【环球网科技 记者 樊俊卿】近日，有驻华外媒发表文章称，近年来在中国日常生活中不断出现的在小型便携式信用卡读卡器(通常被称为移动 POS 机)存在着极大的安全隐患。 有消息显示，目前，该领域的设备主要由四家公司所提供—— Suqare、SumUp、iZettle 和 PayPal 。随着设备的普及，其身上存在的安全漏洞也逐渐显现，在用户进行刷卡交易时，不法分子可以通过这些漏洞盗取你的个人信息，甚至是盗刷你的银行卡。 来自安全公司 Positive Technologies 的 Leigh-Anne Galloway 和 Tim Yunusov 总共研究了七款移动销售点设备。他们发现的这些设备并不如宣传的那么完美：其中存在的漏洞，能够被他们使用蓝牙或移动应用来操作命令，修改磁条刷卡交易中的支付金额，甚至获得销售点设备的完全遥控。 我们面临的一个非常简单的问题是，一个成本不到 50 美元的设备到底拥有多少安全性？” Galloway 说。“考虑到这一点，我们从两个供应商和两款读卡器开始研究，但是它很快发展成为一个更大的项目。” 所有四家制造商都在解决这个问题，当然，并非所有型号都容易受到这些漏洞的影响。以 Square 和 PayPal 为例，漏洞是在一家名为 Miura 的公司制造的第三方硬件中发现的。研究人员于本周四在黑帽安全会议上公布了他们的发现。 研究人员发现，他们可以利用蓝牙和移动应用连接到设备的漏洞来拦截交易或修改命令。这些漏洞可能允许攻击者禁用基于芯片的交易，迫使顾客使用不太安全的磁条刷卡，使得更容易窃取数据和克隆客户卡。 此外，流氓商家可以让 mPOS 设备看起来是被拒绝交易一样，从而让用户重复多次刷卡，或者将磁条交易的总额更改为 5 万美元的上线。通过拦截流量并秘密修改付款的数值，攻击者可能会让客户批准一项看起来正常的交易，但这项交易的金额会高得多。在这些类型的欺诈中，客户依靠他们的银行和信用卡发行商来保障他们的损失，但是磁条卡是一个过时的协议，继续使用它的企业现在需要承担责任。 研究人员还报告了固件验证和降级方面的问题，这些问题可能允许攻击者安装旧的或受污染的固件版本，进一步暴露器件。 研究人员发现，在 Miura M010 读卡器中，他们可以利用连接漏洞在读卡器中获得完整的远程代码执行和文件系统访问权。 Galloway 指出，第三方攻击者可能特别希望使用此控件将 PIN 码的模式从加密更改为明文，即“命令模式”，从而用于观察和收集客户 PIN 码。 研究人员评估了美国和欧洲地区使用的账户和设备，因为它们在每个地方的配置有所不同。虽然研究人员测试的所有终端都包含一些漏洞，但最糟糕的只限于其中几个而已。 “Miura M010 读卡器是第三方信用卡芯片读卡器，我们最初提供它作为权宜之计，现在只有几百个 Square 卖家使用。当我们察觉到存在一个影响 Miura 读卡器的漏洞时，我们加快了现有计划，放弃了对 M010 读卡器的支持，”一位 Square 发言人表示。“今天，在 Square 生态系统中不再可能使用 Miura 读卡器了。” “SumUp 可以证实，从未有人试图通过其终端使用本报告概述的基于磁条的方法进行欺诈，”一位 SumUp 发言人表示。“尽管如此，研究人员一联系我们，我们的团队就成功地排除了将来出现这种欺诈企图的可能性。” “我们认识到研究人员和我们的用户社区在帮助保持 PayPal 安全方面发挥的重要作用，”一位发言人在一份声明中表示。“ PayPal的系统没有受到影响，我们的团队已经解决了这些问题。” iZettle 没有回复评论请求，但是研究人员表示，该公司也在修复这些漏洞。 Galloway 和 Yunusov 对供应商的积极回应感到满意。然而，他们希望，他们的发现将提高人们对将安全性作为低成本嵌入式设备发展优先事项这一更广泛问题的认识。 “我们在这个市场基础上看到的问题可以更广泛地应用于物联网，” Galloway 说。“像读卡器这样的东西，作为消费者或企业所有者，你会对某种程度的安全性有所期待。但是其中许多公司存在的时间并没有那么长，产品本身也不太成熟。安全性不一定会嵌入到开发过程中。”   稿源：环球网，封面源自网络；

