隨著汽車導入連網的功能,汽車製造商的資安防護也變成研究人員關注的焦點。有研究人員一口氣揭露十多個知名車廠的API漏洞,這些漏洞不只讓攻擊者有機會遙控該廠牌車輛,甚至部分能存取該公司的內部機密資料,像是銷售資料,或是資訊系統的開發環境等。

鎖定Linux電腦的攻擊行動日益猖獗,而當中不少是利用指令碼下達相關命令,但如今有攻擊者將其打包變成可執行檔(ELF),目的是避開對指令碼的資安檢測。

去年1月推特修補的漏洞近期又傳出駭客公布竊得的用戶個資!但與過往最大的不同之處在於,駭客不再以數千美元來兜售手上的資料,這次以極低的價格(2美元)提供。

【攻擊與威脅】

Linux惡意軟體被用於散布挖礦程式

資安業者AhnLab發現以Shell指令碼編譯器(Shell Script Compiler,SHC)打造的Linux惡意軟體,駭客將其用於部署挖礦程式XMRig。研究人員看到攻擊者先是針對使用弱密碼的SSH伺服器進行暴力破解,得逞後就在受害的Linux伺服器安裝多種惡意軟體,包含SHC下載器、挖軟軟體,以及運用程式語言Perl寫成的IRC機器人。

研究人員表示,駭客使用SHC的目的,就像之前有人針對Windows作業系統的環境使用bat2exe類似,都是將指令碼或批次檔轉換成可執行檔,藉此規避偵測。

2億推特用戶電子郵件信箱資料遭駭客以2美元賤賣

又有人聲稱透過推特於2022年1月修補的漏洞取得大量用戶資料!根據資安新聞網站Bleeping Computer的報導,有人在駭客論壇BreachedForums洩露2億筆推特用戶資料,論壇用戶只需支付8個論壇代幣(相當於2美元)就能下載這些內容。

這批資料疑似將之前流出的4億筆資料進行整理而成,清除重複項目後共有約221,608,279筆,但該新聞網站取得資料進行檢查後表示,還是發現有重複的內容。駭客以RAR壓縮檔打包上述資料,檔案大小約為59 GB,內容包含了使用者的姓名、電子郵件信箱、使用者ID、關注人數,以及帳號的建立日期。

臉書、IG未經用戶同意收集個資,愛爾蘭重罰3.9億歐元

針對臉書及Instagram(IG)處理用戶資料的作法,以及強迫用戶同意其蒐集個資的手段違反GDPR,使得2018年奧地利使用者集體控告臉書、比利時使用者集體控告IG,愛爾蘭資料保護委員會(DPC)調查後於2023年1月4日做出判決,對Meta開罰3.9億歐元。其中,臉書案罰2.1億歐元,IG案則罰1.8億歐元。Meta表示將尋求上訴,並認為本次判決與發送特定個人化廣告的法律規範有關,但不會妨礙他們繼續提供個人化廣告。

 

【漏洞與修補】

近20個汽車廠牌的API漏洞恐曝露車主個資,甚至可冒用製造商員工身分、進入公司系統

資安研究人員Sam Curry揭露BMW、勞斯萊斯、賓士、法拉利、保時捷、捷豹、路虎、福特、起亞、本田、Infiniti、日產、Acura、現代、豐田等近20家汽車廠商,以及GPS車輛追蹤業者Spireon、數位車牌業者Reviver、數位廣播電臺SiriusXM的API漏洞,這些漏洞可能讓駭客執行惡意行為,例如解鎖、發動、跟蹤汽車,或是竊取車主的個資。上述業者獲報後皆修補相關漏洞。

其中最嚴重的API漏洞出現在BMW、勞斯萊斯、賓士,涉及公司內部系統的單一簽入(SSO),使得研究人員能假冒BMW的員工存取經銷商的銷售資料,或是存取賓士的GitHub儲存庫與多種開發系統。

Google修補Android約60個漏洞

1月3日,Google發布了Android的2023年首次安全更新,總共修補約60個漏洞。其中,2023-01-01系列的安全更新程式,針對框架、系統、Google Play的部分修補了19個漏洞;2023-01-05系列的安全更新程式,則是針對Linux核心與相關元件,以及聯發科、高通的元件,共修補了41個漏洞。

Google表示,這些漏洞最嚴重的出現在框架元件,攻擊者一旦利用該漏洞,就有可能在未經許可的狀況下提升權限。此外,該公司同日亦針對Pixel手機發布資安通告,公告3個高風險漏洞,以及5個與高通元件相關的弱點。

 

【資安防禦措施】

數位發展部設置資通安全研究院,首任院長由何全德擔任

隸屬於行政院數位發展部的資通安全研究院(簡稱資安院)於1月4日召開董監事聯席會議,決議通過由前總統府第二局局長何全德擔任院長;副院長則由行政院國家資通安全會報技術服務中心主任吳啟文,以及陽明交通大學講座教授林盈達擔任。

 

【其他資安新聞】

日本警方成功解鎖勒索軟體LockBit加密的檔案,協助3家受害企業復原資料

Fortinet修補應用程式交付控制器FortiADC任意程式碼執行漏洞

Zoho修補影響ManageEngine多個特權管理產品的嚴重漏洞

雲端服務業者Rackspace表示12月的資安事故是Play勒索軟體所為

LastPass遭到集體控告,起因是外洩事故疑與資料管理不當有關

 

近期資安日報

【2023年1月4日】 蠕蟲程式Raspberry Robin鎖定歐洲金融和保險業而來、駭客利用竊得的銀行資料散布木馬程式BitRAT

【2023年1月3日】 Linux惡意軟體鎖定30個WordPress外掛程式漏洞而來、PyTorch機器學習框架感染惡意程式碼

【2022年12月30日】 數千臺Citrix應用程式交付控制系統未修補重大漏洞、Google智慧音箱弱點恐讓駭客能偷窺語音指令

熱門新聞

Advertisement