目前TikTok全球注册用户数量突破15亿，月活跃用户数量超过7亿，如此庞大的用户群自然也成为了黑客攻击的目标。根据安全公司Check Point发布的最新警告，TikTok的某些版本非常容易受到各种方式的攻击，严重的可能会破坏和窃取存储在手机的个人信息。 Check Point表示，这款时下热门的短视频应用程序中存在多个漏洞，攻击者能够相对容易地控制你的账户，上传或者删除视频，甚至能够公开用户设置为隐藏的视频。这些漏洞于去年11月被发现，Android和iOS端的TikTok都受到影响，不过在最新版本中已经得到修复。 其中一个漏洞是TikTok允许用户通过SMS信息来接受下载链接，而这条信息可以通过官网发起请求。但是这种机制并不完美，因为研究人员找到了一种操纵文本并修改SMS信息中链接的方式，以将特殊命令发送到应用程序（如果已在手机上安装的话）。此外，他们可以使用此漏洞将消息发送到任何电话号码，而不仅仅是用于注册TikTok帐户的电话号码。 随后， 攻击者可以利用浏览器重定向设置中的BUG来控制你的账户，并获取你电子邮件等相关个人信息，甚至可以公开你的私人视频。通过一些更精细的JavaScript代码向导，攻击者甚至可以创建视频并将其发布到第三方帐户中。 Check Point表示，在去年11月反馈了TikTok安全问题之后，字节跳动迅速做出调整在去年12月份发布的新版本中已经修复了这些漏洞。   （稿源：cnBeta，封面源自网络。）

谷歌 Project Zero 团队以披露大量严重漏洞而被人们所熟知，但也因为严格的快速披露政策而遭到了行业内的批评。于是 2020 年的时候，谷歌安全团队试图制定新的政策，将问题披露的宽限期给足了整整 90 天。即便如此，谷歌还是对过去五年的政策表现感到满意，指出有 97.9% 的漏洞报告在当前的 90 天披露政策下得到了有效的修复。 相比之下，2014 年有些 bug 拖了六个月、甚至更长的时间来解决。不过在审查了“复杂且经常引起争议”的漏洞披露政策之后，谷歌还是决定在 2020 年做出一些改变。 那些易被曝光漏洞的企业，将被给予默认 90 天的缓冲时间，而无论其将于何时修复相关 bug 。若企业顺利或提前完成了修复，也可以与谷歌 Project Zero 取得联系，以提前公布漏洞详情。 ● 厂家在 20 天内修复了 bug？谷歌将在第90天公布漏洞详情； ● 厂家在 90 天内修复了 bug？谷歌也将在第 90 天公布漏洞详情！ 当然，在争取推动“更快的补丁开发”流程的同时，Project Zero 还希望全面提升补丁程序的采用率。 现有政策下，谷歌希望供应商能够快速开发补丁，并制定适当的流程，以将之交付给最终客户，我们将继续紧迫地追求这一点。 然而有太多次，供应商只是简单的记录了漏洞，而不考修改或从根本上修复已曝光的漏洞。有鉴于此，Project Zero 团队希望推动更快的补丁开发，以防别有用心者轻易地向用户发动大大小小的攻击。 改进后的新政策指出，发现漏洞之后，最终用户的安全性不会就此得到改善，直到 bug 得到适当的修复。只有最终用户意识到相关 bug，并在他们的设备上实施了修补，才能够从漏洞修复中得到益处。 最后，在新政策转入“长期实施”之前，Google 将给予 12 个月的试用。   （稿源：cnBeta，封面源自网络。）

