安联智库--网络安全新媒体资讯平台 http://seczk.com 信息安全资讯,热点资讯,安全期刊,人物专访,安全事件,漏洞威胁,安全技术,攻防众测, Wed, 22 Jan 2020 05:25:30 +0800 zh-CN hourly 1 https://www.s-cms.cn/?v=4.7.5 加入我们 Wed, 22 Jan 2020 05:25:30 +0800

      欢迎有志从事信息安全的朋友,一起加入安联智库这个大家庭,有你们的到来安联智库将因你而出彩!

]]>
联系我们 Wed, 22 Jan 2020 05:25:30 +0800

安联智库&安联攻防实验室(简称:seczk)www.seczk.com
使命:让安全,更简单!
提出:攻击溯源、纵深防御的安全治理解决方案!
微信 、QQ:110468258
网站:www.seczk.com 
邮箱:110468258#qq.com 
地址:广州市天河区黄埔大道西505号A栋2519室 
机构:[广东-广西-海南-云南-贵州-四川-福建-江西-湖南-北京-深圳-重庆-上海.....] 


]]>
团队简介 Wed, 22 Jan 2020 05:25:30 +0800

    安联智库是为了(简称:seczk)是一个专注于信息安全、具有全面信息安全综合服务能力的专业服务团队。seczk立足自主研发,专注信息安全市场,为客户提供安全产品、安全服务、安全集成、安全培训等多项综合性信息安全服务。经过多年的发展已经成为一个理念先进、方案成熟、团队精干、客户认可的具有本土化特色的信息安全服务商。
    seczk立足于羊城广州,目前拥有一支20多人的专业队伍,团队拥有多名CISP、CISSP、CCIE、PMP等技术人员,核心团队成员都出自国内著名安全厂商与安全服务测评机构(如启明星辰、绿盟、天融信、蓝盾、竟远、南方信息安全研究院、中国信息安全测评中心等),积累了丰富的安全经验,其技术能力已获得过不同行业客户的认可。
    安联智库&安联攻防实验室(简称:seczk)使命:让安全,更简单!提出攻防纵深防御、攻击溯源的安全治理解决方案!




]]>
阿拉伯木马成功汉化,多款APP惨遭模仿用于攻击 Wed, 22 Jan 2020 05:25:31 +0800 概述

近日,奇安信病毒响应中心在日常样本监控过程中发现了一批伪装成点读通.apk、作业帮.apk、手机找回.apk、PUBG.apk等国内用户常用软件的MobiHok家族样本。

样本在执行过程中为了迷惑用户会安装内置的正规APK,真正的恶意程序则隐匿执行,用户在此过程中一般感觉不到异常,从而窃取用户短信、联系人、通话记录、地理位置、键盘记录、文件目录、应用信息、手机固件信息、录音、录像、截屏、拨打电话、发送短信等。

基于奇安信的多维度大数据关联分析,我们已经发现国内有用户中招,为了防止危害进一步扩散,我们对该远控木马进行了详细分析,并给出解决方案。

MobiHokRAT简介

MobiHok最早在2019年七月份在地下论坛中被发现,售卖者名为“Mobeebom”,除了在多个阿·拉伯语地下论坛活跃之外,售卖者还通过FaceBook、youtube进行宣传,在FaceBook进行宣传时同样使用了阿拉伯文。

YouTube中拍摄了各个版本的运行视频和一些安全机制绕过方法:

目前V4版本已经免费,在其官网上可以下载,其余版本收费情况如下,价格不菲:

相关证据表明在V4版本免费之后,国内使用该家族的团伙逐渐变多,且V4版本就可以绕过华为、三星、Google Play安全机制和FaceBook身份验证。奇安信监控的数据如下:

V4版本主控端界面如下:

Mergin App项中可以嵌入任意正规APP。

样本分析

相关样本如下:

申请的权限:

该远控APK木马功能复杂,在执行过程中会运行内置正规Apk软件来迷惑用户,可以从资源中dump出正规的apk文件:

安装后为作业帮app:

而木马则在手机中隐秘执行,监听电池变化的广播,每当电池电量有变化时,计算百分比,并获取充电类型:

获取手机网络链接类型:

测试是否能访问www.google.com:

查看屏幕保护的状态:

会静默安装内置的正规APP,并启动:

kforniwwsw0类作为服务在MainActivity中被调用,连接远程C2服务器:

远控功能列表整理如下

指令参数指令功能
calls_delete删除通话记录
OpenApp打开指定app
KeyStart配置相关
ViewFile文件查看
WriteFiles文件写入
fcbkopen()创建子目录
ConnectedDownloadManager指定URL下载者
AccountManager()账户管理
MicrophoneStop()麦克风停止
ViewFileVideoPlay浏览视频文件
PlayStop停止播放
Apps()枚举安装的app
DelLog删除日志
GetLog获取日志
gglopen()获取指定app信息
SaveEdit保存编辑
REHost修改Host
StartServiceGLocation()启动位置服务
CompressFiles压缩文件
DownManager下载者
CallsManager()通话记录管理
DDownManagerSocket管理
WinCall联网环境下电话呼入呼出
StartServiceCamera开启摄像头服务
contacts_delete联系人删除
Microphone20()麦克风相关
deleteFiles删除文件
Terminal远程终端
SetWallpaper设置手机背景墙
FileManager2文件管理
FileDelete文件删除
Microphone()麦克风相关
ContactsManager()联系人管理
properties获取properties文件
FileMove文件移动
FileRename文件重命名
FSettings获取设备相关信息
_VibratorOff设置相关
contacts_write添加联系人
FUN恶搞相关
FControl控制音量、蓝牙、GPS、WIFI等功能
AmDPM修改锁屏密码
FileManager文件管理
toast弹框
unzip解压缩
PlayStart开始播放
FindCamera()寻找摄像头设备
SMSManager短信管理
key_logger键盘记录
ListenMicrophone麦克风监听
FileStart弹出文件
FileWrite文件写入
ViewFileVideoBreak()视频相关
StopServiceGLocation()停止定位服务
KeyStop设置相关
CallPhone拨打电话
_Vibrator设置相关
chatOpen打开聊天框
chat_set聊天设置
edithost修改Host
EditFile修改文件
SetParameters设置摄像头参数
StopServiceCamera()停止摄像头服务
InfDownManager下载者

相关的远控操作:

相关功能代码:

FSettings获取本机设备相关信息,如手机号、SDK_INT、Language、Siminfo、IMSI、IMEI、MAC、SSID、RSSI等相关信息:

获取当前音频模式:

获取手机摄像头相关信息:

获取通话记录相关信息。姓名、电话号、类型、持续时间:

录音功能:

文件管理:

音频管理:

键盘记录:

下载者:

获取联系人信息:

拨号功能:

添加新联系人:

总结

近年来,诸如SpyNote、AhMyth、AndroRAT等安卓远控相继免费甚至公开源代码,黑产向移动端转型的成本大大降低,相比于PC端的远控,安卓远控在地下论坛中售价较为便宜,1500-2500不等,有些中间商甚至使用开源的远控框架不做任何免杀就在地下论坛进行贩卖。

奇安信病毒响应中心提醒用户不要安装未知来源的APP,同时提高个人的安全意识,从而可以防止用户隐私信息被盗取的风险,目前奇安信威胁情报中心文件深度分析平台,奇安信病毒响应中心会移动安全团队会持续对新型远控框架的跟踪,目前奇安信威胁情报中心文件深度分析平台

https://sandbox.ti.qianxin.com/sandbox/page)已支持Android样本分析:

同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对该家族的精确检测。

9999.jpg

]]>
三菱电机遭网络攻击 个人及客户等信息可能外泄 Wed, 22 Jan 2020 05:25:31 +0800        日本国防承包商三菱电机表示,受大规模网络攻击影响,个人及客户等信息可能外泄。据分析,中国网络黑客组织可能参与了攻击。遭到非法访问的电脑和服务器中没有包含关于防卫及电力、铁路等基础设施运用之类机密性高的信息,这些信息没有泄露。

三菱电机表示,“未确认到”网络攻击导致的“受害及影响”。去年 6 月三菱电机国内服务器等设备被发现可疑迹象。

1200px-Mitsubishi_Electric_Nagoya_1.JPG

公司实施内部调查,在总部・事业总部的大部分和总公司管理部门发现非法访问现象。据称由于非法访问的手法巧妙,调查持续至近期。

9999.jpg

]]>
黑客泄露了超50W台服务器,路由器和IoT设备的密码 Wed, 22 Jan 2020 05:25:31 +0800  今天,在APT228的一个成员FlatL1ne中,发现了一个惊人的消息。

640.webp (8).jpg

 跟踪点击进去链接

640.webp (9).jpg

发现某聊天工具的链接

640.webp (10).jpg

发现未知压缩包

"500KMIRAIpassIP.7z"

640.webp (11).jpg

打开确认

640.webp (12).jpg

640.webp (13).jpg

640.webp (14).jpg

图源:ZDNet


黑客本周发布了大量的Telnet凭据列表,这些凭据用于超过515,000台服务器,家用路由器和IoT(物联网)“智能”设备。


该列表发布在一个流行的黑客论坛上,其中包括每个设备的IP地址,以及Telnet服务的用户名和密码,该服务是一种远程访问协议,可用于通过Internet控制设备。


据ZDNet采访的专家以及泄密者本人的说法,该列表是通过扫描整个Internet来查找暴露其Telnet端口的设备而编制的。然后,黑客尝试使用(1)出厂设置的默认用户名和密码,或(2)自定义但易于猜测的密码组合。


这些类型的列表(称为“机器人列表”)是IoT僵尸网络操作的常见组件。黑客扫描互联网以建立漫游器列表,然后使用它们来连接设备并安装恶意软件。

DDOS服务运营商泄露的数据


该列表是由DDoS租用(DDoS引导程序)服务的维护者在线发布的。


当被问及为什么他发布如此庞大的“机器人”列表时,泄漏者说他将DDoS服务从在IoT僵尸网络之上的工作升级为依靠从云服务提供商租用高输出服务器的新模式。

640.webp (15).jpg

图源:ZDNet


黑客泄露的所有列表的日期为2019年10月至11月。其中一些设备现在可能在不同的IP地址上运行,或使用不同的登录凭据。

危险无处不在


一位物联网安全专家表示:即使列表中的某些条目由于设备可能已更改其IP地址或密码而不再有效,对于熟练的攻击者而言,列表仍然非常有用。


配置错误的设备不会在Internet上平均分布,由于ISP的员工在将设备部署到各自的客户群时会对其进行错误配置,因此它们通常聚集在一个ISP的网络上。


攻击者可能会使用列表中包含的IP地址,确定服务提供商,然后重新扫描ISP的网络以使用最新的IP地址更新列表。

安全建议


1、建议账户密码修改策略(字母\数字\大小写\特殊符号)八位以上;


2、请速度更改设备账户密码,全面检查是否有后门的存在;


3、查验设备登录日志信息,确保是否有被攻击行为;


 另:本人涉及本次下载记录与内容,本人已将数据不可恢复的永久删除。

9999.jpg







]]>
安全周报(01.13-01.19) Wed, 22 Jan 2020 05:25:31 +0800 1.所有Windows都中招!微软爆出超级漏洞

微软计划于周三发布重要软件更新,修复一个:所有版本 Windows 中都存在的核心加密组件中的一个极为严重的安全漏洞。

这个漏洞位于名为 crypt32.dll 的 Windows 组件中,用于处理 “CryptoAPI 中的证书和加密消息传递功能。”

由于复杂的加密算法实现起来非常困难,所以在过去,许多应用程序只能使用非常简单的加密技术,这样做的结果就是加密的数据很容易就可以被人破译。

Windows 组件中的这个严重漏洞 (CVE-2020-0601) 可能会对许多重要的 Windows 功能产生广泛的安全影响,包括在 Windows 台式机和服务器上进行身份验证,保护由 Microsoft 的浏览器 (Internet Explorer / Edge) 浏览器处理的敏感数据,以及许多第三方应用程序和工具。

640.webp (4).jpg


2.暴风激活工具被发现携带「麻辣香锅」病毒修改和劫持浏览器主页

出于对价格的考量许多用户在重装系统时都会使用各类激活工具,作为辐射范围颇广的暴风激活工具用户量挺多。据360安全安全大脑监测日前截获的暴风激活工具样本携带病毒 , 该病毒的主要用途是修改/劫持用户浏览器主页。
因其木马运行后释放的病毒文件在MLXG_KM目录下,故360安全专家将其命名为麻辣香锅病毒(即拼音的首字母),麻辣香锅病毒最主要的目的就是劫持用户浏览器主页,几乎所有主流浏览器的主页都会被该病毒篡改并进行锁定。
当这些浏览器主页被劫持后会被强制锁定因此用户无法修改,即便手动修改主页在浏览器重启后会再次遭到篡改


640.webp (5).jpg

3.微软发现恶意npm软件包 可从UNIX系统窃取数据

Microsoft 的漏洞研究团队在 npm(Node Package Manager) 存储库中发现了一个恶意 JavaScript 程序包,可从 UNIX 系统窃取敏感信息。该恶意软件包名为 1337qq-js,于 2019 年 12 月 30 日上传到 npm 存储库中。目前,该恶意软件包已被 npm 的安全团队删除。在此之前,该软件包至少被下载了 32 次。

根据 npm 安全团队的分析,该软件包通过安装脚本来泄漏敏感信息,并且仅针对 UNIX 系统。

640.webp (6).jpg


4.超10亿张患者医学图像被泄漏 但始终没引起医疗机构重视

每天,数以百万计、包含患者个人健康信息的医学图像都会涌入到互联网上。数以百计的医院、医疗工作室和影像中心都在运行着不安全的存储系统,以至于任何拥有互联网连接的用户都可以通过免费下载的软件来访问全球超过10亿例患者的医学图像。

去年9月份,Greenbone已经发现了有超过2400万例患者的7.2亿张医学图像在网络上被曝光。然而两个月之后,暴露的服务器数量增加了一半以上,达到3500万例患者检查,暴露了11.9亿次扫描,这严重侵犯了患者的隐私。

不过问题几乎没有减弱的痕迹。攻击者可以利用这些信息部署和实施更有效的社交工程和网络钓鱼攻击,从而最终获得金钱。

5.六银行App遭点名 监管开出罕见数据治理罚单

金融数据治理正走在一个十字路口。一方面,互联网使得银行等金融机构对个人和小微企业展业,App等成为银行“大零售”转型载体。另一方面,数据治理的边界在哪里,也正在拷问业内。近期,多家银行App被密集点名,解开了银行以App为代表的数据治理的冰山一角。

1月13日,国家计算机病毒应急处理中心点名25款应用,其中22款“未向用户明示申请的全部隐私权限,涉嫌隐私不合规”。在金融领域有6款应用被点名,民生银行、兴业银行两家股份制银行,以及内蒙古三家银行和海峡银行。

在被点名后,21世纪经济报道记者实测发现,兴业银行、内蒙古银行和鄂尔多斯银行于1月13日当日立刻更新其用户隐私政策。民生银行也于翌日更新其隐私政策。

640.webp (7).jpg

]]>
国家黑客利用VPN服务器漏洞入侵美国政府网络 Wed, 22 Jan 2020 05:25:31 +0800 近日,FBI 在一次安全警报中表示,有国家(伊朗)黑客利用 Pulse Secure VPN 服务器的严重漏洞,破坏了美国市政府和美国金融公司的网络。

美国网络安全和基础设施安全局 (CISA) 于 1 月 10 日警告企业,修补其 Pulse Secure VPN 服务器以防止利用漏洞 CVE-2019-11510 的攻击。

该漏洞使未经身份验证的远程攻击者可以发送特制的 URI,以连接到易受攻击的服务器并读取包含用户凭据的敏感文件,并在后继的攻击阶段用于控制组织的系统等。

在未打补丁的系统上,该漏洞允许无有效用户名和密码的人远程连接到公司网络,关闭多因素身份验证控制,远程查看纯文本日志(包括 Active Directory 帐户和缓存的密码)。

美国多家机构实体遭到入侵

FBI 表示,自 2019 年 8 月以来,身份不明的威胁行为者已使用 CVE-2019-11510 安全漏洞 “入侵著名的美国实体机构”,包括一家金融机构和一个市政府网络。

在 2019 年 8 月,攻击者通过利用未修补 CVE-2019-11510 漏洞的服务器来访问美国一家金融机构的研究网络。

在同一个月内,攻击者利用相同漏洞的攻击破坏了美国市政政府网络。

根据 FBI 的报道,针对和破坏美国市政府网络的攻击发生在 2019 年 8 月中。这次攻击中,攻击者能够枚举和泄露用户的帐户、主机配置信息和会话标识符,从而使他们能够进一步访问内部网络。目前,联邦调查局正在继续收集对该事件的失陷指标。

根据两次攻击中使用的战术,技术和程序 (TTP) 的复杂程度,FBI 认为,身份不明的国家黑客参与了这两次攻击;但是,尚不清楚是否是孤立事件。

FBI 称,成功地针对 CVE-2019-11510 漏洞的攻击案例不仅限于上述两家机构。尚未正式确认的被攻击机构还包括国际货币兑换平台 Travelex,该公司在未修补其 Pulse Secure VNP 服务器后于12月3日遭到 Sodinokibi 勒索软件的攻击,攻击者要求提供 300 万美元的赎金。

Travelex 在 2019 年 9 月就接到了服务器脆弱性警告,但是直到被勒索软件也没有做出回应或者修补漏洞。

PulseSecure 首席市场官 Scott Gordon (CISSP) 告诉媒体,攻击者正在通过利用 VPN 接口的交互提示向用户尝试分发和激活勒索软件,利用 “未打补丁的VPN服务器传播恶意软件 REvil (Sodinokibi)。”

可能是伊朗黑客

尽管 FBI 并未将这些攻击直接与伊朗支持的黑客联系起来,但在一天后分享的详细介绍伊朗网络战术和技术的私密行业通知 (PIN) 中却提到:信息表明伊朗黑客已尝试利用常见漏洞 (CVE) 2019-11510。

FBI 评估了自 2019 年末以来发生的 VPN 服务器漏洞攻击,发现其波及广泛,已影响到美国和其他国家的许多部门。

漏洞缓解措施和安全建议

FBI 建议美国市政当局仔细阅读国家安全局 (NSA) 的 VPN 漏洞缓解建议,采取以下措施来防御针对与市政网络域的潜在攻击,包括 “管理紧急服务、交通或选举的本地基础结构”:

警惕并立即安装供应商发布的补丁程序,尤其是面向 Web 的设备;

阻止或监视上述恶意IP地址以及其他在特殊时间段进行远程登录的 IP 地址;

在将升级后的设备重新连接到外部网络之前,请重置凭据。

撤消并创建新的 VPN 服务器密钥和证书;

使用多因素身份验证作为密码的补充安全性措施;

查看帐户列表,以确保对手没有创建新帐户;

在适当的地方实施网络分段;

确保无法从 Internet 访问管理 Web 界面。

9999.jpg

]]>
Clearview已被数百家美国执法机构使用:拍张照就能知道你的姓名住址 Wed, 22 Jan 2020 05:25:31 +0800 街头一位陌生人只需要拍下你的照片,然后就能通过一款APP来快速锁定你的姓名、联系方式和家庭住址,你是否觉得非常可怕?在《纽约时报》本周六刊发的一篇报道中,就表示包括FBI在内的数百家美国执法机构正在使用这样一款APP,而它是由一家名为Clearview AI的初创公司开发和提供的。

TIM截图20200119091251.png

援引纽约时报报道,这款APP已经从Facebook,Venmo,YouTube和其他网站上收集并创建了拥有30亿张图片的超大容量数据库。在获得你的面部照片之后,通过和数据库中数据进行匹配,从而提供关于数据库中图片的源链接。而通过这些线索,能够非常轻松地了解你的名字和其他敏感信息。

相比较Clearview,FBI自己创建的数据库就显得有点相形见绌。FBI自己的数据库是其中最大的数据库之一,其中收集了护照和驾照照片,其中包含超过6.41亿张美国公民的图像。目前尚不清楚未来Clearview是否会推出消费者版本,不过在报道中称美国警方和Clearview的投资者都认为会在未来推出。

执法人员表示,目前已经成功利用该APP解决了入店行窃、猥亵儿童和谋杀等做多犯罪行为。不过隐私倡导者表示该APP可能会将错误的匹配结果反馈给警察,并且可能会被其他人非法利用。

9999.jpg

]]>
微软公布新的欺骗性漏洞 无法被利用直接攻击和传播 Wed, 22 Jan 2020 05:25:31 +0800 微软在1月份的补丁升级报告中,公布了Windows CryptoAPICrypt32.dll)验证椭圆曲线加密(ECC)证书的方式中存在欺骗漏洞(CVE-2020-0601)。

 


攻击者可以通过使用欺骗性的代码签名证书对恶意文件进行签名,达到利用该漏洞的目的,使该文件看似来自受信任的合法来源。成功利用此漏洞还可以让攻击者进行中间人攻击,并解密与受影响软件的用户连接的机密信息。

 


该漏洞影响Windows 10系统(1507160717091803180919031909)以及Windows Server2016Windows Server 2019系统,对于其它系统(包括微软刚刚停止支持的Windows 7系统)不会产生影响。

 


需要强调的是,微软对于该漏洞的评级并没有达到永恒之蓝“Critical”(高危)级别,而是“Important”(重要)级别。这是因为该漏洞危害更多在于欺骗性,漏洞本身无法被用来直接攻击和传播,和永恒之蓝这类攻击型高危漏洞有本质区别,相较而言,对于普通用户危害较小,因此并不需要过分担心,只需及时下载补丁修复该漏洞即可。

 


微软官方已经提供该漏洞补丁,火绒产品(个人版、企业版)已完成相关升级,火绒个人用户、企业用户均可以通过“漏洞修复”功能修复此漏洞。

 


目前,火绒监测到已有攻击者利用该漏洞伪造微软数字签名,正在传播病毒,火绒用户无需担心,火绒最新版(个人版、企业版)可查杀。事实上,火绒包括病毒查杀在内的各项防护功能并不依赖文件数字签名的有效性,火绒检测病毒的标准也不会考量数字签名的合法性。

 


兔兔.jpg

附:微软官方补丁

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0601

9999.jpg

]]>
美国国家安全局向微软提交严重级别的加密安全漏洞并提前获得补丁修复 Wed, 22 Jan 2020 05:25:31 +0800 在棱镜计划曝光和影子经纪人泄密后我们知道诸如美国国家安全局等机构会收集和购买各种安全漏洞以展开攻击。

然而让人意外的是美国国家安全局此次发现漏洞后竟然是向微软反馈,然后微软在本月累积更新对漏洞进行修复。

当然这枚安全漏洞的危害等级极高也影响到美国政府机构和美国军队的分支机构,这也必须让微软来修复该漏洞。

值得注意的是在签署相关保密协议后微软实际上已经提前把补丁发送给上述机构,而不是等到今天的例行更新日。

美国国家安全局向微软提交严重级别的加密安全漏洞并提前获得补丁修复

图片来自:ITProToday

加密组件验证ECC算法存在欺骗漏洞:


ECC即椭圆曲线算法是目前主流使用的加密算法之一,而 Windows CryptoAPI 是微软用于验证这类算法的组件。

本次发生漏洞的就是微软这个加密验证组件,攻击者利用特殊手段可以使用伪造的数字证书对恶意文件进行签名。

然后这会让恶意文件看起来就像是经过正规签名的合法应用,这可以用来绕过微软及部分安全软件开发商的检测。

而现代加密算法又是许多安全领域依赖最高的加密体系,虽然算法本身没有问题但微软组件也会让这个体系崩塌。

这也是这枚安全漏洞危害等级极高的主要原因,基于此美国国家安全局决定向微软披露漏洞以获得微软官方修复。

美政府和军队等机构要求提前获得补丁:


尽管美国国家安全局并没有透露此漏洞是否在野外发现黑客利用,但显然基于安全考虑越早修复安全性也会越高。

为此美国国家安全局与微软达成协议向微软披露漏洞但要求提前获得补丁,然后提前在所有关键设施里部署补丁。

当然最终结果是微软同意提前提供补丁但要求这些机构签署保密协议,在补丁未公开发布前也不得透露任何细节。

今天是微软的例行更新日微软已经向受支持的操作系统发布累积更新,目前微软加密组件的相关漏洞已经被修复。

不过基于安全考虑微软当前并未透露关于该漏洞的更多细节,估计要等到绝大多数用户部署更新后细节才会披露。

漏洞存在多久暂时也没有消息:


按美国国家安全局以往作风来看即便发现安全漏洞也会先进行利用,现在反馈给微软进行修复或许也是不得已的。

而漏洞被发现多久也没人知道,外媒猜测称说不好漏洞早已经被发现并被加以利用然后才会被通报给微软来修复。

针对此次安全问题微软发言人表示遵循协调披露漏洞原则,为降低风险研究人员和供应商不会在漏洞公开前披露。

同时微软强调已启用自动更新或部署更新的用户现在已经获得保护,同时一如既往地鼓励所有用户尽快安装补丁。

9999.jpg

]]>
这些第三方软件居然可以删除我的微信好友?! Wed, 22 Jan 2020 05:25:31 +0800 有些朋友随着时间的推移,慢慢离你越来越远了,不聊天,不开放朋友圈权限,有的甚至悄咪咪的就删掉了你微信。不仅成了你的 “ 无效好友 ”,还白白浪费了你一个好友坑位,想想好像是还挺不舒服的。而这个现象直接催生出了上图里面的神操作 ——被删除验证

这条验证自己是否被你删除的消息,也大概率的成了这个人和你进行过的第一次,同时也是最后一次对话。。。

不过最近,小辣椒倒是几乎再也没有碰到过这样的消息 “ 骚扰 ” 。

本来还觉得,可能是现在的人交友都越来越佛系,不再纠结这些有的没的了,结果看到这么一个新闻 ↓

其实,查“ 单向删除 ”早就形成一个成熟的服务产业!

