圖片來源: 

ESET

1024-1030 一定要看的資安新聞

 

#資料外洩  #隱私疑慮

Adobe資料庫未設防為期一周,逾750萬Creative Cloud用戶個資被看光!

Adobe洩露用戶隱私的事件再添一樁!最近Comparitech記者Paul Bischoff與資安研究員Bob Diachenko合作,發現Adobe未設定密碼保護的ElasticSearch資料庫。他們估計,資料庫門戶大開約一周,曝露近750萬名Creative Cloud用戶個資,但無法確定是否有人曾未經授權存取這個資料。

曝露於網路上的內容,包括電子郵件、帳號建立時間、會員號碼、國籍、採用的Adobe產品項目、上次登錄時間、付款狀態,以及是否為Adobe員工等。值得慶幸的是,這批資料並未包括信用卡號或密碼等敏感資料。不過,Paul Bischoff表示,有心人士仍然可以透過上述資料,冒充Adobe發送精準網釣郵件,或是進行詐騙。

Bob Diachenko在10月19日發現後隨即通報Adobe,該公司也在同日採取防護措施。詳全文

 

#身分驗證機制漏洞

三星修復因搭配螢幕保護貼造成的Galaxy S10指紋辨識異常,首波提供韓國用戶修補韌體

先前三星旗艦手機Galaxy S10與Note10系列機種,驚傳在使用了坊間的螢幕保護貼之後,任何人都能透過螢幕上的指紋識別器解鎖手機,該廠商開始於24日發送含有修補程式的韌體,唯第一波範圍僅涵蓋韓國使用者。

這個問題被發現的經過,是一名英國消費者從eBay購買了非原廠推薦的螢幕保護貼,並貼上她的Galaxy S10之後,無意間發現尚未登錄指紋的手指竟能解鎖,再測試丈夫和妹妹的指紋,也同樣能通過驗證。

三星表示,這是因為有些非原廠螢幕保護貼上的紋路,在用戶登錄指紋時,一併被手機記錄所致。使用者可透過韌體更新修復這個問題,但也必須刪除先前登記的指紋再重新註冊。詳全文

 

#防毒軟體相容性

賽門鐵克企業版防毒軟體更新再出包!新版Chrome無法上網

不到兩周前,賽門鐵克旗下的企業級防毒軟體Symantec Endpoint Protection(SEP),才因為防入侵偵測(IPS)的特徵碼出現問題,導致許多用戶電腦當機,如今傳出無法讓Chrome無法正常載入網頁。

許多使用者將Chrome升級到78版之後,開啟瀏覽器便只會出現顯示異常的錯誤訊息,賽門鐵克指出,問題發生的原因,是該版本Chrome導入Windows內建的程式碼完整性(Code Integrity)機制,與SEP的應用程式控管功能衝突。他們預計在11月12日提供相關特徵碼的更新,在此之前,用戶可停用Chrome的前述新功能,來排除異常。詳全文

 

#隱私疑慮  #系統漏洞

日本連鎖飯店的陪伴機器人可被用來偷窺房客

日本H. I. S.集團旗下的連鎖飯店Henn na Hotel,置於床邊的蛋型機器人Tapia噱頭十足,卻被資安人員發現潛藏漏洞,使得有心人士能透過機器人的攝影機,遠端偷窺入住房客。

Tapia的功能類似語音助理Google Home,具有對話能力、報氣象、行程,並支援臉部辨識、視訊會議,以及連結物聯網裝置等功能。

揭露此事的Lance R. Vick先於9月通報該飯店相關漏洞,卻一直沒有得到回應,於是發動攻擊並昭告天下,直到10月中旬,H. I. S.集團才證實此事,並表示完成漏洞的修補作業。詳全文

圖片來源:MJI

 

#隱私疑慮

美國會議員聲稱抖音危害國家安全

美國兩名參議員Chuck Schumer與Tom Cotton去函美國國家情報局,要求評估抖音(TikTok)與其他源自中國的內容平臺,是否會對美國的國家安全帶來威脅。

抖音是由北京字節跳動公司(ByteDance)所開發的短片應用程式,讓使用者可建立15秒的對嘴音樂影片,再利用不同的特效打造個人風格,這款軟體在美國下載次數超過1.1億。

兩名參議員表示,抖音的服務條款指出,他們會蒐集使用者及裝置上的資料,儘管字節跳動宣稱並未在中國經營抖音,也把用戶的資料存放在美國,但字節跳動是中國公司,依然需要配合中國的法規。兩名參議員也指出,抖音審查中國所認定的政治敏感內容,包含了近期香港民主運動、天安門事件,以及西藏與維吾爾族的遭遇等。詳全文

 

#隱私疑慮  #應用程式市集亂象

蘋果App Store驚傳17款應用程式暗藏木馬

行動資安業者Wandera揭露,他們在App Store發現17款程式被植入「點擊木馬模組」(Clicker Trojan Module),可於背景執行廣告詐騙活動,還可連結駭客所掌控的C&C伺服器,傳送受害裝置的資訊。蘋果在收到通知之後,已將相關程式全數下架。

上述應用程式全來自印度公司AppAspect Technologies,它們在未經使用者的互動下,於背景持續開啟網頁或點擊連結,可能是為了創造廣告收益,或是用來消耗競爭對手的廣告預算。

根據另一家資安業者Dr. Web的分析,該臺C&C伺服器不但能指使受害裝置暗中載入網頁,還能遠端變更裝置的配置。例如,有名受害者因此便訂閱了昂貴的內容服務。詳全文

 

#應用程式市集亂象

行動裝置應用程式遇到Google網域會自動迴避,長達一年才被發現惡意行為

資安業者ESET揭露Google Play上有42款程式,涉及大型的廣告軟體活動,它們會持續透過程式遞送廣告,但只要察覺到受害裝置的IP位址可能隸屬於Google,就不會觸動廣告機制。此外,ESET也肉搜了相關程式的開發者,發現他是越南的大學生。

這些程式的廣告活動大約維持了一年,總下載量超過800萬次,它們都具備程式所宣稱的各種功能,不過也都植入了Ashas廣告程式,在啟用後會先與遠端的C&C伺服器通訊,並傳送裝置型號、作業系統版本、語言、程式安裝數量、剩餘儲存空間、電池狀態、是否已被破解,以及是否安裝臉書或Messenger等。詳全文

圖片來源:ESET(WeLiveSecurity)

 

#勒索軟體攻擊  #特定目標攻擊

南非最大城約翰尼斯堡再度遭勒索軟體入侵

繼今年7月遭到勒索軟體攻擊,癱瘓電廠運作之後,南非第一大城約翰尼斯堡(Johannesburg)於10月24日,再度傳出該市的資訊系統受到攻擊,迄今當地市政府官網尚未恢復正常。

當地政府在Twitter貼出公告,表示IT系統遭受破壞。根據當地媒體報導,駭客集團Shadow Kill Hackers承認是他們發動的攻擊,並要求該市支付4個比特幣(約3.2萬美元),以作為換取解密金鑰的贖金。詳全文

圖片來源:約翰尼斯堡市政府

 

更多資安動態

macOS Catalina應用程式公證機制異常,識別LibreOffice不安全
防跨站請求偽造攻擊,Google預告Chrome將導入新Cookie模型
FBI警告中小企業與政府組織要小心線上側錄攻擊

熱門新聞

Advertisement