近期,Techcruch調查蒐集了多家知名企業的iOS App,結果發現包括加拿大航空等業者的行動應用程式,都沒有在服務條款中提及會紀錄使用者App的螢幕畫面,而這樣的行為,也違反了蘋果對App開發商的隱私權公告規定。(圖片來源:擷取自App Store上的加拿大航空App畫面)

0131-0213一定要看的資安新聞

 

#隱私安全 #App側錄畫面

未經用戶同意,知名訂房網站、航空公司、零售業者側錄手機螢幕畫面

根據TechCrunch揭露,多家知名業者包括A&F、Expedia、Hotels.com及加拿大航空的App,會在未告知使用者的情況下,偷偷錄下iPhone用戶在螢幕上的所有點擊、滑手機與按鍵動作。此外,上述一些業者的App,採用了用戶體驗分析平臺Glassbox的服務,在其App中嵌入連線重播(session replay)的技術,可錄下用戶使用App的操作,然後回傳給App開發商或Glassbox的雲端平臺作為用戶行為分析。蘋果聞訊後,上述廠商需移除記錄用戶使用畫面的程式碼,否則就該明白揭露此事。詳全文

 

#網站安全 #WordPress外掛程式漏洞

WordPress外掛漏洞讓駭客得以接管網站

安全研究人員警告,WordPress的外掛程式Simple Social Button出現漏洞,建議用戶應儘速更新。該外掛程式是一個方便在WordPress網站上添加社交分享按鈕的應用,也提供網站留言與社群帳號登入的功能,但WebARX研究人員Luka Šikić 發現,該應用流程設計不當,驗證不足,而存在權限提升漏洞,使得非管理員用戶得以在WordPress上註冊新帳號提升權限,執行plugnin功能以外的行為,攻擊者甚至可以接管WordPress網站。詳全文

 

#行動安全 #Android漏洞

Android藏重大漏洞,用戶只要點擊PNG圖片就可能遭受遠端攻擊

最近Google釋出的Android安全更新,修補了3個涉及PNG檔案的重大漏洞,這些弱點允許駭客在PNG中植入惡意程式,用戶只要點擊PNG圖片就能觸發漏洞,而惹來遠端程式攻擊。

儘管Google宣稱尚未發現駭客的攻擊行動,而且已將修補版本釋出至Android開源專案,但其他品牌的手機或平板要取得修補,則仍得視裝置製造商或電信業者的更新時程而定,這也意謂著仍有眾多的Android裝置陷於此一重大安全風險中。詳全文


圖片來源/Google

 

#隱私安全 #FaceTime

FaceTime出現漏洞,對方還沒接聽,你就能聽到他說話

1月底一則蘋果FaceTime的漏洞在網路上瘋傳,在對方未接聽FaceTime時,就出現對方的聲音及影像,擔心隱私不保的使用者,只能透過設定關閉FaceTime功能,等待蘋果釋出修補程式。在2月7日,蘋果發布釋出的iOS 12.1.4版本中,修補了該漏洞,根據他們的說明,此一編號為CVE-2019-6223的漏洞,肇因於處理FaceTime群組通話時的邏輯有問題,已藉由改善狀態管理解決。

此外,這次更新版本,還修補了另一個CVE-2019-7288的漏洞,是牽涉到FaceTime中的Live Photos功能,蘋果並未說明該漏洞遭到開採的後果,只說是藉由改善FaceTime伺服器的驗證能力來修補漏洞。詳全文 詳全文

 

#伺服器安全 #ThinkPHP漏洞 #後門程式

後門程式SpeakUp瞄準Linux而來,6種OS版本遭殃、macOS也難倖免

圖片來源/Checkpoint

資安業者Check Point揭露新的後門程式SpeakUp,這主要是利用了ThinkPHP框架上的安全漏洞CVE-2018-20062,可在6種Liunx版本甚至macOS系統上執行,並能藉由另外7個漏洞來感染區域網路內的其他裝置。不僅是亞洲的Linux伺服器受駭,SpeakUp內建的惡意Python腳本程式的攻擊範圍也涵蓋到南美洲。Check Point指出,在2月4日以前,沒有防毒軟體能夠偵測到SpeakUp,駭客主要以該後門程式部署挖礦程式,但也可能轉為散布其他更嚴重的惡意程式。詳全文

 

