SolarWinds 在其 Web Help Desk 产品中留下了硬编码凭证，可供远程、未经身份验证的攻击者使用，登录易受攻击的实例、访问内部功能并修改敏感数据 该软件制造商称这是一个严重的疏忽，目前已发布更新修复；制造商鼓励用户安装修复程序，该修复程序会删除内置的硬编码凭证。 该安全漏洞编号为CVE-2024-28987，CVSS 严重性评级为 9.1（满分 10）。 它影响 Web Help Desk 12.8.3 HF1 及所有先前版本，并已在 12.8.3 HF2 中修复。昨天发布的修补程序必须手动安装。 WHD 是 SolarWinds 的 IT 帮助台票务和资产管理软件，其网站拥有来自政府、教育、医疗保健、非营利组织和电信领域客户的推荐。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Z9feIKhNS9VrRE__XM6xsA 封面来源于网络，如有侵权请联系删除

Atlassian 发布了 2024 年 8 月安全公告，详细介绍了影响 Bamboo、Confluence、Crowd 和 Jira 产品的九个高严重性漏洞。 Bamboo 数据中心和服务器收到了针对两个高严重性漏洞的补丁，其中包括一个经过身份验证的远程代码执行漏洞，其漏洞编号为 CVE-2024-21689。 第二个漏洞是一个拒绝服务 (DoS) 安全缺陷，影响 Bouncy Castle Jva 依赖项。该漏洞编号为 CVE-2024-29857，无需身份验证即可利用。 针对 Confluence 数据中心和服务器发布的补丁解决了两个高严重性安全缺陷，包括 Apache Tomcat (CVE-2024-34750) 中的 DoS 问题，该问题可能被未经身份验证的攻击者利用。 第二个缺陷是反射式跨站点脚本 (XSS) 和跨站点请求伪造 (CSRF) 问题，编号为 CVE-2024-21690，它可能允许远程、未经身份验证的攻击者在受害者的浏览器中执行任意 HTML 或 JavaScript 代码。 该公司解释说，攻击者可以“强迫最终用户在当前已经过身份验证的 Web 应用程序上执行不必要的操作”。 Atlassian 解决了 Crowd Data Center 和 Server 中的三个高严重性 SSRF 漏洞。这三个漏洞被标记为 CVE-2024-22259、CVE-2024-22243 和 CVE-2024-22262，均会影响该产品使用的 Spring Framework。 该公司还宣布了针对 Jira 数据中心和服务器以及 Jira 服务管理数据中心和服务器的 Apache Tomcat 依赖项中高严重性漏洞的补丁。该漏洞编号为 CVE-2024-34750，可导致 DoS 攻击。 Atlassian 在其安全公告中表示，针对这些漏洞的补丁已于上个月发布。尽管该公司并未提及这些漏洞是否已被利用，但建议用户尽快更新其安装。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/yLPxy0MQx1vzpF4acGJS-g 封面来源于网络，如有侵权请联系删除

AppOmni 的网络安全研究人员警告称，Oracle NetSuite SuiteCommerce 平台存在数据泄露风险，可能使攻击者能够访问客户的敏感信息。 NetSuite 是一个广泛使用的 SaaS 企业资源规划 (ERP) 平台，它允许通过 SuiteCommerce 或 SiteBuilder 部署面向外部的在线商店。这些商店托管在 NetSuite 租户的子域上，未经身份验证的客户可以直接从企业浏览、注册并购买产品。 问题的根源不在于 NetSuite 解决方案本身，而在于自定义记录类型（CRT）的访问控制配置错误，这可能会泄露客户的敏感信息。 暴露的数据包括注册客户的个人身份信息（PII），如完整地址和手机号码。 攻击者可能会利用 NetSuite 中配置为“无需权限”访问的自定义记录类型 (CRT)，通过 NetSuite 的记录和搜索 API 获取数据。