圖片來源: 

Filippo Valsorda

0103-0109 一定要看的資安新聞

 

#勒索軟體  #解密金鑰公開

FilesLocker作者釋出勒索軟體解密金鑰

甫於去年10月問世的勒索軟體FilesLocker,作者在聖誕節版的FilesLocker中附上了解密金鑰,研究人員Michael Gillespie則以此建立了解密機制,並與資安新聞網站Bleeping Computer合作,協助受害者解開遭到FilesLocker加密的檔案。

過去也曾發生勒索軟體開發者主動釋出解密金鑰的情況,當中有些是終止開發,有些則是因為版本更新。但FilesLocker作者在公布解密金鑰時,文字檔內附上「結束是另一個開始」的句子,專家認為,這透露出作者可能會開發其他專案。詳全文

(圖片來源)Bleeping Computer

 

#個資外洩  #Android

知名氣象預報App驚傳暗中蒐集用戶資料

根據華爾街日報報導,知名的Weather Forecast - World Weather Accurate Radar氣象預報App,在未經用戶同意下,蒐集電子郵件、居住地點、及手機裝置辨識碼(IMEI)等詳盡資訊,並且傳到中國。

這款App由中國TCL通訊科技控股公司開發,號稱可提供用戶今、明兩天,以及未來2周至3周期間內的精準氣象預報。自2016年12月在Google Play上架以來,Weather Forecast下載次數超過千萬,在美國是前20名的App,同時也在30個國家中,名列前五大氣象App。

對於該氣象預報App暗中蒐集用戶資訊,TCL曾表示Weather Forecast已擁有多項安全防護機制,不過後來又向媒體改口,他們正在評估委由安全顧問,為該公司App安全性提供檢驗。詳全文

 

#間諜軟體  #Android 

MobSTSPY間諜軟體偽裝成合法App,196個國家受害

趨勢科技在1月3日發布消息,指出2018年上架Google Play的App裡面,有6款是由間諜軟體MobSTSPY偽裝而成,同時具備間諜及網釣能力,不只能蒐集裝置上的機密資料,還會以網路釣魚手法,竊取使用者的Google與臉書憑證,受害者遍及全球196個國家。

這6款Android程式分別是Flappy Bird、Flappy Birr Dog、FlashLight、HZPermis Pro Arabe、Win7imulator,以及Win7Launcher,雖然上架的時間不到一年,但其中的Win7imulator全球下載數量超過了10萬次之多。這些軟體已經全數下架。詳全文

 

#硬體裝置安全  #物聯網裝置漏洞

駭客挾持眾多連網裝置播放特定YouTube影片

代號為Hacker Giraffe與J3ws3r的兩名駭客,針對Chromecast、Google Home,以及智慧電視等連網裝置,發動攻擊,迄今已挾持逾6萬臺裝置,並用來播放全球最知名的YouTuber:PewDiePie的影片。

除了播放影片之外,駭客也在電視上顯示警告訊息,指出使用者的Chromecast及智慧電視已曝露於公開網路上,並且外洩了機密資料。這兩名駭客表示,他們想要呼籲大家重視這種物聯網裝置的漏洞威脅,並且表明相關緩解措施,包含關閉路由器上的UPnP,以及停用8008、8443、8009等連接埠。而上個月曾挾持5萬臺印表機,並印出請大家支持PewDiePie的內容,正是Hacker Giraffe的傑作。詳全文

 

#使用者驗證  #CAPTCHA

unCAPTCHA再度攻破升級版語音reCAPTCHA

美國馬里蘭大學研究團隊從去年打造unCAPTCHA,並宣稱能破解Google語音版reCAPTCHA,近日再釋出了unCAPTCHA 2.0新版,強化解析reCAPTCHA的準確度,從85.15%提高到90%。

語音版本reCAPTCHA專為視障人士設計,可在吵雜的背景環境中以不同的速度、音調或口音唸出數字,並要求使用者填入聽見的內容,在去年首度遭到研究人員破解之後,Google修正了reCAPTCHA,將語音挑戰的內容,從數字改為短句。然而,馬里蘭大學因應Google的改變,釋出了unCAPTCHA 2.0,同時進一步提升了準確率。詳全文

(圖片來源)馬里蘭大學

 