据《连线》网站报道，研究人员发现，数以百万计的 Android 设备出货之时便存在固件漏洞，容易受到攻击，用户可以说防不胜防。智能手机因安全问题而崩溃往往是自己造成的：你点击了错误的链接，或者安装了有问题的应用。但对于数以百万计的 Android 设备来说，这些漏洞早就潜藏于固件当中，被利用只是迟早的问题。这是谁造成的呢？在某种程度上，制造设备的制造商和销售设备的运营商都有责任。 这是移动安全公司 Kryptowire 的最新研究分析得出的主要结论。Kryptowire 详细列出了在美国主流运营商销售的 10 款设备中预装的漏洞。Kryptowire 首席执行官安杰罗斯·斯塔夫鲁（Angelos Stavrou）和研究总监莱恩·约翰逊（Ryan Johnson）将在周五的 Black Hat 安全会议上展示他们的研究成果。该项研究是由美国国土安全部资助的。 这些漏洞的潜在后果可大可小，比如锁住设备让机主无法使用，秘密访问设备的麦克风和其他的功能。       “这个问题不会消失。”—— Kryptowire首席执行官安杰罗斯·斯塔夫鲁 Android 操作系统允许第三方公司根据自己的喜好改动代码和进行定制，而那些固件漏洞正是这种开放性的副产品。开放本身没有什么问题；它让厂商能够寻求差异化，给人们带来更多的选择。谷歌将在今年秋天正式推出 Android 9 Pie ，但最终该新系统将会有各种各样的版本。 不过，那些代码改动会带来一些令人头痛的问题，其中包括安全更新推送的延迟问题。正如斯塔夫鲁和他的团队所发现的，它们还可能会导致固件漏洞，将用户置于危险当中。 “这个问题不会消失，因为供应链中的许多人都希望能够添加自己的应用程序，自定义定制，以及添加自己的代码。这增加了可被攻击的范围，增加了软件出错的可能性。”斯塔夫鲁指出，“他们让终端用户暴露于终端用户无法应对的漏洞当中。” Kryptowire 在 Black Hat 上的讲话聚焦于来自华硕、LG、Essential 和中兴通讯的设备。 Kryptowire 的研究关注的并不是制造商的意图，而是整个 Android 生态系统的参与者共同造成的广泛存在的代码低劣问题。 以华硕 ZenFone V Live 为例，Kryptowire 发现，该款手机的整个系统都被接管控制，包括对用户屏幕的截图和视频录像、打电话、浏览和修改短信等等。 “华硕意识到最近 ZenFone 的安全问题，正努力通过软件更新来加快解决问题，软件更新将无线推送给 ZenFone 用户。”华硕在一份声明中表示，“华硕致力于保障用户的安全和隐私，我们强烈建议所有的用户更新到最新的 ZenFone 软件，以确保获得安全的用户体验。” 现阶段，要解决自己造成的烂摊子，推送更新是华硕唯一能够做的。但斯塔夫鲁对这种修补过程的有效性表示怀疑。“用户必须要接受并安装这个补丁。所以即使他们把它推送到用户的手机上，用户可能也不会去安装更新。”他说道。他还指出，在 Kryptowire 测试的一些机型上，更新过程本身就被中断了。这一发现也得到了德国安全公司 Security Research Labs 最近的一项研究的支持。 Kryptowire 所详述的攻击基本上都需要用户去安装应用。然而，虽然正常来说可以通过一个不错的方法来规避潜在的攻击，即坚持使用谷歌官方应用商店 Google Play 来下载应用，但斯塔夫鲁指出，让这些漏洞变得如此有害的是那些应用程序在安装时并不需要授予特别的权限。换句话说，应用程序不必诱使你提供访问你的短信和通话记录的权限。得益于存在缺陷的固件，它可以轻而易举地、悄无声息地获取你的短信和通话记录。 