国内外简报industry briefing

国内外信息安全简报2018年第二十六周

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1.威胁:全球5万艘船只或随时遭黑客攻击

美国《对话》网站6月13日报道称,自演示怎样骗过全球定位系统(GPS)并改变了一条豪华游艇的航行线路后,网络安全专家最近又演示了潜入一条船的导航设备的简单方法。目前,全球已有5万船只进入了随时可能受黑客攻击的船只名单中,而且这个名单还在不断扩大。详情链接

2.航班追踪服务Flightradar24遭遇数据泄露 称超过23万用户受影响

航班追踪服务提供商Flightradar24借助谷歌地图与航空信息,使得用户不但能够直观看到飞机位置,还可通过点击或搜索某个航班,获知航空公司、飞行高度、是否准点等信息,其数据库中甚至包括了飞行的历史记录数据。然而近期,一些Flightradar24用户陆续收到电子邮件,并附有密码重置链接,强制要求他们更改密码。电子邮件提醒用户,由于安全漏洞,在2016年3月16日之前注册的用户(超过23万人)可能遭遇个人信息泄露,内容包括与注册账户相关的电子邮箱地址以及哈希密码。(详情链接

3.黑客正利用另一种新技术绕过Office 365安全机制开展网络钓鱼

在上个月,微软的Outlook safelink钓鱼安全研究人员曾透露,某些黑客组织已经发现了一种能够绕过Microsoft Office 365安全机制跳转到钓鱼网址的新技术。这项技术被称为“BaseStriker”,任何人在任何配置下,使用无论是基于Web的OutLook客户端、移动应用程序还是桌面应用程序的Office 365,都容易受到攻击 。上周,以色列云安全公司Avanan则发布了另一个与之类似的重磅消息。其安全研究人员发现,一些网络犯罪分子正在使用另一种新技术,可以绕过大多数由广泛使用的电子邮件服务和网络安全扫描仪实现的人工智能钓鱼检测机制。这项新的技术被命名为“ZeroFont”,它涉及到在钓鱼电子邮件的实际内容中插入字体大小为零的隐藏字词,这些字词大小对收件人来说是不可见的。同时,这些电子邮件也骗过了微软的自然语言处理。(详情链接

4.苹果电脑“快速查看”存在漏洞 或可泄密加密数据

本月初,安全研究员Wojciech Regula在博客中详细描述了这一安全漏洞。一般认为,自十多年前“快速查看”这一功能推出以来,这个安全漏洞就已存在。Patrick Wardle在Regula的帮助下,上周在博客文章中提供了对该漏洞的深度解释,随后这篇文章于周一被外媒“Hacker News”注意到。(详情链接

5.施耐德电气修复建筑自动化软件U.motion Builder中的漏洞

施耐德电气公司近日修复了 U.motion Builder 软件中存在的四个漏洞,包括两个严重的命令执行漏洞。施耐德和ICS-CERT 均发布了安全公告,U.motion Builder 1.3.4 之前的版本均受到影响。施耐德电气公司的 U.motion 是一套建筑自动化解决方案,目前被广泛用于全球范围内的各商业设施、关键制造和能源行业。U.motion Builder 是专为 U.motion 设备创建项目的一款工具,允许用户为各类 U.motion 设备创建出与需求相适应的项目。(详情链接

6.“共享护士”平台虚假信息成灾,卫健委回应规范引导

最近一段时间,“共享护士”越来越受关注,但在这一新的便捷服务背后,护士和患者双方权益能否得到有效保障,一旦发生意外情况又该如何划分责任,成为关注焦点。某“共享护士”平台要求预约时提供就医证明,但记者体验发现,在一些“共享护士”平台,填写虚假个人信息和处方、药品资料也可预约护士,存在安全漏洞和隐患。就此国家卫健委表示,将结合各地探索开展“共享护士”的做法经验,引导其规范发展。(详情链接

7.水电站面临的最大威胁竟然来源于内部

美国内政部监察长办公室2018年6月11日公布的一份内部报告显示,美国的水电站遭受外部黑客入侵的可能性很小,但却面临着真实的内部威胁。美国内政部垦务局管理着美国西部600多座水坝,其中五座水电站被美国国土安全部(DHS)归为关键基础设施。报告审视了其中两座水坝的网络安全态势。调查人员表示,随着时间的推移,这些缺陷已成为严重的漏洞。这些情况反映出美国垦务局未加强内部的风险管理实践来应对关键基础设施迅速升级的威胁。(详情链接

8.震惊!华为成美国新目标 组合拳已出手

在美国白宫和国会就是否“放过”中兴公司产生分歧之际,中国另一家科技巨头公司华为成为了其攻击目标。当地时间2018年6月20日,五名美国国会议员致信谷歌(Google)首席执行官桑德尔·皮查伊,要求谷歌重新考虑与华为(HUAWEI)的合作关系,称华为可能对美国的国家安全和美国消费者带来风险。最近谷歌刚与华为达成一项操作系统方面的合作协议,旨在升级运行谷歌 Android 操作系统的智能手机的功能,比如华为手机。美国会议员致信谷歌要求重新考虑与华为的合作。谷歌回应:与许多美国公司一样,我们和全球各地的几十家 OEM 制造商存在合作协议,包括华为。根据协议内容,我们不会提供谷歌用户数据的特殊访问权,并包含针对用户数据的隐私和安全保护条款。美国还或将调查华为与美国高校的合作,美国的立法者们本周还公开警告加拿大称,华为公司会对“五眼联盟”的情报网络构成威胁。(详情链接

9.特斯拉起诉前员工盗取并泄露公司内部数据

美国内华达州联邦法庭公布的诉讼文件显示,特斯拉起诉了一名曾在内华达州Tesla Gigafactory超级工厂工作的前过程技术人员马丁·特里普,称其盗取了该公司的商业机密并向第三方泄露了大量公司内部数据。该名员工承认曾开发恶意软件进入特斯拉内部生产操作系统,偷取大量数据并交给第三方,还向媒体发表不实言论。这些被泄露的数据包括“数十份有关特斯拉的生产制造系统的机密照片和视频”。特里普开发的恶意软件安装在了三台不同员工的电脑上,所以在他离开特斯拉后,还能继续从该公司传输数据到第三方。而电脑被安装该恶意软件的员工也将受到牵连。(详情链接

10.谷歌改口,将修复地理位置信息泄露问题

据外媒美国时间 6 月 18 日报道,未来几周内,谷歌将修复旗下两款最火爆消费级产品的地理位置信息泄露问题。最新研究显示,只需要询问谷歌设备附近无线网络的名单,并将其发送给谷歌的地理位置查询服务,黑客就能从 Google Home 或 Chromecast 电视棒上搜集精确的位置信息。研究员表示,通过让受害者接入相同WiFi或有线网络上的产品,再打开一个链接,黑客就可以进行远程攻击。不过这种攻击方法有其局限性,因为目标链接至少需要开启一分钟以上,攻击者才能拿到精确的地理位置信息。(详情链接