重點新聞(04月29日-05月05日)

現代汽車自家App驚爆漏洞,駭客不只能偷個資,還能遠端遙控汽車引擎

資安公司Rapid7研究人員於4月25日揭露,現代汽車(Hyundai)自家行動應用Blue Link,因為使用明文(cleartext)傳輸訊息,並將解密程式直接寫在App中。駭客可利用中間人攻擊(MitM)方式,或是誘拐用戶連接駭客設定的無線網路,來查看Log管理日誌,間接竊取用戶資料、密碼、汽車資料、PIN碼和車輛位置,甚至利用遠端遙控,擅自啟動和停止汽車的引擎,受影響程式版本為3.9.4和3.9.5。目前,現代汽車已釋出新版並刪除了Log日誌傳輸功能。更多資料

釣魚郵件夾帶勒索軟體更危險,Locky開始藏身釣魚郵件PDF附件

資安部落格My Online Security作者近日發現,有駭客在偽造的釣魚郵件中,附上了一個問題PDF,利用PDF內嵌Word檔案的功能,在PDF中夾帶暗藏了惡意巨集程式的Word文件。用戶一旦開啟巨集,會將勒索軟體Locky植入使用者的電腦,來發動勒索攻擊。駭客通常利用偽裝受害公司的合作夥伴電子信箱,寄發釣魚郵件給受害公司,內容多半是給受害公司的收據,內附帶有惡意文件的PDF檔,誘拐受害者開啟。My Online Security作者建議,使用者可以在Adobe Reader設定裡面,取消啟動Adobe JavaScript的功能,來阻止PDF自動執行惡意巨集或是JavaScript程式的行為。更多資料

三星智慧電視資安不設防,Wi-Fi Direct預設啟用,免密碼就能入侵

資安公司Neseso研究人員日前發現,三星旗下採用Tizen OS的智慧電視有一個設計上的漏洞。用戶開啟電視後,會同步啟動Wi-Fi Direct,但因這項連線服務沒有設定PIN碼,駭客利用該漏洞,就可以越過身分驗證機制,直接取得電視裝置的存取權限,來控制智慧電視。Neseso強烈建議用戶,立即刪除所有不明連線設備,並且關閉自動啟動Wi-Fi Direct的功能。更多資料

8萬多臺伺服器遭駭外洩資料,地下市場開價一臺資料只賣6美元,成駭客發動攻擊基地

資安業者Flashpoint研究人員Vitali Kremez在4月25日指出,85,000臺來自不同產業的伺服器遭駭,包含教育機構、醫院、航空公司和政府機關等,並且在地下市場xDedic公開販售。駭客利用遠端桌面協定(RDP)來存取這些遭駭伺服器的資料,還可以直接操控這些伺服器。卡巴斯基研究人員在去年6月就發現,有駭客在xDedic上,用6美元(約新臺幣194元)一臺的價錢,來販賣從這些伺服器外流的資料,而且公司多半沒有發現自家伺服器被駭,才導致資料多次上網出售。資安專家警告,駭客還可利用這些伺服器,作為散布惡意程式、發動DDoS和寄發釣魚郵件的基地。更多資料

勒索軟體CryptoMix出現新變體Dharma,隨機加密受害裝置檔案

獨立資安研究人員R0bert R0senb0rg於5月1日在推特揭露,近期出現一款新的勒索軟體Dharma,感染受害者電腦後,會隨機加密受害者電腦的檔案,而非類似其他勒索軟體,只會加密特定文件類型。受害者開啟釣魚郵件後,螢幕立刻顯示勒索信,要求被害者支付比特幣,勒索金額會隨著受害者回信時間來定。而且,駭客為了說服受害者支付贖金,告訴受害者可免費先寄3個被加密文件給駭客,就可以幫忙解密。不僅如此,如果受害者點擊「是」的按鈕關閉視窗,Dharma會使用WMIC來啟動命令,禁止受害者利用Windows還原系統來恢復檔案。目前,MalwareHunterTeam分析Dharma發現,它是勒索軟體CryptoMix的變體,而且至今還沒有出現任何解密方法。更多資料

Mac OS X惡意程式利用蘋果有效憑證,攔截SSL加密流量,竊取使用者Mac密碼

資安業者Check Point於4月27日發現,惡意程式OS X/Dok包含在名為Dokument壓縮檔(zip)裡面,駭客利用網路釣魚郵件來散布此惡意程式。使用者開啟文件後,惡意程式會複製到/User/Shared/檔案匣中,並且植入新的loginItem,防止使用者重開機。接著,螢幕會不斷出現宣稱作業系統有安全問題的視窗,直到使用者輸入密碼、安裝所有攻擊程式為止,同時趁機竊取使用者Mac密碼。之後,OS X/Dok還會在受害電腦上安裝新的憑證,促使駭客可以利用中間人攻擊攔截SSL加密流量。更多新聞

比特幣採擴設備Antminer被爆有後門,恐使全球7成採礦能力停擺

一位匿名資安研究人員近日爆料,知名比特幣採礦設備製造商Bitmain開發的採礦設備Antminer,設置名為Antbleed的後門程式。Antbleed除了會將設備資料傳送到遠端伺服器之外,Bitmain也能利用Antbleed從遠端關閉採礦功能。研究人員表示,如果Bitmain遭到駭客利用或是居心不良,會影響市場上7成的比特幣採礦能力。目前,Bitmain在4月27日釋出韌體更新,並且強調該後門設計並非有意,他們設計Antbleed是希望用戶能夠自行在遠端受到代管的採礦機器。更多新聞

英特爾修補AMT等遠端管理技術的權限擴張漏洞

英特爾於5月1日修補了旗下多款遠端管理技術的權限擴張漏洞,包括Active Management Technology(AMT)、Intel Small Business Technology(SBT)與Intel Standard Manageability(ISM),從6.x到11.6的版本都受到影響。該漏洞允許駭客取得權限,來獲得上述技術管理能力。但是,英特爾也強調,該漏洞並不影響採用英特爾處理器的個人電腦。更多新聞

Android App潛藏開放埠漏洞,駭客可竊取手機資料和控制裝置

密西根大學研究團隊在第二屆IEEE歐洲資安會議上公布一份報告顯示,Google Play有410款App內有不設防的開放埠(Open Port),甚至連下載破千萬次的熱門檔案傳輸程式WiFi File Transfer都有。駭客可以利用這些對外開放的傳輸埠,來入侵使用者的裝置,竊取裝置上的資訊,包含通訊錄、安全憑證、照片等機密資料,甚至可以安裝惡意程式來發動攻擊。研究團隊成員Yunhan Jia建議,使用者挑選具備跨裝置檔案分享、VPN或遠端控制手機等程式時,必須特別小心,最好只使用聲譽良好的開發人員所打造的產品。更多新聞

美國空軍舉辦資安抓漏大賽,首次招募境外駭客共同來抓漏,改善國防安全

美國空軍於4月26日宣布舉辦抓漏大賽Hack the Air Force,這是美國軍方自去年3月首次舉行Hack the Pentagon及6月的Hack the Army之後,第三次開放外界抓漏,也是規模最大的一次。除了美國人之外,美國軍方也首次開放澳洲、紐西蘭、英國及加拿大公民來參與。美國空軍資安長Peter Kim指出,這是美國空軍首次擴大資安檢視的活動,由於每天都有駭客覬覦入侵空軍系統,必須利用駭客共同協助,來改善網路安全及國防安全。更多新聞