攻击最终可能会导致各种各样的后果，具体要看你使用的是什么设备。就中兴 Blade Spark 和 Blade Vantage 而言，固件缺陷会允许任何应用程序访问短信、通话数据和所谓的日志记录（收集各种系统消息，可能包括电子邮件地址、GPS 坐标等敏感信息）。在 LG G6（Kryptowire的研究报告中最流行的一款机型）上，漏洞可能会暴露日志记录，或者被用来锁定设备让机主无法访问。攻击者还可能会重置 Essential Phone 手机，清除它的数据和缓存。 “在我们意识到这个漏洞以后，我们的团队立即进行了修复。” Essential 公关主管莎丽·多尔蒂（Shari Doherty）说道。          你完全无法自己去解决问题，也无法早早发现问题的存在。 LG 似乎已经解决了一些潜在的问题，但还没有完全解决。“ LG 此前了解到了这些漏洞，并已经发布了安全更新来解决这些问题。事实上，报告提到的漏洞大多数都已经被修补，或者已经被纳入即将到来的与安全风险无关的定期维护更新。”该公司发表声明称。 至于中兴通讯，该公司在一份声明中表示，它“已经推送安全更新，今天也在与运营商合作推送修复这些问题的维护更新。中兴通讯将继续与技术合作伙伴和运营商客户合作，未来持续提供维护更新，继续保护消费者的设备。” AT&T 的一位发言人证实，该运营商已经“部署了制造商的软件补丁来解决这个问题”。Verizon 和 Sprint 没有回复记者的置评请求。 这一连串的声明显示出了进展，但也凸显了一个关键的问题。斯塔夫鲁说，这些更新可能需要几个月的时间来创建和测试，需要经过从制造商到运营商再到客户的多重检验。在你等待更新的过程中，你完全无法自己去解决问题，也无法早早发现问题的存在。 “有一点是可以确定的，那就是没有人保障消费者的安全。”斯塔夫鲁指出，“该漏洞问题在系统中根深蒂固，消费者可能无法判断它是否存在。即使他们意识到它的存在，他们也毫无办法，只能等待制造商、运营商或任何更新固件的人来提供帮助。” 与此同时，这一发现只是 Kryptowire 最终将公开的诸多发现中的第一个发现。(为了让各家企业足够的时间做出反应，它还没有公开全部的发现。) “我们要感谢 Kryptowire 的安全研究人员为加强 Android 生态系统的安全性所做的努力。他们所概述的问题并不影响 Android 操作系统本身，但是会影响设备上的第三方代码和应用程序。”谷歌发言人在声明中称。 第三方代码和那些应用程序短期内似乎还不会消失。只要它们还在那里，那些令人头痛的潜藏隐患就还会存在。     稿源：网易科技，封面源自网络；

苹果的设备一直被认为相当具有安全性，但是它可能并非完全如此。虽然 Windows 可能容易受到攻击，但 macOS 好像也不那么安全，例如一台全新的 MacBook 就城门大开，很容易被黑客入侵。本周在拉斯维加斯举行的黑帽安全会议上有安全专家展示了该威胁。 问题出现在针对使用 Apple 的设备注册计划及其移动设备管理平台的 MacBook 上。设计这种功能的想法主要是为了方便企业当中的设备管理：将 MacBook 直接发送给员工，以便他们可以在办公室或家中设置设备。 Fleetsmith 的首席安全官 Jesse Endahl 和 Dropbox 的工程师 MaxBélanger 发现了这些设置工具中的一个错误，可以利用它来获得罕见的远程 Mac 访问。 我们发现了一个错误，允许我们在用户第一次登录之前破坏设备并安装恶意软件。当他们登录时，当他们看到桌面时，计算机已经受到损害。 – 杰西恩塔尔 研究人员已经向苹果通报了这个漏洞，并且该公司上个月已经发布了 macOS High Sierra 10.13.6 的修复程序。但是，上个月之前制造的设备仍然容易受到攻击，组织需要更新操作系统以确保漏洞。 苹果没有评论该公司推出的错误或修复程序。   稿源：cnBeta.COM，封面源自网络；

