安全周报(12.30-01.05)
1、安全研究人员发现亚马逊上销售的儿童智能手表存在严重安全漏洞
安全研究人员发现了亚马逊上销售的一系列儿童智能手表存在严重漏洞。研究人员警告说,潜在的黑客可以利用这些安全漏洞来接管设备,并且可以跟踪孩子,甚至与他们进行对话。
安全公司Rapid7披露了在亚马逊上出售的三款儿童智能手表存在安全漏洞,这三款儿童智能手表是Duiwoim,Jsbaby和Smarturtle,价格不到40美元。它们被用作跟踪设备,以跟踪孩子并允许父母向孩子发送消息或者打电话。
2、小米米家摄像头被发现故障和安全问题 向用户随机展示其他用户的监控视频
小米米家摄像头海外版目前被用户发现存在严重故障和安全问题,因为实时监控画面可能随时会被其他用户看到。据Reddit网友反馈当米家摄像头登录谷歌账号并与谷歌NEST HUB连接后 , 有可能随机向用户展示其他监控画面。
用户每次点击实时监控出现的画面都是不同的,这名网友多次测试发现有的是公共场合的也有的是家庭卧室场景。复现该问题只需将米家摄像头通过米家应用绑定谷歌账号即可,原本该功能是让用户使用NEST HUB观看监控的。
3、“酷我音乐”借“大数据”名义 恐已窥探并收集用户隐私长达数年
近日,发现一个间谍木马模块(TrojanSpy),溯源后发现该木马来源为知名软件“酷我音乐”。该木马运行后,会搜集用户QQ号等隐私信息,还会通过用户上网历史归纳用户特征,并回传至“酷我音乐”服务器后台。由于该软件下载量较多,导致受影响的用户范围较大。目前火绒安全软件最新版可查杀该病毒。
4、工信部下架第一批侵害用户权益App 人人视频等在列
2019年12月19日,工信部向社会通报了41家存在侵害用户权益行为App企业的名单。截至目前,经第三方检测机构核查复检,尚有3款App未按要求完成整改。依据《网络安全法》和《移动智能终端应用软件预置和分发管理暂行规定》等法律和规范性文件要求,我部组织对上述App进行下架。
5、美国海岸警卫队港口设施被勒索软件搞瘫
近日,美国海岸警卫队 (USCG) 发布了一个海上安全警报,确认遭受 Ryuk 勒索软件攻击,导致《海上运输安全法》(MTSA) 监管的一处设施的整个 IT 网络瘫痪。
尽管事件仍处于调查中,但海岸警卫队透露,网络钓鱼电子邮件的入口很可能是在 MTSA 设施网络内部。
海岸警卫队指出:一旦员工点击了电子邮件中的恶意链接,攻击者就能够访问重要的企业信息技术网络文件并对其进行加密,从而阻止了该设施访问关键文件。
6、【不要和陌生人说话】微信爆名称命令注入远程执行代码漏洞
此漏洞由趋势科技移动安全研究团队的 Todd Han、Lujunzhi Dong 和Zhengyu发现。远程攻击者可以在受影响的腾讯微信安装上执行任意代码。利用此漏洞需要用户交互,因为目标必须与攻击者一起在聊天会话中。
此漏洞使远程攻击者可以在受影响的腾讯微信版本上执行任意代码。利用此漏洞需要用户交互,因为目标必须与攻击者一起在聊天会话中。漏洞存在于用户名解析中。该问题是由于在使用用户提供的字符串执行系统调用之前缺乏适当的验证。攻击者可以利用此漏洞在当前进程的上下文中执行代码。