麻省理工学院工程师团队的最新研究发现，在名为Voatz的区块链投票系统中存在一系列令人震惊的漏洞。对Voatz的Android应用程序进行反向工程后，研究人员得出结论称，通过入侵选民手机，攻击者几乎可以随意观察、压制和更改选票。该论文称，网络攻击还可能揭示给定用户在哪里投票，并可能在此过程中压制投票。 研究人员说，最令人不安的是，破坏了管理Voatz API的服务器的攻击者甚至可以在投票到来时更改选票，这在理论上应该可以防止分布式分类账的威胁。 研究人员得出结论称：“鉴于本文所讨论的失败的严重性，缺乏透明度，选民隐私的风险以及攻击的琐碎性质，我们建议放弃将这个应用程序用于高风险选举的任何近期计划。” Voatz的基于区块链的投票项目旨在替代缺席选票，安全研究人员对此表示怀疑，但许多科技界人士表示了浓厚兴趣，其获得了超过900万美元的风险投资。在Voatz系统下，用户将通过应用程序远程投票，并通过手机的面部识别系统验证身份。 Voatz已经在美国的一些次要选举中使用，在2018年西弗吉尼亚选举中收集了150多张选票。 Voatz 在博客文章中对MIT的发现提出了质疑，称该研究方法存在“错误”。该公司的主要抱怨是，研究人员正在测试Voatz客户端软件的过时版本，并且没有尝试连接到Voatz服务器本身。博客文章写道：“这种有缺陷的方法使关于其破坏整个系统能力的任何主张无效。” Voatz的高管在与记者的电话中辩称，服务器端保护将阻止受感染的设备通过身份验证进入更广泛的系统。Voatz首席执行官Nimit Sawhney说道：“他们的所有主张都基于这样的想法，因为他们能够破坏设备，因此能够破坏服务器。而这个假设是完全错误的。” Voatz还强调了允许选民和选举官员事后核实选票的措施。该公司产品负责人Hilary Braseth说道：“使用Voatz提交的每张选票都会产生纸质选票，使用Voatz的每位选民一旦提交，都会收到一张选票。” 到目前为止，这些解释并没有使安全专家印象深刻。 约翰·霍普金斯密码学家Matthew Green在Twitter上指出：“设备只是将票发送到服务器。服务器可能会将它们放在区块链上，但是如果设备或服务器受到威胁，这将无济于事。Voatz需要解释他们如何处理这个问题。” Voatz还在博文中指出了其正在进行的漏洞赏金计划和定期的代码审查，以证明该应用程序具有强大的安全性-但有些研究人员可能不同意。去年10月，该公司因FBI转介事件而备受抨击，消息人士告诉CNN该事件起源于密歇根大学的选举安全课程。其他人则批评了Voatz的赏金计划对研究人员来说是繁重且敌对的，这可能解释了为什么麻省理工学院的研究人员没有参加其中。 总体而言，这仍然不是第一次提出有关Voatz或区块链投票的安全问题。11月，参议员Ron Wyden（D-OR）写信给五角大楼，提出对Voatz安全性的担忧，并要求对该应用程序进行全面审核。该请求最终被推迟。Wyden在一份声明中说道：“网络安全专家已经明确表明，互联网投票是不安全的。现在距离共和党人结束选举安全禁令和让国会通过整个选举系统的强制性安全标准已经过去了很长时间。”   (稿源：cnBeta，封面源自网络。）

Emotet 是最具危险性的恶意程序之一，它能窃取银行账号，安装不同类型的其它恶意程序。最近其运营者被发现开始采用新的方法进行传播：通过相邻的 Wi-Fi 网络。它利用名为 wlanAPI 的 API 收集附近无线网络的 SSID、信号强度、加密方法如 WPA，然后使用一个常用用户名密码组合列表尝试登陆。 如果成功登陆，被感染的设备会枚举所有连接到该网络的非隐藏设备，然后使用第二个密码列表去猜测连接设备的凭证。 它还会尝试猜共享资源的管理员密码。如果它成功猜出连接设备的密码，那么它就会加载  Emotet 和其它恶意程序。弱密码用户最好修改密码使用强密码。   （稿源：solidot，封面源自网络。）  