（原标题：Warning over satellite security bugs） 网易科技讯 8 月 10 日消息，据国外媒体报道，一名安全研究人员警告称，飞机、舰船和军方使用的卫星系统中均含有可能让黑客控制它们的安全漏洞。 最严重的漏洞可能会让攻击者向卫星天线过度充电，从而损害设备或损害运营商利益。研究人员表示，其他漏洞可能会被用来泄露军事力量在特定地区的确切位置。 发现了这些漏洞的 IOActive 公司表示，其正在与制造商合作，以加强设备抵御攻击的能力。 “这些漏洞的后果令人震惊，” IOActive 公司的鲁本桑塔玛塔 (Ruben Santamarta) 在一份声明中指出。有关漏洞的相关细节将于当地时间周四晚些时候在拉斯维加斯举行的黑帽安全会议上公布。 桑塔玛塔表示，商用飞机上使用的是最容易受到攻击的设备。 他说，影响飞机的一些安全漏洞需要攻击者自己身处那架飞机上，但他也发现了“数百个”可以通过互联网远程访问的脆弱设备。 然而，其中没有一个漏洞能让攻击者访问用于控制飞行的航空电子系统。 桑塔玛塔同时表示，在船上和美国军事基地的卫星地面站中也发现了其他安全漏洞。 他说，在船舶系统上，攻击者极有可能会获得对卫星接收器的控制，从而能够进行窃听或通过提高天线的功率输出来破坏天线。 桑塔玛塔表示，自己通过控制代码中的后门获得了卫星通信系统的使用权。 其明确指出，这种后门并非恶意插入，但可能是在软件开发过程中添加的。 IOActive 表示，它推迟了公布调查结果的细节，而制造商则采取行动来消除这些漏洞。 据悉，早在 2014 年桑塔玛塔开始进行相关研究，当时发现了卫星通信系统和设备中的潜在问题。     稿源： 网易科技，封面源自网络；

本周在拉斯维加斯举行的 Black Hat 会议上，来自 Kzen Networks 的安全研究人员 Amichai Shulman 和 Tal Be’ery 透露：可利用 Cortana 漏洞绕过 Windows 10 系统的安全保护。值得注意的是，该漏洞已经于今年 6 月份进行了修复。 访问: 微软中国官方商城 – 首页       完整幻灯片地址 访问这里 研究人员表示：“允许同已经锁定的设备进行交互是非常危险的架构决策，而且早些时候我们曝光了 Cortana 的 Voice of Esau (VoE) 漏洞。VoE 漏洞允许攻击者通过整合语音命令和网络欺诈来接管已经锁定的 Windows 10 设备，并向受害设备发送恶意负载”。 “在本次演示中，我们将展示发现的 ‘Open Sesame’ 漏洞，这是危险程度很高的 Cortana 漏洞，能够允许攻击者接管锁屏的设备，并执行任意代码。利用 ‘Open Sesame’ 漏洞攻击可以查看敏感文件（文本和媒体）、浏览任意网站，从网络下载和执行任意可执行文件，并且在某些情况下可以获得最高级别权限。而且更为糟糕的是，该漏洞并不涉及任何外部代码、也不涉及系统调用，因此防病毒和反恶意软件以及 IPS 不会检测到这样的攻击。”     稿源：cnBeta.COM，封面源自网络；

据外媒报道，最近曝出的一个加密错误（Crypto Bug），对苹果、博通、英特尔、高通等硬件供应商的蓝牙实施和操作系统程序都产生了较大的影响。其原因是支持蓝牙的设备无法充分验证“安全”蓝牙连接期间使用的加密参数。更准确的说法是，配对设备不能充分验证用在 Diffie-Hellman 密钥交换期间，生成公钥的椭圆曲线参数。 该 bug 导致了弱配对，使得远程攻击者有机会获得设备使用的加密密钥，并恢复在“安全”蓝牙连接中配对的两个设备之间发送的数据。 以色列理工学院的科学家 Lior Neumann 和 Eli Biham 发现了该漏洞： 其追溯编号为 CVE-2018-5383，可知蓝牙标准的‘安全简单配对’过程和低功耗蓝牙（Bluetooth LE）的‘安全连接’配对过程都受到了影响。 