国内外简报industry briefing

2019年第7周国内外信息安全简报

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1. 某人脸识别公司数据泄露超250万人数据可被获取

这家公司的对外简介是将深度学习等前沿先进技术用于监控分析,实际上就是提供面部识别技术和人群分析技术,并提供公开可在线查找。监控记录的地点包括警察局,酒店,旅游景点,公园,网吧和清真寺等。举个例子,穿过街道的人可能会被摄像头拍到,这家公司可以通过摄像头画面分析出你是谁,而任何人都可以根据这家公司的实时面部识别来查看某人的位置记录并进行跟踪。(详情链接

2. Powershell 命令行泄漏下一个 Windows 10 更新内容

Windows 10 下一个版本(称为Build 1903或19H1)更新内容,可以通过 PowerShell 的 Get-VMHostSupportedVersion 可以看到。Tero Alhonen 被称为 Windows 侦探(Windows sleuth),他通常会在微软发布新版本之前查找 Windows 的相关信息,他在最新版本的 Windows 10 Insider Build 19H1 版本中使用了 Get-VMHostSupportedVersion 命令,该命令的返回结果很有可能是下一次版本更新的名称。(详情链接

3. 小米M365电动滑板车面临黑客攻击和远程控制风险

移动安全公司Zimperium的研究人员Rani Idan在周二揭露了小米M365电动滑板车的一个漏洞,攻击者可利用该漏洞远程控制滑板车加速或刹车。漏洞存在的原因在于滑板车缺乏对用户的身份认证。(详情链接

4. 安全专家发出警告:黑客正在测试感染Mac的新方法

趋势科技发出警告,黑客正在测试一种感染 Mac 的新方法。其能够绕过 macOS 的 Gatekeeper 安全特性,将包含恶意软件的可执行文件部署到受害者的计算机上。据悉,这家安全企业是在分析 Little Snitch 时,发现的这一最新威胁。Little Snitch是一个易于作为洪流访问的防火墙应用程序。研究人员认为,黑客仍在研究恶意软件及其使用方式。(详情链接

5. WordPress曝出插件漏洞,允许任何用户接管网站

使用 WordPress 管理其网站的用户,很可能在其中一个插件中,找到近期曝光的那个安全漏洞。一名来自 WebARX 的安全研究人员,刚刚发现了“简易社交分享按钮”(Simple Social Buttons)插件的一个缺陷。该插件旨在方便网站管理员在文章、评论、或网站的其它部分,嵌入 Facebook 或 Twitter 等 SNS 平台的社交分享按钮。然而最新曝光的漏洞,允许任何能够在上创建新账户的用户,利用它来访问“通常只有管理员才能解除的设置”。换言之,别有用心的攻击者,可以通过该插件来接管网站。(详情链接

6. 利用RunC 漏洞获得 Docker、Kubernetes 主机的 root 权限

Runc 容器运行时中存在一个漏洞,可导致恶意容器(仅需最少用户交互)覆写主机 runc 二进制并获得主机监的 root 代码执行权限。该漏洞是由研究员 Adam Iwaniuk 和 Broys Poplawski 发现的,编号是 CVE-2019-5736,在用户名称空间正确使用的系统上遭自动拦截(不以 root 运行的容器不受影响)。然而,它影响的机器“主机 root 被映射到容器的用户名称空间中”,因为默认的 AppArmor 策略和 Fedora 的默认 SELinux 策略并不会拦截 CVE-2019-5736 触发。(详情链接

7. 邮件服务商VFEmail遭黑客攻击,客户所有数据被删除

美国电子邮件商VFEmail发现有黑客系统性破坏了公司的服务硬盘,其中包括备份和冗余。该公司的员工目前正在努力恢复用户的电子邮件,但就目前的情况来看,美国客户的所有数据似乎都被永久删除。VFEmail的拥有者Romero在推文中表示:“是的,@VFEmail已经彻底消失了。我从未想过有人会如此关心我心爱的产品,以至于他们想要彻底摧毁它。”(详情链接

8. 谷歌亚马逊收集数据无所不用其极:智能灯每天报告你何时睡觉

随着亚马逊和谷歌努力将它们的智能音箱置于联网家庭的中心,两家科技巨头正扩大对其智能语音助理用户的数据收集。几年来,每当有人使用智能音箱开灯或锁门时,亚马逊和谷歌都会收集数据。现在,他们正要求罗技和Hunter Fan等智能家居设备制造商向他们持续发送数据。换句话说,在你将照明设备连接到亚马逊的智能语音助理Alexa之后,无论你是否要求Alexa关闭开关,亚马逊都希望知道你每次开灯或关灯的时间。电视机则必须报告用户设置的频道。智能锁必须随时通知公司,用户是否插上了门栓。(详情链接

9. 要说黑客有多强?仅通过改装一条USB数据线就能远程控制你的电脑

只要在目标电脑上插上一根由白帽子黑客Mike Grover于近日改装的USB数据线,任何人都可以通过Wi-Fi和一个手机软件来执行任意命令,就像使用电脑的键盘一样。当这种经过改装的USB数据线连接到运行Linux、Mac或Windows的电脑上时,操作系统都会将其检测为人机接口设备(HID)。由于HID设备默认被这些操作系统视为输入设备,因此这种经过改装的USB数据线也可以像键盘一样被用于向电脑输入命令。(详情链接

10. RDM制冷系统曝严重安全漏洞,全球众多医院、超市受影响

近日,来自Safety Detective研究实验室的安全研究员在一篇报告中指出,由Resource Data Management(一家位于苏格兰的远程监控解决方案公司)制造的制冷系统存在重大安全漏洞,而这些控制系统正在被世界各地的医院和连锁超市使用,包括英国最大的跨国商业零售集团玛莎百货(Marks&Spencer,M&S)、英国最大的线上超市Ocado和英国最大的东方食品供应商和华人超市之一惠康食品(Way-on)等。这份报告指出,Safety Detective研究实验室的安全研究员利用Shodan互联网搜索引擎在英国、澳大利亚、以色列、德国、荷兰、马来西亚、冰岛以及世界其他国家共发现了分布于数百个不同地点的7419台易受攻击设备(医用冷藏柜、超市冷藏柜、冷冻库等)。(详情链接