙伴–即使用户没有选择共享这些数据。这家公司表示，该漏洞只影响了Twitter iOS用户群的一部分，另外他们都已经得到了存在这一问题的通知。 据了解，受影响用户在iOS上拥有多个Twitter账号，并且选择在一个账号中使用可选功能分享自己的精确位置。Twitter表示，它可能意外地对其他账号或同一移动设备上的其他账号也进行了位置数据收集，即使这些账户没有选择共享位置数据。 然后，这些信息在实时竞标过程中被共享给未具名的Twitter合作伙伴，这意味着他们得到了未经授权的位置数据。Twitter指出，这些都不是精确的位置数据，因为这些数据已经被模糊化。这意味着这些数据不能用来确定某一个特定的地址，也不能用来绘制出用户的精确活动地图。 对于那些担心自己的位置被泄露的用户，Twitter向受到影响用户保证，接收位置数据的合作伙伴没有得到他们的唯一的帐户标识符。另外Twitter表示，合作伙伴没有保留这些位置数据。 目前还不清楚这一位置分享是何时发生的，也不清楚持续了多长时间，此外，Twitter也没有指明拥有这些数据的合作伙伴的名字，也没有解释这样一个漏洞是如何产生的，而只是表示，未能删除这些位置数据。   （稿源：cnBeta，封面源自网络。）

北京时间5月14日早间消息，《金融时报》本周在一篇报道中详细介绍了WhatsApp的一个漏洞。该漏洞让攻击者可以将以色列间谍软件注入手机。这些恶意代码由以色列公司NSO Group开发，可以通过iOS和Android版WhatsApp呼叫其他用户来传播。 报道称，即使用户没有应答WhatsApp呼叫，恶意代码也可以传播。在许多情况下，这样的呼叫会从日志中清除。因此，许多用户在不知情的情况下就成为受害者。 目前有关该漏洞的细节尚不清楚。报道称，这个漏洞被发现已经有几周之久。 WhatsApp在公告中表示：“这次攻击具备一家私营公司的所有特征。该公司与政府合作，提供间谍软件，有报道称这些软件可以接管移动操作系统的许多功能。我们已向多家人权组织提供简报，分享我们可以提供的信息，并与他们合作告知民间社会。” 报道称，WhatsApp还处于调查起步阶段，目前无法估计有多少手机被攻击。WhatsApp在全球范围内有超过15亿用户。 WhatsApp已于上周向美国司法部报告了这个问题，并于周五开始在服务器端部署修复方案。为开发用户端的补丁，WhatsApp工程师一直加班到上周日。 NSO Group开发类似Pegasus的工具并推销给全球各国政府部门，作为打击恐怖主义和犯罪的一种手段。该公司在声明中表示，“不会也不能利用自己的技术瞄准任何个人或组织”。(张帆)   （稿源：，稿件以及封面源自网络。）

HackerNews.cc 5 月 9日消息，黑客正利用2018年揭露的Jenkins漏洞（CVE-2018-1000861 ）来进行挖矿活动。 Jenkins是最受欢迎的开源自动化服务器，它由CloudBees和Jenkins社区共同维护。 它在全球拥有数十万个活动安装，拥有超过100万用户。 SANS专家Renato Marinho发现了一个针对易受攻击的Apache Jenkins安装的恶意攻击活动，来传播一个名为Kerberods的门罗币挖矿恶意软件。据SANS研究所的网络风暴中心称，攻击者正在利用Jenkins服务器的CVE-2018-1000861漏洞，其存在于Stapler HTTP请求处理引擎中。 Marinho发现一些攻击击中了他的一个蜜罐，且正试图利用Jenkins漏洞来进行挖矿。在分析了这一蜜罐威胁之后，他创建了下图所示的图表（可以按照蓝色数字来理解每一步）。 Kerberods包含自定义版本的UPX打包程序，它尝试获取root权限以隐藏其存在来长期存续。在分析二进制文件后，Marinho发现使用的打包程序是“UPX”的自定义版本。UPX是一个开源软件，有许多方法可以修改UPX，使得用常规UPX版本解压缩文件很难。幸运的是，在本例中，UPX自定义版本只涉及魔术常量UPX_MAGIC_LE32从“UPX”修改为其他三个字母。因此，将二进制文件的不同部分还原为UPX，可以使用常规版本的UPX解压缩二进制文件。 一旦获得root权限，Kerberods会将一个库加载到操作系统中，该操作系统挂钩Glibc的不同功能，就像一个木马一样。在没有root权限的情况下，恶意软件创建了一个定时任务来确保其持久性。 Kerberods在受感染的系统上下载并执行门罗币加密货币挖掘器，它还使用本地SSH密钥进行横向移动。 恶意软件还会在互联网上搜索其他易受攻击的Jenkins服务器。   消息来源：Securityaffairs， 译者：Vill，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接