然而，要成功发动攻击，攻击者需要事先知道正在使用的 CRT 的名称。 “我们还需要假设未经身份验证的参与者知道 CRT 的名称。在本文发表之前，曾有一种方法可以检索所有 CRT 的名称，但这个问题已经得到解决。”研究人员发布的报告写道。“如今，还有两种方法可以检索 CRT 名称： 使用由 Github 等公共资源整理的流行 CRT 名称组成的单词列表，对下面第一步中显示的 API 端点进行暴力破解。 通过观察与网站交互时的 HTTP 流量，在响应中查找以“customrecord_”为前缀的字符串。” 为了降低风险，管理员应加强对自定义记录类型 (CRT) 的访问控制，限制公众对敏感字段的访问，并考虑暂时使受影响的站点脱机以防止数据泄露。 “解决这些数据泄露问题的最可靠方法是加强 CRT 的访问控制。从安全角度来看，最简单的解决方案可能是将记录类型定义的访问类型更改为设置更改为‘需要自定义记录条目权限’或‘使用权限列表’ ”。报告总结道。 实际上，许多组织确实有业务需求，需要公开记录类型中的某些字段。因此，管理员应该开始评估字段级别的访问控制，并确定哪些字段（如果有）需要公开。对于必须锁定以防止公共访问的字段，管理员应进行以下两项更改： 默认访问级别：无 搜索/报告的默认级别：无   消息来源：securityaffairs，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

LiteSpeed Cache WordPress 插件中存在一个严重漏洞，攻击者可以利用该漏洞创建恶意管理员账户，从而控制数百万个网站。 LiteSpeed Cache 是一个开源且极受欢迎的 WordPress 网站加速插件，拥有超过 500 万个活跃安装，并支持 WooCommerce、bbPress、ClassicPress 和 Yoast SEO。 该插件的用户模拟功能中发现了未经身份验证的权限提升漏洞 ( CVE-2024-28000 )，该漏洞源自 LiteSpeed Cache 6.3.0.1 及更高版本中的弱hash校验。 安全研究员 John Blackbourn 于 8 月 1 日向 Patchstack 的漏洞赏金计划提交了此漏洞报告。LiteSpeed 团队开发了一个修复补丁，并将其与 8 月 13 日发布的 LiteSpeed Cache 6.4 版一起发布。 成功利用该漏洞可使任何未经身份验证的访问者获得管理员级别的访问权限，从而可以通过安装恶意插件、更改关键设置、将流量重定向到恶意网站、分发恶意软件或窃取用户数据，完全控制运行易受攻击的 LiteSpeed Cache 版本的网站。 “我们能够确定，暴力攻破解会迭代安全hash的所有 100 万个已知可能值并将它们传递到 litespeed_hash cookie 中，即使以每秒 3 个请求的相对较低速度运行，也能够在几小时到一个星期内以访问到任何给定的用户 ID。”Patchstack 安全研究员 Rafie Muhammad 周三解释说，“唯一的先决条件是知道管理员级别用户的 ID，并将其传递到 litespeed_role cookie 中。确定此类用户的难度取决于目标站点，许多情况下，使用用户 ID 1 就能成功。” 虽然开发团队已于上周二发布了修复此严重安全漏洞的版本，但根据WordPress 官方插件库的下载统计数据，该插件的下载次数仅为 250 多万次，这意味着超过一半使用该插件的网站可能仍面临攻击风险。 今年早些时候，攻击者利用 LiteSpeed Cache未经身份验证的跨站点脚本漏洞 (CVE-2023-40000)创建了恶意管理员账户并控制了易受攻击的网站。5 月，Automattic 的安全团队 WPScan 警告称，威胁行为者在 4 月份开始扫描目标，因为他们发现仅一个恶意 IP 地址就发起了超过 120 万次探测。 Wordfence 威胁情报负责人 Chloe Chamberland 今天也警告称：“我们强烈建议用户尽快更新到 Litespeed Cache 的最新修补版本（截至本文撰写时为 6.4.1 版）。我们认为这个漏洞很快就会被积极利用。” 此外，Wordfence 威胁情报团队在 6 月报告称，某威胁行为者在 WordPress.org 上至少植入了五个插件后门，并添加了恶意 PHP 脚本，以在运行这些插件的网站上创建具有管理员权限的账户。   消息来源：bleepingcomputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

