国内外简报industry briefing

2019年第3周国内外信息安全简报

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1.     苹果商城发现恶意 Alexa 应用:下架前工具类 App 排行第六

近期国外安全专家在App Store上发现了一款名为“Setup for Amazon Alexa”的恶意APP,在下架之前它在工具类榜单中排行第6,在所有免费APP中排行第60。目前尚不清楚这款APP的真实意图,但显然这并非是由亚马逊官方制作的。(详情链接

2.     安全人员公布 Microsoft Edge 的最新远程漏洞  

可让Microsoft Edge Web浏览器实现远程代码执行的概念证明代码已在线发布,该漏洞来源于Edge的访问内存出错,代码由一位研究人员发布,该错误会影响Chakra,它是支持Edge的JavaScript引擎。漏洞将允许攻击者使用与登录用户相同的权限在计算机上运行任意代码。(详情链接

3.     智能门锁还安全吗? 黑客用假手破解静脉识  

自从智能手机开始火爆全球以来,各种加密解锁手机的方式也不断推陈出新,从基础的指纹识别到声纹识别眼纹识别,直到现在最火的3D人脸识别解锁。很快这些解锁方式的应用范围也逐渐扩大,很多智能门锁也用上了指纹,甚至据说更加安全的静脉解锁。但是这些解锁方式真的是无比安全的吗?近期就有黑客用假手成功破解了静脉识别认证。(详情链接

4.     游戏平台 LuckyMe、GameBet 遭攻击,黑客团伙共获利3132.65 EOS

曾攻击过BetDice、ToBet 等游戏的黑客团伙再次向 LuckyMe、GameBet 发动攻击。不同于上次,此次黑客采用的手法是主要针对项目方的重放攻击。据统计,黑客团伙共投入金额3773.95 EOS,收入 6906.6 EOS,共获利 3132.65 EOS。(详情链接

5.     美国立法欲阻止黑客盗取机密

1月4日报道,美国和中国在网络攻击上的关系日益紧张,立法者提议立法保护美国的关键技术不被黑客窃取。这项立法是拓宽美国政府打击中国黑客和加强美国网络安全的内容之一。(详情链接

6.     微软推出全新的Microsoft 365安全性和合规性软件包

微软宣布从 2019年2月1日开始增加两项新的合规和安全包,作为对欧盟通用数据保护法规(GDPR)等信息保护法规和当今日益增长的网络安全攻击威胁所增加的新要求的回应。新的安全性和合规性软件包旨在为尚未准备好使用Microsoft 365 E5软件包的企业客户提供相关支持。(详情链接

7.     新加坡航空公司客户登录账户时看到陌生人的个人数据

新加坡航空公司(SIA)的一名客户称,1月4日她登录了航空公司的网站,发现打开该网站速度比平时缓慢。当第一个页面加载时,她打开了第二个页面,当两个页面都加载完成后时,她在其中一个页面上看到了另一个用户的个人详细信息,而另一页面包含了那个用户和她的数据。(详情链接

8.     USB Type-C获身份验证,以防恶意设备攻击

非营利组织USB开发者论坛(USB-IF)于1月2日宣布推出USB Type-C认证程序,旨在为主机系统防范不符合标准的USB充电器,并降低USB中的恶意固件损坏主机的风险。(详情链接

9.     携程因“泄露用户信息”被罚

据报道,申女士通过携程手机APP替同事订机票后却收到航班取消的诈骗短信,在按对方提示操作退款的过程中,申女士被骗子累计骗走12万元。日前,朝阳法院对此案作出一审判决,审理后认定,携程公司在信息安全管理的落实方面存在漏洞,未尽个人信息的保管及防止泄露义务,判决携程公司赔偿申女士经济损失5万元并赔礼道歉。(详情链接

10.  税务总局:个人所得税App存在62例木马为误传

据报道,国家税务总局新闻宣传办公室通报称,经查,“税务总局【个人所得税】APP存在62例木马”为误传。自税务总局官方【个人所得税】APP上线以来,未发现存在木马病毒问题。税务总局一直以来高度重视【个人所得税】APP安全,将继续采取各种手段加强安全监测和保护。(详情链接