使用REvil（Sodinokibi）勒索软件勒索大型组织的网络罪犯瞄准未打补丁的Pulse Secure VPN服务器，并禁用防病毒软件。 安全研究人员正在敦促使用Pulse Secure VPN的组织立即进行修补，否则将面临犯罪分子的“大规模”勒索软件攻击，这些犯罪分子可以轻松地使用Shodan.io IoT搜索引擎来识别易受攻击的VPN服务器。 上个月，在纳斯达克上市的美国数据中心提供商CyrusOne遭到REvil（Sodinokibi）勒索软件攻击，而去年夏天，美国的几个网络服务商、德克萨斯州的20多个地方政府机构以及400多个牙医诊所也相继遭到了网络攻击。 由于犯罪分子利用该勒索软件来加密关键业务系统，并要求巨额赎金解密，英国安全研究员凯文·博蒙特将REvil归为“big game”类别，该勒索软件病毒株于去年4月被发现，主要是使用Oracle WebLogic中的漏洞来感染系统。 去年10月，美国CISA、美国国家安全局联合英国国家网络安全中心发布的警告称：REvil瞄准的Pulse secure VPN服务器还未打补丁。此前有证据显示，政府支持的黑客正在利用Pulse Secure 以及Fortinet VPN产品中的漏洞，由于该漏洞已被网络犯罪分子广泛使用，因而波及范围也越来越广。 凯文·博蒙特指出：由于该服务器允许远程攻击者在没有有效凭据的情况下连接公司网络，同时禁用多种形式的身份验证，在这样的情况下以纯文本的形式远程查看包括活动目录和账户密码在内的日志和缓存密码，导致Pulse Secure VPN 漏洞情况越来越糟糕。上周发生的两起漏洞事件都采用了类似的手段：通过访问网络来获取域管理控制，然后使用开源VNC远程访问软件来访问移动网络。 在这样的流程后，所有安全端口都会被禁用，REvil（Sodinokibi）勒索软件会通过PsExec渗透到Windows远程管理系统中。网络安全公司Bad Packets 1月4日扫描数据显示：仍有3825台Pulse secure VPN服务器漏洞还未被修补，其中去年10月警报中所提到的CVE-2019-11510漏洞就包含其中，而1300多个易受攻击的漏洞VPN服务器均位于美国。   消息来源：zdnet， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，谷歌在12月曾下架阿联酋社交应用ToTok，然而现在这款聊天应用已在谷歌Play Store重新上架。当时《纽约时报》曾报道称，ToTok被认为是阿联酋政府的秘密监视工具，使它可以监视ToTok用户的位置、消息和社交关系。 “我们认真对待有关违反安全和隐私的报告。如果发现违反我们政策的行为，我们将采取行动。”一位谷歌发言人在一封电子邮件中告诉Motherboard。 《纽约时报》援引一位美国情报官员的话说，“ ToTok被阿联酋政府政府用来追踪用户的每一次谈话、动向、关系、约会、声音和图像。” 报告补充说，该应用程序在中东、欧洲、亚洲、非洲和北美拥有大量用户，Apple和Google应用程序商店被下载了数百万次。 在《纽约时报》接触谷歌和苹果的代表发表评论后，两家公司都在调查过程中将ToTok从其应用商店中删除。 在《纽约时报》发表文章的同一天，Motherboard通过恶意软件搜索引擎VirusTotal处理了ToTok Android应用程序。当时，没有杀毒软件公司将该应用标记为恶意。然而周一，ESET，Fortinet和Symantec 都将同一版本的应用程序标记为恶意。 在谷歌Play Store重新上架的ToTok版本是更新版本。在“新功能”部分下，ToTok应用程序页面显示为“有一个新设计的对话框，要求您授权访问和同步您的联系人列表。” Google最初下架该应用程序时，曾表示ToTok违反了未指定的政策。 “等待已经结束。我们很高兴地通知您，＃ToTok现在可以在Google Play商店中下载了。感谢您的耐心等待。让我们联系！‬” ToTok 周日在其网站上的简短公告中写道。ToTok的共同研发者Giacomo Ziani在接受美联社的采访时为该应用程序辩护，并表示他不知道与他的项目相关的人们与阿联酋的情报有关。 当被问及是否会在自己的应用商店中重新上架该应用程序时，苹果公司没有立即回应置评请求。   （稿源：cnBeta，封面源自网络。）

外媒报道称，微软刚刚清理了由朝鲜网络黑客组织 APT37 运营的 50 个域名。软件巨头称，这些域名一直被 Thallium（亦称作 PT37）组织用于发动网络攻击。通过持续数月的关注、监视和追踪，该公司数字犯罪部门（DCU）和威胁情报中心（MSTIC）团队得以厘清 Thallium 的基础架构。 12 月 18 日，总部位于雷德蒙德的微软，在弗吉尼亚法院向 Thallium 发起了诉讼。圣诞节过后不久，美当局即批准了法院命令，允许该公司接管被朝鲜黑客用于攻击目的的 50 多个域名。 此前，这些域名常被用于发送网络钓鱼电子邮件和网站页面。黑客会诱使受害者登陆特制的站点，窃取凭证，从而获得对内部网络的访问权限，并执行后续针对内网的升级攻击。 微软表示，除了追踪该组织的网络攻击，该公司还调查了被感染的主机。微软企业客户副总裁 Tom Burt 表示： “攻击主要集中在美、日、韩三国的目标，受害者包括了政府雇员、智囊团、高校工作人员、平权组织成员、以及普通人”。 在诸多案例中，黑客的最终目标是感染受害机器，并引入 KimJongRAT 和 BabyShark 两个远程访问木马（RAT）。 Tom Burt 补充道：“一旦将恶意软件安装在受害者计算机删，它就会从中窃取信息，保持潜伏并等待进一步的指示”。 当然，这并不是微软首次通过法院命令来阻断有外国背景的黑客组织的运作。 此前，微软曾对有俄方背景的 Strontium（又名 APT28 或 Fancy Bear）黑客组织发起过 12 次行动（上一次是 2018 年 8 月）、并成功撤下了 84 个域名。 以及通过法院命令接管了与伊朗有关的网络间谍组织 Phosphorus（APT35）运营的 99 个域名。   （稿源：cnBeta，封面源自网络。）