ESET 研究人员发现了一种罕见的网络钓鱼活动，专门针对 Android 和 iPhone 用户。他们分析了一个在野外观察到的案例，该案例主要是针对一家著名的捷克银行的客户。 值得注意的是这种攻击主要是从第三方网站安装钓鱼应用程序，而无需用户主动安装。这有可能导致使用安卓系统的用户设备上会被隐秘安装一种特殊的 APK，隐蔽性很高，很难发现，它看起来甚至有点像是用户从 Google Play 商店安装的。这种钓鱼攻击威胁也针对 iOS 用户。 PWA 网络钓鱼流程 针对 iOS 的钓鱼网站会指示受害者在主屏幕上添加渐进式网络应用程序 (PWA)，而在 Android 上，PWA 是在浏览器中确认自定义弹出窗口后安装的。在这一点上，这些钓鱼应用程序与它们在这两个操作系统上模仿的真实银行应用程序基本没有区别。 PWA 本质上是将网站捆绑到一个看似独立的应用程序中，并通过使用本地系统提示增强了其虚假的独立性。与网站一样，PWA 也是跨平台的，这就解释了为什么这些 PWA 网络钓鱼活动可以既针对 iOS 又针对 Android 用户。负责 ESET 品牌情报服务的 ESET 分析师在捷克观察到了这种新技术，该服务可监控针对客户品牌的威胁。 分析该威胁的 ESET 研究员 Jakub Osmani 表示：对于 iPhone 用户来说，这种行为可能会打破任何有关安全的‘围墙花园’假设。 ESET 发现使用电话、短信和恶意广告的网络钓鱼欺诈行为 ESET 分析师发现了一系列针对移动用户的网络钓鱼活动，这些活动分别使用了三种不同的 URL 发送机制，包括自动语音呼叫、短信和社交媒体恶意广告。语音电话发送是通过自动呼叫完成的，该呼叫会警告用户银行应用程序已过期，并要求用户在数字键盘上选择一个选项。 按下正确的按钮后，就会通过短信发送一个钓鱼网址，正如一条推文所报道的那样。最初的短信发送是通过向捷克电话号码滥发信息来实现的。发送的信息包括一个钓鱼链接和文本，目的是让受害者通过社交工程访问该链接。恶意活动通过 Instagram 和 Facebook 等 Meta 平台上的注册广告进行传播。这些广告包括行动号召，比如为 “下载以下更新 ”的用户提供限量优惠。 打开第一阶段发送的 URL 后，Android 受害者会看到两个截然不同的活动，一个是模仿目标银行应用程序官方 Google Play 商店页面的高质量钓鱼页面，另一个是该应用程序的山寨网站。受害者会被要求安装 “新版 ”银行应用程序。 WebAPK 绕过安全警告 这种网络钓鱼活动和方法之所以能够得逞，完全得益于渐进式网络应用程序的技术。简而言之，渐进式网络应用程序是使用传统网络应用程序技术构建的应用程序，可以在多个平台和设备上运行。 WebAPK 可被视为渐进式网络应用程序的升级版，因为 Chrome 浏览器会从 PWA（即 APK）生成本地 Android 应用程序。这些 WebAPK 看起来就像普通的本地应用程序。此外，安装 WebAPK 不会产生任何 “从不可信来源安装 ”的提示警告。 某小组曾尝试通过 Telegram 官方 API 将所有输入信息记录到 Telegram 群组聊天中，而另一个小组则使用带有管理面板的传统命令与控制（C&C）服务器。 Osmani 表示：根据这些活动使用了两种不同的 C&C 基础设施这一事实，我们确定是两个不同的团伙在针对多家银行实施 PWA/WebAPK 网络钓鱼活动。大多数已知案例都发生在捷克，只有两个网络钓鱼应用程序出现在捷克境外（特别是匈牙利和格鲁吉亚）。 ESET 的研究人员在调查中发现的所有披露在网上的敏感信息，银行都已迅速跟进处理。ESET 方面也协助删除了多个网络钓鱼域和 C&C 服务器。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409102.html 封面来源于网络，如有侵权请联系删除

