国内外简报industry briefing

国内外信息安全简报2018年第五周

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1.     【安全预警】关于OAuth 2.0存在第三方帐号快捷登录授权劫持漏洞

近期,互联网爆出OAuth2.0存在第三方帐号快捷登录授权劫持漏洞。综合利用上述漏洞,攻击者可通过登录受害者账号,获取存储在第三方移动应用上的敏感信息。由于OAuth广泛应用于微博等社交网络服务,漏洞一旦被黑客组织利用,可能导致用户隐私信息泄露。该漏洞危害程度为中危。(详情链接

2.     英特尔已为90%的CPU推出Spectre和Meltdown漏洞补丁

本周,英特尔宣布该公司已经为过去五年里发布的九成 CPU 发布了固件更新。补丁旨在缓解 Meltdown 和 Spectre 安全漏洞造成的影响,其使得攻击者查看计算机上的敏感信息,而过去 5~10 年里发布的大多数 CPU 都深受其害。除了英特尔,许多其它软硬件制造商也为自家系统发布了相关补丁。基于数据中心的跑分结果,英特尔声称补丁只会对整体性能造成 0~2% 的影响。(详情链接

3.     黑客购买信息后攻破移动支付账号

窃取大量公民信息,“撞库”攻破300余人移动支付账号密码,犯罪分子盗刷账户内300余万元。这是上海首例利用移动支付通道盗刷信用卡诈骗案。1月16日,记者从上海市公安局经侦总队获悉,近期上海公安机关在江西、湖南、四川、河南、江苏、浙江等六省分别实施收网行动,成功侦破这起诈骗案,一举抓获徐某、许某、段某等10余名犯罪嫌疑人,收缴作案用手机、电脑50余部,银行卡100余张,POS机70余台。(详情链接

4.     旅行青蛙:蛙妈蛙爸们看过来,你养的蛙儿子正在上当受骗

近期,旅行青蛙迅速风靡朋友圈,被养蛙儿子占领:旅行青蛙这款游戏迅速风靡朋友圈,这是一款由日本游戏厂商开发的模拟游戏,它抓住了我们的佛系心理的特性,游戏上十分容易上手。但是也有不法的中国游戏商,根据其特性随意修改在苹果商店上架盗版的名为“旅行青蛙.”的游戏,并且需要付费30元。在这里友情提示:正版免费的游戏名字为“旅かえる”,请抵制盗版游戏。(详情链接

5.     “捉迷藏”新型IoT僵尸网络携1.4万台“肉鸡”强势来袭

网络安全公司 Bitdefender 的安全研究人员发现新型IoT僵尸网络“捉迷藏”(HNS)。专家称,该僵尸网络于2018年1月10日初次现身,1月20日携大量“肉鸡”强势回归。截至1月25日,HNS 的“肉鸡”数量已从最初的12台扩充至1.4万台。(详情链接

6.     亚马逊Echo Spot配摄像头惹争议,或能被黑客入侵

Echo Spot是亚马逊公司打造的最新版家用智能设备,而且它和虚拟助手Alexa一样强大。但据前沿网报道,尽管Echo Spot配置的摄像头功能是进行视频通话,它也有可能被入侵而且被用于一些险恶的目的。上个月英国安全研究员Mark Barnes的入侵测试表明,2015和2016版本的Echo能够被黑客转变成实时的麦克风。诈骗者能够借助这种实时的窃听获取敏感的家庭信息。(详情链接

7.     橘皮秒破手机指纹锁工信部、质检总局介入调查

    经过技术人员的试验确认,通过一些处理后,没有录入指纹的情况下也能够解锁开机。除了橘子皮,桂圆、橘子皮甚至餐巾纸等物品代替指纹也同样能够验证通过。技术人员表示,指纹传感器接收到的信息包含指纹贴上的导电涂层,指纹比对时,部分信息相同就能通过验证。(详情链接

8.     为什么说区块链仍会遭到黑客攻击?

2018年伊始,区块链成为最热门的关键词,包括IBM和摩根大通在内的行业巨头正在探索区块链技术的应用案例。(详情链接

9.     戴尔紧急叫停Intel平台BIOS更新:会频繁重启/死机

Intel 在官网发布声明,称已经找到了Broadwell和Haswell台在修复 Specte安全漏洞中出现重启问题的根本原因,新的测试版正在客户处测试。与此同时,他们叫停了老版本补丁的部署工作,也就是不要安装 BIOS 更新。(详情链接

10.  报告称黑客盯上恶意比特币应用 窃取金钱、个人信息

据CNBC网站北京时间1月25日报道,研究报告称,黑客现在盯上了苹果公司、谷歌公司等充斥恶意加密货币应用的应用商店,利用这些应用窃取金钱、个人数据。(详情链接