資安一周第7期：加拿大航空2萬筆App用戶個資外洩。研究：四成安全專家聲稱能駭進任職企業

0830~0905一定要看的資安新聞

#加拿大航空　#資料外洩

加拿大航空遭駭，外洩2萬名App用戶個資

加拿大航空（加航，Air Canada）八月三十日以電子郵件通知約2萬名App用戶，由於遭不明人士存取，用戶個資可能外洩。

加航用戶在推特上展示收到的郵件顯示，加拿大航空在今年8月22日到24日之間偵測到該公司的手機App有不尋常的登入行為。加航立即採取封鎖並實施額外措施來防止進一步的非授權存取行為。為安全預防性考量，加航已封鎖了所有手機App帳號以確保用戶資訊。

加拿大航空官網上要求App用戶重設密碼。不過雪上加霜的是，用戶抱怨無法在App上變更密碼，每次試圖變更密碼App就當掉。

加航表示客戶帳戶下的信用卡資訊並未受到影響，因為有經過加密處理，此外加航的飛行常客計畫密碼也不儲存在App上。但同時加航仍建議用戶最好留心自己的信用卡是否有異常交易情況。更多內容

#內部控管　#資料外洩

家賊難防！研究：43%的安全專家稱可以駭進自己的組織

專門提供網路服務的Imperva針對179名安全專家進行調查後發現，有43%的安全專家認為能夠成功地駭進自己的組織，約35%認為這並不容易，另有22%覺得成功的機率大概是50%。調查也顯示有接近三分之二的組織具備可偵測惡意內賊的解決方案，只是有三成的組織可能要花上數周或是好幾個月才會發現有內賊，另外也有14%的組織，也許永遠也不會察覺內賊的存在。

Imperva建議企業應該要監控哪些人存取了哪些資料，以及這些用戶如何使用這些資料，藉由分析這些資料來建立使用者的資料存取活動底線，以察覺可疑的資料存取。更多內容

#反追蹤技術　#Firefox 63

強化反追蹤技術，Firefox將封鎖拖慢網頁載入速度的第三方追蹤器

Mozilla宣布，在接下來幾個月，Firefox將預設啟用一系列防追蹤功能來保護使用者，另外還提供一組透明的控制元件，讓使用者選擇願意與網站共享的訊息。

廣告追蹤會大幅降低網路速度，Mozilla引用Ghostery的研究，提到載入一般網站的總時間，其中有55.4％用於載入第三方追蹤器，對於網路速度原本就較慢的使用者，造成很大的負擔。而較長的頁面載入時間，對於使用者以及網站本身都非好事，Firefox Nightly現在加入了一項新功能，可以阻擋降低頁面載入速度的追蹤器，在9月時將以Firefox的Shield Study機制來測試該功能，一旦測試效果良好，Mozilla將會在Firefox 63正式部署該功能。更多內容

#Google　#Tink　#加密軟體函式庫

Google釋出內部Tink加密軟體函式庫，Google Pay和智慧助理都有用

Google為了幫助自家發展加密服務應用，為開發人員提供了安全的跨平臺加密函式庫Tink。而Tink的設計重點特色在於，易用而且難以被誤用。Google提到，Tink中有許多防呆設計，來減少用戶誤用函式庫，像是如果底層加密模式需要nonce，但重複使用nonce反而造成不安全，Tink就不會允許開發者傳遞nonce。

Tink建立在既有的函式庫上，包括BoringSSL和Java Cryptography Architecture，不過，他們在開發Tink的過程，發現了這些函式庫的弱點，因此也順便修補了這些弱點。Tink在介面宣告了例如抵禦選擇密文攻擊等安全屬性，讓安全稽核人員和自動化工具，能快速發現與安全保證不符的安全需求。Tink還為潛在危操作隔離API，使用者無法進行從硬碟載入明文金鑰等行為，Tink提供開發者發現、限制、監控以及紀錄函式庫使用的功能。更多內容

#Google　#技術支援詐騙

Google擴大打擊冒牌技術支援詐騙廣告

愈來愈多詐騙廣告冒充合法公司技術支援誘騙使用者上當，Google對此表示將出手整飭。Google產品政策總裁David Graff指出，為防用戶遭誤導性、不適當及不良廣告所害，該公司致力於打擊濫用廣告系統的業者。單單去年Google已移除了32億則違反其廣告政策的廣告。現在Google將把矛頭轉向第三方技術支援業者，而且計畫將範圍擴大到全球。

技術支援詐騙廣告通常是結合詐騙歹徒與惡意程式業者，由惡意程式業者寄出詐騙郵件、或在合法網站上植入偽造廣告、藉由Google等搜尋引擎接觸使用者，讓使用者電腦跳出含有客服專線的警告視窗。等不知情的受害者撥打電話後，就由詐騙人士假冒合法業者特別是HP、Dell等電腦商、或微軟的客服人員「指導」受害者下載安裝木馬或其他惡意程式，以利未來的竊取銀行密碼或其他惡意行為。更多內容

#Google　#AI　#兒童色情犯罪

Google免費釋出可辨識兒童色情內容的AI工具

為防止兒童色情及性侵犯的影片或照片透過網路散布，Google免費釋出人工智慧（AI）工具，協助服務供應商、非政府組織和科技業者等透過API存取，以加速辨識兒童色情犯罪內容（child sexual abuse material）。

這項工具是Google現有自用的AI圖片辨識技術，希望以深度神經網路為基礎的圖像處理技術，可以更快過濾出兒童色情犯罪的圖片供人工檢閱。過去的作法包括微軟發展、並獲臉書、推特使用的PhotoDNA技術，乃仰賴比對現有已知兒童色情內容的雜湊值，但無法辨識沒有標示的內容。新的過濾方法則還能鎖定之前尚未被認定為兒童色情的內容，這也有助於發現需要保護的兒童受害者。更多內容