据外媒报道，在美国政府封杀并被标记为网络安全威胁之后，TikTok（抖音国际版）现在韩国也面临着类似的问题，出于安全考虑，韩国地方当局宣布调查这款应用。日前， 韩国通信委员会(KCC)宣布对TikTok展开调查，此前自由韩国党众议员Song Hee-kyeoung曾在10月发布警告称，这家中国公司可能对个人信息处理不当。 Song指出，TikTok收集的某些用户信息可能会跟中国政府共享。 根据KoreaTimes的一份报告，TikTok在韩国拥有400万用户，不过目前韩国当局并没有对该应用或其母公司字节跳动(ByteDance)实施制裁。 字节跳动曾在最近的一份声明中表示，该应用必须在多国需要处理的法律问题并不意味着他们会把TikTok卖掉。 有知情人士在本月早些时候表示，字节跳动正在考虑出售TikTok的可能性，原因是越来越多的政府表达了对该应用存在的安全问题的担忧。 字节跳动尚未就韩国发起的调查发表声明。   （稿源：cnBeta，封面源自网络。）

Proofpoint 网络安全研究人员刚刚发现，有一款名叫 Emotet 的恶意软件，正在以“支持 Greta Thunberg.doc”的名义进行传播。尽管看似一封电子邮件，但其本质上是一款窃取 Windows PC 上金融信息的网银木马。攻击者试图以这位瑞典环保少女的名义，邀请受害者参加圣诞前夕的气候变化抗议活动。 早些时候，Greta Thunberg 因一系列旨在提升全球环保意识的活动，被《时代》杂志评为了 2019 年度人物。 对于那些毫无戒心的网友们来说，需要对这类基于电子邮件的恶意软件传播活动提高警惕。 Proofpoint 安全研究人员指出，这轮攻击主要针对美国、欧洲和亚洲地区拥有 .edu 电子邮件地址的学生群体，甚至出现了使用多种语言的版本。 Proofpoint 补充道：“我们发现受攻击的 .edu 域名数量超过与任何特定国家 / 地区相关的域名。鉴于 Thunberg 得到了学生和年轻人群体的有力支持，黑客的套路也是有些讲究的”。 遗憾的是，转发此电子邮件，并不会对缓解气候危机有任何帮助，反而只会让更多计算机不小心感染上 Emotet 恶意软件。 这款网银木马伪装成了微软 Word 文档附件，并且使用了与邮件主题相同的“支持 Greta Thunberg.doc”文件名。 Proofpoint 提醒道：“假日期间，攻击者会毫不犹豫地瞄准和利用人们的善意，也算是一种另类的公益意识晴雨表了”。   （稿源：cnBeta，封面源自网络。）

据外媒报道，一名安全研究员日前表示，他通过利用Twitter Android应用中的一个漏洞将1700万个电话号码跟Twitter用户的账号户匹配了起来。这位名叫Ibrahim Balic的研究人员发现可以通过Twitter的联系人上传功能上传生成的完整的电话号码列表。换言之，如果用户在Twitter上上传了自己的电话号码那么平台就会获取用户数据。 Balic指出，Twitter的联系人上传功能不接受连续格式的电话号码列表，这可能就是为了阻止上面的这种匹配。然而，Balic生成了20多亿个电话号码，一个接一个，然后随机分配这些号码并通过Android应用将它们上传到Twitter上，而基于web的上传功能中不存在这个漏洞。 Balic称，在两个多月的时间里，他匹配了来自以色列、土耳其、伊朗、希腊、亚美尼亚、法国和德国的用户记录，但在Twitter于12月20日对这一漏洞做出反应之后他停止了这种行为。尽管他没有提醒Twitter注意这一漏洞，但他将许多知名Twitter用户（包括政界人士和官员）的电话号码转至WhatsApp群组中以便直接警告用户。 对此，Twitter方面表示，他们正在努力确保不让这个漏洞再次遭到利用。“在得知这个漏洞后，我们暂停了那些非法获取个人信息的账号。保护Twitter用户的隐私和安全是我们的首要任务，我们仍致力于快速阻止垃圾邮件和来自Twitter API的滥用。” 据悉，Balic此前因在2013年发现影响苹果开发中心的安全漏洞而出名。   （稿源：cnBeta，封面源自网络。）