这些服务可以在不打扰好友的情况下,帮用户查看自己都被谁解除了好友关系。

甚至已经升级到了查询服务 2.0 版本

不仅可以帮用户查被哪些人删除,还可以检测出有哪些人向自己屏蔽了朋友圈!收费也都不贵,几块钱就可以搞定,排名前几的商店月销几乎都过万。。。

某宝上提供这项服务的商家不少▼

不过,功能这么强大 ,真的不会有什么安全问题么?

小辣椒顺势随便下了一单,给大家瞅瞅这些服务都是怎么操作的。

不得不说,卖家服务还挺靠谱的,下单之后第一时间就来热情给我介绍操作流程。

按照他给到网址,小辣椒登入了一个网站,然后输入了卖家提供的卡密。

网站弹出了一个让微信登录的二维码。

到这里,一切都很正常。

但接下来的请求,直接把小辣椒给看懵逼了。。。

扫码之后,微信提示我的微信号正在请求在上海的一个设备登录,也就是说这个设备可以获取我几乎所有的微信权限。

行呗,来都来了,哪有临阵退缩的道理?登!接着,在我的微信主页上出现了账号在 iPad 登录的标识

还没等小辣椒回过神来,这个软件已经开始下一步神操作了。

微信里的“ 文件传输助手 ”开始疯狂给我弹消息,一个名叫

咔咔清理管家

的软件加载进入了微信通讯录。。。

并开始以发送好友名片的形式,通知我每个好友的状态。

对小辣椒屏蔽了朋友圈的,或者已经三个月,半年没有更新朋友圈的。。。

大概过了几分钟,小辣椒收到了好友检测完成的通知,系统也自动退登了微信。

最后,小辣椒检查了一下自己的账号,发现刚刚在上海登入的设备确实已经退出登入了。

已经看不到设备登入标识▼

除此之外,在我的好友标签里,多了好几个带有 “ 咔咔管家 ” 标签的分类。。。

被筛查过的所有好友,都自动被分别归到了这几个标签里。

这波操作简直比你猴哥还来无影,去无踪啊。。。到这里,小辣椒的微信号并没有出现什么大问题,不过仔细想想,细思恐极。这个软件,读取了我的微信通讯录,并且还取得了微信好友标签的修改权限,甚至还获取了我删除好友的权限!

这就意味着我的联系人、和这些联系人的关系,甚至聊天记录,财务状况等等信息可能都被暴露了。

而软件是怎么做到“ 清理微信死粉 ”的呢?

这里有好几种方法。

其中之一,和文章一开始提到的发 “ 骚扰 ” 消息验证的原理是一个思路。

因为在你授权软件商微信账号的权限同时,也默认授权他可以向你的好友们发送消息,不过这些软件可能 把一段具体的文字,替换成了一段发送之 后并不会通知对方的代码。

其二,是软件模拟了建群这个操作。

这也是一个验证好友是否把你删除的常规操作。

在建群的时候,无法被添加入群的人,就是已经单方面和你说过再见的人。

拉群后不说话不会有人收到通知▼

而验证好友是否对你屏蔽了朋友圈,则可能是借用你的权限查看了好友的朋友圈,通过批量查看朋友圈页面提示,获取了用户数据。

这些方法,其实用户也可以自己操作,但软件的优势肯定是更快,更省事儿。

不过软件在把这些工作都揽到了自己手上的同时,也把你对账号的上帝权限握在了手里。

而你并不知道他们会对账号做什么其他的操作。

所以,小辣椒奉劝大家,不要轻易用微信登录第三方软件,更不要随便把账号的操作权限拱手让人。

等到号财两空那一天再后悔,就晚了!

9999.jpg

]]>
WordPress插件高危漏洞或影响32万网站 Wed, 22 Jan 2020 05:25:31 +0800 22.jpg

近期,两个WordPress插件InfiniteWP ClientWP Time Capsule曝出高危的授权绕过漏洞(逻辑漏洞),可让攻击者在不知道密码的情况下访问网站的后端。根据WordPress插件库的统计,大约有30万个网站使用了存在漏洞的InfiniteWP Client插件,2万个网站使用了存在漏洞的WP Time Capsule插件。

开发人员对这些漏洞很快做出了反应,并在报告的第二天就发布了补丁。不管怎样,漏洞修复速度总是越快越好。

防火墙可能无法提供保护

由于身份验证绕过漏洞通常是代码中的逻辑缺陷,实际上并不涉及高度敏感的payload,很难立刻确定问题来自何处。

在这种情况下,很难用一般的防火墙规则来防御漏洞攻击,与这两个插件的合法请求相比,恶意请求不会有太大的不同。

为此,我们特意在WebARX防火墙中添加了一个新模块进行防御,因为两个插件都没有像预期的那样连接到WordPress核心。我们也观察到其他WordPress安全公司遵循了相同的方法。或许在将来我们可以扩展一个新的防御功能来阻止类似的问题。

当然,由于该漏洞的性质,基于云的防火墙可能也无法区分恶意或合法的流量,难以提供有效的防护。

因此,使用第三方防火墙产品的用户也应该及时更新插件,保护网站安全。

InfiniteWP Client < 1.9.4.5

为了能触发存在漏洞的代码,我们必须使用JSON编码payload,然后再使用base64,最后通过POST请求将其发送到目标站点。

攻击者唯一需要知道的信息是网站管理员的用户名。在发送恶意请求后,将自动登录网站。

33.png

这个缺陷存在于函数iwp_mmb_set_request中,位于init.php文件。这个函数会检查IWP_MMB_Core类的request_params变量是否为空,只有payload在满足某些条件时才会填充该变量。

在这个漏洞中,前置条件是payload的iwp_action参数必须等于readd_siteadd_site,因为它们是少数无需授权验证的操作,这也是漏洞的根本原因所在。

一旦payload满足此条件,将使用请求所提供的username参数作为登录身份,而且不执行任何身份验证,代码如下所示。

44.png

POST / HTTP/1.1
Host: example.org
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:72.0) Gecko/20100101 Firefox/72.0
Accept: text/html,application/xhtml+xm l,application/xm l;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: text/plain
Content-Length: 93

_IWP_JSON_PREFIX_eyJpd3BfYWN0aW9uIjoiYWRkX3NpdGUiLCJwYXJhbXMiOnsidXNlcm5hbWUiOiJhZG1pbiJ9fQ==

修复后的代码差异也可以在这里找到

55.png

如上所述,他们所做的唯一更改是add_sitereadd_site操作将不再能填充request_params变量,而是直接返回false。

基于WordPress插件库,InfiniteWP客户端插件被30多万个网站使用。InfiniteWP网站则声称有513520个网站正在使用。

WPScan漏洞数据库:https://wpvulndb.com/vulnerabilities/10011

WP Time Capsule < 1.21.16

针对WP Time Capsule插件的攻击不需要复杂的payload,只要在原始POST请求的正文中包含特定的字符串即可。

66.png

这个问题位于wptc-cron-functions.php文件的第12行,和请求解析有关。parse_request函数会调用decode_server_request_wptc函数,去检查原始POST的payload中是否包含字符串IWP_JSON_PREFIX

如果包含此字符串,则调用wptc_login_as_admin(它获取所有可用的管理员帐户,并使用列表中的第一个帐户),很快用户便以管理员身份登录,如下所示。

77.png

修复后的代码差异可以在这里找到。开发人员直接删除了对几个对wptc_login_as_admin函数的调用,修复了身份验证流程。

基于WordPress插件库的数据,WP Time Capsule在20000多个网站上都很活跃。

WPScan漏洞数据库:https://wpvulndb.com/vulnerabilities/10010

时间线

2020年1月7日:向开发人员报告了漏洞。

2020年1月7日:向所有WebARX客户发布了对应保护模块。

2020年1月8日:开发者发布了修复后新版本。

2020年1月14日:安全公告发布。

9999.jpg

]]>
六银行App遭点名 监管开出罕见数据治理罚单 Wed, 22 Jan 2020 05:25:31 +0800 金融数据治理正走在一个十字路口。一方面,互联网使得银行等金融机构对个人和小微企业展业,App等成为银行“大零售”转型载体。另一方面,数据治理的边界在哪里,也正在拷问业内。近期,多家银行App被密集点名,解开了银行以App为代表的数据治理的冰山一角。

1月13日,国家计算机病毒应急处理中心点名25款应用,其中22款“未向用户明示申请的全部隐私权限,涉嫌隐私不合规”。在金融领域有6款应用被点名,民生银行、兴业银行两家股份制银行,以及内蒙古三家银行和海峡银行。

在被点名后,21世纪经济报道记者实测发现,兴业银行、内蒙古银行和鄂尔多斯银行于1月13日当日立刻更新其用户隐私政策。民生银行也于翌日更新其隐私政策。

不过,在合规之外,如何解决数据治理的边界,正在拷问业内人士。

一位华南资深银行业内人士表示,未来的数据隐私保护要求越来越高。问题在于,如果说数据形成一个个孤岛,又没有办法去开展政府、企业间的合作。“既不可能把所有人的数据放在一起,又要把跨机构的数据层面的合作跑起来,同时也能够兼顾到隐私保护的要求。”该人士表示,这不仅需要金融机构在合规性方面有所动作,更要在金融科技领域能够处理这一问题。

46a5d51e39279dbead24b8fac73f56f1.jpgb0358df66086a2342267075aa0917dbc.jpg6edd3afc3de54fa1c54d9e6d9a200c61.jpgd3cb641ee38ef77e9468dceff6af29ef.jpg55ec616f2890d2b562be8abd054c1ac8.jpga5284ecb7fbd5ae87dcf9a6d9272ddfc.jpg

银行迅即更新隐私政策

“对于数据隐私的保护部分,很重要的就是用户的授权。但是授权管理我觉得还是有一点比较粗放的。”一位金融科技人士表示,并非到某一个网站、手机App打钩,后台数据库有一个数据就表示授权完成了。

兴业银行表示,其收集的个人信息包括:证件类型、证件号码、银行卡号、手机号等。此外,该行用户隐私保护条款显示,该行会使用证件类型、证件号码、手机号、设备型号、操作系统、唯一设备标识符、登录IP地址、操作日志、位置信息、面部图像(视频)、声音用于风险防范和诈骗监测等。收集用户手机银行的频率、总体使用情况、性能数据以便改善使用体验。

民生银行的隐私政策披露,会收集用户在使用服务过程中产生的相关信息,以判断账户风险以及控制信贷风险、保障正常提供服务、对于系统问题进行分析、统计流量,并在发送异常信息时予以排查。

1月15日,对此,兴业银行回应21世纪经济报道记者查询时表示,经紧急核查,确认该问题为手机银行安卓客户端(5.0.4版本)为强化互动功能,便于客户通过客户端一键拨打业务咨询电话与客户经理交流沟通,在系统安装时向手机操作系统申请了与“拨打电话”相关的权限。客户在向客户经理拨打电话前,手机银行客户端还会再次向客户询问是否允许“拨打电话”,并未通过该功能额外获取任何用户隐私信息。

兴业银行表示,已经第一时间与国家计算机病毒应急处理中心联系,在其指导下现已修订完善了用户隐私条款并更新,并对手机银行客户端App程序进行了优化。

15日晚,民生银行再次回应称,经第一时间沟通排查,确认是手机银行(5.12版)存在部分隐私条款有待补充完善之处。为严格落实监管机构关于客户隐私保护的要求,手机银行最新版本(5.2版)更新了隐私政策,进一步完善了摄像头、位置等客户信息相关内容,明确了设备权限使用场景以及获取客户信息范围和使用目的。

数据治理首个罚单

除App被点名,银行业内出现首个因数据治理被处罚的案例。

1月9日,银保监会披露的罚单信息显示,安徽凤阳农商银行被罚25万元,被罚原因为“未能根据要求有效开展数据治理工作,数据治理存在严重缺陷,严重违反审慎经营规则”。

此前,关于“银行数据治理”的罚单很少见,且均为上报监管数据不合规所致。例如,河南省方城县农村信用合作联社去年12月被罚70万元,原因是违反《关于印发银行业金融机构数据治理指引的通知》等规定,信贷资产质量不真实;未按规定报送非现场监管报表,经责令整改后,仍出现错报;以贷收息、以贷收贷。

安徽凤阳农商银行是目前所见第一单因数据治理被处罚的银行,但尚不清楚该行被处罚的具体原因。

此前2019年10月,一些大数据公司被曝出存在“违规爬虫”,银行与第三方大数据公司、金融科技类公司合作也引起广泛关注。部分银行也开始自查数据治理问题。

“我们首先是断掉一些可能涉嫌不合规的数据接口,并自查大数据来源。”一位股份行人士指出,目前机构对一些非持牌的大数据公司合作比较谨慎。

银行数据一般分为内部数据治理及外部数据治理。内部数据治理问题涉及到客户隐私泄漏、过度营销等。外部数据治理问题涉及到信息采集的不合理、不合法,如非法爬虫等。

监管正在对数据治理进行规范,2018年5月,银保监会发布《银行业金融机构数据治理指引》,从数据治理架构、数据管理、数据质量控制、数据价值实现、监督管理等方面规范银行业金融机构的数据管理活动。这标志着银保监会首次将数据治理提高到银行常规管理的战略高度。

去年12月26日,银保监会发布《现场检查办法(试行)》,银行业和保险业机构应当按照银保监会及其派出机构要求,加强数据治理,按照监管数据标准要求,完成检查分析系统所需数据整理、报送等工作,保证相关数据的全面、真实、准确、规范和及时。银保监会及其派出机构应当加强对银行业和保险业机构信息科技外包服务等工作的监督检查。

监管沙盒强化数据合规性

值得注意的是,金融科技监管沙盒试点已经注意到这一问题。

1月14日,中国人民银行营业管理部披露2020年第一批金融科技创新监管试点应用,6个应用拟纳入金融科技创新监管试点,并向社会公开征求意见。

21世纪经济报道记者注意到,金融科技监管沙盒均有提及数据隐私的合规性评估、技术安全评估和风险提示。

例如,工商银行试点“基于物联网的物品溯源认证管理与供应链金融”,基于物联网技术采集产品的生产制造、质检、库存、物流、销售等全生命周期特征数据,不可篡改地记录在区块链上,并接入物联网服务平台及企业智能管理系统(ECSP)。

该项目由于涉及企业内部供应链数据,工行在合法合规性评估中指出,该项目采集的涉及企业核心生产经营信息不向第三方提供,数据存储和保护机制可防范相关信息被窃取、篡改、破坏等恶意行为的发生,符合国家关于用户数据隐私保护等相关法律法规。在技术安全性评估方面,相关NFC芯片加密技术符合标签安全等级EAL4。

此外,银联、小米数科、京东数科合作的试点项目“手机POS创新应用”,其合法合规性评估也指出,手机POS在数据收集和使用方面的设计方案可防范收单过程中支付数据和用户敏感信息被窃取、篡改、破坏等恶意行为的发生,符合国家关于用户数据隐私保护、持卡人权益保护等相关法律法规。

9999.jpg

]]>
WebLogic远程代码执行漏洞(CVE-2020-2546、CVE-2020-2551) Wed, 22 Jan 2020 05:25:31 +0800 22.png

2020年1月14日,Oracle发布了大量安全补丁,涉及旗下产品(Databa se Server、Weblogic Server、Java SE、MySQL等)的334个漏洞,其中包括43个严重漏洞,CVSS评分均在在9.1以上。此次修补的漏洞数量达到历史最高,和2019年7月的数量一样。

此次修复的漏洞中包括两个和Weblogic相关的高危漏洞(CVE-2020-2546CVE-2020-2551),CVSS评分均为9.8,利用难度低,攻击者可借此实现远程代码执行。


aa.png

CVE-2020-2551漏洞和WLS核心组件的IIOP协议(用来在CORBA对象请求代理之间交流的协议)有关,以前也曾曝出过漏洞。


bb.png

CVE-2020-2546漏洞和T3协议有关(T3协议用于在 WebLogic和其他Java程序之间传输数据)。

概况

Weblogic是Oracle公司出品的基于JavaEE架构的中间件,用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用。

根据FOFA的数据统计,全球共有98850个开放的Weblogic服务。其中美国最多,有74807个开放服务。其次是中国,有11351个开放的Weblogic服务。伊朗第三,有1304个开放的Weblogic服务。德国第四,有810个开放的weblogic服务。印度第五,有705个开放的weblogic服务。

全球范围内Weblogic服务分布情况(仅为分布情况,非漏洞影响情况)。

33.png

国内的Weblogic服务分布如下,北京市最多,有3067个服务,广东省第二,有1200个服务,上海市第三,有1121个服务,浙江省第四,有888个服务,江苏省第五,有707个服务。

44.png

危害等级

严重

漏洞影响

CVE-2020-2546:
Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0

CVE-2020-2551:
Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0

CVE编号

CVE-2020-2546
CVE-2020-2551

修复建议

Oracle官方补丁需要登录帐户后下载(https://login.oracle.com)。

CVE-2020-2546漏洞也可以通过临时禁用T3协议来防御。

CVE-2020-2551漏洞可以通过Weblogic控制台中的AdminServer中的协议页面取消IIOP的勾选来临时防御。

参考

[1] https://www.oracle.com/security-alerts/cpujan2020.html

[2] https://mp.weixin.qq.com/s/Q-ZtX-7vt0JnjNbBmyuG0w

[3] https://threatpost.com/oracle-cpu-all-time-patch-high-january/151861/

9999.jpg

]]>
安全研究人员发布了两个思杰严重漏洞的利用 Wed, 22 Jan 2020 05:25:31 +0800 对于最近思杰 (Citrix) 曝出的两个超级漏洞——Citrix Application Delivery Controller (ADC) 和 Citrix Gateway 产品中的远程利用漏洞,尚未应用漏洞缓解措施的企业要抓紧了。

两组独立的研究人员已在 GitHub 上发布了针对该漏洞的概念验证漏洞利用代码 (CVE-2019-19781)。其中一个漏洞利用——Project Zero India 由印度团队发现,另一种利用——Citrixmash 的发现团队来自安全咨询公司 TrustedSec。

TrustedSec安全顾问David Kennedy 在博客文章中说:

TrustedSec 可以确认我们已经拥有 100% 可以正常工作的远程代码执行漏洞,可以通过未经身份验证的方式直接攻击任何 Citrix ADC 服务器。

他说,具有易受攻击系统的组织应立即采取措施缓解该漏洞,因为攻击者正在积极扫描要攻击的系统。

截至目前,思杰尚未发布该漏洞的补丁。安全研究人员称此漏洞特别危险,因为它允许未经身份验证的远程攻击者在易受攻击的系统上运行任意利用代码。

Citrix 产品广泛用于企业网络中的许多任务,包括从任何设备远程访问内部系统,这加剧了人们的担忧。

另一个加剧担忧的因素是,该漏洞被认为非常容易利用。TrustedSec 表示,它只是基于 Citrix 解决方案中的已有信息来开发其利用程序。

思杰目前能提供的仅有漏洞缓解建议:

敦促企业对其ADC和网关系统(以前称为 Netscaler ADC 和 Netscaler 网关)进行某些配置更改,以降低遭受攻击的风险。

预计要到 1 月 20 日左右,Citrix 才会提供设备固件的补丁程序。

美国国土安全部 (DHS) 的网络安全和基础设施安全局 (CISA) 周一发布了一个实用程序 (https://github.com/cisagov/check-cve-2019-19781) ,能帮助企业快速测试其 Citrix ADC 和 Citrix Gateway 软件是否易受 CVE-2019-19781 漏洞的影响。

9999.jpg

]]>
所有Windows都中招!微软爆出超级漏洞 Wed, 22 Jan 2020 05:25:31 +0800 本周三,所有运行 Windows 的企业和个人都必须密切关注并更新一个Windows补丁。

据著名安全博客 KrebsOnSecurity 爆料,微软计划于周三(美国当地时间周二)发布重要软件更新,修复一个:所有版本 Windows 中都存在的核心加密组件中的一个极为严重的安全漏洞。

NSA 发现史上最可怕的微软产品漏洞,美军方优先获得补丁

据 Krebs 的 Twitter 消息,美国国家安全局 NSA 首先发现这个漏洞并呈报给微软。

另据消息人士说,在周二补丁日之前,微软已经悄悄地将这个漏洞的补丁发送给了美国国防部 (DoD) 美军分支机构以及管理关键互联网基础设施的其他高价值客户/目标,并且这些组织已经被要求签署保密协议,以阻止他们透露漏洞的细节。