政府、银行、企业、工业和军事机构中的电脑通常在严格控制环境中运行，与互联网断开连接，并受到严格的监督。虽然这些安全措施使它们更难被破解，但过去已经探索出几个秘密通道，利用计算机的声音、热量，甚至硬盘驱动器的活动指示器来窃取编码数据。最新的尝试包括偷偷地改变显示器的亮度，然后用监控摄像机进行视频流捕获，最后通过图像处理解码。 研究人员已经能够通过简单地更改电脑屏幕亮度级别，来从电脑中提取数据，这是依赖于人类视觉限制新型光学隐蔽通道的一部分。据《黑客新闻》报道，以色列本·古里安大学网络安全研究中心负责人Mordechai Guri博士与两名学者一起进行了这项研究。 尽管目标电脑不需要网络连接或物理访问来传递数据，但确实需要先感染恶意软件，该恶意软件将敏感信息编码为“字节流”，然后通过缩小尺寸在屏幕上对其进行调制亮度变化，人眼看不见。然后，被破坏的画面由摄像机记录下来，攻击者可以通过图像处理技术对其进行访问和解码。研究人员指出，这个秘密通道是不可见的，即使用户在电脑上工作，这种攻击也无法察觉。 通过显示-摄像头通信，屏幕被一系列的1和0调制，研究人员能够以0%的错误率重建信息。对于他们的实验，他们使用了安全摄像机、摄像头和智能手机，距离目标PC的距离不同，数据传输最大速度能够达到10bits/秒。作为应对此类攻击的对策，研究人员建议实施严格的政策，他们还建议在屏幕上使用偏振光片，这样可以为用户提供清晰的视野，但远处的摄像头只能录到暗屏。   （稿源：cnBeta，封面源自网络。）

安全研究人员Eitan Caspi最近检查了gov.il子域的HTTPS站点是否有安全问题，结果他在以色列政府DNS服务器上发现了一个开放的Open SSH访问。 使用Qualys开发的在线SSL检查器，Eitan Caspi分析了服务器上的SSL配置，最终在端口22上收到来自其中一个被检查IP的答复。 SSH使用端口22，该服务允许管理员连接到Linux服务器，Caspi说开放访问允许他尝试登录。 Eitan Caspi在当天将这一发现发送给以色列国家认证中心，十分钟后，Eitan Caspi还设法联系了以色列政府信息技术部门资深人士，并将详细情况告知了相关问题。根据Eitan Caspi透露，几个小时后，端口被关闭，通道被封锁。 但是，经过进一步分析，他发现该服务器使用了一个OpenSSH旧版本，该版本以包含多个漏洞而闻名。该服务器运行的是OpenSSH 7.4p1，该版本于2016年12月发布，因此已经存在三年多了。从那时起，OpenSSH发行了多个版本和针对各种安全问题的一系列安全修复程序，现在服务器中可能没有安装这些更新版本和修复程序。   （稿源：cnBeta，封面源自网络。）

Sudo 维护团队指出，从 Sudo 1.7.1 到 1.8.25p1 都包含一项可让非特权用户获得 root 权限的漏洞（编号 CVE-2019-18634），他们已在最新发布的 1.8.31 版本中完成修复，同时提供了暂时缓解的方法。Sudo 1.7.1 于2009年4月19日发布，因此该漏洞已存在大约 10 年。 另外，1.8.26 到 1.8.30 版本也发现存在 CVE-2019-18634 漏洞，但 1.8.26 版本发布时曾变更 EOF（end of file）处理的设定，致使该漏洞无法被利用。 Sudo 是 UNIX 和 Linux 操作系统广泛使用的工具，它让系统管理员给普通用户分配合理的权限，以执行一些只有管理员或其他特定帐号才能完成的任务。此次被发现的高危漏洞在启用了 pwfeedback 选项的系统中很容易被利用，根据漏洞的描述，pwfeedback 功能让系统能够以 ‘*’ 表示目前输入的字符长度，原意是一项提升安全性的功能，但安全研究员 Joe Vennix 发现系统启用 pwfeedback 功能后，用户可能会触发基于堆栈的缓冲区溢出 bug，从而获得 root 权限。 虽然在 sudo 的上游版本中默认情况下未启用 pwfeedback，但某些下游发行版，例如 Linux Mint 和 elementary OS 在其默认 sudoers 文件中启用了它（Ubuntu 不受影响）。 具有 sudo 特权的用户可以通过运行以下命令来检查是否启用了 pwfeedback： 如果在”Matching Defaults entries”输出中列出了 pwfeedback，则 sudoers 配置将受到影响。如下所示的 sudoers 配置就很容易受到攻击： $sudo -lMatchingDefaults entries for millert on linux-build:insults,pwfeedback, mail_badpass, mailerpath=/usr/sbin/sendmailUsermillert may run the following commands on linux-build:(ALL : ALL) ALL 最后，建议受影响的系统尽快将 sudo 升级至最新版本 1.8.31。如果没条件升级到新版本，在启用了 pwfeedback 的 sudoer 配置文件里，将“Defaults pwfeedback”改成“Defaults !pwfeedback”，也能有效阻止攻击。   (稿源：开源中国，封面源自网络。）

