安全周报（08.10-08.16）

安联智库WTX 2020-08-17 08:34:52

1

高通400多个芯片存在漏洞，威胁数百万部Android手机

安全研究人员已经在Qualcomm Snapdragon数字信号处理器（DSP）芯片中发现了400多个易受攻击的代码，这些代码为Google，三星，LG，小米，OnePlus和其他设备制造商的数百万高端智能手机提供了动力。

DSP是一个片上系统，其硬件和软件旨在支持不同的智能手机功能，例如“快速充电”，视频和高清捕获等多媒体功能以及不同的音频功能。几乎所有现代智能手机都具有这些芯片之一。

研究人员测试的DSP芯片中发现了400多个易受攻击的代码段。攻击者可能会利用这些漏洞以多种方式利用目标智能手机。一种可能的攻击可能涉及将电话变成间谍工具并窃取数据，包括照片，视频，通话记录，实时麦克风数据，GPS和位置，而无需用户交互。或者，攻击者可以利用这些漏洞使目标手机始终不响应，并确保永久不提供存储在手机上的照片，视频，联系方式和其他信息-“换句话说，有针对性的拒绝服务攻击”。

高通通过发布新的编译器和新的软件开发套件以及其他解决方法来应对漏洞。但这还没有结束–这些漏洞影响着数百万部Android手机；现在，由制造商提供其他修复程序并完全保护用户。

2

一家名为Anomaly Six的美国企业向政府倒卖手机用户信息

报道指出，一家名为Anomaly Six的美国企业将自身软件开发包嵌入众多手机应用程序之中，进而追踪全球数亿部手机的位置信息。同时，该企业在用户不知情的情况下，将获取的这些信息转卖给了美国政府。

Anomaly Six由两名承接国防合同的退伍军人创建，其职业生涯大部分时间都与美国政府机构密切合作。该企业能够从超过500款手机应用程序中获得用户的位置数据，其中部分是通过将其软件开发包植入手机应用程序实现的。

报道称，手机应用程序开发者通常允许第三方公司将软件开发包植入自身程序，目的是为了赚取一定费用，而这些第三方公司转而又通过出售从应用中获得的数据来谋利。用户很难知道应用程序中是否植入了此类软件开发包，因为大多数隐私政策都不会披露这些信息。在对许多业内人士进行采访后指出，当前美国几乎没有限制此类交易的监管规定。

640 (1).png

3

澳洲大学在线考试系统遭黑客攻击，数十万用户数据被泄露

2020年8月6日，据澳媒报道，澳洲有关部门正在调查澳洲大学正在使用的一个在线考试工具的数据安全隐患。悉尼大学的一位发言人表示，该校周四与ProctorU公司进行了会面，并确认正在对一起机密数据泄露事件进行调查。“任何这种类型的安全和隐私泄露事件令人深感担忧，我们将继续与ProctorU合作，了解泄露事件的相关情况，并确定是否需要采取任何后续行动。

在冠状病毒大流行造成“封锁”后，澳洲各地的大学迅速将学习和学业评估转移到了线上，使用ProctorU来监督在线考试。悉尼大学学生报Honi Soit报道了这起数据泄露事件，并表示这也影响到了其他大学。

ProctorU允许监考员在学生在线考试时，通过电脑摄像头监督学生。黑客公布了一个包含数十万ProctorU用户记录的数据库，其中包括属于悉尼大学工作人员的记录。这些数据包括姓名和地址、用户名和未加密的密码。

640.webp.jpg

4

Google Chrome浏览器漏洞使数十亿用户遭受数据被盗风险

谷歌的Chrome浏览器中存在安全漏洞，攻击者可利用该漏洞绕过网络的内容安全策略（CSP），进而窃取用户数据并执行流氓代码。

该漏洞编号为CVE-2020-6519，存在于Windows、Mac和安卓的Chrome、Opera和Edge浏览器中，潜在影响用户多达十亿。其中，Chrome的73版本（2019年3月）到83版本均会受到影响，84版本已在7月发布，并修复了该漏洞。Chrome浏览器拥有超过20亿用户，并且占浏览器市场的65％以上。

CSP是一种Web标准，旨在阻止某些攻击，比如跨站点脚本（XSS）和数据注入攻击。CSP允许Web管理员指定浏览器将其视为可执行脚本的有效源的域。然后，与CSP兼容的浏览器将仅执行从这些域接收的源文件中加载的脚本。

因此，用户可从确保Chrome浏览器版本为84或更高版本做好安全防护措施。