根据消息来源,这个漏洞位于名为 crypt32.dll 的 Windows 组件中,用于处理 “CryptoAPI 中的证书和加密消息传递功能。”

Microsoft CryptoAPI 是微软提供给开发人员的 Windows 安全服务应用程序接口,可用于加密的应用程序,实现数据加密、解密、签名及验证等功能。

由于复杂的加密算法实现起来非常困难,所以在过去,许多应用程序只能使用非常简单的加密技术,这样做的结果就是加密的数据很容易就可以被人破译。而使用Microsoft提供的加密应用程序接口(即Cryptography API),或称 CryptoAPI,就可以方便地在应用程序中加入强大的加密功能,而不必考虑基本的算法。

影响所有Windows产品和用户的“超级漏洞”

Windows 组件中的这个严重漏洞 (CVE-2020-0601) 可能会对许多重要的 Windows 功能产生广泛的安全影响,包括在 Windows 台式机和服务器上进行身份验证,保护由 Microsoft 的浏览器 (Internet Explorer / Edge) 浏览器处理的敏感数据,以及许多第三方应用程序和工具。

同样令人担忧的是,攻击者还可能滥用 crypt32.dll 中的漏洞来欺骗与特定软件相关的数字签名。

攻击者可以利用这个漏洞,使恶意软件看起来像是由合法软件公司生产并签名的良性程序。

存在漏洞的组件是 20 多年前就引入 Windows,从 Windows10、Windows Server2016 一直可以追溯到爷爷辈的 Windows NT 4.0 中。因此,可以说所有版本的 Windows 都可能受到影响(包括 Windows XP,Microsoft 的补丁程序不再支持 Windows XP)。

一位提前获知消息的 CERT/CC 的一位漏洞分析师 Will Dormann 发推说:

我有预感大家明天要拿出十二万分的热情来更新补丁。

而一位基础设施安全专家则吐槽说已经连续收到多个联邦机构的“七道金牌”,明天务必一定必须“全部更新”补丁,但这对低带宽的边缘网络来说是个巨大的挑战。

动摇了整个网络安全基础设施的信心基础

美国东部时间周一下午,Microsoft 做出回应:表示在漏洞补丁更新可用之前,它不会讨论该漏洞的详细信息。

微软在一份书面声明中说:

微软不会在常规更新时间表(星期二)之前发布可用于生产的更新。通过我们的安全更新验证程序 (SUVP),我们发布了更新的升级版本,目的是在实验室环境中进行验证和互操作性测试。根据合同,不允许该程序的参与者将修复程序应用于此目的之外的任何系统,并且不得将其应用于生产基础结构。

爆料的安全博客 KrebsOnSecurity 周二收到了美国国家安全局 (NSA) 的警告,称 NSA 计划本周三(1月14日)召开电话会议,向新闻媒体 “提供有关当前 NSA 网络安全问题的高级通知。”

美国国家安全局网络空间安全总监 Anne Neuberger 指出,微软核心加密组件的漏洞,动摇了整个网络安全基础设施的信心基础。

本文发布前更新

Google 漏洞研究员 Tavis Ormandy 今晨发推确认微软漏洞不仅仅威胁代码签名,而且导致所有 X.509 证书验证失效,攻击者可以截获并修改 TLS 加密通讯。

NSA 发布的漏洞修复建议(比微软和 CERT/CC 的公告更详尽):

https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF

本文参考来源:

https://krebsonsecurity.com/2020/01/cryptic-rumblings-ahead-of-first-2020-patch-tuesday/

9999.jpg

]]>
微软提前释出补丁修复加密组件高危漏洞 Wed, 22 Jan 2020 05:25:31 +0800 微软本周二将释出例行安全更新,而 KrebsOnSecurity 援引知情人士的消息报道,微软将释出补丁修复一个影响所有版本 Windows 的加密组件高危漏洞。而在例行更新释出前,微软就悄悄向美国军方机构和管理互联网基础设施的高价值客户释出了补丁。

为防止漏洞信息泄露,微软还要求这些机构签署了保密协议。消息源称,漏洞存在于加密组件 crypt32.dll 中,该模块用于处理 CryptoAPI 中的证书和加密消息函数。

它存在高危漏洞将会影响到许多 Windows 重要功能,包括Windows 桌面和服务器之间的验证,敏感数据保护,以及第三方应用和工具。                    

dormanntweet.png

9999.jpg



]]>
多家银行App遭点名 金融机构数据使用待规范 Wed, 22 Jan 2020 05:25:31 +0800 又有24款违法违规移动应用遭到点名。日前,国家计算机病毒应急处理中心在“净网2020”专项行动中通过互联网监测发现,民生银行、兴业银行等多家银行因“未向用户明示申请的全部隐私权限,涉嫌隐私不合规”,这些银行的App被列入有害名单。

02bd80e054bcdf9.jpg

除上述金融类App之外,记者发现,违法的App还集中在出行和采购农产品领域,例如,12306买票(版本2.3.11)、飞常准(版本4.8.1)、航旅纵横(版本5.1.3)、《东方航空》(版本7.3.13)和《筐鲜生采购端》(版本1.2.1)等。

“以前这方面的监管处于真空状态,但随着互联网侵占个人信息事件增多,站在国家信息安全和个人信息保护的角度,强监管是必要的,需清理整顿App违规采集信息的问题。”中央财经大学中国互联网经济研究院副院长欧阳日辉对第一财经记者表示。

民生银行、兴业银行等被列入违规名单

国家计算机病毒应急处理中心监测发现24款违法移动应用。新华社1月13日称,国家计算机病毒应急处理中心近期在“净网2020”专项行动中通过互联网监测发现,多款违法、违规有害移动应用存在隐私不合规行为,违反《网络安全法》相关规定,涉嫌超范围采集个人隐私信息。

第一财经发现,其中有6家银行因“未向用户明示申请的全部隐私权限,涉嫌隐私不合规”,分别为《民生银行》(版本5.12)、《兴业银行》(版本5.0.4)、《内蒙古农信》(版本2.4.6)、《内蒙古银行》(版本2.0.4)、《海峡银行》(版本2.4.8)、《鄂尔多斯银行》(版本3.1.0)。

上述一家银行相关负责人对第一财经回应称,上述被点名的版本是之前的,现在已经更新了版本,按照要求整改完毕。

因上述相同原因不合规的还有,《12306买票》(版本2.3.11)、《订票助手12306高铁抢票》(版本8.1.2)、《抢火车票》(版本8.0.0)、《高铁票务》(版本8.1.2)、《高铁管家》(版本7.3.1)、《铁友火车票-12306抢票》(版本9.0.0)、《飞常准》(版本4.8.1)、《航旅纵横》(版本5.1.3)、《东方航空》(版本7.3.13)、《山航掌尚飞》(版本4.10.1)、《飞行加》(版本3.4.11)、《快票出行》(版本2.6.8)、《12306买火车票》(版本8.5.89)、《搜狗浏览器》(版本5.25.9)、《搜狗搜索》(版本7.3.5.2)。

另外,因“未经用户同意收集个人隐私信息,涉嫌隐私不合规”的App有:《深圳航空》(版本5.3.1)、《遨游旅行》(版本5.6.2)、《筐鲜生采购端》(版本1.2.1)。

国家计算机病毒应急处理中心对此提醒,首先广大手机用户不要下载这些违法有害移动应用,避免手机操作系统受到不必要的安全威胁;其次,建议打开手机中防病毒移动应用的“实时监控”功能,对手机操作进行主动防御,这样可以第一时间监控未知病毒的入侵活动。

欧阳日辉称,从国家信息安全和个人信息保护的角度,目前,有必要清理整顿App违规采集信息的问题。而对消费者而言,要认识到隐私保护的重要性,不要为了微薄利益而出让个人信息。消费者若不了解个人隐私的重要性,可能会陷入更严重的金融诈骗和网络诈骗。

App专项整治行动趋严

2019年11月以来,公安部加大打击整治侵犯公民个人信息违法犯罪力度,组织开展App违法违规采集个人信息集中整治,深入推进由中央网信办、工业和信息化部、公安部、市场监管总局联合开展的App违法违规采集使用个人信息专项整治行动。

2019年12月4日, 国家网络安全通报中心称,全国公安机关网安部门按照公安部网络安全保卫局的部署要求,快速行动,重拳出击,集中发现、集中侦办、集中查处整改了100款违法违规App及其运营的互联网企业。此次集中整治,重点针对无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形,责令限期整改27款,处以警告处罚63款,处以罚款处罚10款,另有2款被立为刑事案件开展侦查,相关案件正在侦查中。

在上述100款违法违规App中也有银行的身影,例如,光大银行、天津银行以及天津农商银行。另外,乐贷款、借钱呗、资金保等多个借款类App也在违法违规之列。

“针对当前一些金融机构客户端软件存在的安全防护能力参差不齐、超范围收集个人信息、仿冒钓鱼现象突出等问题,各金融机构要建立客户端软件安全管理全程覆盖机制,相关部门要建立健全客户端软件监督处置机制。”人民银行科技司司长李伟在金融业移动金融客户端应用软件备案管理工作试点启动会议上称。

2019年12月30日,监管力度再次加强。国家互联网信息办公室秘书局、工信部、公安部办公厅及国家市场监督管理总局办公厅联合印发《App违法违规收集使用个人信息行为认定方法》(下称《认定方法》),对“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则,收集与其提供的服务无关的个人信息”、“未经同意向他人提供个人信息”、“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”的行为均有规定。

“上述文件从源头上治理数据采集和使用问题,从法律上明确了认定App收集使用个人信息的行为,具体划分了6个层面的行为。这对企业收集使用信息有了明确的指引,对个人保护信息提供了有力的保障,提高数据治理的有效性。”欧阳日辉称,数据是生产要素,没有数据,数字经济发展不起来。在数据采集和使用上需要寻求一个平衡点、一套规则,既要达到维护国家安全和保护个人隐私的目的,又要合理地利用数据促进数字经济发展。这是考验监管层智慧的事情。美国和欧盟等国外的做法值得我们借鉴,也要根据我国国情,制定适合我国的相应的法律法规。

欧阳日辉称,个人隐私和信息的保护,既要靠监管层有一套完善的法律法规,也要靠平台公司遵守法律法规保护消费者的权益,同时消费者自己也要提高保护意识。

9999.jpg



]]>
暴风激活工具被发现携带「麻辣香锅」病毒修改和劫持浏览器主页 Wed, 22 Jan 2020 05:25:31 +0800 出于对价格的考量许多用户在重装系统时都会使用各类激活工具,作为辐射范围颇广的暴风激活工具用户量挺多。

这款工具本质上就是内置 KMS 类脚本搭建本地服务器进行激活 ,  因技术难度并不高因此工具本身也易被反编译。

而国内各种下载站则对这类工具的收录非常频繁,因为用户需求量大可以带来更多流量因此下载站也是来者不拒。

这些下载站也不会验证收录的软件是否存在安全问题,反正最终中毒的是用户所以这些下载站也不在意携带病毒。

比如暴风激活工具就被发现携带病毒并在各大下载站传播,用户若通过搜索引擎检索下载的则可能会被病毒感染。

携带麻辣香锅病毒修改和劫持浏览器主页:


据360安全安全大脑监测日前截获的暴风激活工具样本携带病毒 , 该病毒的主要用途是修改/劫持用户浏览器主页。

因其木马运行后释放的病毒文件在MLXG_KM目录下,故360安全专家将其命名为麻辣香锅病毒(即拼音的首字母)

麻辣香锅病毒最主要的目的就是劫持用户浏览器主页,几乎所有主流浏览器的主页都会被该病毒篡改并进行锁定。

例如谷歌浏览器、火狐浏览器、IE浏览器、淘宝浏览器、百度浏览器、搜狗浏览器、QQ浏览器和UC浏览器等等。

当这些浏览器主页被劫持后会被强制锁定因此用户无法修改,即便手动修改主页在浏览器重启后会再次遭到篡改

伪装系统服务阻止安全软件拦截:


在运作方式上360安全专家称该病毒的劫持流程可谓是步步为营 , 病毒开发者设置恶意驱动用来注册/加载过滤器。

过滤器可用来阻止主流浏览器调用系统已经安装的杀毒软件,随后创建回调在用户启动浏览器时使用命令行劫持。

同时开发者还会利用恶意驱动对病毒文件进行守护,除病毒进程自身可进行调用外其他调用都会被守护进程阻止

此外病毒还会注册名为Windows Mobile UserExperience Server伪装成系统服务用来帮助病毒文件连接和升级。

而非专业用户看到这类系统名称可能会误以为是系统进程而不会理会,病毒开发者也正是利用这点迷惑普通用户。

最后病毒还冒用北京嘉恒中自图像技术有限公司已过期的数字签名,试图冒充是正规公司的产品来躲避拦截查杀。

使用各类激活工具需谨慎:


安全专家表示各类激活工具和破解软件是病毒传播的重要路径,通常此类软件的安全性无法保证因此需谨慎使用。

而用户通过各大搜索引擎查找这类激活工具时则更应该注意,尤其是被标记为广告和产品的几乎百分百携带病毒。

此外各类下载站提供的激活工具也同样是不可靠的,这类下载站几乎不会对收录的软件进行任何检测不保证安全。

激活类工具又是许多病毒开发者最常用的载体,因此若从搜索引擎渠道进行检索的话很难下载到没有病毒的版本。

最后还需要提醒的是许多激活工具声称被杀毒软件误报要求用户放行,而这类可能是真的有病毒用户不应该放行。

9999.jpg

]]>
微软发现恶意npm软件包 可从UNIX系统窃取数据 Wed, 22 Jan 2020 05:25:31 +0800 Microsoft 的漏洞研究团队在 npm(Node Package Manager) 存储库中发现了一个恶意 JavaScript 程序包,可从 UNIX 系统窃取敏感信息。该恶意软件包名为 1337qq-js,于 2019 年 12 月 30 日上传到 npm 存储库中。目前,该恶意软件包已被 npm 的安全团队删除。在此之前,该软件包至少被下载了 32 次。

根据 npm 安全团队的分析,该软件包通过安装脚本来泄漏敏感信息,并且仅针对 UNIX 系统。

Microsoft-sees-malicious-NPM-package-that-steals-data-from-UNIX.png

它收集的数据类型包括:

环境变量

运行过程

/ etc / hosts

优名

npmrc文件

其中,窃取环境变量则被视为重大安全漏洞。npm 团队建议所有在其项目中下载或使用此 JavaScript 程序包的开发人员从其系统中删除该程序包,并轮换使用任何 compromised 的凭据。

事实上,这是恶意软件包第六次被放入 npm 存储库索引,此前的五次分别为:

2019 年 6月 -黑客将电子本地通知库进行后门操作,以插入到达 Agama 加密货币钱包的恶意代码。

2018 年11月 -一名黑客借壳了the event-stream npm 程序包,以将恶意代码加载到 BitPay Copay 桌面和移动钱包应用程序内部,并窃取加密货币。

2018 年 7月 -黑客利用旨在窃取其他开发人员的 npm 凭据的恶意代码破坏了 ESLint 库。

2018年 5月 -黑客试图在名为 getcookies 的流行 npm 包中隐藏后门。

2017 年 4月 -黑客利用敲诈手段在 npm 上载了 38 个恶意 JavaScript 库,这些库被配置为从使用它们的项目中窃取环境细节。

9999.jpg

]]>
黑客组织入侵捐款平台 澳洲森林火灾善款遭窃取 Wed, 22 Jan 2020 05:25:31 +0800 从2019年9月开始至今,一场持续了100多天的大火一直在澳大利亚的土地上肆虐,2万多只考拉在大火中丧生,1000万公顷森林化作焦土,2000多处房屋毁于一旦,上千居民被迫迁移,死亡人数已接近30人......面对天灾,世界各地的人都通过网上募捐平台向澳大利亚捐款,以求大火早点熄灭。

然而,就是在这样的情况下,据外媒报道,Malwarebytes反黑客平台的安全专家发现,一个募捐平台正在遭受黑客的攻击

640.webp (1).jpg

640.webp (3).jpg
640.webp (2).jpg据报道,攻击该网站的是一种恶意脚本,黑客可以利用该脚本窃取捐款者的信用卡以及付款信息,而攻击者很可能就是此前曾经攻击过80多个公司(其中包括Ticketmaster、福布斯和英国航空公司)的Magecart组织。2018年9月,英国航空公司称,超过380000名客户的个人和付款信息被盗窃。

目前恶意脚本仍然活跃在网站上,Malwarebytes已经对运营方发出了警告,但是后者还没有对此做出反应。此外,Malwarebytes称,该脚本也活跃在另外三个募捐平台上,当前无法估计有多少损失。

9999.jpg

]]>
20年前偷懒修复的千年虫bug归来 程序员:该来的总会来 Wed, 22 Jan 2020 05:25:31 +0800 新的十年开始了。二十年前,在千禧之年钟声敲响的时候,诸多 Y2K 应急队的程序员坐在电脑前惴惴不安,他们此前刚刚用最简单易行的 “懒人方法” 修补了一个被称为“千年虫”(Millennium Bug,又称 Y2000 problem,简称“Y2K”)的大 bug。二十年后,这群程序员老了,但是新一代的青年程序员又要为老一辈的懒惰而付出代价。

据《纽约时报》报道,纽约的停车收费表从 2020 年 1 月 1 日开始不支持信用卡付款,整个城市的一万多个计费表已手动更新,仅通过现金或 ParkNYC 接受付款;波兰公司 Novitus 生产的收银机由于记录时间故障而无法打印收据;视频游戏 WWE 2K20 于 2020 年 1 月 1 日午夜停止工作;华为手表和部分设备丢掉了新年伊始两三天的 TrueSleep 睡眠数据,需要更新并重启……


纽约市交通局表示,停车计时器的信用卡支付软件设定在 1 月 1 日失效,导致了一起大规模故障(来源:The New York Times)

程序员 Jef Poskanzer 在推特上发文:似乎有相当数量的系统出现 #2020 错误。当年解决 Y2K 问题的方案把这个问题推迟了 20 年……20 年后的今天,当时的一些系统仍然还在使用,系统以为我们在 1920 年。”


Jef Poskanzer 的推文(来源:Twitter 截图)

千禧年前后出生的青少年们或许很少有人知道“千年虫”。

大约在 20 世纪 80 年代中期以前投用的系统上,囿于存储空间有限,再加上人们普遍觉得系统更新会很快,所以程序员大多采用两位数来表示年份,比如 06/15/98,而不是 06/15/1998。但是到了 2000 年,系统只知道是 01/01/00,不知道这是 1900 还是 2000。

千年虫主要集中在配备较早的主机系统上,如在 IBM 4381,IBM AS/400 等机型上运行的应用程序,比如美国的 AT&T 电讯公司,其内部就有超过 3.6 亿行的应用程序需要检测是否存在 Y2K 问题。另外,在自动化仪器仪表、电梯、警报系统、恒温灯等嵌入式设备也容易存在千年虫隐患。

视频 Y2K 启示录(来源:YouTube)

计算机在上世纪六七十年代开始普及,到九十年代,人们开始意识到问题的严重性:不知道从 1999 年最后一天的 23:59 到 2000 年第一天的 00:00 的转变意味着什么?在渲染和炒作下,大众的惊恐程度不亚于“2012”。人们猜测,如果程序停止运行、崩溃或者发出错误指令,是否影响到银行、电站、航线等等,存款会一夜清零、恐怖袭击、飞机坠落、股市崩溃,世界陷入混乱?

当时甚至有媒体报道,有人把山洞当做避难所,存储了很多食物、医疗包等必需品,还有一些人把银行存款纷纷取出来或者是购买黄金。


1999 年 1 月 18 日,TIME 的封面(来源:Time)

为了避免 “灾难” 发生,政府和企业动用大量资源查找和修复这个 bug。有报道显示,当时克林顿政府和业内人士估计,用 “windowing” 的方式修补 80% 的计算机,预计耗资数千亿美元。BBC 报道认为全球花在防备千年虫上的费用在 3000 亿到 5000 亿美元之间。真实耗资目前无法考证。也有言论说千年虫是个商业大骗局。

当时修复 bug 的方式有两种:完全重写代码,或者采用 “windowing” 的方式快速修复。“windowing”就是把 00 到 20 之间的所有日期都当做 20XX 年而不是 19XX 年。很显然,相比于把所有两位数表示的年份都修改成四位数,后一种方式更省钱、更快而且更容易。

从 1970/01/01 开始,很多编程语言和系统都把日期时间以秒来处理,也叫 Unix time。因此,鉴于中点 1970 的重要性,编码人员选择 1920 到 2020 作为标准窗口。

Unix time 被广泛用于各种行业操作系统,并被视为是一种标准。Unix 和 Windows 系统有环境变量来为系统设置 “转折年”。“转折年” 以后的任何一年属于本世纪,“转折年”以及 “转折年” 之前的任意一年属于上个世纪。但是一些产品,如 Microsoft Excel 95 使用的是 1920-2020 年的 windowing,在解决千年虫问题之后,仅仅过 20 年就有可能再次出现日期错误。


2020 年 “Y2K” 又回来了(来源:Popular Mechanics)

当时的专家认为,等到程序员投入大量的资金和时间去永久修复好这些 bug 之后,系统早就被更换了。所以,尽管 “windowing” 修复的程序智能使用二三十年,专家也觉得足够了。

伦敦经济学院 (London School of Economics) 的迪伦 · 穆尔文 (Dylan Mulvin) 表示:“windowing 是所有解决方案中最糟糕的一种,即便是在千年虫问题期间。”

2020 年的到来,意味着我们已经进入到了 1920-2020 窗口期的末端。2019 年 11 月,由于被发现容易受到 Y2020“攻击”,大数据公司 Splunk 向用户推出了修复服务,它的用户涵盖了美国《财富》一百强公司中的 92 家。由于各家公司尚未披露相关细节,目前还不清楚 “Y2020” 将持续多久

另外,在 2038 年我们将面临另一个数据存储问题。32 位的 Unix 和 Linux,能存储的最大数字为 2 的 31 次方,即 2147483647。从 1997 年开始计算,2147483647 用来表示的秒数最多只能用到 2038 年 01 月 19 日 03 时 14 分 07 秒,在这个时间之后,系统会回到 - 2147483648,代表的时期是 1901 年 12 月 13 日 20 时 45 分 52 秒。

不同于千年虫,2038 会影响的不仅仅是应用层,而是会影响到最底层的时间控制功能。不过幸运的是,如果能在 2038 年之前把所有 32 位系统淘汰并采用 64 位的话,我们将会巧妙地躲开 2038 问题。

9999.jpg



]]>
超10亿张患者医学图像被泄漏 但始终没引起医疗机构重视 Wed, 22 Jan 2020 05:25:31 +0800 每天,数以百万计、包含患者个人健康信息的医学图像都会涌入到互联网上。数以百计的医院、医疗工作室和影像中心都在运行着不安全的存储系统,以至于任何拥有互联网连接的用户都可以通过免费下载的软件来访问全球超过10亿例患者的医学图像。