每当备受期待的节目或电影上映甚至临近上映时，盗版内容就会开始泛滥。成千上万的人开始寻找免费在线观看最新内容的方法，而一些不良行为者总是很快就可以利用这一趋势。例如去年，恶意软件伪装成《权力的游戏》等剧集，该剧的种子资源病毒泛滥，占比高达17%。 由于剧集非常受欢迎，骗子借此机会将病毒和其他危险软件与伪造甚至真实的视频文件一起传播。 现在，似乎骗子再次利用了这些策略。在迪士尼发行《星球大战：天行者崛起》电影之后，似乎很多互联网用户已经成为“以星球大战为主题的恶意软件攻击的受害者”。据报道，卡巴斯基实验室在2019年发现了285103次这类攻击。 就其本身而言，这是一个惊人的数字，但据报道，最近，该公司在“ 30多个”网站和社交媒体帐户中发现了65个恶意软件“活动”。所有这些活动旨在针对希望免费下载最新《星球大战》电影的个人。对于更精通技术的用户而言，这些“活动”中的大多数显然都是可疑的，并且很容易避免。 但是，对于那些缺乏网络经验的人来说，很容易就可以从表面上获得这些太过真实的提议，这些人似乎经常成为此类陷阱的受害者。 在接下来的几周内，虚假的《星球大战》下载“活动”的数量可能只会增加，因此卡巴斯基建议用户保持警惕，并最好前往影院观看电影。另外，也可以等待其登陆官方流媒体或下载平台，例如Amazon，Disney +或其他平台。   (稿源：cnBeta，封面源自网络。）

由于被一个名为Mozi的P2P僵尸网络入侵，Netgear、D-Link和Huawei路由器正积极检测Telnet弱密码。因该僵尸网络再次使用了部分代码，可判定该事件与 Gafgyt恶意软件相关。 360 Netlab的安全研究人员在发现该僵尸网络后，对其进行了为期四个月的监控，发现该僵尸网络主要目的是用于DDoS网络攻击。攻击行动首先会在torrent客户端和其他P2P端存储节点信息，然后通过DHT协议进行网络扩散。而这样的扩散行为会使得在无需服务器情况下建立的僵尸网络传播速度更快，也会导致大量僵尸网络在DHT协议中巧妙藏身，更难被检测。 此外，Mozi还使用了ECDSA384和XOR算法来保证僵尸网络组件和P2P网络的完整性和安全性。 恶意软件使用telnet并利用漏洞向新的易受攻击的设备进行传播，该行为主要通过登录加密性弱的路由器或CCTV DVR来实现，在成功利用未修复的主机后立刻执行负载。而恶意软件一旦载入受攻击设备，新激活的bot将自动加入Mozi P2P成为受攻击的新节点。在受感染后，新的网络节点将接收并执行僵尸网络主机的命令，此时Netgear、D-Link和华为路由器也会收到影响。 针对此现象，研究人员做出解释：Mozi在通过DHT协议建立p2p网络后，配置的网络设备会同步更新，相应的任务也会根据配置文件中的指令即刻启动。 以下是自360 Netlab研究人员自2003年9月监测Mozi以来发现的10个受感染的P2P未修补设备： 像Nugache、Storm（又名Peacomm）、Sality P2P、Waledac、Kelihos（又名Hlux）、ZeroAccess（又名Sirefefef）、Miner和Zeus这样的P2P僵尸网络从2006年初开始，就为他们的主人组建了庞大的僵尸网络系统，但现在大部分已经灭绝，而另一些设备如Hajime 、Hide’N Seek（简称HNS），他们仍在寻找易受攻击的设备。 2018年9月，Hide’N Seek在短短几天内感染9万多台设备，而Hajime自2016年秋季首次被发现以来，在短短6个月内，感染约30万台设备。 众所周知P2P僵尸网络对打击他们的下沉式攻击具有很强的弹性，但也不乏一些例子证明ZeroAccess和Kelihos是易受攻击的。 在更多关于Mozi的相关信息被检测出来之前，关于对它进行深层次攻击可能性的猜测从未间断。但可以肯定的是，在此项检测之前，若相关目标还未被修补，Mozi对信息的搜集扩散范围会越来越大。 除上述僵尸网络外，另一个名为Roboto的P2P僵尸网络在8月下旬被被同一个研究小组发现，该网络在互联网上还会对未修补Webmin安装的Linux服务器进行扫描，而有关这个新的P2P僵尸网络更多信息可在360 Netlab的Mozi报告末尾了解。   消息来源：bleepingcomputer， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链