国内外简报industry briefing

2019年第38周国内外信息安全简报

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1. 反向工程应用披露FB会自动从运营商那里获取用户手机号码

据外媒报道,Facebook被发现使用用户提交的双重身份验证的手机号码来将用户跟现实生活中的朋友网络匹配起来。很显然,这一爆料引起了骚动,但看起来Facebook总是能得到用户的电话号码,大概通过手机应用中的一个API向运营商发出请求。(详情链接

2. 以色列警方逮捕了一家移动监控技术供应商的数位高管

据当地媒体报道,以色列警方突击搜查了一家销售移动通信拦截工具的公司,并逮捕了几起高级执行人员。该公司向全球各地的执法机构销售移动黑客工具。目前,以色列警方没有透露有关此案的详细情况,也没有公布他们今天逮捕的能力管理人员的姓名。(详情链接

3. 黑客利用“Simjacker”漏洞窃取手机数据 或影响10亿人

据TNW报道,网络安全研究人员警告称,SIM卡存在一个严重的漏洞,使得远程攻击者可以在用户不知情的情况下发送短信攻击目标手机并监控受害者。都柏林的AdaptiveMobile Security公司表示,这个被称为“Simjacker”的漏洞已经被一家间谍软件供应商利用了至少两年的时间,不过该安全公司并未透露利用这一漏洞公司的名称以及受害者信息。(详情链接

4. LastPass泄漏了以前站点的凭据

密码管理器LastPass上周发布了一个更新以修复一个安全漏洞,该漏洞暴露了以前网站访问中输入的凭据。最近,Ormandy公布了他发现的安全漏洞的细节。由于该漏洞依赖单独执行恶意JavaScript代码,而没有其他用户交互,因此被认为是高危可利用的。(详情链接

5. App违规收集个人信息举报平台建立,收到举报信息近八千条

2019年国家网络安全宣传周在天津开幕,在活动中了解到,目前,针对App违法违规收集使用个人信息的举报平台已经建立完成,截至9月,已收到近8000条举报信息,其中近三分之一为实名举报。(详情链接

6. 美国NIST发布隐私框架草案

日前,美国国家标准与技术研究院(NIST)发布隐私框架草案,以通过风险管理帮助企业改善个人隐私保护。NIST表示,隐私框架旨在通过三个事项帮助企业保护个人隐私:在服务和产品中支持道德决策以建立客户信任;履行合规义务;促进与客户和监管机构就隐私实践进行沟通。(详情链接

7. 华硕、联想等多款知名路由器和NAS 被曝存在漏洞

安全团队评估了对13个主流品牌不同的路由器和NAS设备后,共发现了125种不同的CVE。调查对象包括华硕(Asus)、Zyxel、联想(Lenovo)、Netgear等多个知名厂商的生产的居家办公路由器和NAS,样本目标范围从面向普通消费者的设备到面向企业使用的高端设备,但结果并不理想,共有125种可被远程攻击者利用的不同的CVE被发现。(详情链接

8. InnfiRat恶意软件窃取数字货币以及数字钱包信息

被称为InnfiRAT的远程访问木马(RAT)具有广泛的窃取敏感信息的功能,包括加密货币钱包数据。安全研究人员仔细研究了它的内部运作,尽管恶意软件已经存在了一段时间。(详情链接

9. Microsoft网络钓鱼页面使用JavaScript发送虚假登录

狮子航空拥有的两家航空公司客户的数千万条记录已在数据交换论坛上传播至少一个月,信息存储在Amazon存储桶中。这些记录存在于两个数据库中,一个包含2100万条记录,另一个包含1400万条记录的目录包含2019年5月创建的备份文件,主要来源于Malindo Air和Thai Lion Air。(详情链接

10. Microsoft网络钓鱼页面使用JavaScript发送虚假登录

近日,已发现Microsoft帐户网络钓鱼诈骗的新登录页面,该网页利用SmtpJS服务通过电子邮件将窃取的凭据发送给攻击者。用户打开看似正常的登录页面随后提示用户凭证不正确,当用户在此类网络钓鱼诈骗中提交凭据时,该页面通常会将其保存到数据库以便以后检索,或者使用后端脚本将其发送给攻击者。(详情链接