在所有曝光的图像(包括X射线,超声波和CT扫描)中,约有一半属于美国患者。尽管安全研究人员就该问题向医院和医生办公室发出多次警告,但依然有很多人忽略了他们的警告,并继续暴露患者的私人健康信息。德国安全公司Greenbone Networks的研究工作的Dirk Schrader表示:“这种情况每天都在恶化。”该公司过去1年都在监控泄漏服务器的数量。

去年9月份,Greenbone已经发现了有超过2400万例患者的7.2亿张医学图像在网络上被曝光。然而两个月之后,暴露的服务器数量增加了一半以上,达到3500万例患者检查,暴露了11.9亿次扫描,这严重侵犯了患者的隐私。

不过问题几乎没有减弱的痕迹。Schrader表示:“即时我们已经向多家医疗机构发出了反馈,但是暴露的数据依然在不断增加。如果医院和医生还不采取相应的行动,那么曝光的医学图像数量很快将会刷新记录。”

公开资料表明,PACS 系统是应用于医院影像科室,主要任务是把日常产生的各种医学影像(包括核磁、CT、各种 X 光机等设备产生的图像)通过各种接口(模拟、DICOM、网络)以数字化的方式海量保存起来。当需要时,在一定授权下,可以快速调回,同时增加一些辅助诊断管理功能。这些 PACS 系统使用医学数字成像和通信 (DICOM)标准来管理医学成像数据。

这些患者数据记录非常详细,大多包括以下个人和医疗细节:

名字和姓氏;

出生日期;

审查日期;

调查范围;

成像程序的类型;

主治医师;

研究所 / 诊所;

生成的图像数量

攻击者可以利用这些信息部署和实施更有效的社交工程和网络钓鱼攻击,从而最终获得金钱。

9999.jpg



]]>
安全周报(01.06-01.12) Wed, 22 Jan 2020 05:25:31 +0800 1、 奥地利外交部电脑系统遭网络攻击

奥地利外交部和内政部联合发表声明说,自当地时间1月4日23时起,奥地利外交部电脑系统遭到有针对性的网络攻击,至5日白天网络攻击仍在持续。受攻击的主要是内部电脑系统,外交部网页未受影响。奥地利有关方面正采取技术措施应对网络攻击。

1578380030544610.png

 2、VPN 警告:REvil 勒索软件盯上未打补丁的 Pulse Secure VPN 服务器

使用REvil(Sodinokibi)勒索软件勒索大型组织的网络罪犯瞄准未打补丁的Pulse Secure VPN服务器,并禁用防病毒软件。安全研究人员正在敦促使用Pulse Secure VPN的组织立即进行修补,否则将面临犯罪分子的“大规模”勒索软件攻击,这些犯罪分子可以轻松地使用Shodan.io IoT搜索引擎来识别易受攻击的VPN服务器。

%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E9%94%81%E8%B1%A1%E4%BF%A1%E6%81%AF%E4%BF%9D%E5%AF%86%E6%80%A7%E6%95%B0%E6%8D%AE%E4%BF%9D%E6%8A%A4%E4%BA%92%E8%81%94%E7%BD%91%E5%92%8C%E6%8A%80%E6%9C%AF%E6%A6%82%E5%BF%B5-127452164.jpg

 3、日本爱情酒店热门搜索引擎“HappyHotel.jp”披露数据泄露

去年年底,这个HappyHotel.jp搜索引擎遭遇了10年来最重大的一次数据泄露。据其背后公司Almex在其网站发布的消息称其在去年12月22日检测到对其服务器的未授权访问,并表示,黑客可能访问的数据类型包括详细信息,如:真实姓名、电子邮件地址、登录凭据(用户名和密码)、生日、性别信息、电话号码、家庭地址和支付等详细信息。Almex暂时关闭了HappyHotel.jp网站,另一个由其管理的情趣酒店搜索引擎Loveinn Japan也已被关闭。

rlqWyKPhbgzjdcU5B6RWqIrS3i8eLNW5FfEWhmeY.png

 4、微软Access数据库出现漏洞 或致8.5万家企业面临风险

2020年1月8日,研究人员发现,微软的Access数据库应用程序存在一个漏洞,如果不进行修补,可能会对数千家美国企业产生不良影响。Mimecast的团队发现的这个漏洞可能会导致敏感信息的意外泄露。他估计,约有85000家企业面临风险。不过,到目前为止,据信尚没有任何公司受到损害。

1578576798262364.jpg

 5、Snake勒索软件正在威胁全球的企业网络

Snake是一种新的勒索软件,这些犯罪组织为了让利润最大化,针对的不是单个用户而是企业。

与其他勒索软件一样,Snake在执行时会删除计算机的卷影副本,它还会杀死与SCADA系统、虚拟机、工业控制系统、远程管理工具、网络管理软件等相关的众多进程。

Snake还会加密系统上的文件,从而跳过Windows系统文件和文件夹。在文件扩展名后面还会附加一个勒索5字符字符串(即名为invoice.doc的文件被加密并重命名为invoice.docIksrt)。

15786269394361.jpg

6、研究人员发现数以亿计的电视网络使用的调制解调器(光猫)存在安全漏洞

电缆调制解调器属于光猫(Modem)设备的一种,主要特点是可以同时接入电视网络和宽带网络,日前来自丹麦的安全团队发现使用博通芯片组的电缆调制解调器存在严重级安全漏洞会危害到整个互联网的健康。

攻击者借助漏洞可以远程操纵这些电缆调制解调器并组建僵尸网络,而这类设备在全球的使用数量在亿级别以上。

研究人员称仅在欧洲就有高达2亿台易受漏洞(Cable Haunt)影响的电缆调制解调器 , 放眼全球受影响的设备更多。

微信截图_20200112101245.png

 

 


]]>
研究人员发现数以亿计的电视网络使用的调制解调器(光猫)存在安全漏洞 Wed, 22 Jan 2020 05:25:31 +0800 电缆调制解调器又名线缆调制解调器(Cable Modems) ,  是种可以同时连接有线电视网络和宽带网络的网络设备。

通常在运营商向用户同时提供广播电视节目和互联网时会安装此类设备,目前大多数地区都在广泛使用此类设备。

日前来自丹麦的安全团队发现使用博通芯片组的电缆调制解调器存在严重级安全漏洞会危害到整个互联网的健康。

攻击者借助漏洞可以远程操纵这些电缆调制解调器并组建僵尸网络,而这类设备在全球的使用数量在亿级别以上。

研究人员称仅在欧洲就有高达2亿台易受漏洞(Cable Haunt)影响的电缆调制解调器 , 放眼全球受影响的设备更多。

注:本文提到的电缆调制解调器属于 光猫(Modem)设备 的一种,主要特点是可以同时接入电视网络和宽带网络。

漏洞影响博通芯片组的频谱分析仪:


知名芯片制造商博通为电缆调制解调器供应商提供芯片组,而芯片组附带的标准组件有个名为频谱分析仪的组件。

该组件由硬件和软件同时构成可以保护解调器避免受到同轴电缆信号带来的浪涌以及干扰等提高画面的传输质量。

网络运营商也可以借助该组件来调试画面的连接质量,在大多数解调器上内部网络连接会被限制对该组件的访问。

而博通芯片组附带的频谱分析仪缺乏针对DNS重新绑定攻击的保护 , 使用默认账号密码且固件存在编码错误问题。

当攻击者诱骗用户通过浏览器访问特制的钓鱼网页时即可利用漏洞将命令传递给频谱分析仪并执行特定的命令等。

漏洞可能导致的问题包括:


攻击者可借助钓鱼网页远程修改电缆调制解调器默认DNS设置,执行远程中间人攻击 (MIT)或远程执行任意代码。

攻击者可静默上传刷新和升级电缆调制解调器的固件,例如攻击者可以制作含有恶意脚本的固件并执行远程刷机。

可阻止网络运营商通过组件进行调试或执行固件升级,可修改电缆调制解调器中所有配置文件和相关的配置选项。

可以获取和设置SNMPOID值(SNMP协议的对象标识符)、修改所有关联设备的MAC地址以及更改设备的序列号。

最后最让人担忧的也就是这些受影响的解调器可以用来组建僵尸网络,如此规模的安装量若被攻陷潜在后果极大。

制造商相互复制代码导致无法溯源:


研究人员在分析漏洞时还发现漏洞最初可能来自于参考软件,该参考软件似乎是不同制造商相互复制固件产生的。

这些制造商可能在推出产品时借鉴同类产品的固件复制过来然后再修改,这导致漏洞最初的编写者无法再被查证。

研究人员表示在分析多个制造商的固件后发现这些固件核心基本相同,存在的漏洞也类似只是表现方式略有不同。

因此也无法按照不同制造商来预估潜在受影响的设备总量 ,但目前保守估计仅在欧洲市场受影响的就有2亿多台。

敦促运营商立即远程升级固件修复漏洞:


研究人员披露此漏洞还有个重要目的就是敦促运营商升级,因为这些电缆调制解调器漏洞带来的潜在影响非常大。

而运营商是可以借助文章开头所说的频谱分析仪组件进行调试和升级的,即直接向所有用户推送修复漏洞的固件。

目前在欧洲只有斯堪的纳维亚半岛的四家运营商发布固件解决漏洞,绝大多数欧洲或全球的运营商没意识到漏洞。

同时研究人员目前也已提供概念验证代码供运营商和安全专家进行测试,以检查某些特定型号的设备是否受影响。

9999.jpg

]]>
智能门铃背后的安全风险 Wed, 22 Jan 2020 05:25:31 +0800 虽然“黑色星期五”和“网络星期一”已经结束,但更大的购物浪潮还在后面——圣诞节,一年中可以让快递包裹在门口和走廊堆积如山的时候。

有些公司认为,保护这些包裹免遭盗窃是很正常的,而恰巧的是,他们有防护装备——智能门铃。智能门铃配备了摄像头并时时连网,即使用户外出或者在床上睡觉,也可以看到门口24小时的监控情况。

据称,某些门铃可以区分门口是快递员还是一只山羊(确实发生过)。其他门铃,还宣称能够“识别包裹和熟人的面孔”或者当检测到周围的人员走动或者声音,还可以通知用户。

smart-doorbell-with-hand-approaching-900x506.jpg

智能门铃的卖点很简单,即让人时时警觉。但是,仔细一想就会发现私人的社区网络监视危害更大。

首先,一些主流的智能门铃产品有严重的网络安全漏洞,而其他产品在启动时连基本功能都不能保证。其次,智能门铃制造商收集了用户的数据隐私,这使得该公司的员工监视用户更为便捷和肆意了。最后,警局和智能门铃制造商之间会达成某种共识,当出现犯罪案件时,警察无需犯罪证据就可以直接提取用户的智能门铃监控视频了。

改善物理安全不应以网络安全和隐私泄露为代价。对此,网络安全研究人员、立法者和网络隐私倡导者关于智能门铃的安全性发现了一些问题。

国会提出关于门铃的隐私问题

11月20日,根据今年年初的公开报告,五名美国参议员给亚马逊首席执行官Jeff Bezos发了一封信,要求其旗下的一家智能门铃公司Ring就隐私问题作出答复。Bezos这位零售巨头曾以8.39亿美元的价格收购了Ring。

根据参议员引用的一项The Intercept调查,从2016年开始,Ring为其乌克兰总部研发团队提供了亚马逊S3云存储服务上一个文件夹的访问权限,该权限几乎不受限制,文件夹中包含了每个Ring摄像头监控的视频。”

The Intercept调查还说到,“Ring领导层认为加密会使公司的价值降低,并且因为访问受限而减少收入,因此在提供乌克兰访问权限时,视频文件并未加密。”

不仅如此,根据Intercept的说法,Ring还“不必要地”为公司高管和工程师提供了一些客户摄像头的“全天候实时监控”。对于拥有这种访问权限的Ring员工来说,他们只要有客户的电子邮件地址就能观看视频。

该信件表达了参议员对该事件的愤怒。

参议员写道: “那些美国客户选择在房屋内外安装Ring产品是因为他们相信Ring摄像头能使社区更加安全。因此,他们有权知道谁在查看他们提供给Ring的数据,以及该数据是否安全。”

9月,在参议员Ed Markey弄清Ring是否泄漏儿童的数据隐私之后,此次提出的问题再次引发热议。这位参议员问道,比如,公司如何确保不会通过Ring设备无限期地记录和存储儿童的肖像呢?

根据《华盛顿邮报》的报道,亚马逊简要回答了参议员Markey的问题:

“当Markey询问该公司如何确保其摄像头不会记录儿童时,亚马逊公共政策副总裁Brian Huseman写道,不存在这样的监督系统,且其客户’拥有并控制他们的视频记录’,’和其他任何安全摄像头一样,Ring都无法知道或验证孩子是否在设备范围内’。”

但是,Markey参议员最初的要求不只是针对儿童的数据隐私保护,他还希望获得关于亚马逊内部监控的明确答案,直到今年亚马逊才作出了简要回答——因为亚马逊与数百个警察部门合作。

与警察的合作关系

8月,《华盛顿邮报》报道说,Ring与美国400多名警察建立了视频共享关系。如今,这一数字至少增长到677,在短短四个月内增长了约50%。

要想形成视频共享伙伴关系很简单。

当地警察部队通过与Ring合作,有特权从涉嫌犯罪现场半平方英里内的所有Ring设备中请求调取长达45天,每天12小时的监控视频。警务人员可以直接向Ring索取视频,不需要出示犯罪证据或申请逮捕证。

根据Ring的说法,一旦将视频移交给警察,他们可以决定其保留时间和分享对象。警察提取的视频有时包括客户家中的视频,而不仅仅是在他们家门口的视频。

乍一看,这更像是一种单方面关系,警察从Ring那里获得了无数小时的本地监视服务,却不需要付出什么。实际上,Ring的另一个动机远非其“减少社区犯罪”的号召性使命。Ring的动机是经济利益。

根据Gizmodo的说法, Ring和警察部门合作,为其提供客户视频,事实上,Ring获得了前所未有的控制权——通过这些警察为公司产品打广告。Gizmodo报告称,该公司“先写好警方在社交媒体上分享的消息,并试图依法警察的强制性对公司有关其产品的所有声明(包括与媒体共享的声明)拥有最终发言权。”

在Gizmodo的报告发布不到一周的时间里,Motherboard获得了官方回应文件,供警察在社交媒体上回答有关Ring的问题时使用。而Ring撰写的回复有时会直接推广公司的产品。

此外,在加利福尼亚州的埃尔蒙特市,警察提供了Ring智能门铃产品,以鼓励个人分享有关他们目击的任何犯罪的信息。

这种合作关系激怒了多数隐私权倡导者。

“执法是对民选官员和公众的回应,而不是对一个利益至上的跨国公司公关负责人的回应,毕竟这个跨国公司与他们声称保护的社区没有任何关系。” Fight for the Future副总监Evan Greer说道。

电子前沿基金会政策分析师Matthew Guariglia 赞同Greer的观点,“这种举措使推销员都不再是我们文明社会公正和可信赖的维护者了。”

网络安全问题

智能门铃的防护性与隐私性是有点矛盾的。当智能门铃不会潜在地侵犯隐私时,它们可能也缺乏必要的网络安全防护,无法按承诺工作。

上个月,来自Bitdefender的一组网络安全研究人员宣布,他们在Ring设备中发现了一个漏洞,该漏洞可能使黑客获取Ring用户的WiFi用户名和密码。

当Ring秘密得知该漏洞后便修复了它。该漏洞存在于Ring门铃和Ring所有者的Wi-Fi网络之间的设置过程。为了正确设置设备,Ring门铃需要将用户的Wi-Fi网络登录信息发送到门铃。但是,Bitdefender研究人员表示,在这种连接过程中,Ring一直在通过未加密的网络发送信息。

实际上,该漏洞之前就出现过了。在2016年,一家测试安全漏洞的公司发现Ring设备存在一个漏洞,该漏洞可能使黑客窃取WiFi密码。

此外,今年,另一家智能门铃制造商产品的基本功能出现问题,以至于在公开发行后仅17天就停止销售自己的设备。August View智能门铃,六个月后重新开始销售。

我们了解这些设备的吸引力。对于许多用户来说,他们认为智能门铃可以帮助防止社区盗窃或为保障孩子安全。这是一项让人安心的技术。但是,网络安全漏洞、隐私侵犯以及试图使公务人员代言产品这些问题反而违背了客户初衷。

9999.jpg

]]>
Snake勒索软件正在威胁全球的企业网络 Wed, 22 Jan 2020 05:25:31 +0800 一种针对企业网络的新型勒索软件出现了,Snake

Snake是一种新的勒索软件,它正和最流行的勒索软件家族(如Ryuk,Maze,Sodinokibi,LockerGoga,BitPaymer,DoppelPaymer,MegaCortex和LockerGoga)一起威胁着全球。而让人担心的正是,这些犯罪组织为了让利润最大化,针对的不是单个用户而是企业。

上周,MalwareHunterTeam的研究人员首先发现了Snake勒索软件,并在恶意软件分析师Vitali Kremez的支持下对其进行了分析。

Snake勒索软件是用Golang编写的,将整个网络作为目标,并且存在大量混淆。其中,包含了一种常规混淆,这种混淆在以前并不常见,通常是与目标方法结合使用。

与其他勒索软件一样,Snake在执行时会删除计算机的卷影副本,它还会杀死与SCADA系统、虚拟机、工业控制系统、远程管理工具、网络管理软件等相关的众多进程。

然后,Snake还会加密系统上的文件,从而跳过Windows系统文件和文件夹。在文件扩展名后面还会附加一个勒索5字符字符串(即名为invoice.doc的文件被加密并重命名为invoice.docIksrt)。

扩展名.jpg

专家注意到,该恶意软件在每个加密文件后附加了“EKANS ”文件标记。

ekans.jpg

在BleepingComputer发表的分析报告显示,“尽管自2013年以来其测试了许多勒索软件感染,由于某种原因,和很多其他勒索软件感染相比,Snake花了更长的时间来加密我们的小测试盒。”但由于这是在攻击者选择时执行的有针对性的勒索软件,所以加密依然很可能会在数小时后发生。加密过程完成后,勒索软件将在C:\Users\Public\Desktop文件夹中创建一个勒索记录(名为“Fix Your Files.txt”),其中包含要联系以接收付款指示的电子邮件地址(bapcocrypt@ctemplar.com)。

3.jpg

最后再强调一次,该团伙提供的是整个网络的解密程序,而不是单个计算机或服务器。

9999.jpg

]]>
相信我,便宜真的没好货 Wed, 22 Jan 2020 05:25:31 +0800 安全公司Malwarebytes今天在一份报告中称,通过政府补贴的计划向美国低收入群体出售的低端智能手机包含无法卸载的恶意软件。



型号为Unimax(UMX)U686CL的智能手机是一种在中国生产的低端Android智能手机,由维珍移动集团的手机服务提供商Assurance Wireless出售。


科普一下,1984年美国政府启动了一项名为“Lifeline”的计划,目的是确保贫困人口不至于无法获得就业、家庭和应急服务,其资金来源是所有固线和无线电话客户每月支付的费用。对运营商来说,这项计划是一个机会,能让它们与更多的用户签约,并从中赚取小额利润;如果用户需要购买更多的使用时间或文本短信服务,那么运营商还能赚到更多的钱。运营商可以按自己的意愿来为Lifeline计划的用户设定价格。


ADUPS后门

首先,Malwarebytes表示发现手机的一个组件,一个名为Wireless Update的应用程序中包含Adups恶意软件,该恶意软件是由Kryptowire在2017年发现的。


Adups向各种智能手机制造商和固件供应商提供该组件作为空中固件(FOTA)更新系统。该组件原本应该允许固件供应商更新其代码,但在2017年,Kryptowire团队发现Adups还具有将更新发布到用户手机的能力,而且绕过了智能手机供应商和用户。


Malwarebytes表示,该组件当前在UMX设备上使用,并且在用户不知情的情况下用于安装应用程序。“从您登录到移动设备[UMX U686CL]开始,无线更新就开始自动安装应用程序。而且没有征求用户同意,没有点击安装的按钮,就自行安装应用程序。


虽然目前安装的应用程序中并没有恶意软件,但值得注意的是,这些应用程序是在用户毫不知情的情况下添加到设备上的,这可是个不定时炸弹。”


广告软件

Malwarebytes表示他们还在手机的“设置”应用中发现了可疑代码,研究后他们发现是有名的广告软件——HiddenAds。


尽管研究人员还没有发现其他恶意软件,但根据用户报告,在他们的UMX移动设备上确实突然安装了一个HiddenAds变体。


类似事件

无独有偶,去年八月,有用户为家中老人购买了功能机后发现,该手机始终接收不到运营商发来的验证码,其他短信则接收正常,便向公安机关报案。警方发现,该地联系到的购买同款手机的25人中,有15人手机短信收发不正常。经过司法鉴定,民警发现手机主板被植入了特殊的木马程序,能把需要的短消息上传到服务器。


警方很快锁定了对老年机进行验证码短信拦截、获取公民信息的涉案公司。随后警方开展了第一轮抓捕行动。在查获的后台服务器数据中,调出了500余万手机号码,信息量将近5000万。该公司与主板生产商合作,将木马程序植入手机主板中。央视指出,“经查,被植入木马程序激活的手机有500多万台,涉及功能机型号4500多种,受害者遍布全国31个省、直辖市、自治区。”


行吧,虽然贵一点的手机也有各种各样的问题,但是便宜真的没好货。

9999.jpg

]]>
二代个人征信系统将上线 钻空行不通 Wed, 22 Jan 2020 05:25:31 +0800 为个人买房、消费出具“信用通行证”的个人征信系统即将升级。新京报记者1月9日从央行征信中心方面证实,第二代个人征信系统暂定于1月20日上线,在此前会有一段维护期。近期一位接近金融监管的人士对新京报记者表示,要警惕征信数据采集边界,以必要原则收集,不能随便收集,否则是对老百姓隐私的极大侵犯。

二代个人征信系统暂定1月20日上线

1月8日晚间,有媒体报道称,央行将在1月20日左右上线第二代个人征信系统并提供查询,不过个人征信报送功能预计会延迟到5月份才正式上线。新京报记者1月9日证实,二代系统暂定于1月20日上线。

去年4月市场就曾流传,二代征信系统将上线,对应的新版信用报告纳入多方面信息,包括共同借款人、信用卡大额专项分期、个人为企业担保、逾期后还款等。业内人士分析称,若照此执行,想通过假离婚享受首套房优惠贷款政策、通过销户洗白征信等做法都将行不通。

新系统上线此前已有伏笔,央行年初连续多天公布有关征信的信息。1月2日,央行征信中心披露,2019年1月至11月,个人和企业征信系统累计查询量分别为21亿次和9772万次,日均查询量分别为628万次和30万次。1月5日,央行2020年工作会议里提到,“稳步推进征信二代系统上线升级,加强个人征信信息安全管理和个人隐私保护”、“创新改进小微企业征信服务”。

1月6日,央行征信中心公告称,为提升服务能力,个人信用信息服务平台计划于2020年1月14日17时至2020年1月19日8时进行系统升级,届时将暂停对外服务。期间如急需查询个人信用信息,可携带本人身份证件至当地查询网点现场查询。