根据 Cisco Talos 的最新研究，macOS 上的八个微软应用程序容易受到库注入攻击，有可能让攻击者劫持应用程序的权限并泄露敏感数据。 受影响的微软应用程序包括 Microsoft Teams、Outlook、PowerPoint 和 Word 等流行服务，共有八个 CVE 编号。 Microsoft Outlook: CVE-2024-42220 Microsoft Teams (work or school): CVE-2024-42004 Microsoft PowerPoint: CVE-2024-39804 Microsoft OneNote: CVE-2024-41159 Microsoft Excel: CVE-2024-43106 Microsoft Word: CVE-2024-41165 Microsoft Teams (work or school) WebView.app helper app: CVE-2024-41145 Microsoft Teams (work or school) com.microsoft.teams2.modulehost.app: CVE-2024-41138 攻击者通过使用现有的应用程序权限而不提示用户进行任何额外验证来绕过 macOS 的权限模型，这样，就可以在用户未察觉的情况下从用户账户发送电子邮件、录制音频片段、拍照或录制视频，而无需与用户进行任何交互。 macOS 的许可模式受到审查 Cisco Talos 强调了 macOS 基于用户同意的权限模型，该模型包含旨在保护用户隐私和维护系统安全的功能。但研究发现，macOS 对应用程序的权限管理过于信任，允许它们自我监管，这一缺陷可能使攻击者得以利用应用程序的高级权限。 更令人担忧的是，八款流行的微软  macOS 应用程序都激活了禁用库验证的权限“com.apple.security.cs.disable-library-validation ”。 据苹果公司称，该权限允许加载由第三方开发者签名的插件，旨在增强应用程序的功能性。但这一机制存在安全隐患，攻击者可能利用这一点注入任意库，并在被攻击的应用程序中运行恶意代码，进而完全控制应用程序的权限和功能。 研究人员还观察到，macOS 上的所有 Microsoft Office 应用程序都允许加载未签名的动态库。如果要修改已经执行过一次的应用程序，需要特定的权限。不过，攻击者可以通过将应用程序复制到如 /tmp 等其他文件夹来绕过这一安全措施，但这也增加了数据泄露和系统被攻击的风险。 研究人员指出，由于存在相对导入和禁用库验证的权限，所有 Microsoft Office 应用程序都容易受到库注入攻击。 微软用户面临不必要的风险 Cisco Talos 的研究人员说，他们的发现让人们对禁用库验证的必要性产生了疑问，尤其是应用程序不打算加载其他库的情况下。微软通过使用特定权限绕开了 macOS 的加固安全措施，这可能使用户面临原本不必要的风险。 在 Cisco Talos 报告漏洞后，微软虽然认为发现的问题风险较低，但已经对其中的四款应用程序进行了更新，移除了 com.apple.security.cs.disable-library-validation 权限，这意味着它们不再容易受到已知库注入攻击的威胁。 这四款应用程序是 Microsoft Teams 的主应用程序、WebView 应用程序和 ModuleHost 应用程序，以及 Microsoft OneNote。不过，截至 2024 年 8 月 19 日，Microsoft Excel、Outlook、PowerPoint 和 Word 仍然存在漏洞。 检查 macOS 应用程序是否易受库注入攻击影响的流程图 研究人员建议，macOS 可以引入用户提示来降低这一风险。这将允许用户决定是否加载特定的第三方插件，从而提供一种更可控的访问授权方式。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409025.html 封面来源于网络，如有侵权请联系删除

