国内外简报industry briefing

2019年第2周国内外信息安全简报

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1.     乌军图省事用安卓手机定位,不料被俄黑客破解,炮弹射入自家军营

多年来乌克兰东部地区的战事一直都没有平息,尤其是在去年年末,乌克兰和俄罗斯在亚速海发生了冲突之后,乌克兰直接宣布进入了战争状态,随后,就借着战争状态的幌子,加大了在东乌地区的攻势。(详情链接

2.     泄露默克尔信息的黑客抓到了,20岁学生,非电脑专家  

泄露数百名德国政客个人信息的“幕后黑手”被抓了,是一名20岁的学生。他现在又被放了,正在配合调查。1月7日,该嫌疑人受到了负责该事件的检察官和警官的审问。他承认,这次数据泄露事件是他一人所为,因为他对一些政客和记者的公开言论感到愤怒。(详情链接

3.     开源显卡驱动 Nouveau 被 Chrome 列入黑名单

由于多次被反馈存在 bug ,Google 决定直接在 Chromium/Chrome 71 将 Nouveau 列入黑名单,Nouveau 的用户在浏览器中将默认不启用 GPU 加速。(详情链接

4.     Skype 已修复漏洞公开:不解锁也能访问手机数据

近日安全专家发现了新的Skype漏洞,允许用户在不输入解锁密码的情况下访问手机数据。目前Android端Skype已经确认受该漏洞影响,允许用户查看照片、联系人甚至是启动浏览器窗口。该漏洞最初由Florian Kunushevci发现,后者又向微软报告了这个漏洞。(详情链接

5.     黑客使用零宽度空格绕过Office 365的保护

微软最近修复了Office 365的一个漏洞,黑客之前利用这个漏洞绕过钓鱼保护,将恶意信息发送到受害者邮箱中。该漏洞与电子邮件原始HTML中的恶意URL中使用的零宽度空格(ZWSP)有关。黑客通过分割URL的方法,使得防御系统不能检测到恶意信息。(详情链接

6.     NASA内部应用程序泄露NASA员工和项目数据

NASA内部应用程序——JIRA出现了一个严重的配置错误,导致内部数据泄露,任何人都可以访问这些数据。JIRA是一个由Atlassian公司支持的项目管理系统,可进行 bug跟踪和敏捷项目管理。这个出现错误的配置用于管理NASA内部员工和项目信息。泄露的数据包含高度敏感的信息,包括内部用户详细信息、项目详细信息、员工姓名、员工邮箱id。(详情链接

7.     普遍流行的代码帖子也可能存在安全风险

近日研究人员发现,许多网上提供的信息/代码中包含可利用的安全漏洞。因为缺乏网络安全专业知识的用户不容易发现这些漏洞,弗吉尼亚理工大学、慕尼黑大学和德克萨斯大学圣安东尼奥分校的研究人员最近的研究表明,这些用户不能够依赖Stack Overflow的用户社区来帮助他们区分这些代码是否安全,哪怕是十分普遍流行的答案帖。(详情链接

8.     新加坡SingHealth数据泄露调查报告指出泄露事件根本原因

去年6月新加坡SingHealth网络攻击事件引发关注,近日负责调查该事件的高层领导小组发布的报告显示:职员易中钓鱼攻击,管理员密码安全性低,没有补丁可阻止黑客入侵,没有专业的IT网络安全团队是导致新加坡这次最为严重的数据泄露事件的根本原因。(详情链接

9.     超过11000辆印度公交车的实时位置在网上曝光

印度11000多辆公交车的实时GPS已在互联网上曝光了三个多星期。安全研究员Justin Paine告诉ZDNet,数据是通过一个没有密码的ElasticSearch服务器泄露的,这个服务器一直处于在线状态。该服务器包含27家印度国有运输机构的数据,包括印度各地活动的公交车实时的精准GPS坐标、起止站、路线名称和路线信息。(详情链接

10.  40款智能门锁15%被轻易打开,这些锁究竟安全吗?

近几年,智能门锁逐渐进入了越来越多的家庭。截至2018年6月底,我国智能门锁生产企业已经超过1500家,接近甚至超过了传统机械制锁规模以上企业的数量,2018年,智能门锁的销量预计可能已经达到了2100万套。那么,人气渐涨的智能门锁是否更加安全呢?对此,市场监管总局就在全国范围内,组织了一次智能门锁的风险监测。这次风险监测,分别从实体店及网络电商平台采集了38个品牌、40款型号的智能门锁产品,涉及的标称产地有广东、浙江、福建等7个省市,结果显示:四十个样品中,有6个批次被特斯拉线圈也就是所谓的小黑盒打开了,占比达到了15%。(详情链接