计算机应急响应小组（CERT / CC）昨晚发布了一份安全通报，其中包含了针对该漏洞的如下说明： 蓝牙利用基于椭圆曲线 Diffie-Hellman（ECDH）的密钥交换配对机制，实现设备之间的加密通信。ECDH 的密钥对，由私钥和公钥组成。且需交换公钥，以产生共享配对密钥。 此外，设备还必须统一所使用的椭圆曲线参数。然而之前涉及‘无效曲线攻击’的工作表明，ECDH 参数在用于计算结果和共享密钥之前，并不总会经过验证。 这样可以减少攻击者获取受攻击设备私钥的工作量 —— 如果在计算被分享的密钥前，并未部署验证所有参数的话。 在某些实施方法中，椭圆曲线参数并非全部由加密算法实现验证。 这使得无线范围内的远程攻击者们，可以通过注入无效的公钥，从而高概率地确定会话密钥。然后这些攻击者可以被动地拦截和解密所有设备信息，或者伪造和注入恶意消息。 苹果、博通、英特尔和高通公司，已经确认蓝牙实施和操作系统驱动程序层面都受到了影响。 万幸的是，前三家公司已经发布了针对该漏洞的修补程序。至于高通，该公司发言人在一封致 Bleeping Computer 的电子邮件中称，他们也已经部署了修复程序。 CERT / CC 专家尚未确定 Android / Google 设备、或者 Linux 内核是否也受到了影响。不过微软表示，自家设备并未受到本次 Crypto Bug 的影响。 负责监督蓝牙标准发展的 SIG 也发表了一份声明： 为了使攻击成功，攻击设备需要处于两个易受攻击的蓝牙设备的无线范围内。如果只有一方设备存在漏洞，则攻击不会得逞。 此外攻击设备需要通过阻止每一次的传输、向发送设备确认，然后在窄时间窗口内将恶意数据包注入接收设备，才能拦截公钥交换。 SIG 表示，该组织已经更新了官方的蓝牙规范，要求所有配对设备验证用于基于密钥的加密蓝牙连接的所有参数，即便当前暂无野外攻击的报道。 至于 CVE-2018-5383 的补丁，将通过操作系统或驱动程序的更新（面向台式机、笔记本电脑、智能手机），或者通过固件来实现（面向物联网 / 智能设备）。   稿源：cnBeta，封面源自网络；

Chipzilla近期公布了英特尔管理引擎（Intel ME）的更多安全更新。根据发布的多个公告，共计修复了四个漏洞。Positive Technologies详细介绍了这些BUG，其中编号为CVE-2018-3628的“HTTP handler的缓冲区溢出”问题最为严重。 身处相同网络子网上的攻击者可以在Active Management Technology (AMT）环境中执行任意代码，不需要管理员权限就能访问AMT账号。这使得恶意攻击者能够完全远程控制计算机。 CVE-2018-3629是另一个缓冲区溢出漏洞，CVE-2018-3632是一个内存损坏错误，只有管理员权限的本地攻击者才能利用。CVE-2018-3627同样需要管理员权限，这是Intel Converged Security Management Engine 11.x中存在的逻辑错误，可以运行任意恶意代码。   稿源：cnBeta，封面源自网络；

讯 北京时间7月13日早间消息，Facebook日前修复了一个隐私漏洞。此前通过该漏洞，第三方可以获知私密、封闭群组成员的名字。之前Facebook还曾出现一个漏洞，通过Chrome插件，营销人员可以大规模收集信息，这个插件目前也被关闭。 Facebook平台有一个私密群组，里面都是女性，她们因为基因突变存在很高的乳腺癌患病风险。此前群组成员向Facebook投诉说，她们的名字有可能曝光并公开，导致保险商区别对待，还可能侵犯其它隐私。 不过Facebook新闻发言人却说，关闭查看封闭群组成员信息这一功能与该团体的投诉没有关系，决定是基于几个因素做出的。 Facebook代表接受CNET采访时强调说：“虽然我们最近对封闭群组进行调整，但它并不是隐私漏洞。”   稿源：，稿件以及封面源自网络；