此外,对当前征信系统采集信息范围,央行征信中心副主任王晓蕾2日介绍,当前我国征信系统依法合规采集的反映借款人信用状况的信息,主要包括三类:一是个人信贷信息,截至2019年11月底,个人征信系统接入各类放贷机构共3693家,已基本实现对个人金融信用信息的广覆盖;二是“先消费后付款”的信用信息,主要包括电信等公用事业缴费信息,这类信息可以帮助缺少信贷记录的个人建立信用档案;三是公共信息,主要包括行政许可与处罚信息、法院失信被执行人信息等。

5ce37d0a062dd.jpg

“假离婚买房”等投机行为将行不通

事实上,去年4月市场就曾传出二代征信系统将上线的消息,当时央行予以了否认,不过对应的新版信用报告因涉及面明显扩大而受到广泛讨论,其剑指假离婚买房、打时间差贷款、销卡洗白征信等投机行为。

综合央行此前公告和业内分析,新版信用报告将有几方面变化。例如增加“共同借款”信息采集内容,体现夫妻双方的负债情况,即便离婚,非主贷人再次买房也属于有房有贷,无法享受首套房的各种优惠。

新版征信的信息更新更及时,各机构需要在采集时点T+1向征信中心报送数据,以前可能需要一个月甚至更久才能更新征信数据,但以后想利用这段时间差去申请贷款将不通。

分期贷款也会明确体现。此前,车位贷、装修贷等实质为大额信用卡分期,但在旧版征信报告中无法被识别出来。新版征信报告将体现分期时间和分期金额,个人需要控制好自己的负债比。

还款记录保存期延长至5年。旧版征信报告主要记录近二年的还款情况,只有逾期、呆账等不良信息才会自中止之日起保留5年,新版征信报告将还款记录延长至5年。同时增加展示“已销户贷记卡近五年还款记录”,如果想通过还清欠款后销户的方式得到一份“干净”的征信报告,5年内都会行不通。

个人信息收集更加全面详实。在新版征信报告中,将完整展示个人学历信息、就业情况、电子邮箱信息、通讯地址、户籍地址、所有个人手机号,配偶信息也会较完整体现。此外,新版征信报告还将纳入更多公共机构信息,比如自来水业务缴费情况、欠税、民事裁决、强制执行、行政处罚、低保救助、执业资格和行政奖励等。为他人提供担保也会上征信报告。

不过一些信息何时纳入还在研究中。王晓蕾表示,如水电燃气缴费属于“先消费后付款”的信用信息类别,从目前我国的情况看,该部分数据质量有待提高。未来随着信息化、实名制程度的提高,将研究把这部分数据纳入征信系统中。

■ 延伸

警惕征信数据采集边界,应以必要原则收集

个人征信已经像一张网,渐渐将人们日常生活各个维度信息网罗其中,但信息采集边界也引发热议。

去年末,市场传出北京公租房违规将纳入征信、探索无偿献血纳入社会征信系统等消息。一位接近金融监管的人士在接受新京报记者采访时明确,要警惕征信数据采集边界,以必要原则收集,不能随便收,否则是对老百姓隐私的极大侵犯。对献血等行为纳入征信,他认为不能用个人道德衡量征信水平,目前这些信息对金融活动也没有影响。

谈及征信信息采集边界和扩宽维度的利弊,苏宁金融研究院特约研究员何南野对新京报记者表示,征信是有边界的,并不在于越多越好,而在于当前征信系统所拥有的信息,是否能够充分真实地反映个人的信用状况,如果可以充分反映,那就没有必要再去涵括更多维度的信息。

“拓宽征信维度有利有弊。有利的一方面在于,拓展的某一维度,正好可以弥补当前征信信息的某些缺失,从而有利于我国征信系统的完善。不利的一方面在于,过度拓展无关的征信信息,将造成社会资源的巨大浪费,投入产出比不理想。同时,过度的无关的征信信息,反而将弱化征信系统的准确性,造成无关的误差干扰,进而对某些人群产生不利的征信影响。”何南野称。

应如何防范信用机制被滥用?

何南野认为,一是央行征信系统应强化对征信要素的研究,注重对关键征信要素的提取,而非强求面面俱到,以提升征信系统的中立性和准确性,提升投入产出比。二是监管部门对纳入征信系统的行为信息要进行充分的论证,防止无关的征信信息、有可能对公众信用进行误导的信息、难以界定的征信信息被纳入征信系统。三是对某些纳入征信系统的涉及民生的征信信息,应给民众提供充分的申诉渠道,要根据民众的申诉理由,考虑一些非客观因素,最终做出对征信信息的维持或更改行为。

9999.jpg



]]>
微软Access数据库出现漏洞 或致8.5万家企业面临风险 Wed, 22 Jan 2020 05:25:31 +0800 2020年1月8日,研究人员发现,微软的Access数据库应用程序存在一个漏洞,如果不进行修补,可能会对数千家美国企业产生不良影响。Mimecast的团队发现的这个漏洞可能会导致敏感信息的意外泄露。他估计,约有85000家企业面临风险。不过,到目前为止,据信尚没有任何公司受到损害。

a8014c086e061d951050833904c10cd762d9ca5c.jpg

这个内存泄漏缺陷与去年在Microsoft Office中发现的漏洞非常相似。Access随机地将称为内存元素的数据片段保存到每个文件中。通常,这只是无用内容的一部分,但有时也有可能会是一些敏感的内容,比如密码或用户信息之类。对于一个具有耐心的黑客来说,这些信息就很有价值了。

Mimecast说:"如果能够侵入包含有MDB文件的计算机,或者能够获取大量的MDB文件,黑客就可以对这些MDB文件进行所谓的自动"垃圾搜寻"(dumpster diving),以查找和收集驻留在这些文件中的敏感信息,这些信息可以用于任何恶意用途。"

Microsoft已发布补丁来更正此问题。Mimecast鼓励企业下载并安装该补丁,并监控网络流量,以监视是否有攻击者在搜索潜在敏感文件的情况。

9999.jpg

]]>
超500万台新手机被植入木马病毒?涉及31省市、超4500种机型 Wed, 22 Jan 2020 05:25:31 +0800 在网络上有些人专门搜集各类商家的优惠信息,注册后领取各类优惠券、奖励金。人们把这种行为称为“薅羊毛”。要想“薅羊毛”,就要注册,注册就需要手机号和验证码。在利益的驱动下,有人开始对手机动起了“歪脑筋”。

2019年8月,浙江绍兴警方成功打掉了一条“薅羊毛”黑色产业链,破获了一起侵犯公民个人信息的特大案件,警方通过侦查发现被窃取信息的手机超过了500万台,其中绝大部分是老年手机

赶紧回家检查一下父母的老人机

收不到验证码赶紧报警!

2019年5月,浙江省新昌县居民小朱给外婆买了一台功能机,所谓的功能机,就是相对于智能机而言,仅仅具备接听电话、收发短信等基础功能的手机。两个多月后,小朱想在移动网上营业厅查询外婆的话费,但是在使用验证码登录过程中,外婆的手机却始终接收不到运营商发送过来的验证码。除此之外,其它短信接收正常,感觉事情蹊跷的小朱赶紧拿着手机,到公安机关报了案。

新昌县网安大队迅速组织民警展开调查,发现新昌县本地购买同款手机的有37人,在联系到的25人中,短信收发不正常的有15台

民警对手机里的木马程序进行了司法鉴定,发现手机主板被植入了特殊的木马程序,能把需要的短消息上传到服务器

浙江省新昌县公安局网警大队副大队长 陈懿

那么是谁在这些老年机里植入了木马程序?拦截含有验证码的短信有什么样的用途?被植入木马程序的手机到底有多少?

鉴于案情重大,浙江省绍兴市和新昌县两级公安机关成立了由网安部门牵头的“8.12”侵犯公民信息专案组,全力展开侦查。通过对话费清单的梳理和分析,民警发现这些老年功能机发送的短信,都集中发送到了一个广东深圳市的手机号码,并查到了深圳的一家公司,这家公司就是对老年机进行验证码短信拦截,获取公民信息的涉案公司。

浙江省新昌县公安局网警大队大队长张鑫平

2019年8月29日,专案组抽调30名警力在深圳开展第一轮抓捕行动。在这次抓捕行动中,民警起获了大量的后台服务器数据,以及与上下游链条交易的合同。

浙江省新昌县公安局刑警大队民警李赟赟表示,从后台数据调出了500多万的手机号码,信息量总共达到将近5000万,这是一个非常庞大的数据。

抓捕行动现场

经查,以犯罪嫌疑人吴某为总经理的这家公司,制作了可以控制手机、识别拦截短信的木马程序,并与主板生产商合作,将木马程序植入到手机主板中。经查,被植入木马程序激活的手机有500多万台,涉及功能机型号4500多种,受害者遍布全国31个省、直辖市、自治区。

服务器数据

2019年9月1日,专案组民警顺藤摸瓜,在深圳抓获其中一个手机主板制造商,现场查获大量植入木马程序的手机主板。

手机主板

2019年9月4日和9月10日,专案组一鼓作气,先后在厦门、杭州抓获利用非法购买的公民个人手机号和验证码,进行“薅羊毛”的嫌疑人14人。同时,专案组通过公安部发起“2019净网行动”集群战役,对下游非法买卖手机号、验证码等公民信息进行“薅羊毛”的黑灰产进行打击,抓获一批“薅羊毛”团伙。

“薅羊毛”把自己薅进公安机关

用别人的信息是违法的!

那么手机主板是如何被植入木马程序的?犯罪分子非法获得的手机通讯信息又是如何被用来“薅羊毛”的呢?

据民警介绍,老年机价格便宜,成本只有10多元,在网上的销售价格也只有几十元。这些被做了手脚的手机,只要插入电话卡,主板里的木马程序就会运行,向后台发送短信,犯罪团伙就可以实时对这个手机进行控制。犯罪嫌疑人吴某专门负责木马病毒和对码平台的搭建。

犯罪嫌疑人 吴某:

这个软件内置到了功能机的手机里面,我们就可以获取到一条销量统计,这个销量统计里面就包含了电话号码,当然也具备拦截验证码的功能。

犯罪嫌疑人邓某,是一家手机主板生产厂家的技术负责人,他们把吴某提供的木马病毒嵌入到手机主板里,销售给手机生产商。

民警介绍说,他们生产一块功能机主板只有几毛钱的利润。但是安装了木马程序,可以拿到三倍的利益。目前,使用邓某公司生产的手机主板组装的老年功能机,激活量超过了270万部

犯罪嫌疑人邓某

在这条黑色产业链上,木马制作公司的下游包括了对码、接码、“薅羊毛”环节。吴某团伙利用木马程序获取的手机号、验证码就流向了这三个环节。

对码平台,是手机号和验证码的接收平台,他们要确保每个验证码和对应的手机号相一致;接码平台相当于二级批发商,他们从吴某公司的对码平台获取到手机号和验证码,然后再通过QQ群销售给“薅羊毛”的团伙和个人。民警查获的一个叫番薯的平台,是其中最大的接码平台。

浙江省新昌县公安局刑警大队民警李赟赟表示,番薯平台将接收到的码进行加价,以0.8元到3.8元之间的价格,销售给薅羊毛群体,这个接码平台中间要赚取每个手机号码3毛钱的利益

黑色产业链条示意图

从吴某公司查获的后台服务器数据可以看到,这些非法获取到的手机号被用来注册各个平台的手机客户端,包括电商平台、视频网站、订票网站、酒店App等,而短信验证码的内容主要为新用户注册验证码。

后台服务器数据

今年25岁的犯罪嫌疑人王某,就是通过番薯平台购买手机号码和验证码,注册电商平台获取新人红包。

犯罪嫌疑人 王某:

会给每一个新用户10元红包,我们的方法就是想办法把这个10元红包变现,有人购买物品然后把物品卖掉、有人直接找网店商量,买东西后商家不发货,直接给买方打钱。

刨去给提供号码的番薯平台4元钱左右,再刨去变现成本2元钱,这10元红包王某可以拿到4元钱,他每天用闲暇时间可以注册二三十个号码,可以收入100多元,这样一个月能够挣到三四千元的额外收入

25岁的犯罪嫌疑人管某,利用某个酒店的拉新红包进行牟利。在这个酒店注册的用户,每邀请一个新人注册,就可以得到一个3元的现金红包。管某就利用非法获得的手机号和验证码作为新人注册获利,与此同时,他还利用QQ群邀请别人一起注册。最多的时候,他一天可以注册三四百个新用户,10天就赚了一万多元

犯罪嫌疑人管某

同样是“薅羊毛”,以前都是通过购买黑卡、工业卡,或者自己养卡来“薅羊毛”。这个案件中犯罪分子利用技术手段,通过植入木马病毒实现控制、获取手机号资源,并搭建对码平台出售给接码平台和下游非法牟利,具有更大的隐蔽性,而且成本也更低。

半小时观察:

侵犯个人信息,是电信诈骗、盗刷信用卡、恶意注册账号等一系列违法犯罪的源头性犯罪,堪称“百罪之源”。我们身处互联网时代,享受着电子商务带来的诸多便利,但同时近年来,不少个人信息也落入了犯罪分子之手,被用以“薅羊毛”牟利。

针对侵犯公民个人信息的网上违法犯罪,国家有关部门始终保持着严打的高压态势,公安机关已经在全国范围内多次组织开展“净网”专项行动,破获了一系列大案要案,成功打掉了一批犯罪团伙,有效遏制了网络犯罪的滋生。

维护个人信息安全是场“持久战”,也是一场前所未有的“遭遇战”,我们要从技术上寻求防护对策,在理念上提高安全意识,只有多方合力、立体防护,才能打赢个人信息安全的保卫战。

9999.jpg



]]>
Mozilla 释出补丁修复一个正被利用的 Firefox 漏洞 Wed, 22 Jan 2020 05:25:31 +0800 Mozilla 释出了 Firefox v72.0.1,紧急修复了一个正被利用的漏洞。漏洞属于类型混淆,影响 IonMonkey,它是 Firefox JS 引擎 SpiderMonkey 的 JIT 编译器。该漏洞由中国安全公司奇虎 360 发现和报告。该公司在一则已删除的推文中称,IE 也有一个 0day 漏洞也正被利用。这是 Mozilla 在过去一年修复的第三个 0day 漏洞。

9999.jpg

]]>
不给钱就撕票!论现代勒索软件的野蛮进化史 Wed, 22 Jan 2020 05:25:31 +0800 概述

年末已至,奇安信病毒响应中心在对本年度勒索软件相关线索、情报和新闻整理和研判的过程中,发现了勒索软件在未来两个值得关注的趋势。第一是勒索软件攻击的定向化、攻击手法朝着APT攻击转变。第二勒索软件在攻击过程中开始窃取文件数据,并以此来要挟相关企业支付赎金,否则将会公开窃取的文件数据。本文将结合相关案例从多个角度来进行阐述。

攻击定向化

在之前发表的文章《披露:导致一个自动化设备生产商全球的系统宕机一周的罪魁祸首》中,我们提到了BitPaymer,一个专门针对金融、农业、科技和工控行业发起攻击的勒索软件,在十一月份时又攻击了西班牙最大的托管服务商之一Everis和西班牙最大的广播电视台Cadena SER;其并行的变种DoppelPaymer又陆续攻击了智利农业部、墨西哥国有石油公司PEMEX,后者被索要高达490万美元的赎金。下图为DoppelPaymer为PEMEX公司量身定制的勒索信页面。

无独有偶,今年早些时候,全球最大的铝业公司之一Norsk Hydro,同时也是挪威最大的工业公司受到了LockerGoga勒索软件的攻击,170家工厂中的生产线被迫停止,影响了40个国家/地区近35000名员工,勒索了数千台服务器和PC工作站,估计损失了近7100万美元。

几个月过去了,相关细节也被公开,除了勒索软件在VT上0查杀之外,进入方式也与以往不同。据悉,起因是一位员工不知不觉中打开了一封来自受信任客户的电子邮件,导致了后门程序的执行,后续经过横向移动和域渗透等APT攻击手法成功控制了数千台主机,最后植入LockerGoga勒索软件。在以往的勒索软件发起的钓鱼邮件攻击中从来没有出现过来自受信任客户的恶意邮件,而这种攻击手法在APT攻击中普遍使用。

今年一月初该勒索家族在野外被发现,其后续相继攻击了法国工程公司Altran、俄亥俄州的Hexion工业公司和纽约市Momentive公司等工业和制造公司,均造成了不可估计的影响,我们可以得到其经过定制化的勒索信,对不同的目标选择对应语言编写勒索信。

通过Intezer Analyze分析确认了其最新变种就是大名鼎鼎的MegaCortex,会修改受害者机器上的Windows密码并威胁要发布受害者的数据,这就引入了勒索软件第二大趋势。

窃取文件

如果“加密”是勒索软件的本职的话,那么“窃密”对于勒索软件分发商来说应该是一次重大的进化,2019年下半年,以MAZE(迷宫)勒索为首的各大勒索家族掀起了一股“窃密”潮,以往受害者只需要担心如何恢复被加密后的文件,而当文件被窃取后,受害者们还要担心被窃取文件是否泄露给了公众,这种心里犹如催化剂,加快了受害者支付赎金的时间。

Maze由2019年五月份在野外被发现,根据十月份Proofpoint发布的报告,其使用的电子邮件伪装成美国、德国、意大利的政府机构其中包括美国邮政局、德国联邦财政部和意大利税务局,收件人重点位于商业、IT服务、制造和医疗行业。

在十一月时成功入侵了美国弗洛里达州彭萨科拉市,为了索要赎金Maze Team还专门搞了一个论坛形式的网站,用于“羞辱”那些不交赎金的受害者,并将窃取的部分资料公布在帖子中。

我们找到了彭萨科拉市相关的帖子:

Proofs为窃取的部分文件,任何人均可下载,出于好奇心,我们下载了这些文件,发现为雇员时间表:

值得注意的是,Maze Team还在帖子中公布了被入侵主机的IP地址、地区、主机名和脱库文件大小,可谓极其猖狂。

在FRATELLI BERETTA公司的相关帖子中,我们发现了一些敏感的文件被公布了出来。 

Maze Team威胁道:如果不缴纳赎金则会把数据全部公布到WikiLeaks上面,也就是公之于众:

一旦这些企业的内部文件被公开,那么其他犯罪团伙甚至APT组织会利用这些文件发起下一轮的打击,危害极大!

效仿?

目前在地下论坛中GrandCrab的“继任者”Sodinokibi勒索软件的分发商对Maze勒索这一做法表示欣赏

MegaCortex、Snatch等家族的勒索软件均有向Maze看齐的趋势。

结论

正如奇安信集团董事长齐向东提出的“三三又三三”中的三个转变那样:网络攻击技术从简单粗暴向复杂精细转变;网络攻击形式从通用性向APT攻击转变。勒索软件的攻击手法越来越精细化、APT化。这个危险的趋势国内尤为注意,一旦国内的勒索软件分发商和黑产渗透大牛结合到一起那么事情将会朝着不可控的方向发展,到时候无论再怎么掩饰,数据在那里,公道自在人心。

奇安信病毒响应中心在2020年将会对这一趋势进行持续的跟踪和关注。

安全建议

奇安信天擎建议广大政企单位从以下角度提升自身的勒索病毒防范能力:

1.及时修复系统漏洞,做好日常安全运维。

2.采用高强度密码,杜绝弱口令,增加勒索病毒入侵难度。

3.定期备份重要资料,建议使用单独的文件服务器对备份文件进行隔离存储。

4.加强安全配置提高安全基线,例如关闭不必要的文件共享,关闭3389、445、139、135等不用的高危端口等。

5.提高员工安全意识,不要点击来源不明的邮件,不要从不明网站下载软件。

6.选择技术能力强的杀毒软件,以便在勒索病毒攻击愈演愈烈的情况下免受伤害。

参考链接

[1]https://news.microsoft.com/transform/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/

[2]https://www.bleepingcomputer.com/news/security/another-ransomware-will-now-publish-victims-data-if-not-paid/

[3]https://threatpost.com/megacortex-ransomware-mass-distribution/146933/

[4]https://www.scmagazineuk.com/name-claim-data-exposure-website-used-threat-tactic-ransomware-gang/article/1669111

[5]https://www.vice.com/en_us/article/5dmzzd/cybercriminals-found-a-scary-new-way-of-making-hacked-companies-pay-ransom

9999.jpg

]]>
超500万台新手机被植入木马病毒?涉及31省市、超4500种机型 Wed, 22 Jan 2020 05:25:31 +0800 在网络上有些人专门搜集各类商家的优惠信息,注册后领取各类优惠券、奖励金。人们把这种行为称为“薅羊毛”。要想“薅羊毛”,就要注册,注册就需要手机号和验证码。在利益的驱动下,有人开始对手机动起了“歪脑筋”。

2019年8月,浙江绍兴警方成功打掉了一条“薅羊毛”黑色产业链,破获了一起侵犯公民个人信息的特大案件,警方通过侦查发现被窃取信息的手机超过了500万台,其中绝大部分是老年手机

赶紧回家检查一下父母的老人机

收不到验证码赶紧报警!

2019年5月,浙江省新昌县居民小朱给外婆买了一台功能机,所谓的功能机,就是相对于智能机而言,仅仅具备接听电话、收发短信等基础功能的手机。两个多月后,小朱想在移动网上营业厅查询外婆的话费,但是在使用验证码登录过程中,外婆的手机却始终接收不到运营商发送过来的验证码。除此之外,其它短信接收正常,感觉事情蹊跷的小朱赶紧拿着手机,到公安机关报了案。

新昌县网安大队迅速组织民警展开调查,发现新昌县本地购买同款手机的有37人,在联系到的25人中,短信收发不正常的有15台

民警对手机里的木马程序进行了司法鉴定,发现手机主板被植入了特殊的木马程序,能把需要的短消息上传到服务器

浙江省新昌县公安局网警大队副大队长 陈懿

那么是谁在这些老年机里植入了木马程序?拦截含有验证码的短信有什么样的用途?被植入木马程序的手机到底有多少?

鉴于案情重大,浙江省绍兴市和新昌县两级公安机关成立了由网安部门牵头的“8.12”侵犯公民信息专案组,全力展开侦查。通过对话费清单的梳理和分析,民警发现这些老年功能机发送的短信,都集中发送到了一个广东深圳市的手机号码,并查到了深圳的一家公司,这家公司就是对老年机进行验证码短信拦截,获取公民信息的涉案公司。

浙江省新昌县公安局网警大队大队长张鑫平

2019年8月29日,专案组抽调30名警力在深圳开展第一轮抓捕行动。在这次抓捕行动中,民警起获了大量的后台服务器数据,以及与上下游链条交易的合同。

浙江省新昌县公安局刑警大队民警李赟赟表示,从后台数据调出了500多万的手机号码,信息量总共达到将近5000万,这是一个非常庞大的数据。

抓捕行动现场

经查,以犯罪嫌疑人吴某为总经理的这家公司,制作了可以控制手机、识别拦截短信的木马程序,并与主板生产商合作,将木马程序植入到手机主板中。经查,被植入木马程序激活的手机有500多万台,涉及功能机型号4500多种,受害者遍布全国31个省、直辖市、自治区。

服务器数据

2019年9月1日,专案组民警顺藤摸瓜,在深圳抓获其中一个手机主板制造商,现场查获大量植入木马程序的手机主板。

手机主板

2019年9月4日和9月10日,专案组一鼓作气,先后在厦门、杭州抓获利用非法购买的公民个人手机号和验证码,进行“薅羊毛”的嫌疑人14人。同时,专案组通过公安部发起“2019净网行动”集群战役,对下游非法买卖手机号、验证码等公民信息进行“薅羊毛”的黑灰产进行打击,抓获一批“薅羊毛”团伙。

“薅羊毛”把自己薅进公安机关

用别人的信息是违法的!

