安全周报（10.4-10.10）

1、iPhone锁屏了，攻击者依然可以利用这个漏洞盗用Apple Pay

近日，安全人员发现了一款大规模活跃的恶意软件，并将之命名为“GriftHorse”。目前该恶意软件已经感染了全球1000多万台安卓智能手机，涉及70多个国家。

据安全专家称，该恶意软件自2020年11月就已经开始活跃，其幕后团队选择将GriftHorse隐藏在那些看起来很安全的APP里进行传播，并且这些APP全都已经上传至谷歌应用商店和第三方安卓应用商店里。

“Zimperium zLabs近来也发现了这场针对APP的恶意感染活动，全球受害者高达1000多万，涉及金额可能高达数亿欧元”，有读者在阅读了Zimperium安全公司发布的分析报告后表示，“虽然典型的诈骗服务一般会使用钓鱼攻击技术，但是在这种全球性的攻击中，攻击者将木马病毒隐藏在特定的APP中，可以利用用户之间的互动来增加病毒感染和传播。”

目前，GriftHorse恶意软件的幕后团队正在全球范围内开展攻击活动，恶意软件会向感染的用户发起付费订阅服务，每月大概需要36欧元。

具体的过程是这样的，当用户的手机被感染后，手机屏幕会出现警报轰炸页面，显示他们中奖了，并且会提示他们点击中奖链接，倘若用户没有点击链接，那么很有可能还会遭遇不下5次的警报轰炸。

报告数据显示，“一旦用户点击了中奖链接之后，GriftHorse恶意软件会把它定向链接到一个地理网页，用户需要在页面填入电话号码进行验证。但实际上，他们是在向一家短信服务公司输入电话号码并订阅了付费服务，该服务每月都会收取超过30欧元的电话费。如果用户没有注意到这一收费信息，那么这个过程很可能会持续好几个月，而且用户很难通过维权拿回自己的钱。”

据报道，整个Twitch的源代码、用户评论历史和详细的财务记录已被一名匿名黑客发布到网上。Twitch是亚马逊旗下的视频和游戏服务。现在，其服务的全部源代码，其移动、桌面和客户端应用程序，以及一个未发布的Steam商店竞争项目都被泄露了。

据VGC报道，这些文件是由一个匿名黑客泄露给4chan的。这个人说，这次泄漏是为了"促进在线视频流媒体领域的更多破坏和竞争，[因为Twitch的]社区是一个令人作呕的有毒污水池"。VGC已经证实，黑客的文件在4chan上是公开的。Twitch内部的一位匿名人士进一步证实，这些文件是真的。

根据黑客和已经开始检查文件的Twitter用户的说法，泄露的数据至少包括：

所有Twitch的源代码

"可以追溯到其早期的开始"的评论历史

财务细节，包括2019年以来创作者的报酬

包括Apple TV在内的Twitch应用程序的源代码

一个尚未发布的Steam竞争者项目

内部安全工具

专有的SDK，内部的亚马逊网络服务工具

近日，全球知名短信发送服务商Syniverse，向政府监管机构透露，一名黑客在5年内未经授权访问了其数据库。据了解，Syniverse是一个为全球数百家运营商相互传递计费信息的通用交换中心，服务用户包括Verizon、T-Mobile 、AT&T等，美国主流移动运营商也都在使用Syniverse的服务。该公司称，其每年为全球300多家移动运营商处理超过7400亿条消息。

这一安全事件的披露，恰巧发生在Syniverse即将成为上市公司的时刻。Syniverse的一位发言人表示：“考虑到我们与客户关系的保密性质，以及一项悬而未决的执法调查（涉及一项收购事宜），我们不会就此事发表进一步的公开声明。”

此前，在2019年11月，Syniverse就曾发生过服务器故障，导致超过16.8万条消息延迟发送了近9个月。对于此次披露的遭遇黑客入侵事件，Syniverse方面表示：“此次遭遇黑客入侵始于2016年5月，个人或组织多次未经授权访问其网络内的数据库，并且登录其电子数据传输（' EDT') 环境，大约有235位客户受到影响。”目前，Syniverse和运营商尚未确认黑客是否可以访问客户的短信。

在检测到未经授权的访问后，Syniverse立即启动内部调查，通知执法部门，开始补救行动，并聘请专业法律顾问和其他事件响应专业人员的服务。Syniverse 在提交给美国证券交易委员会的文件及其给Ars的声明中表示，它重置或停用了所有EDT客户的凭据，目前暂不需要采取额外的行动，可以确保系统的安全性。

不过，Syniverse也承认，虽然它已经识别并充分修复了导致上述事件的漏洞，但不能保证数据不会被泄露或滥用，也不能保证未来不会经历导致此类后果的网络攻击。因为任何此类泄露都可能导致公开披露或盗用客户数据，包括Syniverse的商业机密或其他知识产权，及其员工的个人信息、其客户、供应商和供应商的敏感信息，或与其业务相关的重大财务信息等。