来自麻省理工的 Vladimir Kiriansky 和咨询公司 Carl Waldspurger 的两位安全研究人员，刚刚发布了一篇揭露臭名昭著的“幽灵”（Spectre）安全漏洞新变种的论文，因其会产生投机性的缓冲区溢出。论文中，两人解释了他们新发现的这个变种（Spectre 1.1 / CVE-2018-3693）可以如何攻击和防御。 对于处理器厂商来说，年初被曝光的该漏洞、以及后续陆续出现的多个其它变种，着实令业界感到头疼。而最新的 Spectre 1.1 漏洞，则利用了投机性的缓冲区溢出。 与经典的缓冲区溢出安全漏洞类似，Spectre 1.1 又被称作‘边界检查绕过存储’（简称 BCBS），将其与最原始的投机性执行攻击区分开来。 研究人员考虑将新变种归于 Spectre V1 家族的一个微小版本： 其在投机性执行窗口中使用了相同的开口（即有条件分支投机），但 Spectre 1.1 还是影响了数十亿的现代处理器（波及 Intel 和 AMD）。 研究人员称，预测缓冲区溢出使得本地攻击者可以在脆弱的系统上执行任意不受信任的代码。 通过边际信道分析（side-channel analysis）和投机缓冲区溢出（speculative buffer overflow），它可利用微处理器的投机性执行和分支预测来暴露敏感信息。 通过直接或重定向控制流，数据值攻击可以绕过一些 Spectre-v1 的缓解补丁。 控制流攻击允许任意投机代码的执行，它可以绕过栅栏指令和此前所有针对预测执行攻击的软件补救措施。 更可怕的是，研究人员还指出了所谓的 Spectre 1.2 漏洞！ 作为幽灵漏洞的另一个小变体，其影响那些不会强行读/写保护和依赖于懒惰的 PTE 强制执行的处理器。 在一场 Spectre 1.2 攻击中，被允许的投机存储可覆写只读的数据、代码指针、以及代码元数据： 其包括 vtables、GOT / IAT、以及控制流缓解元数据，结果就是依赖于只读存储器的硬件执行沙箱都被无效化了。 研究人员已经在英特尔 x86 和 ARM 处理器上验证了 Spectre 1.1 和 Spectre 1.2 攻击： 对于 Spectre 1.1，推荐采取 SLoth 家族微架构缓解方案。对于芯片制造商来说，可在未来的处理器上部署所谓的‘流氓数据缓存存储’保护特性。 尽管研究人员认为通过处理器微代码更新即可完全缓解 Spectre 1.1 漏洞，但英特尔还是建议用户和操作系统供应商部署安全补丁，以应对在可预见的将来会出现的一些新变种。   稿源：cnBeta，封面源自网络；

Intel的处理器也要开始定期打补丁了？Intel在美东时间周二发布了为应对潜在安全风险的缓解措施，共计13项。包括针对Spectre v1（幽灵漏洞，绕过边界存储）变体的补丁以及本地用户可以从内存泄露中读出BIOS和管理员密码的BUG（CVE-2017-5704，影响4~7代酷睿平台）等。 幽灵v1的变体是首次公开，允许恶意代码在Intel计算机上利用推测执行来潜在地改变函数，并将其他线程中返回的地址通报给被劫持的应用程序。 TheReg确认，这是Intel季度安全补丁的第一次集中发布，也就是说，Intel今后将按照季度为单位，集中进行安全补丁的释放操作，看起来非常像是“好队友”微软的Patch Tuesday（周二补丁日，即每个月的第二个周二进行系统补丁更新）。 当然，考虑到消费者很少有直接从Intel官网下载“补丁”的习惯，Intel的安全更新更多是联合合作伙伴一道发行。报道称，主板、OEM厂商在3月份就拿到Intel的这波补丁了，此间一直在进行部署测试。 年初，幽灵（Spectre）和熔断（Meltdown）漏洞在业内引发轩然大波，其中又以Intel产品“受伤最深”。 Intel推出季度安全更新计划一方面是为解决像幽灵这样底层级别漏洞的变体攻击，另外也是他们对安全问题采取新重视态度的表现。   稿源：快科技，封面源自网络；