近日，网络安全研究团队Cyberint发现了一种难以检测的新型恶意软件UULoader，主要针对中韩用户。该软件被黑客用于投放后续恶意载荷，如Gh0st RAT和Mimikatz等工具，进而实施信息传播、窃密、诈骗、投放恶意软件、窃取加密货币等非法活动。 据Cyberint的技术报告披露，UULoader通过伪装成合法应用程序的恶意安装程序，主要针对韩语和中文用户。这些恶意软件通常以微软柜文件（.cab）格式分发，内部包含两个核心可执行文件，一个为.exe文件，另一个为.dll文件。这些文件的文件头已被剥离，使其难以被传统检测工具识别。 值得注意的是，UULoader的代码中包含了中文字符串，且嵌入的DLL文件中存在程序数据库（PDB）文件，进一步指向其开发者可能为中文母语者。Cyberint指出，该恶意软件利用合法的二进制文件进行DLL侧加载，最终加载的文件名为“XamlHost.sys”，实际上是远程访问工具（RAT）或Mimikatz凭证窃取器。 此外，UULoader的安装文件中包含了Visual Basic脚本（.vbs），负责启动Realtek等合法可执行文件，同时部分样本还会运行诱饵文件，作为混淆策略。例如，若伪装为Chrome更新程序，诱饵文件就是真实的Chrome更新程序。 UULoader攻击路径 这并非UULoader首次曝光，早在上个月，网络安全公司eSentire就曾报告过类似的攻击链条，攻击者通过伪造的Google Chrome网站传播Gh0st RAT，目标为中国的Windows用户。 UULoader的出现恰逢近年来以加密货币为诱饵的钓鱼攻击激增。攻击者利用免费托管服务搭建钓鱼网站，冒充Coinbase、Exodus和MetaMask等加密钱包服务，诱导用户点击恶意链接。Symantec的报告指出，攻击者利用Gitbook和Webflow等服务，创建仿冒加密钱包的域名，诱骗受害者访问钓鱼页面。 不仅如此，部分钓鱼攻击还伪装成印度和美国政府机构，诱导用户访问虚假域名，窃取敏感信息，并用于进一步的诈骗、信息传播或恶意软件分发。值得警惕的是，这些攻击还滥用微软Dynamics 365 Marketing平台，通过创建子域名和发送钓鱼邮件，绕过常规的邮件过滤机制。 同时，随着生成式人工智能（GenAI）的广泛应用，社会工程攻击也开始利用这一趋势，设置伪装成OpenAI ChatGPT的诈骗域名，用于钓鱼、灰色软件、勒索软件等恶意活动。据Palo Alto Networks的报告显示，超过72%的诈骗域名包含gpt或Chatgpt等与生成式AI应用有关的关键词。 面对日益复杂的境外网络攻击，中国企业和个人需提高警惕，尤其是在使用与生成式AI、加密货币相关的服务时，应加强防范措施，避免成为网络犯罪的目标。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/9s1Shc-UO4GuzJ3WBcZzwQ 封面来源于网络，如有侵权请联系删除

Gen Threat Labs 的安全研究人员认为，微软上周修补的一个被利用的0day漏洞与朝鲜的 Lazarus APT 组织有关。 该漏洞被编号为CVE-2024-38193，并被微软标记为“积极利用”，允许在最新的 Windows 操作系统上获得 SYSTEM 权限。 Gen 是 Norton、Avast、LifeLock 和 Avira 等消费品牌的集合，该公司发布了一条简短的说明，称此次攻击与 Lazarus 通过使用 FudModule rootkit 相关联。但是，该公司并未发布任何指标或技术文档来支持这种关联。 “6 月初，Luigino Camastra 和 Milanek 发现 Lazarus 组织正在利用 Windows 中一个关键部分 AFD.sys 驱动程序中隐藏的安全漏洞。