澳大利亚物流公司Toll Group已证实，其上周五遭受的 “网络安全事件”是勒索软件引起的。Toll在周二下午的更新声明中写道：“我们可以确定这起网络安全事件是由于有针对性的勒索软件攻击而导致，我们决定立即隔离并禁用某些系统，以限制攻击的蔓延。” 该公司表示：“我们迅速采取行动以减轻潜在影响，我们正在进行详细调查，以期尽快恢复所有相关系统。” 该公司拥有40000多名员工。周一晚上，为预防起见，该公司关闭了许多系统，这影响了其一些面向客户的应用程序。 Toll 表示，目前还没有证据表明任何个人数据已经丢失。“我们在1月31日（周五）就意识到了这一问题，一旦发现，我们迅速采取行动禁用了相关系统，并展开了详细的调查以了解原因，并采取了应对措施。” Toll 在声明中继续说道：“我们将继续进行彻底的调查，我们将全天候工作，以尽早恢复正常服务。随着我们安全地使系统恢复在线状态，我们将继续提供更新。”该事件导致Toll恢复为手动流程，以清除勒索软件攻击造成的积压未交付货物。 该公司解释称：“由于我们决定在近期的网络安全威胁后禁用某些系统，因此，我们将通过遍及全球的手动和自动流程相结合的方式继续满足许多客户的需求，尽管其中一些流程会出现延迟或中断。” 关于包裹，Toll表示其处理中心将继续运行运送，处理和调度功能，“尽管在某些情况下速度有所放缓”。 客户还可以通过公司的呼叫中心进行预订，而在线预订平台仍处于禁用状态。 Toll表示，其正在与有关当局合作，并将安全事项报告给有关机构进行刑事调查。   （稿源：cnBeta，封面源自网络。）  

上周三，Cisco Systems 发布了14个产品漏洞修补程序，其中包括12个中危漏洞和2个高危漏洞。日前，已修复了2个高危漏洞，其中一个漏洞位于Webex视频会议平台，它在内部网络安全测试中被发现，对Cisco Webex Video Mesh软件在2019.09.19.1956m（固定版本）之前的版本都会产生影响。 该漏洞存在于Cisco Webex Video Mesh的基于Web的管理界面中，该功能可用于视频会议的本地基础结构来增强音频、视频和内容，并在此基础上进行远程攻击。Cisco本周发布安全公告称：成功利用此漏洞可使攻击者在目标节点上以根用户权限对潜存的Linux操作系统执行任意命令。 尽管攻击者可远程利用这些漏洞，但他们需要通过身份验证，这意味着攻击者首先需要通过管理权限登录web管理界面，然后再向应用程序提交请求，但在一般情况下Webex平台对这些请求并不会直接通过。 此外，这家网络巨头还发布了针对Cisco IOS和Cisco IOS XE软件web用户界面中另一个严重故障的修复程序。IOS XE是基于Linux Cisco 网络操作系统（IOS）的一个版本，是Cisco 路由器和交换机的驱动软件。IOS XE支持的产品包括企业交换机（包括Cisco的Catalyst系列）、分支路由器和边缘路由器（包括ASR 1013）。 实验发现，此漏洞可使未经身份验证的远程攻击者在受影响的系统上发起跨站点伪造（CSRF）请求攻击。CSRF攻击者通过使用社交软件发起电子邮件，诱使受害者点击链接，然后将伪造的请求发送到服务器。 Cisco称该漏洞产生原因在于：受影响设备的web用户界面CSRF保护不足，而攻击者可以通过对用户进行恶意跟踪来利用该漏洞。成功利用此漏洞可使攻击者对目标用户的权限进行任意操作，如果用户本身具有管理权限，攻击者还可以更改配置、对命令进行重新加载执行。 据了解，该漏洞由MehmetÖnder Key发现，Cisco IOS或Cisco IOS XE软件16.1.1之前启用了HTTP服务器功能的版本会产生影响。目前还没有发现任何针对该漏洞的解决办法，此漏洞在CVSS上被评分8.8分（满分10分）。   消息来源：threatpost， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

