0305-0311 一定要看的資安新聞

 

#漏洞攻擊  #Android

聯發科針對晶片資安漏洞發布修補程式,但Android裝置製造商遲遲未修補

Android裝置出現資安漏洞,只能安裝製造商提供的修補軟體,一旦業者沒有作為,這些裝置便持續曝露於相關風險之中。在Google發布的3月Android安全公告裡,有一個漏洞正是針對聯發科晶片的CVE-2020-0069,波及近20款晶片,影響數百萬臺裝置。雖然聯發科已於去年5月修補,但經過行動軟體開發社群XDA Developers調查後,他們發現,僅有Amazon為旗下裝置提供更新軟體,仍有數十家裝置製造商裝聾作啞。由於此漏洞已被濫用,使得聯發科決定通報Google,透過安全公告督促業者修補。詳全文

圖片來源:Google

 

#漏洞攻擊  #硬體漏洞

Intel晶片組漏洞無法修補,研究人員建議更換處理器

存在於硬體設計上的漏洞,很有可能因為出現在寫死的韌體而無法修正。例如,Intel曾在去年5月修補CVE-2019-0090,但資安業者Positive Technologies指出,這個漏洞存在於晶片的唯讀記憶體(ROM),而且近5年推出的Intel晶片組幾乎都有此漏洞。為此,該資安公司建議使用者,應該關閉資料儲存裝置CSME加密,或者考慮換個不受影響的新款處理器。詳全文

圖片來源:Positive Technologies

 

#漏洞攻擊  #車用系統

豐田、現代、Kia汽車防盜系統驚傳漏洞

因製造商運用不當,而使得元件所提供的功能失效,也可能造成資安漏洞。比利時魯汶大學與英國伯明翰大學的研究人員公布研究報告,指稱許多汽車的防盜系統含有安全漏洞,其中一個存在於製造商實作德儀(TI)數位簽章轉發器DST80的方式,允許駭客複製加密金鑰來破解防盜系統,然後把車開走。這個漏洞殃及豐田、現代,以及Kia等品牌旗下汽車。

研究人員發現,DST80本身的加密金鑰固然容易破解,然而真正的問題,其實是汽車製造商實作的方式,造成了防護降低的情況。像是現代與Kia將德儀預設的密碼長度,從80位元降至24位元,使得現在的電腦只需幾秒鐘就能破解密碼。詳全文

 

#憑證誤發

因軟體臭蟲導致誤發數位憑證!Let’s Encrypt撤銷300萬個憑證

免費憑證的普及,促使更多網站採用加密的通訊協定,不過要是核發流程出現異常,便有可能發出有問題的憑證。Let's Encrypt近半年因憑證機構軟體的臭蟲,誤發許多憑證,他們於3月4日宣布,要在5日上午11點前撤銷,總計會影響300萬個憑證。該單位已經寄送電子郵件通知受影響用戶,使用者也可以藉由線上檢查工具,來確認自己的網域是否受到波及。詳全文

圖片來源:Let’s Encrypt

 

#資料外洩  #資料庫配置不當

英國電信業者Virgin Media資料庫配置錯誤,90萬固網客戶資料曝光近1年

因為資料庫的配置不當,導致未經授權的外人能夠存取,這樣的情況不斷上演。英國電信業者Virgin Media公告,他們的行銷資料庫因配置錯誤,使得內含90萬固網用戶的個資,遭到不當存取,而這個錯誤設定自去年4月就存在。

該公司指出,資料庫內含用戶姓名、居家地址、電話號碼等資料,但沒有密碼與付款資料。目前資料外洩事件調查的結果,發現這些外洩資料已出現不當存取的跡象,但不確定規模與是否遭到濫用。詳全文

 

#資料外洩  #漏洞攻擊

因內部系統臭蟲,美國大型連鎖藥局Walgreens驚傳消費者個資外洩

由於內部系統異常而洩露用戶個資的情況,可說是接連出現。美國第二大連鎖藥局Walgreens通知用戶,因為系統變更的處理不當,使得執行行動版應用程式的用戶,能看到他人的個資,包括姓名、地址,以及處方箋等內容。

該公司表示,此次事件並未涉及金融資訊與社會安全號碼,但還是通知受影響的用戶,要留意是否出現盜刷的情況。詳全文

 

#資安產業動態

隱私搜尋引擎業者DuckDuckGo公開跨站追蹤器資料集,供程式開發者運用

網站追蹤器嚴重影響上網使用者的隱私。為此,DuckDuckGo花費數年建立Tracker Radar資料集,收集會追蹤用戶上網行為的第三方網域資訊,以及網域所屬的公司。這個資料集已運用於該公司旗下的電腦版瀏覽器擴充套件,以及行動裝置的隱私瀏覽器,來協助用戶保護上網不受追蹤。如今他們進一步公開資料集,讓更多應用程式也能運用。

這個資料集公開後,瀏覽器業者Vivaldi宣布,要在自家的瀏覽器整合Tracker Radar。詳全文

 

#法規遵循  #加密貨幣

防治洗錢與詐騙亂象,南韓通過全球第一部加密貨幣法案

加密貨幣的興起,隨之衍生的駭客攻擊與交易詐騙等亂象,可說是層出不窮。根據南韓媒體報導,該國國會於3月5日無異議通過《特定財務資訊的報告與使用法案(Act on Reporting and Use of Specific Financial Information Bill)》,外界解讀此舉是政府首度賦予加密貨幣合法地位。

這項法案要求南韓境內的所有虛擬資產營運商,符合相關財務報告要求,並且需取得資安管理系統(Information Security Management System,ISMS)認證。

這部法案預計在韓國總統文在寅簽署生效後,明年3月正式上路。一般認為,這項法案將加密貨幣交易商、ICO等角色納入管理,有助於防治加密貨幣洗錢。詳全文

 

#假新聞  #武漢肺炎

疫情假訊息氾濫,NCC找大型社群平臺業者溝通

武漢肺炎疫情延燒,許多假消息藉由各式社群平臺流竄,導致人心惶惶。3月5日,國家通訊傳播委員會(NCC)代理主任委員陳耀祥表示,他們將於12日召集臉書、LINE、Google、雅虎、學者專家,以及第三方查核機構等,討論因應措施。

對於NCC是否會強制業者下架假消息與假圖片?陳耀祥說,會以業者自律為主,NCC也會提供業者建議,但取決於技術上是否能夠達成,待座談後再決定。詳全文

 

 

更多資安動態

國泰航空資料外洩案遭英政府罰50萬英鎊
美國中情局自2008年開始攻擊中國航太與科學研究組織
小心!駭客以假憑證過期通知散布惡意程式
超過一半惡意Android程式會隱藏在背景運作
2019年度網站攻擊技法公布,臺灣資安專家研究連三年獲肯定


Advertisement

更多 iThome相關內容