那么手机主板是如何被植入木马程序的?犯罪分子非法获得的手机通讯信息又是如何被用来“薅羊毛”的呢?

据民警介绍,老年机价格便宜,成本只有10多元,在网上的销售价格也只有几十元。这些被做了手脚的手机,只要插入电话卡,主板里的木马程序就会运行,向后台发送短信,犯罪团伙就可以实时对这个手机进行控制。犯罪嫌疑人吴某专门负责木马病毒和对码平台的搭建。

犯罪嫌疑人 吴某:

这个软件内置到了功能机的手机里面,我们就可以获取到一条销量统计,这个销量统计里面就包含了电话号码,当然也具备拦截验证码的功能。

犯罪嫌疑人邓某,是一家手机主板生产厂家的技术负责人,他们把吴某提供的木马病毒嵌入到手机主板里,销售给手机生产商。

民警介绍说,他们生产一块功能机主板只有几毛钱的利润。但是安装了木马程序,可以拿到三倍的利益。目前,使用邓某公司生产的手机主板组装的老年功能机,激活量超过了270万部

犯罪嫌疑人邓某

在这条黑色产业链上,木马制作公司的下游包括了对码、接码、“薅羊毛”环节。吴某团伙利用木马程序获取的手机号、验证码就流向了这三个环节。

对码平台,是手机号和验证码的接收平台,他们要确保每个验证码和对应的手机号相一致;接码平台相当于二级批发商,他们从吴某公司的对码平台获取到手机号和验证码,然后再通过QQ群销售给“薅羊毛”的团伙和个人。民警查获的一个叫番薯的平台,是其中最大的接码平台。

浙江省新昌县公安局刑警大队民警李赟赟表示,番薯平台将接收到的码进行加价,以0.8元到3.8元之间的价格,销售给薅羊毛群体,这个接码平台中间要赚取每个手机号码3毛钱的利益

黑色产业链条示意图

从吴某公司查获的后台服务器数据可以看到,这些非法获取到的手机号被用来注册各个平台的手机客户端,包括电商平台、视频网站、订票网站、酒店App等,而短信验证码的内容主要为新用户注册验证码。

后台服务器数据

今年25岁的犯罪嫌疑人王某,就是通过番薯平台购买手机号码和验证码,注册电商平台获取新人红包。

犯罪嫌疑人 王某:

会给每一个新用户10元红包,我们的方法就是想办法把这个10元红包变现,有人购买物品然后把物品卖掉、有人直接找网店商量,买东西后商家不发货,直接给买方打钱。

刨去给提供号码的番薯平台4元钱左右,再刨去变现成本2元钱,这10元红包王某可以拿到4元钱,他每天用闲暇时间可以注册二三十个号码,可以收入100多元,这样一个月能够挣到三四千元的额外收入

25岁的犯罪嫌疑人管某,利用某个酒店的拉新红包进行牟利。在这个酒店注册的用户,每邀请一个新人注册,就可以得到一个3元的现金红包。管某就利用非法获得的手机号和验证码作为新人注册获利,与此同时,他还利用QQ群邀请别人一起注册。最多的时候,他一天可以注册三四百个新用户,10天就赚了一万多元

犯罪嫌疑人管某

同样是“薅羊毛”,以前都是通过购买黑卡、工业卡,或者自己养卡来“薅羊毛”。这个案件中犯罪分子利用技术手段,通过植入木马病毒实现控制、获取手机号资源,并搭建对码平台出售给接码平台和下游非法牟利,具有更大的隐蔽性,而且成本也更低。

半小时观察:

侵犯个人信息,是电信诈骗、盗刷信用卡、恶意注册账号等一系列违法犯罪的源头性犯罪,堪称“百罪之源”。我们身处互联网时代,享受着电子商务带来的诸多便利,但同时近年来,不少个人信息也落入了犯罪分子之手,被用以“薅羊毛”牟利。

针对侵犯公民个人信息的网上违法犯罪,国家有关部门始终保持着严打的高压态势,公安机关已经在全国范围内多次组织开展“净网”专项行动,破获了一系列大案要案,成功打掉了一批犯罪团伙,有效遏制了网络犯罪的滋生。

维护个人信息安全是场“持久战”,也是一场前所未有的“遭遇战”,我们要从技术上寻求防护对策,在理念上提高安全意识,只有多方合力、立体防护,才能打赢个人信息安全的保卫战。

9999.jpg



]]>
日本爱情酒店热门搜索引擎“HappyHotel.jp”披露数据泄露 Wed, 22 Jan 2020 05:25:31 +0800

情趣酒店主要是为那些从事不可描述之事、同时保全隐私的人而建造,无论客人是合法配偶还是露水夫妻都照单全收。虽说这种酒店遍布世界,但在东亚、特别是日本极为流行。去过日本的老司机肯定对HappyHotel.jp不陌生,其是日本一家查找和预订“情趣酒店”的搜索引擎网站,类似于Booking.com,客户可在上面查找和预定情趣酒店。


去年年底,这个搜索引擎遭遇了10年来最重大的一次数据泄露。据其背后公司Almex在其网站发布的消息称其在去年12月22日检测到对其服务器的未授权访问,并表示,黑客可能访问的数据类型包括详细信息,如:真实姓名、电子邮件地址、登录凭据(用户名和密码)、生日、性别信息、电话号码、家庭地址和支付等详细信息。Almex暂时关闭了HappyHotel.jp网站,另一个由其管理的情趣酒店搜索引擎Loveinn Japan也已被关闭。



Almex已经针对该事件展开调查,并建议用户更改密码,用户得警惕被黑客勒索,毕竟历史总是惊人的相似。


回望2015年的7月,创办于加拿大、服务超29个国家、会员两千万、月均浏览量180万的婚外情网站Ashley Madison被黑,大量在线数据被盗,甚至有人因此自杀。故事的男主角当时接到来自“Impact-team.com”的电子邮件,向其勒索2枚比特币(当时价值500美元),否则会将其信息挂到公开网站上去,才导致了后来的人间惨剧。


讲真,不知道该说些什么,还是珍爱生命、一起高唱《远离黄赌毒》的同时,保护好数据安全吧。

9999.jpg

]]>
VPN 警告:REvil 勒索软件盯上未打补丁的 Pulse Secure VPN 服务器 Wed, 22 Jan 2020 05:25:31 +0800 使用REvil(Sodinokibi)勒索软件勒索大型组织的网络罪犯瞄准未打补丁的Pulse Secure VPN服务器,并禁用防病毒软件。安全研究人员正在敦促使用Pulse Secure VPN的组织立即进行修补,否则将面临犯罪分子的“大规模”勒索软件攻击,这些犯罪分子可以轻松地使用Shodan.io IoT搜索引擎来识别易受攻击的VPN服务器。


上个月,在纳斯达克上市的美国数据中心提供商CyrusOne遭到REvil(Sodinokibi)勒索软件攻击,而去年夏天,美国的几个网络服务商、德克萨斯州的20多个地方政府机构以及400多个牙医诊所也相继遭到了网络攻击。


由于犯罪分子利用该勒索软件来加密关键业务系统,并要求巨额赎金解密,英国安全研究员凯文·博蒙特将REvil归为“big game”类别,该勒索软件病毒株于去年4月被发现,主要是使用Oracle WebLogic中的漏洞来感染系统。


去年10月,美国CISA、美国国家安全局联合英国国家网络安全中心发布的警告称:REvil瞄准的Pulse secure VPN服务器还未打补丁。此前有证据显示,政府支持的黑客正在利用Pulse Secure 以及Fortinet VPN产品中的漏洞,由于该漏洞已被网络犯罪分子广泛使用,因而波及范围也越来越广。

凯文·博蒙特指出:由于该服务器允许远程攻击者在没有有效凭据的情况下连接公司网络,同时禁用多种形式的身份验证,在这样的情况下以纯文本的形式远程查看包括活动目录和账户密码在内的日志和缓存密码,导致Pulse Secure VPN 漏洞情况越来越糟糕。上周发生的两起漏洞事件都采用了类似的手段:通过访问网络来获取域管理控制,然后使用开源VNC远程访问软件来访问移动网络。

在这样的流程后,所有安全端口都会被禁用,REvil(Sodinokibi)勒索软件会通过PsExec渗透到Windows远程管理系统中。网络安全公司Bad Packets 1月4日扫描数据显示:仍有3825台Pulse secure VPN服务器漏洞还未被修补,其中去年10月警报中所提到的CVE-2019-11510漏洞就包含其中,而1300多个易受攻击的漏洞VPN服务器位于美国。


640.webp.jpg

 twitter 截图


9999.jpg

]]>
奥地利外交部电脑系统遭网络攻击 Wed, 22 Jan 2020 05:25:31 +0800  新华社维也纳1月5日电(记者于涛)奥地利政府5日说,奥地利外交部电脑系统遭受不明来源的网络攻击。

1LhxQIdJRMWgxmmNCkclgHNLCgDmzl3Q02pEmS0q.png

  奥地利外交部和内政部联合发表声明说,自当地时间4日23时起,奥地利外交部电脑系统遭到有针对性的网络攻击,至5日白天网络攻击仍在持续。受攻击的主要是内部电脑系统,外交部网页未受影响。奥地利有关方面正采取技术措施应对网络攻击。

  声明未透露网络攻击的具体方式和造成的后果。声明说,从网络攻击的方式和严重程度看,不排除是有国家背景的行为主体发动的有针对性攻击。

9999.jpg

]]>
安全周报(12.30-01.05) Wed, 22 Jan 2020 05:25:31 +0800 1、安全研究人员发现亚马逊上销售的儿童智能手表存在严重安全漏洞

安全研究人员发现了亚马逊上销售的一系列儿童智能手表存在严重漏洞。研究人员警告说,潜在的黑客可以利用这些安全漏洞来接管设备,并且可以跟踪孩子,甚至与他们进行对话。

 安全公司Rapid7披露了在亚马逊上出售的三款儿童智能手表存在安全漏洞,这三款儿童智能手表是Duiwoim,Jsbaby和Smarturtle,价格不到40美元。它们被用作跟踪设备,以跟踪孩子并允许父母向孩子发送消息或者打电话。

1-15.jpg

 2、小米米家摄像头被发现故障和安全问题 向用户随机展示其他用户的监控视频

小米米家摄像头海外版目前被用户发现存在严重故障和安全问题,因为实时监控画面可能随时会被其他用户看到。据Reddit网友反馈当米家摄像头登录谷歌账号并与谷歌NEST HUB连接后 , 有可能随机向用户展示其他监控画面。

用户每次点击实时监控出现的画面都是不同的,这名网友多次测试发现有的是公共场合的也有的是家庭卧室场景。复现该问题只需将米家摄像头通过米家应用绑定谷歌账号即可,原本该功能是让用户使用NEST HUB观看监控的。

微信截图_20200105140048.png

 3、“酷我音乐”借“大数据”名义 恐已窥探并收集用户隐私长达数年

近日,发现一个间谍木马模块(TrojanSpy),溯源后发现该木马来源为知名软件“酷我音乐”。该木马运行后,会搜集用户QQ号等隐私信息,还会通过用户上网历史归纳用户特征,并回传至“酷我音乐”服务器后台。由于该软件下载量较多,导致受影响的用户范围较大。目前火绒安全软件最新版可查杀该病毒。

1578204205189081.png



 4、工信部下架第一批侵害用户权益App 人人视频等在列

2019年12月19日,工信部向社会通报了41家存在侵害用户权益行为App企业的名单。截至目前,经第三方检测机构核查复检,尚有3款App未按要求完成整改。依据《网络安全法》和《移动智能终端应用软件预置和分发管理暂行规定》等法律和规范性文件要求,我部组织对上述App进行下架。

1578145519130962.jpg

 5、美国海岸警卫队港口设施被勒索软件搞瘫

近日,美国海岸警卫队 (USCG) 发布了一个海上安全警报,确认遭受 Ryuk 勒索软件攻击,导致《海上运输安全法》(MTSA) 监管的一处设施的整个 IT 网络瘫痪。

尽管事件仍处于调查中,但海岸警卫队透露,网络钓鱼电子邮件的入口很可能是在 MTSA 设施网络内部。

海岸警卫队指出:一旦员工点击了电子邮件中的恶意链接,攻击者就能够访问重要的企业信息技术网络文件并对其进行加密,从而阻止了该设施访问关键文件。

2f7585cca346ec874e128ab36ddf4bd0.jpg-wh_651x-s_3201534650.jpg

6、【不要和陌生人说话】微信爆名称命令注入远程执行代码漏洞

此漏洞由趋势科技移动安全研究团队的 Todd Han、Lujunzhi Dong 和Zhengyu发现。远程攻击者可以在受影响的腾讯微信安装上执行任意代码。利用此漏洞需要用户交互,因为目标必须与攻击者一起在聊天会话中。

此漏洞使远程攻击者可以在受影响的腾讯微信版本上执行任意代码。利用此漏洞需要用户交互,因为目标必须与攻击者一起在聊天会话中。漏洞存在于用户名解析中。该问题是由于在使用用户提供的字符串执行系统调用之前缺乏适当的验证。攻击者可以利用此漏洞在当前进程的上下文中执行代码。

1578031389712219.jpg


9999.jpg

]]>
乘务员泄露鞠萍、井柏然、倪妮等个人信息!国航:停飞 Wed, 22 Jan 2020 05:25:31 +0800 近日

有网友反映国航一员工

涉嫌泄露多位明星乘机信息

国航回应称涉事员工已停飞

多位明星乘客个人信息被泄露

1月3日,微博网友@超侧卫 发帖举报称,有人在微博上发布了包含大量演艺明星个人信息的乘机记录。

在被举报的微博中,可以看见包括张杰、韩红、周笔畅、张韶涵、鞠萍、井柏然、杜鹃、邓伦、白敬亭、曾轶可、汪苏泷、倪妮等多位艺人的乘机信息被泄露,被曝光的信息包括乘客中英文姓名、国籍、出生日期、登机时间、会员信息及座位号。

0eb30f2442a7d933a6e9dcaac08ed01571f001f4.jpg

b8014a90f603738df0bb07bedddeb157fa19ec80.jpg

疑似涉事者晒出与靳东的合影

而在这些被泄漏的信息上,就是八个标红大字“旅客资料,禁止外传!”

0824ab18972bd407ca7c922e164c9f570db309f1.jpg

37d12f2eb9389b50e197bd9ae8f0e4dbe5116edd.jpg


有业内人士分析称,相关截图可能是通过国航飞机上使用的信息查询终端或者内部软件进行查询所得。

国航回应:涉事员工已停飞

1月3日晚10时51分,中国国际航空在官方微博回应“员工泄露乘客信息”一事:接网友反映,有国航员工个人微博内容涉及旅客信息。经核查,涉事人员系国航一名乘务人员。该员工的行为严重违反了国航数据管理相关规定。目前公司已对该员工做出停飞处分,后续将根据公司有关规定进一步严肃处理。我们对此事涉及的旅客表示最真诚的道歉。

cf1b9d16fdfaaf51f58ea891e19195e8f11f7afd.jpg

国航表示,严格保护旅客个人信息是国航一贯的立场。非常感谢网友和公众对国航的关注和监督,国航将进一步完善旅客个人信息保护机制,严肃纪律,避免类似情况再次发生。

可能也会有人觉得,无非是航班号、出生日期被泄露,有什么大不了呢。只能说:这次信息泄露是某个乘务员用在了虚荣心上,如果下次这些信息被别有用心的人所用呢?

乘客的个人隐私如此轻而易举地被泄露,让人忍不住发问:为何一个国航员工可以如此随意地查询、泄露乘客的信息?乘客的个人隐私如何能得到保障?

对于发布明星乘客个人信息的行为,网友们进行了强烈谴责:

“职业操守与素养全无,连最基本的守法意识也无”;“原来不是第一次了,在这位员工眼里旅客的隐私真是一文不值”

6a600c338744ebf8d9e247f9a83cd62c6259a7b4.jpg9999.jpg

]]>
遭受勒索软件攻击后,公司倒闭了...... Wed, 22 Jan 2020 05:25:31 +0800 公司遭受勒索软件攻击损失一大笔钱,这种事可是太常见了。勒索金对有些财大气粗的公司来说虽然肉疼,但也能接受,但是对一些小公司来说可能就是致命一击啊。今年去年圣诞节前就有一家公司因为勒索软件而倒闭,造成300多人失业。



这家位于美国阿肯色州的电话销售公司——The Heritage Company在2019年10月被勒索软件攻击,但后续IT恢复工作未能按计划进行之后,所以不得已让300多名员工重新找工作,而且还在圣诞节前几天。


其员工表示,他们甚至都不知道该公司遭受了勒索软件攻击,裁员让他们有点措手不及。


公司首席执行官Sandra Franecke 在致员工的信中表示:“不幸的是,大约两个月前,我们的服务器受到了恶意软件攻击,为了让系统回复正常运行,我们被迫向攻击者支付赎金来获取”。



但是原计划在一周内进行的数据恢复工作并未按计划进行,所以公司未能在圣诞节前恢复全部服务。由于这次攻击事件,该公司损失了“数十万美元”,并被迫对公司各部门进行重组。


由于数据恢复过程不理想,公司领导层决定暂停所有服务,致使300多名员工失业。当地新闻媒体KATV报道说,在圣诞节假期之前,就有数十名员工已经向地方当局申请了失业,许多人对此根本不抱希望。


但是公司首席执行官Sandra Franecke还是留有余地的,并告诉员工1月2日回电以获取状态更新信息,以防IT人员在假期期间恢复了数据。但是,员工昨天致电公司时,他们只收到一条自动回复,通知他们恢复工作尚未成功,他们应该寻找新工作。


消息内容如下:“尽管我们已经取得了进步,但仍有许多工作要做。考虑到这一点,我们建议您寻找其他工作。请照顾好自己、亲人,并祝新年快乐。”


The Heritage Company的一名前员工表示,他们已经失去了该公司将要从勒索软件攻击中恢复过来的信心。“我们大多数人都坚信他们不会恢复过来。我很确定他们只是在争取时间,因为他们知道只要回复不过来,我们就必须达成和解,公司只是不希望我们将他们告上法庭”。


类似情况

发生在The Heritage Company身上的事情并不是个例,过去的两年中,许多小公司由于缺少赎金或缺少重建IT基础架构所需的资金而倒闭。


2019年4月,密歇根州一家医疗诊所的医生决定关闭业务并提前一年退休,因为他们无法从勒索软件攻击中恢复过来。同样,2019年9月,位于加利福尼亚州西米谷的一个医疗办公室出现了相同的情况,决定关闭所有业务。


]]>
密歇根多个学校系统遭黑客攻击关闭 勒索1万美元比特币赎金 Wed, 22 Jan 2020 05:25:31 +0800   1月3日消息:据cbsnews报道,美国密歇根的一个社区的学校成为了勒索软件的最新攻击目标黑客控制了该学校的计算机系统,并要求 1 万美元比特币才会解除控制。

  里士满社区学校的地区官员说,学校服务器在假期期间遭勒索软件的攻击,电话、复印机和教室技术设备都受到了病毒的影响。该地区已经关闭了三所学校系统,以便员工解决问题,官员们认为这将是一个“非常耗时的过程”,好在并学生和工作人员的信息泄露。

里士满社区学校负责人表示,校方并不打算支付赎金,也不能保证能回复服务器文件。现在,该地区正努力将关键数据迁移到备份服务器。

  在 2019 年,勒索软件可以说是席卷了整个美国,多个医疗机构、政府机构以及大学等都遭到这种恶意软件攻击。根据监控勒索软件攻击的Emsisoft公司报告,去年黑客总共攻击了 113 个州和地方政府机构、 764 个医疗保健提供商和 89 所大学。

9999.jpg

]]>
工信部下架第一批侵害用户权益App 人人视频等在列 Wed, 22 Jan 2020 05:25:31 +0800 关于下架第一批侵害用户权益App名单的通报

  

2019年12月19日,我部向社会通报了41家存在侵害用户权益行为App企业的名单。截至目前,经第三方检测机构核查复检,尚有3款App未按要求完成整改(名单见附件)。依据《网络安全法》和《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管〔2016〕407号)等法律和规范性文件要求,我部组织对上述App进行下架。

  

相关应用商店应在本通报发布后,立即组织对名单中应用软件进行下架处理。

  

已经完成整改的App,应于2020年1月6日12点前,在相关渠道更新整改后的App版本。

  

附件:下架的应用软件名单

  

工业和信息化部信息通信管理局

  

2020年1月3日

  

下架的应用软件名单(第一批)


640.webp (14).jpg

9999.jpg

]]>
中国电信超2亿用户信息被卖 售价低至0.01元/条 Wed, 22 Jan 2020 05:25:31 +0800 22.png

1月3日上午消息,日前,中国裁判文书网公布了《陈德武、陈亚华、姜福乾等侵犯公民个人信息罪二审刑事裁定书》。经法院二审审理查明:2013年至2016年9月27日,被告人陈亚华从号百信息服务有限公司(为中国电信股份有限公司的全资子公司)数据库获取区分不同行业、地区的手机号码信息提供给陈德武,被告人陈德武以人民币0.01元/条至0.2元/条不等的价格在网络上出售,获利金额累计达人民币2000余万元,涉及公民个人信息2亿余条。

法院一审法院判定,依照《中华人民共和国刑法》第二百五十三条之一、第二十五条第一款、第二十六条第一、四款、第二十七条、第六十七条第三款、第六十四条、第七十二条第一、三款、第七十三条第二、三款及《最高人民法院、最高人民检察院〈关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释〉》第四条、第五条第一款第(五)项、第(八)项、第二款第(三)项之规定,以侵犯公民个人信息罪,分别判处被告人陈德武有期徒刑四年六个月,并处罚金人民币一百万元;判处被告人陈亚华有期徒刑四年三个月,并处罚金人民币一百万元;判处被告人姜福乾有期徒刑三年二个月,并处罚金人民币三十万元;判处被告人杨奚有期徒刑三年,并处罚金人民币十万元;判处被告人王玉有期徒刑二年四个月,缓刑三年,并处罚金人民币十万元;被告人陈德武、陈亚华犯罪所得人民币2000万元,被告人姜福乾犯罪所得人民币14508.6元,被告人杨奚犯罪所得人民币30万元,依法予以追缴,上交国库。已扣押的作案工具电脑主机、笔记本电脑、手机等,依法予以没收。二审驳回上诉,维持原判。

以下为刑事裁定书全文:

