国内外简报industry briefing

国内外信息安全简报2018年第二十周

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1. 备份文件未授权访问,大量路由器密码被曝光

由于备份文件未授权访问,例如无线网络名称、网线网络密码、甚至是管理员密码等,导致大量路由器的密码可以被直接解密。受此影响的路由器品牌包括TP-Link及D-Link等,通过在IP连接后添加rom-0的方式,即可下载该路由器的备份文件,并可用软件直接解密。(详情链接

2.黑客能通过声音攻击设备 ,Siri竟成帮凶

随着Siri等语音助手的成熟,黑客可以将人类听不到的声音频率嵌入到歌曲中,以此对周围搭载语音助手的设备进行广泛攻击。纽约时报发文称,美国和中国的研究人员一直在进行一项测试,通过一些人耳听不到的声音(高频或低频)来触发智能语音助手,然后在用户不知情的情况下完成指令,例如访问网站、下载文件,甚至拨打电话等。(详情链接

3.哥本哈根“共享单车”系统受攻击,数据库被删除

某身份不明的黑客成功入侵了哥本哈根的“共享单车”网络 Bycyklen,并删除了其整体数据库,直接导致公众在当周末无法使用共享单车服务。此次事件恰逢哥本哈根举办的冰上曲棍球世界锦标赛,在一定程度上给当地居民带来了不便。出于安全方面的考虑,该公司提醒用户尽快更改密码。目前,Bycyklen 正在 Facebook 页面上开展“寻宝”活动,鼓励用户们上报存在问题的自行车,以便员工们及时前往进行更新与恢复。(详情链接

4.阿根廷一黑客发现能轻易攻破监控摄像头的漏洞

据Bleeping Computer报道,一位来自阿根廷的研究人员发现了一个能让他登录数万个DVR摄像头并观看直播的漏洞。获悉,该名研究员最先在由西班牙摄像头制造商TBK Vision的摄像头中发现了这一漏洞,之后他发现全球其他几个知名品牌也都在影响范围内。包括CeNova、Night Owl、Nova、Pulnix、Q-See、Securus。这个漏洞可以让黑客接收到纯文本的摄像头用户名和密码。(详情链接

5.Windows、macOS和Linux正遭受重大安全漏洞影响

美国计算机安全应急响应中心(以下简称“CERT”)发布公告称,Windows、macOS、Linux、FreeBSD、VMware和Xen等系统目前正受到一处重大安全漏洞的影响,而该漏洞是由于操作系统开发者曲解了英特尔和AMD两大芯片厂商的调试文档所致。据CERT称,该安全漏洞允许黑客读取计算机内存中的敏感数据,或控制一些低级别的操作系统功能。今日,受影响的操作系统和管理程序厂商已经发布了相应的补丁程序,包括苹果、DragonFly BSD、FreeBSD、微软、红帽(Red Hat)、SUSE Linux、Ubuntu、VMware和Xen。(详情链接

6.OpenFlow交换机协议曝身份验证漏洞,难修复!

作为一项早期软件定义网络协议,OpenFlow 中曝出一项安全漏洞,这项漏洞年代久远、无处不在,且很难在短时间内得到修复。柏林科技大学的卡希帕普·希马拉朱在 oss-sec 上发布的文章当中写道,OpenFlow 协议的握手机制一直缺少认证步骤,其“不需要控制器进行交换机验证”,也“不需要控制器对访问该控制器的交换机进行验证”。由于这是一项协议漏洞,因此任何 OpenFlow 实现方案都有可能受其影响。(详情链接

7.Maikspy间谍软件通过成人游戏感染Windows和Android用户

趋势科技在本周二(5月8日)发布的博文中表示,其移动威胁响应团队发现了一个名为“Maikspy”的恶意软件家族,这是一种可以窃取受害者个人敏感数据的双平台间谍软件。具体来讲,它针对的是Windows和Android用户,最初版本可以追溯到2016年,并通过以美国成人电影女星命名的成人游戏应用传播。对最新的Maikspy变体的分析显示,用于传播间谍软件的恶意应用程序——一款被称为“虚拟女友(Virtual Girlfriend)”的成人游戏应用,将通过一个成人游戏网站(miakhalifagame[.]com)被下载。趋势科技发现,一个Twitter账号正在积极推广这款游戏,并通过短链接分享恶意网站链接。(详情链接

8.巴基斯坦数百万公民信息网上公开售卖,售价1美元

巴基斯坦媒体报道,数百万巴基斯坦公民的个人敏感信息正在不同的社交媒体平台上被出售,而这些信息在巴基斯坦国内网站上的售价仅为100卢比,即1美元。这已经不是该国第一起大规模信息泄露事件。早在2017年8月,旁遮普省信息技术委员会(PITB)就意外暴露了成千上万巴基斯坦公民的个人敏感信息。该事件发生9个月后的现在,PITB再次被推向了舆论的风口浪尖。因为有很多人开始怀疑,此次被出售的数据,例如由巴基斯坦国家数据库和注册局(National Database and Registration Authority,NADRA)持有的个人和家庭数据、警方追踪的犯罪记录、由电信公司记录的通话数据以及其他一些由政府机构持有或私营公司持有的数据,都与PITB的应用程序漏洞有关。(详情链接

9.暗网儿童个人信息数据增长182%,儿童身份盗用成为获利新手段

4iQ是一家身份威胁情报公司,负责监控互联网上的数据泄露情况。最新的4iQ身份盗用报告显示,2016年至2017年期间,其团队发现泄露的身份信息增加了182%。报告《身份泄露海啸仍在继续》显示,2017年4iQ发现了87亿条原始记录中的超过30亿条身份记录。更糟糕的是,身份信息黑客所采用的策略变得越加复杂。福布斯回忆道,“在1982年的科幻电影”银翼杀手“中,戴卡德是哈里森福特扮演的一名头疼的前侦探,他寻找一些复制人 – 一些非常逼真的机器人,几乎不可能把他们认出来。未来几年,银行要做的可能也是把那些逼真的冒充者识别出来。”(详情链接

10.WannaCry蠕虫一周年,勒索病毒狼烟四起

去年5月12日,WannaCry蠕虫在全球范围大爆发,引爆互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry在数小时内影响近150个国家,一些政府机关、高校、医院的电脑屏幕都被“染”成了红色,致使多个国家政府、教育、医院、能源、通信、交通、制造等诸多关键信息基础设施遭受前所未有的破坏,勒索病毒也由此事件受到空前的关注。(详情链接