#系統安全 #macOS漏洞

缺乏抓漏獎勵,研究人員拒絕與蘋果分享漏洞資訊

有一名年僅18歲的德國安全研究人員Linus Henze,發現了macOS上新的Keychain漏洞,並據此打造了可擷取Keychain存放密碼的攻擊程式,同時將驗證過程的影片分享於YouTube。但是,鑑於蘋果僅提供了針對iOS的漏洞抓漏獎勵,並未擴及macOS,Henze決定不與蘋果分享漏洞細節,並希望該公司有一天會想通。他並表示這不是為了金錢,而是認為漏洞獎勵專案才能同時造福蘋果與研究人員,進而嘉惠蘋果產品的安全性。詳全文

 

#帳密安全 #資料外洩

5個Collection #系列資料庫陸續曝光,總計彙整22億組外洩的電子郵件與密碼

德國波茨坦大學的資訊科技中心Hasso Plattner Institute指出,繼Troy Hunt揭露了存放逾11億組電子郵件+密碼的Collection #1後,在網路上,陸續發現了Collection #2、Collection #3到Collection #5的資料集,估計全部的個資檔案大小高達600GB,總共存放了22億筆的電子郵件帳號及相關的密碼。
這些檔案都是從過去曾經外洩的資料集結而成,並非新的外洩資料,但研究人員警告,過往這些打包在駭客論壇上銷售的檔案,現在已能在免費的雲端儲存平臺下載。詳全文

 

#漏洞檢測工具

Google將自動除錯工具ClusterFuzz的原始碼開源

Google為瀏覽器Chrome所打造的ClusterFuzz,宣稱可在漏洞出現的幾個小時內就找到它們,而且,在一天之內就能提出並驗證修補程式。迄今,ClusterFuzz曾辨識出Chrome的逾1.6萬個臭蟲,也替整合了OSS-Fuzz的各種開源碼專案找到超過1.1萬個臭蟲。最近,Google將ClusterFuzz的原始碼開源,且不限是否為開源專案使用。

基本上,ClusterFuzz的開發歷史已超過8年,現在已能無縫整合到開發人員的工作流程中,也讓發現或修補錯誤變得非常簡單。它具備了全程自動化能力,從發現漏洞、將漏洞歸類、產生漏洞報告到自動結案,一應俱全。詳全文

 

#連網設備不設防

醫院超市冷凍控制系統當心被駭

圖片來源/SafetyDetective

蘇格蘭有一家提供遠端監控解決方案的公司Resource Data Management,被以色列安全研究實驗室SafetyDetective發現,其生產的溫度控制系統存在安全漏洞,使用未加密的HTTP協定,並使用9000、8080、8100以及80等連接埠,而且還預設用戶名稱以及1234作為密碼,更糟的是,使用這些系統的管理員,顯然很少更換登入密碼。而且,該公司製造的控制系統,在全世界醫院和連鎖超市受到廣泛地採用,透過Shodan掃描結果顯示,Resource Data Management在英國、澳大利亞、以色列、德國、荷蘭、馬來西亞、冰島等多國都有客戶,而且每個地點都同時擁有數十臺的機器,因此,等於有成千上萬臺的機器,暴露在被攻擊的危險中。然而,該公司收到通報後的最初回應卻是不感興趣。詳全文

 

#花旗銀行

花旗銀行出現系統異常,部分存戶存款餘額被清空

據臺灣的新聞媒體報導,花旗銀行在1月30日傳出系統異常,有部分存戶在花旗網站執行查詢交易時,發現帳戶存款餘額為零。後續花旗銀行做出回應,這起事件的起因,是29日至30日間凌晨進行批次作業時,有少部分檔案未傳輸成功所導致,造成部分客戶的台幣帳戶交易記錄無法正確呈現。該行在30日早上已偵測到異常且進行調查,並於下午2點半前完成所有檔案傳輸,因此所有實際交易並沒有受到任何影響。詳全文


圖片來源/擷取自花旗銀行官方網站

更多資安動態
惡意軟體鎖定Mac用戶,加密貨幣錢包、Chrome密碼、iPhone訊息全都偷
數十款Android美顏照相程式會遞送惡意廣告或竊取自拍照
卡巴斯基:2018年DDoS攻擊頻率降低,但平均攻擊時間增加2倍
調查:3成汽車業者尚未建立網路安全團隊
Google發表鎖定低階裝置的加密模式Adiantum
FIDO2標準助攻,無密碼世代來臨:2019網路身分識別大躍進
強化DNS安全,三大公共DNS服務商在2月1日測試EDNS協定
Google去年發出340萬美元抓漏獎金
Chrome擴充功能可主動通知用戶帳密是否遭外洩
【資安生態圈】雲端備份業者Carbonite買下AI安全業者Webroot
 


Advertisement

更多 iThome相關內容