该漏洞使他们能够未经授权访问敏感系统区域。我们还发现他们使用一种名为 Fudmodule 的特殊恶意软件来隐藏他们的活动，不让安全软件发现。”该公司表示，但没有提供更多细节。 Avast 之前曾将 FudModule 记录为 Lazarus APT 工具包的一部分，该工具包包含可追溯至二月份的管理员到内核的 Windows 0day漏洞。 这是微软在 8 月补丁日安全更新中发现的六个0day漏洞之一。安全专家还认为，朝鲜 APT 组织正在利用第二个漏洞 ( CVE-2024-38178 ) 来攻击韩国受害者。 该漏洞是 Windows 脚本引擎中的一个内存损坏漏洞，如果经过身份验证的客户端被诱骗点击链接，则会导致远程代码执行攻击。要成功利用此漏洞，攻击者首先需要准备目标，使其在 Internet Explorer 模式下使用 Edge。 Ahn 实验室和韩国国家网络安全中心报告了此脚本引擎0day漏洞，表明该漏洞被用于国家级 APT 攻击。微软并未发布 IOC（攻击指标）或任何其他数据来帮助防御者寻找感染迹象。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/OgFKCyYGQd221n52-E4Vww 封面来源于网络，如有侵权请联系删除

近日，一场大规模勒索活动利用可公开访问的环境变量文件（.env）入侵了多个组织，这些文件包含与云和社交媒体应用程序相关的凭据。 “在这次勒索活动中存在多种安全漏洞，包括暴露环境变量、使用长期凭证以及缺乏最小权限架构 。”Palo Alto Networks Unit 42 在一份报告中指出。 该活动的显著特点是在受感染组织的亚马逊网络服务（AWS）环境中设置了攻击基础设施，并将其作为跳板，扫描超过 2.3 亿个唯一目标的敏感数据。 据了解，该恶意活动以 11 万个域为目标，在 .env 文件中获取了超过 9 万个独特变量，其中 7000 个变量属于组织的云服务，1500 个变量与社交媒体账户相关联。 Unit 42 表示，这次活动攻击者成功对托管在云存储容器中的数据进行勒索。不过，攻击者并没有在勒索之前对数据进行加密，而是将数据提取出来，并将勒索信放在被入侵的云存储容器中。 这些攻击最引人注目的一点是，它并不依赖于云提供商服务中的安全漏洞或错误配置，而是源于不安全 Web 应用程序上的 .env 文件意外曝光，从而获得初始访问权限。 成功破坏云环境为广泛的发现和侦察步骤铺平了道路，目的是扩大他们的影响力，威胁行为者将 AWS 身份和访问管理（IAM）访问密钥武器化，以创建新角色并提升他们的权限。 具有管理权限的新 IAM 角色随后被用于创建新的 AWS Lambda 函数，以启动包含数百万个域名和 IP 地址的全网自动扫描操作。 Unit 42 的研究人员 Margaret Zimmermann、Sean Johnstone、William Gamazo 和 Nathaniel Quist 说：”脚本从威胁行为者利用的可公开访问的第三方 S3 桶中检索到了潜在目标列表。恶意 lambda 函数迭代的潜在目标列表包含受害者域名的记录。对于列表中的每个域名，代码都会执行一个 cURL 请求，目标是该域名暴露的任何环境变量文件（即 https://<target>/.env）。” 如果目标域名托管了已暴露的环境文件，文件中包含的明文凭据就会被提取出来，并存储在另一个由威胁行为者控制的公共 AWS S3 存储桶中新建的文件夹中。目前，该存储桶已被 AWS 关闭。 研究人员发现，这场攻击活动特别针对包含 Mailgun 凭证的 .env 文件实例，表明攻击者试图利用它们从合法域名发送钓鱼邮件并绕过安全保护。 感染链的最后，威胁者会从受害者的 S3 存储桶中提取并删除敏感数据，并上传一张勒索信，提醒受害者联系并支付赎金，以避免敏感信息在在暗网上被出售。 威胁行为者试图创建新的弹性云计算（EC2）资源用于非法加密货币挖矿，但以失败告终，这也表明了攻击的经济动机。 目前还不清楚谁是这场活动的幕后黑手，部分原因是使用了 VPN 和 TOR 网络来掩盖其真实来源，不过 Unit 42 表示，它检测到两个 IP 地址分别位于乌克兰和摩洛哥，是 lambda 功能和 S3 提取活动的一部分。 研究人员强调：”这次活动背后的攻击者很可能利用了大量自动化技术来成功、快速地开展行动。这表明，这些威胁行为者在高级云架构流程和技术方面既熟练又专业。”   转自FreeBuf，原文链接：https://www.freebuf.com/news/408949.html 封面来源于网络，如有侵权请联系删除

