国内外简报industry briefing

国内外信息安全简报2018年第二十八周

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1.华为部分产品曝弱加密算法漏洞,可导致信息泄露

本周二,华为在一份编号为“huawei-sa-20180703-01-algorithm”的安全通报中指出,某些华为产品存在一个弱加密算法漏洞,成功利用可能会导致信息泄露。根据通报的描述,这个漏洞于去年年底被发现。漏洞编号为HWPSIRT-2017-12135,并且已经获得了CVE漏洞编号——CVE-2017-17174。CVSSv3评分5.3,属于一个中等风险漏洞,这来源于它的成功利用并不容易实现。华为解释说,要利用此漏洞,远程未经身份验证的攻击者必须捕获客户端与受影响产品之间的TLS流量。攻击者可能会对RSA密钥交换启动Bleichenbacher攻击,以通过某些密码分析操作解密会话密钥和先前捕获的会话。当然,成功的利用便会导致在上述中提到的信息泄露。(详情链接

2.新银行木马现身:专门窃取证书、密码及其他敏感信息

据科技博客ZDNet北京时间7月5日报道,思科网络安全团队Talos的研究人员最近发现了一种新的银行木马,这种新型木马病毒通过散布一些看似软件公司开出的账单请求、实则为恶意软件的网络钓鱼邮件,从而窃取受害者PC上的银行证书、密码和其他敏感信息。安全人员表示,这一强大的恶意软件可以用来传播包括木马病毒、赎金软件和恶意加密货币挖掘软件等在内的安全威胁。(详情链接

3. “深坑” :95%赌球网站是钓鱼网站,中彩也难以提现

网络赌球看似简单,实际上里面机关重重。这一届世界杯,阿根廷、德国走了,西班牙走了,连连冷门让球迷连呼意外。网络赌球害人害己,深圳光明一男子将押车卖房的60万元赌球输个精光。深圳警方表示,赌球团伙一般通过代理境外赌球网站、开设钓鱼网站等手段,从事非法赌球活动。赌球为啥只输不赢?因为全是“深坑”。网警部门表示,95%的网络赌博网站是钓鱼网站,为吸引赌客,非法赌球网站推出“预言帝”、通过专业软件随时修改赔率,“庄家”赚了大钱,赌客血本无归。(详情链接

4.漏洞预警|微信支付SDK被曝XXE漏洞

7月3日,国外安全社区Seclists.Org里一名白帽子披露了微信支付官方SDK存在严重的XXE漏洞,可导致商家服务器被入侵,并且黑客可避开真实支付通道,用虚假的支付通知来购买任意产品。另外,陌陌、vivo已经验证被该漏洞影响。(详情链接

5.4G LTE网络曝安全漏洞! 用户流量易被劫持!

德国波鸿鲁尔大学和美国纽约大学一组研究人员近日发布研究论文,称其在 LTE 数据链路层(Data Link Layer,又被称为第二层)协议中发现漏洞,可被黑客利用实现三种攻击途径,劫持用户通信流量,获取用户“网站指纹”。政客或记者最有可能成为此类攻击的目标。(详情链接

6.小心!或许你的手机应用正“出卖”你的信息

世界杯赛事期间,除了日渐白热化的赛事夺人眼球外,不少广告也同样吸引了广大观众的注意力,比如蓝厂新机,其使用时需弹出的摄像头一时间成为“鉴定流氓app”神器。尽管官方称这是应用在读取权限,并未侵犯用户隐私,但应用风险还是引发了大众焦虑。国外研究者也同样在关注此类问题,最近美国东北大学研究发现,一些安卓应用程序存在“令人担忧的”隐私漏洞——手机应用程序可以在用户不知情的情况下,拍摄和分享手机应用程序活动的屏幕截图和视频。(详情链接

7.Chrome浏览器页面冻结bug死灰复燃 谨防技术支持诈骗套路重演

就当美国人民欢庆独立日的时候,诈骗者们仍未停下他们的脚步。据 Ars Technica 报道,Google Chrome 浏览器中的一个漏洞,竟然再次被骗子们给利用,以传播给不知情的用户。早在 2 月份的时候,Malwarebytes 就警告称,诈骗者正在利用冻结浏览器、同时试图用虚假的报错信息说服用户“给微软打电话”,以忽悠受害者寻找所谓的“技术支持”。Chromium Bug 追踪器上的一个页面显示,在最初的报告发布后不久,Google 就已经在 Chrome 65 中修复了这个问题。但现在看来,该漏洞似乎又在 Chrome 67 上重现了。更糟糕的是,随着 bug 的再生,欺诈者们也再次熟练地耍起了同样的伎俩。下图左侧就是欺诈者通过冻结 Chrome 浏览器标签页伪造的报错信息,而右侧可见系统资源被大量消耗。(详情链接

8. iOS 12“验证码自动填充”功能存在隐患 用户或受网银欺诈之害

外媒报道称,尽管苹果在 iOS 12 中引入了大量增强的安全特性,但是“安全码自动填充”功能还是将用户暴露于银行欺诈的巨大危险面前。在今年 6 月的全球开发者大会(WWDC 2018)上,苹果宣布了这项新特性。其旨在通过自动读取短信中的验证码,节省在 Safari 等应用中手动输入表单的麻烦,从而为用户带来无缝的注册流程体验。乍一看,这是一项能够显著提升可用性的功能,但安全专家安德烈亚斯·古特曼(Andreas Gutmann)警告称:这样的实现,最终更可能会对建议签名和交易身份验证码(TANs)产生影响。换言之,银行用于身份验证和签署事务的安全系统,可能会在恶意和中间人等技术攻击手段面前失效:让用户验证这一重要信息,正是出于安全的考量。移除这一过程,会使它变得无意义。(详情链接

9.美政府拒绝中国移动进入美国市场,称威胁国家安全

特朗普政府拒绝中国移动进入美国电信市场,美国商务部下属国家电信和信息管理局当地时间周一通过电子邮件发布的一份文件显示,美国联邦通信委员会(FCC)将拒绝中国移动于2011提交的进入美国申请。据NTIA这份文件称,美国情报机构和其他官员发现,中国移动的申请“将构成不可接受的国家安全和执法风险”。这份文件还称,2011年,中国移动是全球最大的移动电信运营商,拥有超过6.49亿用户。该文件还表示,中国移动称希望在美国和其它国家之间提供国际电话业务,不打算在美国境内提供移动业务。(详情链接

10.Facebook再曝数据丑闻:1.2亿用户数据面临泄露风险

研究发现一个名为“NameTests”的第三方测验应用令1.2亿名Facebook用户的数据面临泄露风险,而这个应用的漏洞直到上个月才得到修复,这就使得Facebook数据丑闻进一步升温。Facebook隐私权丑闻是在今年3月首次曝光的,当时曾在唐纳德·特朗普(Donald Trump)竞选美国总统期间受聘的政治数据公司“剑桥分析”(Cambridge Analytica)被曝从一名教授那里非法购买了Facebook用户数据,该教授运作过一个名为“thisisyourdigitallife”(这是你的数字生活)的测验应用。随后,Facebook在5月对第三方应用进行了一次审计,其结果是约200个应用遭到封停。(详情链接