陈德武、陈亚华、姜福乾等侵犯公民个人信息罪二审刑事裁定书

浙江省台州市中级人民法院

刑 事 裁 定 书

(2019)浙10刑终692号

原公诉机关温岭市人民检察院。

上诉人(原审被告人)陈德武,男,1973年2月11日出生于江苏省射阳县,汉族,硕士研究生文化,居民,住上海市徐汇区。2016年9月27日因涉嫌侵犯公民个人信息罪被台州市公安局椒江分局刑事拘留,同年11月3日被台州市公安局椒江分局逮捕,2017年7月6日被台州市椒江区人民检察院决定取保候审。2018年3月17日因涉嫌对非国家工作人员行贿罪被台州市公安局刑事拘留,2018年4月23日被依法逮捕。现羁押于温岭市看守所。

辩护人王正洋、郭真凤,北京市君泽君(上海)律师事务所律师。

上诉人(原审被告人)陈亚华,男,1970年1月25日出生于江苏省射阳县,汉族,博士研究生文化,上海市学多多教育科技有限公司股东、总经理,住上海市徐汇区。因本案于2017年7月7日被台州市公安局椒江分局刑事拘留,2017年8月11日被依法逮捕。现羁押于温岭市看守所。

辩护人刘智,北京市京师(上海)律师事务所律师。

上诉人(原审被告人)姜福乾,男,1986年9月20日出生于山东省平度市,汉族,大专文化,青岛琳琅满目网络科技有限公司法定代表人,户籍地山东省平度市,现住山东省青岛市李沧区。因本案于2018年5月16日被台州市公安局椒江分局刑事拘留,2018年6月22日被依法逮捕。现羁押于温岭市看守所。

辩护人冯伟飞,浙江多联律师事务所律师。

上诉人(原审被告人)杨奚,男,1989年11月12日出生于江苏省泰兴市,汉族,大专文化,平安普惠江苏分公司员工,户籍地江苏省泰兴市,现住江苏省南京市浦口区。因本案于2018年5月23日被台州市公安局黄岩分局刑事拘留,2018年6月11日被台州市公安局黄岩分局转为取保候审。2019年6月11日经温岭市人民法院决定被继续取保候审。2019年6月20日经温岭市人民法院决定,被依法逮捕。现羁押于温岭市看守所。

辩护人张挺霞,浙江法锤律师事务所律师。

上诉人(原审被告人)王玉,男,1985年8月2日出生于安徽省合肥市,汉族,大学本科文化,重庆市两江新区长运小额贷款有限公司员工,户籍地安徽省合肥市蜀山区,现住重庆市江北区。因本案于2017年8月7日被台州市公安局椒江区分局刑事拘留,2017年9月5日被台州市公安局椒江区分局转为取保候审,2018年9月4日被温岭市人民检察院取保候审。

辩护人陈思,北京大成(重庆)律师事务所律师。

温岭市人民法院审理温岭市人民检察院指控原审被告人陈德武、陈亚华、姜福乾、杨奚、王玉犯侵犯公民个人信息罪一案,于2019年6月20日作出(2018)浙1081刑初1339号刑事判决。原审被告人陈德武、陈亚华、姜福乾、杨奚、王玉不服,提出上诉。本院依法组成合议庭,公开开庭审理了本案。台州市人民检察院指派检察员陈真出庭履行职务,原审被告人陈德武及其辩护人王正洋、郭真凤,原审被告人陈亚华及其辩护人刘智,原审被告人姜福乾及其辩护人冯伟飞,原审被告人杨奚及其辩护人张挺霞,原审被告人王玉及其辩护人陈思到庭参加诉讼。现已审理终结。

原判认定:1、被告人陈德武、陈亚华系胞兄,被告人陈德武经得被告人陈亚华同意,以获取公民个人信息出售牟利。2013年至2016年9月27日,被告人陈亚华从号百信息服务有限公司(以下简称“号百公司”)数据库获取区分不同行业、地区的手机号码信息提供给陈德武,被告人陈德武以人民币0.01元/条至0.2元/条不等的价格在网络上出售,获利金额累计达人民币2000余万元,涉及公民个人信息2亿余条。被告人王玉自2015年开始受被告人陈亚华指使帮助陈亚华从“号百公司”数据库获取公民个人信息发送到指定邮箱。被告人陈德武将被告人陈亚华提供的公民个人信息出售获得的赃款部分分给陈亚华。

2、被告人姜福乾于2014年1月3日至2016年9月27日间,以人民币0.08元/条至0.12元/条不等的价格向被告人陈德武购买公民个人信息1235万余条,支付人民币1482418元,以人民币0.09元/条至0.1元/条不等的价格在网络上出售给王某6、赵某2、张某3、高某、张某4等人,获利金额达人民币14508.6元以上。

3、被告人杨奚于2014年2月14日至2016年9月25日,以人民币0.1元/条至0.2元/条不等的价格向被告人陈德武购买公民个人信息299万余条,支付人民币448630元,将购得公民个人信息的80%左右以购买原价出售给其所在公司的下属员工张某1、刘某1、徐某、盛某等人,获利金额达人民币30万元以上。

被告人陈德武、陈亚华、王玉、姜福乾、杨奚分别于2016年9月27日、2017年7月7日、2017年8月7日、2018年5月15日、2018年5月23日被公安机关抓获。被告人王玉、姜福乾、杨奚归案后,如实供述其涉案事实。

原判根据上述事实,依照《中华人民共和国刑法》第二百五十三条之一、第二十五条第一款、第二十六条第一、四款、第二十七条、第六十七条第三款、第六十四条、第七十二条第一、三款、第七十三条第二、三款及《最高人民法院、最高人民检察院〈关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释〉》第四条、第五条第一款第(五)项、第(八)项、第二款第(三)项之规定,以侵犯公民个人信息罪,分别判处被告人陈德武有期徒刑四年六个月,并处罚金人民币一百万元;判处被告人陈亚华有期徒刑四年三个月,并处罚金人民币一百万元;判处被告人姜福乾有期徒刑三年二个月,并处罚金人民币三十万元;判处被告人杨奚有期徒刑三年,并处罚金人民币十万元;判处被告人王玉有期徒刑二年四个月,缓刑三年,并处罚金人民币十万元;被告人陈德武、陈亚华犯罪所得人民币2000万元,被告人姜福乾犯罪所得人民币14508.6元,被告人杨奚犯罪所得人民币30万元,依法予以追缴,上交国库。已扣押的作案工具电脑主机、笔记本电脑、手机等,依法予以没收。

原审被告人陈德武以原判认定事实及定性错误,其所出售的系裸号,不属于公民个人信息等为由提出上诉,要求改判无罪或宣告缓刑。其辩护人认为裸号不能识别特定自然人,不属于公民个人信息,原判所认定的2000余万元违法所得,大部分来源于其他项目和收入,认定陈德武、陈亚华、王玉间构成共同犯罪没有依据,部分号码销售于刑法修正案九之前,不能认定为犯罪数额。

原审被告人陈亚华以原判定性存在逻辑错误,本案所涉信息不属于公民个人信息,其行为不构成犯罪为由提出上诉。其辩护人认为原判认定陈德武所销售的号码均来自于陈亚华从号百公司所提取的号码、陈亚华向陈德武提供号码的条数为2亿余条、陈德武支付给陈亚华的钱均属犯罪所得以及陈亚华在共同犯罪中系主犯等证据不足;陈亚华等人的行为发生在2013年至2016年9月间,原判适用两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》违反了法不溯及既往的原则,也不符合从旧兼从轻原则,同时,侵犯公民个人信息罪规定于2015年11月1日实施的刑法修正案(九)中,故即使要追责,也只能针对此后的行为;原判对被告人陈亚华量刑过重。

被告人姜福乾以其从陈德武处所购买的手机号码不属于刑法意义上的公民个人信息,且主观上不知陈德武所出售的手机号码来源是否违法等为由提出上诉,要求宣告无罪。其辩护人还认为原判认定姜福乾自2014年1月3日至2015年3、4月份期间所购买的手机号码来源于号百公司证据不足,《刑法修正案(九)》出台前所购买的手机号码认定为公民个人信息没有法律依据,应宣告姜福乾无罪。

被告人杨奚以其行为本质上属于代购而非购买手机号码后出售,原判在计算犯罪所得时未考虑其所购买的公民个人信息存在40%的重复率,原判量刑畸重等为由提出上诉,要求适用缓刑。其辩护人也认为原判将杨奚为单位员工代购电话号码的行为认定为购买后出售与事实不符,且认定杨奚出售信息的条数错误及获利额错误,导致适用法律错误,杨奚归案后认罪态度好,犯罪主观恶性小,应按照罪刑相适应原则对杨奚处以三年以下有期徒刑并适用缓刑。

被告人王玉以其主观上不具备明知的故意,所收集的手机号码不属于公民个人信息,其所实施的行为属于正常履行劳动合同的职务行为,归案后能如实供述犯罪事实,系初偶犯,犯罪情节显著轻微,要求免予刑事处罚。其辩护人认为一审合议庭未行评议即予宣判,程序违法,《刑法修正案(九)》实施前的信息数量有多少、犯罪的合意如何形成等证据不足,原判未按照从旧兼从轻原则,也未将新法实施前的犯罪数量予以剔除便予下判,系适用法律错误。

出庭检察员则认为原判定罪量刑及适用法律并无不当,建议驳回各被告人的上诉,维持原判。

经二审审理查明:

1、被告人陈德武、陈亚华系胞兄,被告人陈德武经得被告人陈亚华同意,以获取公民个人信息出售牟利。2013年至2016年9月27日,被告人陈亚华从号百信息服务有限公司(以下简称“号百公司”)数据库获取区分不同行业、地区的手机号码信息提供给陈德武,被告人陈德武以人民币0.01元/条至0.2元/条不等的价格在网络上出售,获利金额累计达人民币2000余万元,涉及公民个人信息2亿余条。被告人王玉自2015年开始受被告人陈亚华指使帮助陈亚华从“号百公司”数据库获取公民个人信息发送到指定邮箱。被告人陈德武将被告人陈亚华提供的公民个人信息出售获得的赃款部分分给陈亚华。

2、被告人姜福乾于2014年1月3日至2016年9月27日间,以人民币0.08元/条至0.12元/条不等的价格向被告人陈德武购买公民个人信息1235万余条,支付人民币1482418元,以人民币0.09元/条至0.1元/条不等的价格在网络上出售给王某6、赵某2、张某3、高某、张某4等人,其中经查证属实的获利额计人民币14508.6元以上。

3、被告人杨奚于2014年2月14日至2016年9月25日,以人民币0.1元/条至0.2元/条不等的价格向被告人陈德武购买公民个人信息299万余条,支付人民币448630元。被告人杨奚将其中以30余万元购得的80%左右的公民个人信息以购买原价出售给其所在公司的下属员工张某1、刘某1、徐某、盛某等人。

被告人陈德武、陈亚华、王玉、姜福乾、杨奚分别于2016年9月27日、2017年7月7日、2017年8月7日、2018年5月15日、2018年5月23日被公安机关抓获。被告人王玉、姜福乾、杨奚归案后,如实供述其涉案事实。

上述事实,有证人孙某、贾某、李某、周某、陈某1、刘某2、刘某3、沈某、王某2、顾某、余某、曹某、成某1、陈某2、解某、成某2、王某1、戴某、符某、赵某1、王某3、杜某、石某、邹某、胡某1、张某1、刘某1、徐某、盛某、胡勋章、袁某、胡某2、朱某、姚某、陈某3、谢某影、张某2、廖某、王某4、李洋洋、杨某2、管某、黄某、竺某、陈某4、钱某、刘某4、裘某、王某5、王某6、赵某2、张某3、高某、张某4等人的证言;微信账户注册信息、微信聊天记录、QQ聊天记录、搜查笔录、扣押笔录、扣押决定书、电子证物检查工作记录、银行账户交易明细、支付宝账户交易明细、手机存储的照片、备忘录、起诉书、辨认笔录、户籍证明、无违法犯罪记录证明、抓获经过证明、营业执照、中国电信股份有限公司组织架构图、员工手册、任职情况证明、号百信用服务有限公司提供的数据挖掘项目立项书、验收书、系统相关文档、服务器账号开通的工单信息、登录日志、相关技术说明、合作协议、证人、个体工商户登记情况、手机号码单、平安普惠公司员工工资表、客户清单、账本、上海学多多教育科技有限公司资料、汇入回单、电子证物检查工作记录、情况说明以及被告人陈德武、陈亚华、姜福乾、杨奚、王玉的供述等证据予以证实,足以认定。

本院认为,上诉人(原审被告人)陈德武、陈亚华、姜福乾、杨奚违反国家规定,非法获取、购买、出售公民个人信息,被告人王玉明知陈亚华非法获取公民个人信息而仍提供帮助,情节特别严重,其行为均已构成侵犯公民个人信息罪。被告人陈德武、陈亚华系共同犯罪中的主犯,应按其所参与的全部犯罪处罚;被告人王玉系从犯,依法应予减轻处罚。关于上诉理由及辩护意见,经审理认为:(1)本案所涉信息,经筛选后包含了号码归属地、号码持有人商业需求等信息,并已作为商业信息进行买卖,属于公民个人信息范畴。(2)《刑法修正案(九)》实施以前,并不是买卖公民个人信息不构罪,只是当时的罪名是“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。前者的犯罪主体是特殊主体,而后者只要是一般犯罪主体即可。《刑法修正案(九)》实施之后,对之前的两个罪名进行了整合。虽然各被告人实施犯罪行为的时间横跨《刑法修正案(九)》实施前后的两个阶段,但其出售或购买公民个人信息的行为因出于同一犯罪故意而实施,系连续犯,不能对其出售或购买公民个人信息的行为进行分割评判,而应适用修订后的《刑法修正案(九)》一并追诉。故五被告人或其辩护人关于应对《刑法修正案(九)》实施前的相关数量予以剔除的上诉理由及辩护意见不能成立。此外,两高《关于适用刑事司法解释时间效力问题的规定》第二条明确规定,对于司法解释实施前发生的行为,行为时没有相关司法解释,司法解释施行后尚未处理或者正在处理的案件,依照司法解释的规定办理。鉴于不存在相冲突的司法解释,也就不存在法律适用上的从旧兼从轻问题。(3)被告人陈德武在侦查阶段供认其起意让在号百公司任中层干部的陈亚华提供电话号码信息,陈亚华同意后,从2013年开始便安排人员把电信公司号码百事通里的电话号码数据信息通过邮件向其发送;陈亚华也供认其让王玉利用号百公司的数据处理工具搜集相关电话号码提供给陈德武,用于个人贷款营销及网上出售;王玉的口供证实其按陈亚华的要求访问号百服务器的数据库,并将需要的电话号码进行复制并通过邮件发送;证人王某1证实2013年开始陈亚华就找其处理电话号码,其处理完后发还给陈亚华,也是在当年,陈德武曾向其提出直接卖号码给客户,陈德武没有其他渠道获得电话号码,估计就是从陈亚华处获得。结合银行账户交易明细及支付宝账户交易明细,可证实陈德武、陈亚华经过事先商量,从2013年起即开始从号百公司获取号码售卖给他人并从中获利2000余万元,被告人王玉明知陈亚华让其从号百公司获取数据提供给他人可能违法,仍受陈亚华指使为陈德武、陈亚华提供帮助,三人间基于同一犯意相互配合,原判认定三人间构成共同犯罪并无不当。同时,正是由于被告人王玉不参与陈德武、陈亚华售卖手机号码所得赃款的分配,在共同犯罪中只起到帮助作用,故原判已认定其为从犯并结合其归案后能如实供述犯罪事实,能当庭自愿认罪而认定其确有悔罪表现,对其予以减轻处罚并适用缓刑,所处刑罚并无不当。此外,对被告人陈德武、陈亚华所售手机号码条数的认定,是结合了查明的数据文件、有备注的转账记录及买家证言作了就低认定,而银行账户交易明细及支付宝账户交易明细所证实的2000余万元收入,也能印证陈德武出售手机号码的条数,结合证人成某2关于入股学多多的协议是根据陈亚华的意思于2016年9月底补写,以及陈亚华在陈德武被抓后试图串供并指使他人作伪证等情节,足以说明陈德武及其辩护人关于原判所认定的2000余万元违法所得大部分来源于其他项目和收入,陈亚华及其辩护人关于陈德武所销售的号码均来自于陈亚华从号百公司所提取的号码、陈亚华向陈德武提供号码的条数为2亿余条、陈德武支付给陈亚华的钱均属犯罪所得证据不足,姜福乾及其辩护人关于2014年1月至2015年3、4月份所购买的号码不是来源于号百公司数据库等上诉理由及辩护意见不能成立,不予采纳。(4)证人张某1、刘某1、徐某、盛某均证实其是向杨奚购买电话号码并根据杨奚给出的价格支付费用,而不是知道有陈德武这条提供手机号码的渠道再凑钱让杨奚出面向陈德武购买。杨奚本人在侦查阶段最初也供认其向陈德武买来手机号码后转卖给下面的主管,并向每个主管所带团队每个月收取两三千元的信息费用。只是因其后来改称其中的八成以购买价转卖给手下的业务员,原判就低认定其以购买价转卖。因此,杨奚关于是替手下业务员向陈德武代购的辩解与现有证据反映的事实不符。同时,两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第五条规定了非法获取、出售或者提供公民个人信息,数量在五千条以上的,为“情节严重”的标准,五万条以上的,为“情节特别严重”的标准;第六条规定了为合法经营活动而非法购买公民个人信息“情节严重”的标准。第六条之所以只规定了一个的标准,是因为考虑到此类行为社会危害性不大,即使构成犯罪,通常也不需要升档量刑。但适用第六条须满足三个条件,一是为了合法经营活动,二是限于普通公民个人信息,三是信息没有再流出扩散,即行为方式仅限于购买、收受。如果将所购买的公民个人信息出售、提供或者交换的,其定罪量刑标准又将回归《解释》第五条的规定。被告人杨奚的行为虽然满足一、二两个条件,但其将所购信息再转卖或提供给其他业务员,导致信息的流出和扩散,自然应根据《解释》第五条的规定定罪处罚。被告人杨奚将所购买的299万余条中的80%转售,即使剔除40%的重复率,也已远超五万条的标准,因此,即使不去计算其获利额,其基本刑也应在三年以上。杨奚及其辩护人关于应对杨奚在三年以下量刑并适用缓刑的上诉理由及辩护意见不能成立,不予采纳。综上,原判定罪及适用法律正确,量刑适当,审判程序合法。出庭检察员建议驳回上诉,维持原判的意见予以支持。依照《中华人民共和国刑事诉讼法》第二百三十六条第一款第(一)项之规定,裁定如下:

驳回上诉,维持原判。

本裁定为终审裁定。

审 判 长 张虎林

审 判 员 朱康华

审 判 员 沈建宇

二〇一九年九月十九日

代书记员 严亚飞

9999.jpg

]]>
小米米家摄像头被发现故障和安全问题 向用户随机展示其他用户的监控视频 Wed, 22 Jan 2020 05:25:31 +0800 小米米家摄像头海外版目前被用户发现存在严重故障和安全问题,因为实时监控画面可能随时会被其他用户看到。

据Reddit网友反馈当米家摄像头登录谷歌账号并与谷歌NEST HUB连接后 , 有可能随机向用户展示其他监控画面。

用户每次点击实时监控出现的画面都是不同的,这名网友多次测试发现有的是公共场合的也有的是家庭卧室场景。

复现该问题只需将米家摄像头通过米家应用绑定谷歌账号即可,原本该功能是让用户使用NEST HUB观看监控的。

小米米家摄像头被发现故障和安全问题 向用户随机展示其他用户的监控视频

随机出现其他摄像头监控泄露隐私:


从这名网友拍摄的视频可以看到当用户点击查看监控时,会立即弹出摄像头监控画面但尴尬的是不是用户自己的。

而用户每次点击出现的实时监控画面都可能是不同的,但毫无疑问这些监控画面都是来自于某个米家摄像头用户。

经过多次测试发现有时候出现的画面也可能是损坏的或者黑屏状态,不清楚是用户摄像头位置不对还是系统故障。

从监控画面的时间戳也可以发现显示的摄像头画面可能与用户所处时区和位置不同,也就是可能是全球各地画面。

所幸目前发现的问题主要是传输回放录像而不是实时的监控录像,尚不清楚小米会对这些监控录像存储多长时间。

值得注意的是该用户似乎不慎开启调试模式,因此出现这类其他用户的画面也可能是米家摄像头调试模式有故障。

小米米家摄像头被发现故障和安全问题 向用户随机展示其他用户的监控视频

谷歌确认问题并禁用米家摄像头集成:


当前小米米家尚未对用户反馈的这个问题作出回应,不过该用户将问题反馈给谷歌后已经被谷歌确认问题的存在。

谷歌经过调查后发现发生此问题主要是小米服务端方面存在配置错误,进而导致集成谷歌服务后显示错乱的画面。

目前谷歌已经直接禁用小米米家摄像头及其相关服务连接谷歌,同时谷歌也表示已经就此问题联系小米进行处理。

禁用服务后米家摄像头无法再使用谷歌助手等指令进行操作,不能再使用谷歌NEST HUB等设备与之进行关联等。

小米方面由于暂时没有回应所以尚不清楚问题发生的原因,接下来小米可能需要通过固件更新等来解决这个错误。

小米米家摄像头被发现故障和安全问题 向用户随机展示其他用户的监控视频

谷歌禁用米家摄像头服务后用户无法再连接

9999.jpg

]]>
英国外汇兑换公司Travelex因遭到恶意软件攻击暂停服务 Wed, 22 Jan 2020 05:25:31 +0800 据外媒报道,一家大型国际外汇兑换公司证实在12月31日的时候遭到了恶意软件攻击并由此暂停了一些服务。据悉,这家总部位于伦敦的公司在全球经营着1500多家门店。该公司表示,为了保护数据以及阻止恶意软件的进一步传播,作为预防他们将对系统做下线处理。

travelex.png

目前,这家公司的英国网站处于离线状态,当用户登入后会看到“服务器错误”的提示。这家公司网站表示,他们正在升级过程中所以处于离线状态。Travelex通过官推表示,员工现无法在网站上或通过应用进行交易。据称,一些门店甚至采取手动操作的方式来处理客户的请求。

而像Tesco Bank等需要依赖Travelex的公司也因此陷入宕机状态。

不过Travelex指出,截止到目前还没有发现有客户数据遭到泄露,但其并没有就此做详细说明或提供相关证据。

9999.jpg



]]>
新 USB 数据线可关闭或抹去被盗 Linux 笔记本上的信息 Wed, 22 Jan 2020 05:25:31 +0800 一位软件工程师设计了一种所谓的USB“kill cable”,当你的设备在公园,购物中心和网吧等公共场所从桌子上或膝盖上被盗时,其可作为一个 dead man's switch 来关闭或抹去你的 Linux 笔记本电脑上的信息。


其名为 BusKill,由佛罗里达州奥兰多市的软件工程师兼 Linux 系统管理员 Michael Altfield 设计。

设计想法是将 BusKill 数据线的一端连接到 Linux 笔记本电脑,另一端连接到皮带。当有人将笔记本电脑从膝上或桌子上拉动时,USB 数据线会从笔记本电脑上断开连接并触发 udev 脚本[1、2、3],该脚本会执行一系列预设操作。

这些操作可能很简单,例如激活屏幕保护程序或关闭设备(强迫小偷在访问任何数据之前绕过笔记本电脑的身份验证机制),但是该脚本也可以配置为抹去设备信息或删除某些文件夹(以防止小偷检索任何敏感数据或访问安全的业务后端)。

Altfield 表示,“在公共场所使用笔记本电脑时,我们会尽力提高 OpSec 的使用率,例如使用良好的 VPN 提供商,2FA 和密码数据库自动填充,以防止网络或基于肩膀的窃听。但是即使那样,在您进行身份验证之后,总会存在有人窃取您的笔记本电脑的风险!”