为美国低收入家庭提供的智能手机近日被发现存在恶意程序，更严重的是无法在不影响手机正常工作的情况下，清除该恶意程序。援引Malwarebytes Labs本周三公布的博文，详细披露了预装在UMX U686CL手机中的恶意程序。这是一款由美国政府生命线救援项目牵头，并由Assurance Wireless提供的一款廉价Android手机。 博文中称，这款低端Android手机上存在两款恶意程序，而且都是通过预装方式直接嵌入到系统代码中的。尽管其中一款恶意程序可以被移除，但是需要繁琐的步骤并需要阻止未来的版本更新；而另一个恶意程序将其自身硬编码到设置应用中，意味着如果将其删除会导致手机无法使用。 Assurance Wireless的母公司Sprint在随后提交的声明中，表示这两款程序并不应该归类为恶意程序。公司在本周五提交的声明中写道：“我们已经发现了这个问题，并接触了设备厂商Unimax来了解根本原因。但是经过我们的初步测试，我们认为媒体描述的这两款应用程序是恶意程序。”   （稿源：cnBeta，封面源自网络。）  

包括国际隐私组织、数字权利基金会，DuckDuckGo和电子前沿基金会在内的50多个组织，近日向Alphabet和Google首席执行官Sundar Pichai发出公开信，就Android设备预装软件所存在的漏洞以及它们如何给消费者带来隐私风险表明了自己的立场。 在这封公开信中，这些组织表示所有Android OEM厂商都在其设备上预装了无法删除的应用程序，并且具备厂商定值的特殊权限，因此可以绕过Android的权限模型。 这使的这些预装应用程序可以在没有用户干预的情况下，就能访问麦克风、摄像头、定位以及其他权限。这也导致很多智能手机OEM厂商可以在没有征得用户明确许可的情况下收集用户数据，并用于其他利益。 因此，这些组织希望谷歌对Android预装应用程序（Bloatware）采取一些调整，并希望公司能够为用户提供永久卸载设备上所有预装应用程序的功能。虽然可以在Android设备上禁用某些预加载的应用程序，但它们仍会继续运行某些后台进程，这使得禁用它们成为一个争论的焦点。 公开信中要求确保所有预装应用程序能够和常规应用程序一样罗列在Google Play应用商城中，并进行相同的审查。他们还希望即使设备没有用户登录，也可以通过Google Play更新所有预安装的应用。如果Google检测到OEM试图利用用户的隐私及其数据，则出于隐私和保护用户数据方面的考量拒绝认证该设备。 Google在Android 10中进行了许多针对隐私的更改，但仍有很多地方可以进行完善，帮助用户免受预装应用程序的侵害。   （稿源：cnBeta，封面源自网络。）

Precise Security公布的一份新报告显示，WannaCry在去年勒索软件感染排行榜当中位居第一。Precise Security称，超过23.5%的设备最终被勒索软件锁定，其中垃圾邮件和网络钓鱼邮件仍然是去年最常见的感染源。不少于67%的勒索软件感染是通过电子邮件传递的，缺乏网络安全培训和薄弱的密码和访问管理是导致电脑在攻击后被加密的主要原因。 这份报告显示，针对政府机构，医疗保健，能源部门和教育的勒索软件攻击数量继续增加。一些简单的勒索软件以难以逆转的方式锁定系统，但更高级的恶意软件利用了一种称为加密病毒勒索的技术进行攻击。 WannaCry勒索软件爆发发生在2017年5月，当时第一批Windows电脑通过一个名为EternalBlue的NSA漏洞被感染。微软很快发布了补丁来阻止这一漏洞，包括不受支持的Windows XP操作系统，但目前仍有许多用户在使用没有打过补丁的设备。 与其他勒索软件感染一样，WannaCry对存储在设备上的文件进行加密，并要求用户支付解密密钥的费用。WannaCry攻击者要求受害者以比特币支付，据统计，它在全球造成了约40亿美元的损失。 WannaCry制造了一系列引人注目的受害者，包括英国的NHS系统，其设备运行的是未修补的Windows，主要是Windows XP。修补设备并保持安全软件完全更新，是阻止WannaCry攻击的最简单方法，同时不要打开来自不受信任来源的消息和文件。   （稿源：cnBeta，封面源自网络。）