#硬體裝置安全  #USB Type-C

USB組織推出USB Type-C驗證方案

隨插即用的USB裝置雖然方便,卻也暗藏安全風險,可能成為竊密或植入惡意程式的媒介。最近,USB Implementers Forum(USB-IF)便公布了USB Type-C Authentication驗證方案,對於PC遭插入非法或惡意的USB Type-C裝置及充電器的風險,可望降低。

這項方案的目的,是想要提供USB Type-C充電器、裝置、USB線材,以及電源裝置的驗證標準,PC在準備插入USB裝置或充電器時,藉此判斷這些裝置是否經過認證、屬於合法的解密裝置。例如,在外旅行時,使用者若擔心公共USB充電器有安全疑慮,那麼手機可設定為僅允許經認證的USB充電器充電;再者,企業也可以在PC上,設定配置相關政策。

目前這項方案仍屬鼓勵性質,並非強制產品導入,但可望獲得製造相關裝置的業者支持。詳全文

 

#逆向工程  #RSA大會

美國國安局將首度公開逆向工程工具GHIDRA

美國國安局計畫於3月舉行的全球資安大會:RSA安全會議上,首度公開名為GHIDRA反向工程工具,並以免費的方式於RSA會場提供。雖然,外界早已透過維基解密去年7月公布的Vault 7文件中,得知GHIDRA的存在,並且揭露了中央情報局(CIA)電子監控與網路戰的情況,而GHIDRA正是由美國國安局提供給美國情報單位的工具。

GHIDRA可在Windows、macOS及Linux等平臺上運作,並支援各種處理器的指令集,不僅含有與高階商用產品相當的功能,同時具備美國國安局特別開發的能力。詳全文

(截取自RSA網站)

 

#國家級攻擊  #安全防護指南

美國反情報機構教企業如何防範國家級網路攻擊

美國國家反情報與安全中心(NCSC)在1月7日發表「了解風險,提高防禦」專案,釋出了各種影片、手冊、傳單,以及海報等,以協助境內企業抵抗來自境外的國家級網路攻擊。

NCSC主任William Evanina表示,美國企業向來是國家級駭客的目標,這些駭客經常入侵企業網路、竊取私有資料,還滲透企業的供應鏈,這類具備侵略性的持久攻擊,讓美國失去經濟優勢、工作機會,以及付出數千億美元的成本,使得NCSC決定提供企業各種防禦資訊。詳全文

 

#網站憑證  #HTTPS

Mkcert讓本地開發環境也能使用HTTPS憑證

網頁應用程式於本地端開發環境測試時,多數仍使用HTTP,可能測試不出在HTTPS才會出現的臭蟲,為此,Google Go團隊工程師的Filippo Valsorda開發了Mkcert,期望解決上述現象。

當開發者安裝Mkcert後,本機電腦會自動被設定為可信任,當瀏覽器載入由Mkcert執行個體產生的憑證時,就會在網址列上顯示為安全。詳全文

 

更多資安動態

消費者控告Google Photos的人臉辨識侵犯隱私,遭法官駁回
新版Android Messages應用程式開始部署垃圾訊息自動防護功能
Android版Skype漏洞允許未經授權的駭客存取裝置資料
Zerodium出價200萬美元徵求iOS遠端越獄程式
疑通報漏洞不回應,都柏林電車網站遭駭
針對法規遵循與資安,微軟新添兩項Microsoft 365訂閱服務
微軟Project Bali讓用戶刪除所有帳號資料
Google公布2019年資安趨勢,駭客瞄準原生雲端架構
Nextcloud創辦人預測:開源、結盟與自我託管技術將成2019年主流
趨勢提2019資安預測七大重點:資料外洩通報與網路釣魚將大增
廣告軟體冒充85款Android應用程式,900萬用戶恐陷蓋版廣告夢魘
弱密碼惹的禍!德國20歲學生入侵近千名公眾人物帳號並公布個資
Yubico發表首款支援蘋果Lightning介面的實體安全金鑰
G Suite通知中心更新,可主動通知企業內釣魚郵件、資料匯出等安全事件
微軟今年開春安全更新首發,修補49個安全漏洞,含7個重大漏洞
研究人員揭露利用作業系統頁面快取的旁路攻擊


Advertisement

更多 iThome相關內容