自 2017 年 9 月以来，许多 Google Pixel 设备都包含可能被攻击者利用来入侵的休眠软件。 移动安全公司 iVerify 的研究人员报告称，该问题源于预装的 Android 应用程序“Showcase.apk”，该应用程序以过多的系统权限运行，允许其远程执行代码并安装远程包。 报告指出：“自 2017 年 9 月以来，iVerify 在全球出货的大部分 Pixel 设备上发现了一个 Android 软件包“Showcase.apk”，该软件包具有过多的系统权限，包括远程代码执行和远程软件包安装功能。” 该应用程序通过不安全的连接下载配置文件，并且可以被操纵以在系统级别执行代码。 允许应用程序通过不安全的 HTTP 从单个 AWS 托管域检索其配置文件，从而使数百万台 Android Pixel 设备暴露于中间人 (MITM) 攻击。攻击者可以利用此漏洞注入恶意代码、以系统权限执行命令并接管设备，从而可能导致严重的网络犯罪和数据泄露。 由 Smith Micro 开发的“Showcase.apk”软件包是数百万 Android Pixel 手机固件映像的一部分。 应用程序“Showcase.apk”无法通过标准卸载过程删除，谷歌尚未解决该漏洞。该应用程序预装在Pixel固件中，并包含在谷歌针对Pixel设备的OTA更新中。专家指出，尽管该应用程序默认未启用，但可以通过多种方法激活，其中一种方法需要对设备进行物理访问。 这个存在缺陷的应用程序名为 Verizon Retail Demo Mode （“com.customermobile.preload.vzw”），其执行需要 数十个权限。该应用程序自 2016 年 8 月起就已存在，但没有证据表明此漏洞已被利用。 “应用程序在检索应用程序配置文件时无法验证或验证静态定义的域。如果应用程序已经维护了持久配置文件，则不清楚是否进行了其他检查以确保命令和控制或文件检索的配置参数是最新的。”分析报告继续说道。“应用程序在证书和签名验证期间使用不安全的默认变量初始化，导致在失败后进行有效的验证检查。” 该应用程序存在漏洞，因为其配置文件可能在检索或传输到目标手机时被更改。它也无法处理丢失的公钥、签名和证书，从而使攻击者能够在下载过程中绕过验证过程。 需要强调的是，攻击者需要物理访问设备并获得用户密码才能利用此漏洞。 谷歌表示，该问题不是 Android 或 Pixel 系统中的漏洞，并宣布将在即将推出的 Pixel 软件更新中从所有受支持的 Pixel 设备中删除该应用。 谷歌还通知了其他 Android OEM。 Showcase.apk 的发现和其他备受关注的事件（例如在Microsoft Windows中运行第三方内核扩展 ）凸显了在将第三方应用程序作为操作系统的一部分运行时需要更多的透明度和讨论。它还表明需要进行质量保证和渗透测试，以确保安装在数百万台设备上的第三方应用程序的安全。 报告总结道：“为什么只有极少数设备需要 Showcase.apk，而 Google 却在每台 Pixel 设备上安装第三方应用程序仍不得而知。这个问题非常严重，以至于帮助发现安全问题的 Palantir Technologies 决定在未来几年内从其网络中移除所有 Android 设备并完全过渡到 Apple 设备。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aztJg6UgO97dTT0rPdA_Ew 封面来源于网络，如有侵权请联系删除