圖片來源: 

行政院

0402-0408 一定要看的資安新聞

 

#視訊會議  #漏洞揭露

電腦版Zoom應用程式傳出允許駭客擴張權限的漏洞

因在家上班而使用量大幅成長的視訊會議平臺Zoom,其Windows與macOS版本的應用程式,相繼被研究人員發現重大漏洞。網路安全公司VMRay惡意程式研究人員Felix Seele指出,macOS版的應用程式會在未經使用者同意就在背景擅自執行安裝,這是駭客植入惡意軟體常見的手法。

另一個被資安研究者Objective-See發現的程式漏洞,則是Zoom應用程式向使用者要求權限時,能允許駭客程式碼注入,進而控制Mac電腦的視訊鏡頭和麥克風。至於研究員Mitch在推特上揭露Windows版用戶端程式漏洞,則是與UNC注入有關,駭客能藉此得知Windows的密碼。上述3個漏洞Zoom已經完成修補,並推出4.6.9版軟體。詳全文

圖片來源:Felix Seele

 

#視訊會議  #Zoom轟炸

亂入Zoom會議事件頻傳,美國密西根州檢察官呼籲民眾切勿以身試法

視訊會議系統的使用量爆增,趁機攻擊與干擾會議進行的亂象也日益嚴重。先前FBI警告,美國已發生多起駭客隨意闖入Zoom會議的事件,該國密西根州檢察官指出,在武漢肺炎流行期間,鎖定視訊會議發動攻擊或是任意闖入的行為,將觸犯各州與聯邦法令,面臨罰款與判刑。

這種影響線上會議進行的行為,當地稱作「Zoom轟炸(Zoom-bombing)」,駭客的舉動,會是闖入正在進行的視訊會議或線上課程,然後發布色情照片、仇恨照片,或者是威脅言論。

對於一般使用者,當地檢察官則是呼籲要採取FBI推出的手則來防範,例如不要公開舉辦會議或是課程,並且落實由主持人管理螢幕分享功能等措施。詳全文

 

#在家工作  #視訊會議

資安疑慮連環爆!Zoom執行長公開道歉,並承諾採取補救措施

為了防範武漢肺炎疫情蔓延而興起的「在家工作」風潮, 導致Zoom視訊會議平臺使用量爆增,然而該平臺卻接連爆發隱私與安全問題。對此,Zoom的創辦人暨執行長袁征親上火線,承諾將在未來90天凍結新功能的開發,把所有工程資源轉移到解決平臺的安全及隱私問題。

再者,該公司打算會同外部專案及使用者代表,共同審核Zoom的資訊安全,並且準備推出透明度報告,以及強化抓漏獎勵專案等措施,來改善Zoom的安全性。詳全文

 

#產業動態  #視訊會議

資安疑慮未釐清,中華電信宣布停售Zoom

視訊會議軟體Zoom的資安疑慮引發高度討論,不僅用戶端軟體存在嚴重的漏洞,採用的加密措施等級未達宣稱層級,種種的資安疑慮下,國內開始有業者付諸行動,原本與Zoom合作銷售企業行動視訊會議方案的中華電信,宣布停售該產品。

該公司表示,近期Zoom資安漏洞疑慮不斷被報導,他們在3月30日請代理商摩百數位提出說明,但在疑慮未釐清前,該公司在4月6日正式對外宣布停售這項服務方案。詳全文

 

#公部門資安

行政院下令公務機關不應用Zoom,教育部也將發函各校禁用

近期Zoom屢屢爆出資安疑慮,繼中華電信宣布停止原本的Zoom服務方案銷售後,行政院資通安全處4月7日正式對外說明,指出各機關若因業務需求召開視訊會議,不應使用具有資通安全疑慮的產品,例如Zoom。

在行政院發函各機關單位後,教育部也在同日發表後續處置說明,將通知各級學校全面禁用Zoom,同時把教育雲「線上教學便利包」中的Zoom相關使用說明全面移除。詳全文

 

#漏洞揭露  #視訊會議

Safari漏洞能讓惡意網站冒充視訊會議平臺,蘋果破例加發獎金給研究人員

許多人在家工作而需要使用視訊會議系統,但網路攝影機應用上的漏洞也備受關注,例如,有些惡意網站藉著瀏覽器漏洞,來存取裝置上的視訊鏡頭。AWS前員工Ryan Pickren於去年12月向蘋果通報了7個漏洞,影響iPhone與Mac電腦上的Safari瀏覽器,蘋果陸續於1月及3月修補上述漏洞。

其具體的攻擊手法,是藉由設立假冒的Zoom或Skype網站,受害者如果不慎使用Safari瀏覽器存取,駭客便能遠端開啟受害裝置的視訊鏡頭和麥克風。值得一提的是,原本漏洞懸賞計畫的獎勵上限是5萬美元,但因為是重大發現,蘋果特別發給Ryan Pickren共7.5萬美元,以茲鼓勵。詳全文

圖片來源:Ryan Pickren

 

#視訊社交平臺

視訊聊天軟體Houseparty驚傳用戶個資遭駭,但官方表示是同行惡性競爭所致

在歐美擁有許多用戶的視訊聊天軟體Houseparty,在3月底,有數百名用戶在推特上指稱,他們的手機安裝這款聊天軟體之後,多個網路平臺的帳號就隨之遭駭,駭客取得包含了Netflix、eBay、Instagram、Snapchat,以及Spotify等帳號控制權,呼籲用戶要趕快刪除Houseparty帳號。

對此,開發者Life on Air強調他們沒有遭駭,這些推文是同行惡意重傷,並且打算對第一個提供線索的民眾,祭出100萬美元獎金。詳全文

圖片來源:Houseparty

 

#資料外洩

飯店集團龍頭萬豪國際顧客管理系統遭駭,波及逾500萬人

繼2018年發生資料外洩事件後,全球最大飯店集團萬豪國際(Marriot International)再傳系統被駭客存取,約520萬名顧客個資可能外洩。

事件曝光的原因,是2月底該公司發現顧客管理系統出現異常,被人使用2名員工的帳密登入。經過調查,該公司相信事情首度發生於1月中。萬豪聲稱在發現非法存取行為當下,已經關閉上述員工帳戶,也報警並通知客戶。詳全文

 

#BGP劫持  #CDN

全球200大CDN驚傳遭BGP劫持

內容傳遞網路(CDN)流量若是被誤導,將使得駭客能夠攔截,而能竊取重要資訊。例如,BGP流量監控業者BGPmon.net於美西時間4月1日晚上,偵測到BGP劫持事件,歷時約5分鐘,原應屬於臉書的CDN,其路由器網路前綴本為AS32934,竟異常地改為AS12389的自治系統(AS)宣告,而這個自治系統屬於俄羅斯電信公司。受影響的CDN前綴,預估超過8千個。

根據開源BGP資料分析框架BGPStream偵測,受影響的CDN,包括臉書、Google、Amazon、GoDaddy、Cloudflare、日本Line、NTT、香港ASline,以及其他小型CDN。詳全文

 

 

更多資安動態

REvil勒索軟體大舉攻擊醫院VPN漏洞
為遏止詐騙電話,FCC規定美國電信業者須採用特定通訊協定
20萬WordPress網站採用的SEO外掛驚傳權限擴張漏洞
Lexus汽車驚傳車輛診斷功能漏洞,他人能遠端控制影音導航系統
在家辦公也要防範網路攻擊,Cloudflare推出可攔阻惡意軟體的免費DNS服務

熱門新聞

Advertisement