#金融駭客集團　#Cobalt

惡名昭彰的金融駭客集團Cobalt攻勢再起，這次鎖定俄羅斯及羅馬尼亞銀行

專門銷售網路安全暨網路監控軟體的Arbor Networks指出，惡名昭彰的金融駭客集團Cobalt在八月中旬展開新一波的攻擊行動，初期鎖定的對象為俄羅斯與羅馬尼亞的銀行。

至少從2016年底就展開攻擊的Cobalt，又被稱為Carbanak或FIN7集團，該集團主要鎖定全球的金融組織，經常使用ATM惡意程式發動攻擊，研究人員也相信Cobalt亦是針對SWIFT銀行系統進行一連串攻擊的主謀，受害的金融組織估計已超過100家，包括臺灣的第一銀行在內。

Arbor Networks是在今年8月中旬發現Cobalt集團再度發動攻勢，針對俄羅斯的NS Bank與烏克蘭Patria Bank兩家銀行寄出網釣郵件，在寄件人部份偽裝成這兩家銀行的合作夥伴或供應商，這些郵件內容看起來是良性的，卻在郵件中夾雜著兩個惡意連結。

其中一個連結指向一個含有惡意程式的Word檔案，另一個則是指向假冒為JPG檔的惡意程式，這兩個檔案所執行的惡意程式連結兩個不同、但都由Cobalt掌控的C&C伺服器，它們都是後門程式，目的是建立一個入口，以供未來載入其它惡意程式所用。更多內容

#蘋果App Store　#隱私政策

蘋果App Store規定：所有新程式都要明列隱私政策

蘋果宣布自今年10月3日起，所有新提交或更新的程式都必須明列隱私政策，不管是要直接於App Store上架或是透過TestFlight展開外部測試的行動程式，都受到此一新的App Store審核原則的規範。

過去蘋果只要求那些提供訂閱服務的行動程式制定隱私政策，現在則將範圍擴及所有新提交與更新的程式。

根據蘋果App Store的審核原則，所有的行動程式都必須在App Store Connect的元資料欄位或程式中含有隱私政策連結，並清楚說明程式所蒐集的資料，以及如何蒐集及使用；也必須確認與程式共享資料的第三方，採用了一致的標準來保障用戶隱私；以及描述保留或刪除用戶資料的相關策略。

儘管蘋果目前並未要求App Store中現有的程式都必須符合該規定，但外界相信該規定某種程度仍與今年5月上線的GDPR有所關聯。更多內容

#OpenSSH　#用戶名稱枚舉漏洞

OpenSSH連續被踢爆兩個用戶名稱枚舉漏洞

開源的加密通訊專案OpenSSH在最近接連被踢爆兩個用戶名稱枚舉（Username Enumeration）漏洞，它們分別是CVE-2018-15473與CVE-2018-15919，雖然OpenSSH團隊已經修補了前一個漏洞，但他們認為這並不是什麼大不了的漏洞。

SSH為市場上最受歡迎的遠端存取協定，可用來執行遠端登入及建立安全通道，而OpenSSH即為最普及的SSH應用軟體。用戶名稱枚舉漏洞將允許駭客輸入各種用戶名稱，從系統的回應來判斷用戶名稱的正確與否，接著再以暴力破解法找出相對應的密碼，以取得用戶憑證。

其中，CVE-2018-15473漏洞自1999年發表的OpenSSH版本就存在了，當駭客送出身分驗證請求時，若所使用的用戶名稱並不存在，OpenSSH伺服器即會回覆「驗證失敗」，反之，當確實有該用戶名稱時，OpenSSH伺服器就會直接關閉連線，這樣的差異將有利於駭客判斷於該伺服器上所註冊的有效用戶名稱。

由於OpenSSH廣泛被應用在許多雲端代管伺服器上，也讓資安社群擔心該漏洞將影響數十億的IoT裝置。更多內容

#Android　#Wi-Fi廣播

Android Wi-Fi廣播漏洞可能導致用戶被追蹤

安全研究人員發現Android OS的Wi-Fi廣播功能存在漏洞，讓手機上的App可以暗中取得用戶Wi-Fi網路名稱、IP位址及MAC位址等隱私資訊，進而遭到定位或追蹤、甚至網路攻擊。

編號CVE-2018-9489的漏洞是位於Android OS中稱為intents的內部系統廣播功能，它能允許OS本身或是上面的App傳送內部系統訊息讓所有App或OS某些功能讀取。

Nightwatch Cybersecurity研究人員發現Android OS可經由二個intents，包括WifiManager的NETWORK_STATE_CHANGED_ACTION and WifiP2pManager的WIFI_P2P_THIS_DEVICE_CHANGED_ACTION傳送Wi-Fi連線及網路介面資訊，包括手機的MAC位址、BSSID（Basic Service Set ID）和Wi-Fi的AP網路名稱，以及其他網路資訊如本地IP位址範圍、閘道IP、DNS伺服器位址等。

雖然在Android 6以上版本已不再允許透過API讀取到MAC位址，而其他資訊普通情況下也需要經過核准，但是App只要能聽取這些廣播資訊，就能繞過任何權限檢查機制或現有緩解方式而蒐集到用戶個資，因為他們在安裝App時可能已經允許了App權限。更多內容

 更多資安動態 

改善隱私選項的CCleaner 5.46出爐了

Telegram更新隱私政策，必要時將交出用戶資料給政府

資料來源：iThome整理，2018年9月