圖片來源: 

高木浩光推特

0704-0710 一定要看的資安新聞

 

#第三方支付  #資料外洩

使用者密碼重設流程驗證極為隨便!日本7-Eleven行動支付甫推出就驚傳大量盜刷事件

因身分驗證機制不夠嚴謹,日本7-Eleven推出的行動支付方案7pay於7月1日上線之後,約900名使用者的帳號遭到盜用,損失5,500萬日元,迫使該公司在4天後關閉服務。該App身分驗證設計的問題成為各界關心的焦點。

一名研究員高木浩光(Hiromitsu Takagi)在推特上表示,使用者在iOS版7pay App註冊時,只需填寫電子郵件信箱,而無須提供其他個人資料,而且,假如註冊時沒有輸入生日,系統還會自動預設為2019年1月1日。

同時,在取回密碼的網頁上,使用者只需提供7iD會員帳號與生日,就能將重設密碼連結傳送到任意的電子郵件信箱,而沒有其他控管機制。詳全文

圖片來源:截取自高木浩光推特

 

#應用程式市集亂象  #廣告挾持攻擊

冒牌三星更新應用程式的廣告軟體出現在Google Play市集

安全廠商CSIS Group研究人員Aleksejs Kuprins指出, Google Play市集有一款假冒為三星韌體更新App的廣告軟體,安裝後,廣告會占據整個手機螢幕,用戶也將因此損失金錢。在接獲通知後,Google已經將這個App下架。

這個廣告App宣稱,能提供使用者下載三星手機韌體,但傳輸速度僅有56Kbps,容易中斷,而一旦出現下載終止的情況,該應用程式便趁機推薦受害者刷卡訂閱會員下載服務,一年為34.99美元。

研究人員認為,這次攻擊者想要誤導受害者,只要到市集裡就能下載三星手機的新版韌體,同時,也突顯Android手機業者普遍在自家產品裡內建了過多App,由於其中多款程式消費者可能用不到,導致攻擊者有機可趁。詳全文

圖片來源:截取自CSIS Group部落格

 

#加密貨幣攻擊  #網站詐騙  #臉書

搭臉書加密貨幣熱潮,有心人士大量註冊相關網域名稱,恐出現新詐騙攻擊

在臉書公開Libra加密貨幣與錢包Calibra服務之後,歐美各國當局高度關注,資安業者Digital Shadows也發現一些異常活動,根據他們的觀察,臉書的加密貨幣還沒有正式上線,但已經掀起一股淘金熱,使得與Libra及Calibra有關的網域名稱大量遭到註冊,而其中有許多網域可能會被用來架設詐騙網站。

該公司表示,受到註冊的網域名稱幾可亂真,使用者難以分辨,而且這些網站還模仿臉書加密貨幣網站的首頁,甚至部分站臺已經開始銷售Libra貨幣。研究人員認為,仿冒網域更為猖獗的原因,主要是《通用資料保護規則(GDPR)》的施行,限縮網域名稱擁有者的WHOIS協定資訊揭露範圍,使得消費者識別更加不易。詳全文

 

#macOS惡意軟體  #Flash Player

macOS惡意程式偽裝成Flash播放器軟體

假冒為Adobe Flash Player安裝程式的攻擊手法,不再只是Windows的專利了。資安業者Intego最近發現的OSX/CrescentCore威脅,就是針對macOS的冒牌Flash Player惡意程式,並透過多個盜版網站散布,這些下載網站同時還出現在Google搜尋結果裡。

研究人員特別提醒,Adobe即將在2020年棄守Flash Player,絕大多數的網站也停止採用相關技術,因此,任何使用者都不該再安裝有關軟體。只是許多用戶都還未意識到這個事實,才會遭到攻擊者利用。詳全文

 

#漏洞攻擊  #物聯網裝置攻擊

D-Link產品安全訴訟案與FTC達成和解,承諾全面提升網路設備產品安全

美國聯邦交易委員會(FTC)與網路設備商D-Link(友訊科技)宣布,針對產品安全訴訟案,已經達成和解,D-Link表示會導入全面性的軟體安全提升計畫,來確保產品安全。

FTC在2017年提出控告,指控D-Link未能落實基本的軟體開發安全,例如,直接在韌體中寫入憑證,使用非常容易猜到的帳號及密碼,或者是以明文存放行動程式的登入憑證等,使得駭客輕易取得用戶的機密資訊。為此,合解的條件裡,要求D-Link導入全面性的軟體安全計畫,且在產品發表前必須進行漏洞測試,功能須內建韌體自動更新機制等,同時,上述計畫要由外部單位定期查核。詳全文

 

#DNS over HTTPS

首個針對DNS over HTTPS的惡意程式出現

新興的DNS over HTTPS(DoH)協定,具有強化用戶的隱私保護的承諾,而頗受眾人期待,不過,360 Netlab資安研究人員卻發現,已經有駭客開始濫用DoH傳輸惡意程式。

而這個首度利用DoH技術的惡意程式消息傳開,讓部分安全專家擔憂,認為未來勢必有更多惡意程式作者跟進,造成安全控管的威脅。詳全文

 

#漏洞攻擊  #阻斷服務攻擊

兩名開發人員的OpenPGP憑證遭垃圾簽章淹沒

GnuPG的開發人員Robert Hansen與Daniel Kahn Gillmor用於OpenPGP的公開憑證,傳出遭到上萬個垃圾簽章的攻擊,任何匯入這兩個憑證的作業,都會失效,而且,受害的憑證已被上傳到SKS金鑰伺服器網路。

Robert Hansen認為,這次攻擊者利用了OpenPGP協定的缺陷。原本透過他人簽章能增加憑證的可信任程度,但為了避免遭到集權政府控制,金鑰伺服器一律禁止刪除任何註記,結果導致外部簽章有增無減。而現在,已有駭客運用這個漏洞,導致這2名開發人員的憑證上的簽章,分別爆增到5.5萬個與近15萬個,結果使得GnuPG要處理如此龐大的資料量時,就停止了。詳全文

 

#隱私疑慮  #數位身分證  #網路治理

數位身分證上線在即,公民團體與學者認為政府應立專屬法規,並重視潛在資安風險

臺灣網路治理論壇在7月5日正式登場,集合政府、技術社群、學術社群、民間企業,以及公民社群,共同探討網路公共政策,在這場活動上,內政部代理科長陳嘉淯也受邀參加,揭露數位身分證的最新進展,並表示未來將會整合自然人憑證,將實體身分延伸到網路。依據規畫時程,數位身分證即將自2020年10月起開始換發,不過,外界認為,新版身分證缺乏所需的專屬法規,且安全風險控管措施上仍存有疑慮。

儘管內政部強調,數位身分證採用國際標準身分識別最高等級要求,但與會的公民團體與學者相當憂心。他們認為,新舊版身分證功能上有很大的落差,僅以行政規則作為換發晶片卡的法源依據,不足以達成保障民眾權益的承諾,政府應考慮修法或是立法;再者,數位身分證背後仍存在可能被忽視的種種隱私及資安風險,使得最終民眾只能相信內政部的口頭保證。詳全文

 

更多資安動態

Linux作業系統Debian 10大改版,正式支援UEFI安全啟動機制
傳博通有意併購防毒大廠賽門鐵克
針對遊戲平臺發動DDoS攻擊的駭客,被判刑27個月
遭英國ISP協會點名,Mozilla表態英國版Firefox不會採用DNS over HTTPS


Advertisement

更多 iThome相關內容