国内外简报industry briefing

国内外信息安全简报2018年第四十二周

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1.电动汽车OTA系统的出现有可能面临的是黑客帝国

对于最新开发的OTA系统很多人都不太清楚,OTA=Over The Air Technology =空中系统升级技术,翻译过来就是可以进行无线网络软件升级,这就是未来电动车企发展的方向所在。它将很快的应用到电动汽车系统上,这也是科技发展的重要一步。(详情链接

2.Intel迟迟未修复熔断/幽灵漏洞 麻省理工给出新方案

Meltdown熔断、Spectre幽灵两大安全漏洞的爆出绝对是今年处理器领域最大的噩梦,影响之深远、波及之广泛、余威之延续,在整个产业历史上都极为罕见。时至今日,Intel仅仅在刚发布的第九代酷睿处理器(Coffee Lake-S Refresh)上从硬件底层部分修复了熔断漏洞,其他更多漏洞仍需通过刷新BIOS、打补丁的方式解决,而且多多少少会影响性能。Intel修复漏洞的速度如此之慢,主要还是这一波漏洞的变种和影响的产品实在太多,Intel也不得不重新设计部分硬件特性才能完全免疫。不过,麻省理工学院(MIT)的研究者们近日发表了一篇论文,给Intel指出了一条新的“明路”。(详情链接

3.我们要淘汰密码,可我们确定要用什么代替它了吗?

淘汰密码,想法不错。但我们也应当知道其最佳替代物及后果。安全技术人员厌倦重置密码,并称其为世上最繁琐的工作。他们认为,其他人一定也疲于应付密码安全问题。那么下一步是什么呢?在这方面智能手机的发展走在电脑前面。智能手机应用生物识别技术——指纹、面部识别——作为登陆的基本途径。用“你是谁”代替了“你有什么”。(详情链接

4.iPhone XS用户注意了!iOS12又曝新漏洞:锁屏状态也能访问分享照片

iPhone XS息屏充电、WiFi连接问题才刚刚修复,如今iOS 12系统又被曝出了新漏洞——即使iPhone处于锁屏状态,只需借助VoiceOver功能即可随时访问并分享iPhone设备中存储的照片。另外,近日还曝出了iOS 12.0.1存在iMessage自动向错误对象乱发同一信息、电量消耗严重等bug。如今iOS 12.1 bate4已经推送,想必距离iOS 12.1正式版推送也不远了吧!届时,上述bug有望得以解决。(详情链接

5.Branch.io漏洞将Tinder,Shopify,Yelp用户暴露于XSS攻击下

Tinder,Shopify,Yelp等其他各平台使用的Branch.io服务存在漏洞,用户或已受跨站点脚本(XSS)攻击。当vpnMentor研究人员发现Tinder域名:go.tinder.com,存在多个XSS漏洞,他们正在分析Tinder和其它各约会应用。据vpnMentor称,黑客本可以利用这些漏洞来盗取Tinder用户的个人资料。不过,值得指出的是,利用XSS漏洞通常需要目标用户点击精心制作的恶意链接。(详情链接

6.Tumblr修复泄露私人账户信息的安全漏洞

Tumblr“博客推荐”功能中存在的漏洞已得到修复,该漏洞会泄露“博客推荐”相关博主的私人信息。“博客推荐”功能为登陆用户推荐一系列其可能感兴趣的博客。下面是“博客推荐”功能的一个页面。据Tumblr称,某安全研究员通过Tumblr漏洞赏金项目披露了该漏洞,Tumblr工程团队在该漏洞被报告后的12小时内修复了该漏洞。登陆用户可通过调试工具,查看“推荐博客”列表上每个博客博主的IP地址、电子邮箱地址、哈希过的密码等私人账户信息。Tumblr声称,目前尚无证据显示该漏洞曾遭黑客利用。其还表示,该漏洞十分罕见。(详情链接

7.高危漏洞致D-Link路由器操控权落入黑客之手

研究员发现,部分D-Link路由器存在多个漏洞,黑客利用这些漏洞可获得其全部控制权,且目前尚无安全补丁发布。在Linksys路由器中也出现了严重安全漏洞。波兰西里西亚工业大学( The SilesianUniversity of Technology)某研究小组发现了在D-Link路由器中存在的安全漏洞。这些漏洞影响多个系列D-Link路由器httpd 服务器,包括DWR-116, DWR-111,DIR-140L, DIR-640L, DWR-512, DWR-712, DWR-912及 DWR-921。(详情链接

8.FreeRTOS漏洞将多个系统暴露于攻击之下

安全研究员警告,FreeRTOS操作系统中发现的漏洞可能使大范围的系统遭受攻击,这些系统包括智能家居设备及关键基础设施。FreeRTOS是专门为单片机设计的开源操作系统。该操作系统应用于许多领域,包括传感器、致动器、泵等工业应用,安全设备、门锁等B2B解决方案领域,及家用电器、可穿戴技术等消费品领域。于2017年接手FreeRTOS项目的亚马逊已为其增加了云连接服务。(详情链接

9.谷歌Android应用将在欧洲向手机厂商收取费用

为反击欧盟50亿美元罚单,谷歌调整了欧洲手机、平板电脑厂商使用谷歌Android应用的规则。此后,欧盟厂商使用谷歌应用程序套件,必须向谷歌支付许可费。7月,欧盟委员会(European Commission)以违反欧盟反垄断规则为由,对谷歌处以罚款,理由是该公司涉嫌强迫欧盟制造商预装谷歌搜索及其捆绑应用套件,向制造商支付费用,让谷歌成为独家搜索应用,并阻碍竞争对手的移动软件开发。作为这一裁决的一部分,谷歌告诉他们需要停止这种行为。谷歌声称其捆绑谷歌搜索与Chrome浏览器,为发展安卓操作系统提供了资金。若不预装这些软件,欧洲移动设备厂商将需要为安装Google Play, Maps及You Tube等谷歌Android应用支付许可费 。(详情链接

10.滴滴“黑名单”功能今天开始试运行

一周前,滴滴官方宣布,将在10月18日日起试行“黑名单”功能,并且乘客和司机均可使用。“黑名单”功能将于10月18日更新的滴滴乘客端和司机端App上线试行,通过这个功能,乘客以及司机可以在取消订单、投诉、评价页面选择将对方加入黑名单,“屏蔽”之后的12个月之内,滴滴将不会再为双方匹配订单。(详情链接