不过目前为止,Altfield 暂时不会出售现成的BusKill 数据线。Linux IT 专家在其网站上发布了有关每个人如何构建自己的 BusKill 数据线的说明。

基本组件包括 USB 闪存驱动器(可以为空,无需在其上存储任何数据),将 BusKill 数据线连接到皮带上的安全扣锁匙扣,USB 磁性分离适配器以及实际的 USB 数据线。

价格范围从 20 美元到 45 美元不等,具体取决于设备所需的 BusKill 配置及其组件的坚固性。

此外,Altfield 还列出了两个示例 udev 脚本。一个通过激活屏幕保护程序来锁定设备,而第二个则关闭笔记本电脑。

用户将需要构建自己的脚本来抹去数据或删除敏感文件夹,因为这些脚本将取决于他们要删除的数据的位置和类型。

参考消息:https://www.zdnet.com/article/new-usb-cable-kills-your-linux-laptop-if-stolen-in-a-public-place/

9999.jpg





]]>
近万人用手机转账 不料竟“悄悄”帮人洗了15亿黑 Wed, 22 Jan 2020 05:25:31 +0800 在网络支付业务爆发式增长的背景下,各类犯罪违法活动从线下,悄悄地转至线上。涉案资金流转方式随之网络化,迅速催生了非法网络支付这一新兴网络犯罪形态。2019年8月26日,在公安部经侦局的统一部署指挥下,辽宁大连警方一举捣毁一个打着“聚合支付”旗号,背地里大肆违法开展资金结算业务的大型犯罪团伙,冻结涉案资金高达4亿多元

一家淫秽色情平台牵出

非法网络支付平台盘根错节

2017年3月,大连市公安局沙河口分局在侦办一起网络淫秽色情案件过程中发现,淫秽色情平台通过向网民线上发起注册会员、充值等方式获利,这些钱都是通过第三方支付平台进行付费,涉案金额巨大。到2017年底的时候,案件违法获利高达2.3亿元。

但是警方通过调查发现,注册会员给这些淫秽色情网站支付的资金,并没有进入该网站,而是进入了数家科技公司的账户。这些资金为何转到科技公司?资金又流向哪儿去了呢?

淫秽色情平台资金往来页面辽宁省大连市公安局沙河口分局常务副局长刘汉存告诉记者,他们挑选了一家资金流水、交易额度比较大的库米公司进行了攻坚工作,发现库米公司其实是“爱贝”公司专门用来走账的众多“壳”公司之一

这种新型的互联网犯罪模式和传统的案件有所不同,他们利用大量“壳”公司做掩护,通过“爱贝”这个非法“第四方支付平台”来进行非法资金流转,有40多家第四方支付平台给爱贝做支付结算。

深圳市爱贝信息技术有限公司

像支付宝、微信支付等第三方支付平台需要申领支付业务许可证,并向央行支付一定额度的备付金,受央行监管。

而所谓“第四方支付平台”则是指未获得国家支付结算许可,通过大量注册商户或个人账户,非法搭建的支付通道,非法对外提供支付结算服务,是目前电信网络诈骗、网络赌博等犯罪团伙收取资金的重要通道。

涉案的深圳市爱贝信息技术有限公司成立于2010年,当时仅仅作为一家科技公司,开展聚合支付业务。在经营过程中,虽然资金交易量很大,但仅靠收取服务费盈利并不多。急于发展的“爱贝”私自设立了“资金池”,干起了非法网络支付的勾当。

他们利用一些空壳公司作掩护,一边替非法黄赌网站收钱,赚取高额佣金,一边挪用“资金池”内巨额资金,企图赚取高额投资回报。

中国银联股份有限公司风险控制部高级主管王宇

在掌握大量的犯罪证据后,2019年8月24日,辽宁大连警方100余名警力分批抵达深圳、北京等地,准备开展集中抓捕。

除了公安机关对于“非法网络支付”的专项打击,人民银行也加大了针对非法网络支付的监督查处力度。

中国人民银行文件

中国人民银行大连市中心支行会计财务处处长 朱焱:到2019年10月末,辖内法人银行查询6415笔,受理紧急止付账户423笔,冻结账户115户,堵截辖内的诈骗案件38起。

“抓蛋”App涉案金额高达十五亿元

近万名个人用户被拉下水

资金是网络黑灰产业的命脉,黑灰产业牟取暴利都需要解决网络资金的结算问题,“爱贝”公司以“聚合支付”的形式来进行伪装,披着“技术服务”的外衣进行非法网络支付活动,从中牟取巨额利益。

然而,从事“非法网络支付”并不仅是公司之间的行为,甚至有公司组织大量个人用户参与其中,为网络黄赌提供非法资金。

2019年1月25日,山东省烟台市公安局接到公安部经侦局下发的一条线索,线索称一款名为“抓蛋”的手机应用,为赌博网站等违法犯罪团伙提供“代收代付”类非法支付结算业务,涉案金额高达十五亿元。

通过调查警方发现,这个犯罪团伙曾长期从事与互联网有关的业务,除此之外,此案的涉案银行账户较多,涉案地域广,属于比较新型的网络犯罪。

由于犯罪团伙利用手机软件进行不法活动,这样包装不仅有了合法的外衣,而且极大地方便了非法资金运转和聚拢人气。

非法支付结算业务流程图

为了逃离打击,“抓蛋”软件需要熟人推荐认证后,才能下载。因此在手机自带的平台、商店里面都搜索不到。而“抓蛋”的资金流转,则由“收款员”来负责完成。

小红(化名)是其中一个收款员。她用微信收到钱之后自己提现,提现之后再用银行卡转到会计的银行卡里面,就完成了自己的任务,从而可以收到佣金。

收款员 小红(化名)

为了多赚钱,小红注册了十几个微信号,每天用四个手机排队等单,做了三个月,赚了近万元。但随着监督力度不断加强,微信号频频被封。收到转款来自哪儿,又将钱转给了谁,这些钱的来源、用途、去向,她并不清楚。

山东省烟台市公安局经侦支队副大队长 梁洪超: 其实这与之前把自己的银行卡出租出借给别人的性质是一样的,都是在为网络赌博等违法平台提供非法的资金支付结算业务,都是属于违法行为,是违法的参与者。

“抓蛋”等三个非法网络支付结算平台的组织架构图

这个非法网络支付平台的组织架构主要包含三个部分,第一个部分是平台的运营管理方;第二部分是团管;第三是团长、组长以及具体的收款员。犯罪团伙组织严密,每个层级清晰,责任划分明确。通过这样的方式“化整为零”,采取蚂蚁搬家方式流转非法资金,以逃避国家机关的监管和打击。

2019年4月2日,根据事先侦查掌握的线索,山东省烟台市公安局抽调全市12个县市二百多名警力,分成12个抓捕小组奔赴全国各地实施统一抓捕。

该案主犯罗某2012年海外留学归来,在一家上市公司担任首席技术官,年薪丰厚,可谓衣食无忧。 随着接触的技术平台增多,他发现了一条可以赚大钱的门道。 随即便开始自掏腰包开发软件,几个月后,“抓蛋”App上线运行。

为了逃避监管,他们以“零投入,高回报”为诱饵,迅速大量发展个人用户成为“收款员”,用“拉人头,佣金分成”的方式,大量进行非法资金流转。短短半年时间,发展了近万名个人用户从事这一违法活动。

犯罪嫌疑人 罗某:肯定没有天上掉馅饼的事情,如果说坐在家里就可以收钱的话,那么这肯定是一个骗局,或者有法律风险的问题。

随着一系列网络非法支付案件频繁发案,“非法网络支付”已经成为了支付领域的“毒瘤”。干扰了当前金融领域的秩序,危害了国家的金融安全。公安局经侦局为了打击此类领域的犯罪,建立了大数据战略中心,全面提升公安部数据分析运用及打击能力。

公安部经侦局大数据战略中心

公安部经济犯罪侦查局金融处处长 张伦:下一步公安部经侦局和人民银行支付清算司将密切配合,高效联动,形成强有力的刑事打击,形成监管合力,有力打击整治非法网络支付活动,全力维护金融管理秩序。

半小时观察:

互联网金融是近年来在金融领域出现的一种新业态,对提高效率、降低成本和改善服务发挥了积极作用。各级政府和相关职能部门也为其创造了相对宽松的发展环境。

但鼓励创新的开放态度,却被某些不法分子当成捞取不义之财的机会。

爱贝公司的“非法网络支付”行为打着“聚合支付”的幌子,披着“金融创新”的外衣,通过庞大的营销队伍,搞地毯式推广,一旦资金链断裂,就极有可能出现不法分子卷款跑路,投资者血本无归的状况。

而“抓蛋”App把大量个人用户拉下水,替非法网赌团伙提供非法资金通道,严重影响到国家金融秩序和社会稳定。

无论业态如何花样翻新,互联网金融都没有改变金融行业经营风险和管理信用的本质,因此需要接受相关部门严格监管。

9999.jpg

]]>
【不要和陌生人说话】微信爆名称命令注入远程执行代码漏洞 Wed, 22 Jan 2020 05:25:31 +0800 CVE ID:CVE-2019-17151


CVSS评分为8.8


受影响的供应商:腾讯


受影响的产品:微信


漏洞详情:

     

此漏洞由趋势科技移动安全研究团队的 Todd Han、Lujunzhi Dong 和Zhengyu发现。


远程攻击者可以在受影响的腾讯微信安装上执行任意代码。利用此漏洞需要用户交互,因为目标必须与攻击者一起在聊天会话中。


640.webp (12).jpg


640.webp (13).jpg

     

此漏洞使远程攻击者可以在受影响的腾讯微信版本上执行任意代码。


利用此漏洞需要用户交互,因为目标必须与攻击者一起在聊天会话中。

      

漏洞存在于用户名解析中。该问题是由于在使用用户提供的字符串执行系统调用之前缺乏适当的验证。攻击者可以利用此漏洞在当前进程的上下文中执行代码。

    

在趋势安全团队的公布消息中,并未公布受影响的微信版本,但是根据这个修复的微信版本号来看,受影响的是移动端的微信,请各位记得及时更新。


微信截图_20200103140349.png

额外细节

最新的在线版本7.0.9已解决此问题。


披露时间表

2019-08-13-漏洞已报告给供应商

2019-12-31-公告的协调公开发布


受影响版本

安卓/IOS微信 < 7.0.9

参考链接

https://www.zerodayinitiative.com/advisories/ZDI-19-1035/

9999.jpg

]]>
“酷我音乐”借“大数据”名义 恐已窥探并收集用户隐私长达数年 Wed, 22 Jan 2020 05:25:31 +0800 近日,火绒工程师在帮助用户远程解决问题时,现场发现一个间谍木马模块(TrojanSpy),溯源后发现该木马来源为知名软件“酷我音乐”。该木马运行后,会搜集用户QQ号等隐私信息,还会通过用户上网历史归纳用户特征,并回传至“酷我音乐”服务器后台。由于该软件下载量较多,导致受影响的用户范围较大。目前火绒安全软件最新版可查杀该病毒。

Image-4.png

 

火绒工程师深入分析发现,“酷我音乐”携带的间谍木马会在后台进行搜集用户隐私信息等恶意行为:

1、搜集用户主机登录过的QQ号码。

2、通过浏览器浏览历史归纳用户特征后回传后台。

3、通过云控配置下发命令至用户电脑,比如下载音频文件回传到服务器后台。

此外,该木马还可随时通过远程服务器进行其它操作,不排除未来通过修改云控配置下发其它风险模块的可能性。

同时, “酷我音乐”会通过云控下发两套间谍木马:一套下发在软件的安装目录下;另外一套则会下发到非软件安装目录,且即便“酷我音乐”卸载后仍然驻留用户系统,持续响应云控指令。

事实上,早在2015年,“酷我音乐”携带的上述间谍木马就曾被国外安全厂商报“潜在不需要的程序(PUA/PUP)”(见下方用户反馈链接)。可能由于该报法与行业内对恶意软件的定义有区别,因此未能引起其它安全厂商注意。直到今日火绒工程师在用户现场中发现,进而详细分析,认为这套组件功能已经超出了“PUA/PUP”的定义,且符合 间谍木马的定义。

值得一提的是,火绒工程师还发现该间谍木马的云控配置的链接在一个名为“bigdata”(大数据)目录下,推测该间谍木马是用作所谓的大数据收集之用。

信息时代的发展,越来越多的互联网公司对“大数据”趋之若鹜,对于过分追求数据信息而出现越权行为的软件、程序,火绒都将及时、持续进行拦截查杀,保护用户合理权益。同时,我们也呼吁 此类软件厂商,停止越权搜集用户信息等恶意行为,理性逐利,长久发展。最后,用户如 遇到任何可疑问题,可随时联系火绒获得帮助。

相关链接:

2015年卡饭网友反映安全厂商对“酷我音乐”的拦截

 

 

一、溯源分析

近期,我们接到用户反馈,在用现场发现多个带有有效酷我音乐数字签名(BEIJING KUWO TECHNOLOGY CO.,LTD.)的可疑模块。可疑模块出现目录,如下图所示:

Image-5.png 

可疑模块所在目录

kreap5141.dll数字签名信息,如下图所示:

Image-6.png 

kreap5141.dll数字签名信息

经过分析,我们发现这是一组恶意程序,kreap5141.dll为随机名动态库,该动态库会被注册为ShellIconOverlayIdentifiers启动项由explorer进行加载。kreap5141.dll动态库会使用rundll32.exe调用kreap5141_core.dll获取任务动态库到用户本地执行。 kreap5141_core.dll 可以从C&C服务器下发恶意功能模块到用户本地执行,恶意功能包括从用户本地收集在当前计算机登录过的QQ号信息、浏览器历史记录画像信息、软件安装信息等、上传音频文件等。

之后通过溯源,我们又在酷我音乐安装目录下找到了具有相同功能代码的恶意模块KwExternal.exe,该模块由KwService.exe从服务器获取,由酷我音乐主程序(kwmusic.exe)调用,执行后即会根据服务器返回的配置数据收集用户隐私信息。由于恶意功能代码与前文中随即名动态库相同,所以我们仅以KwExternal.exe为例进行分析。恶意行为执行流程,如下图所示:

 Image-7.png

恶意行为执行流程

KwExternal.exe文件数字签名信息中显示签名时间为2019年4月8日。数字签名信息,如下图所示:

Image-8.png 

KwExternal.exe模块文件数字签名信息

 

二、详细分析

KwExternal.exe恶意模块主要用来收集、上传用户本地信息,在安装酷我音乐后会有KwService.exe进行下发,由酷我音乐主程序(kwmusic.exe)调用。相关下发逻辑在Kwmv.dll模块中实现,首先向C&C服务器地址(http://deliver.kuwo.cn/yl_res_manage.search)请求KwExternal.exe模块下载地址。发送请求时,会将MAC地址、IP地址等信息发送至服务器,请求构造的相关数据,如下图所示:

Image-9.png 

发送的请求数据

上述数据经过Base64编码后会发送到C&C服务器,构造后的请求数据包相关数据,如下图所示:

Image-10.png 

请求数据

C&C服务器在收到请求后会返回KwExternal.exe模块的下载地址,仅以部分数据为例,如下图所示:

Image-11.png 

KwExternal.exe下载配置

随后KwExternal.exe模块数据会被下载至本地的C:KwDownloadTemp目录下的随机名文件(如:C9F903ADC5ED0F62.exe),之后再由酷我音乐主程序kwmusic.exe将随机名文件移动至安装目录下,启动KwExternal.exe执行恶意行为。相关行为日志,如下图所示:

Image-12.png 

下载KwExternal.exe模块数据

Image-13.png 

移动至酷我音乐安装目录下

KwExternal.exe运行后会根据本地配置(C:ProgramDatakuwodatakwmusic2013ConfServerconfig.ini)中的数据收集开关选项(DataCollect)收集用户本地信息,且该开关默认为打开状态。KwExternal.exe收集的用户信息包含有:用户本地登录过的QQ号、用户终端上网行为信息、终端环境信息(软件环境、桌面图标等)、下载并收集音频文件等。除此之外,相关配置信息,如下图所示:

Image-14.png 

配置文件

该模块会根据云控下发的规则配置文件对所需要的信息进行收集,然后保存为json格式并加密传输到C&C服务器。服务器地址可以通过配置文件配置,默认为hxxp://ecomgxh.kuwo.cn/EcomGxhServer/st/receiveUserInfoServlet。收集信息的规则文件现在无法请求到,但是不排除之后再次下发的可能性。从代码逻辑可以看出,收集用户信息包括:用户访问具体网站的次数,用户是否安装了特定的影音播放器,是否安装了黑名单中的软件,是否经常访问某些网站以及进行游戏和观看直播的程度。被发送的json格式信息,如下图所示:

Image-15.png 

 

 

收集用户信息构造的json数据

 

收集终端环境信息

 

软件信息收集

 

该模块会通过遍历HKLM和HKCU主键下的SOFTWAREMicrosoftWindowsCurrentVersionUninstall子键,得到用户安装的软件列表。然后与规则文件中的软件名称进行匹配,得到用户安装的浏览器(为收集浏览器历史信息做准备),影音播放器,游戏盒子,游戏微端,直播软件和在黑名单中的软件情况。相关代码,如下图所示:

Image-16.png 

收集软件列表

查询是否安装特定影音播放器列表,如下图所示:

Image-17.png 

收集的影音播放器

Image-18.png 

收集游戏盒子,微端和直播软件的数量

 

桌面图标后缀信息收集

该恶意模块还会对“%COMMON_DESKTOPDIRECTORY%”和“%DESKTOPDIRECTORY%”目录下的用户图标文件进行遍历,获取图标后缀信息,相关代码如下图所示:

Image-19.png 

获取用户桌面图标后缀信息

当获取完用户桌面上的图标后缀信息之后,后续的发送数据流程与下文发送QQ账号信息的方法一致,相关代码如下图所示:

Image-20.png 

获取的用户桌面图标后缀信息

 

收集用户本地登录过的QQ号

该恶意模块会获取用户系统“%APPDATA%TencentQQMisc”目录下的QQ账号信息,相关代码如下图所示:

Image-21.png 

获取“%APPDATA%TencentQQMisc”目录下QQ账号信息

当获取完用户系统上的QQ账号信息之后,该模块便会将其通过zlib压缩,并加密使用Base64编码后,放入消息数据包中,创建网络线程,从而传输给远程服务器(hxxp://log1.kuwo.cn/feedback.s或hxxp://log.kuwo.cn/music.yl),相关代码如下图所示:

Image-22.png 

获取的用户QQ账号信息

Image-23.png 

发送含有用户QQ账号信息的消息数据

 

收集用户终端上网行为信息

受影响的浏览器名称及相关代码,如下图所示:

Image-24.png 

受影响的浏览器

Image-25.png 

受影响的浏览器

该恶意模块会通过sql命令及系统相关函数来查询用户浏览器的历史访问记录信息,下面以搜狗高速浏览器为例。首先,该模块会检测收集软件信息时得到的浏览器标记位,判断用户主机上是否安装搜狗高速浏览器。如果搜狗高速浏览器正在运行,则将储存有用户历史浏览记录的数据库文件复制并重命名到临时文件目录下。相关代码如下图所示:

Image-26.png 

复制浏览器数据库文件到临时文件夹下

之后运行sql命令“SELECT a.id,a.last FROM UserRankUrl a;”查询历史记录数据库中用户近一个月的历史访问网址及访问时间,相关代码如下图所示:

Image-27.png 

查询数据库中历史网址相关信息

通过sqlite查看工具执行命令“SELECT a.id,a.last FROM UserRankUrl a;”查询搜狗高速浏览器历史网址数据库HistoryUrl3.db,得到历史网址和访问时间。结果如下图所示:

Image-28.png 

Sql命令查询测试结果

获取完上述所列出的浏览器历史访问记录后,该模块会根据配置文件中的关键网址字段信息与历史网址记录进行匹配,如若匹配成功,则将该网址对应的访问计数值加一,用于填写json信息中的rule值。当访问计数值到达配置中数值要求时,则将json信息中的testLinkType中对应的字段值置一。根据收集到的历史记录和安装软件信息,归纳出用户特征,填充json信息中的userType字段值。下面 以“GamePlateMatch”为例,相关代码如下图所示:

Image-29.png 

历史网址信息所需匹配的关键字段

Image-30.png 

匹配与GamePlateMatch相关的历史网址

Image-31.png 

根据软件和浏览器历史,归纳用户特征

将收集到的json格式信息进行简单的异或加密和Base64编码后,发送至C&C服务器。相关代码,如下图所示:

Image-32.png 

将收集的信息加密并发送

 

下载并收集音频文件

在执行下载收集音频文件相关操作时,首先会检测本地config.ini配置文件中DataCollect -> EnableSongCollect的值是否为1,判断是否执行下载收集音频文件流程,之后再在SongLink -> UrlQurySongReg项下获取音频下载地址。相关代码,如下图所示:

Image-33.png 

下载收集音频代码

如上图代码所示,首先会请求配置数据,该配置数据中包含有音频下载配置的下载地址(url)和上传地址(td_ip)。配置数据格式,如下图所示:

Image-34.png 

配置数据

上述配置数据中url字段包含有音频下载配置的下载地址,音频下载配置中存放有需要收集的音频文件下载地址。音频下载配置格式,如下图所示:

Image-35.png 

音频下载配置

音频下载配置解析相关代码,如下图所示:

Image-36.png 

音频下载配置解析

在获取音频文件下载地址的同时,还会判断下载地址中是否包含“_h.mp3”字符串,如果存在则会执行下载操作。相关代码,如下图所示:

Image-37.png 

判断是否需要下载

之后,相关恶意代码逻辑会检测SongDataCollect.pl文件中记录的文件路径(filePath)是否存在。如果filePath中的路径存在,则调用上传逻辑将音频文件内容上传至C&C服务器(前文配置中td_ip为上传C&C服务器地址);如果不存在则会按照前文中提到的音频下载地址下载音频文件到本地Temp目录中,再将Temp目录中下载的音频文件上传回C&C服务器。相关配置格式,如下图所示:

Image-38.png 

SongDataCollect.pl配置数据格式

相关代码,如下图所示:

Image-39.png 

检测、下载音频文件

最后,会将本地获取或者下载的音频文件数据上传至C&C服务器(前文配置中td_ip为上传C&C服务器地址)。相关代码逻辑,如下图所示:

Image-40.png 

上传文件

由于现行酷我音乐相关配置暂未开启,所以我们根据KwExternal.exe代码逻辑构造了相应的配置文件进行功能验证,验证结果与分析内容完全一致。相关行为,如下图所示:

Image-41.png 

收集上传音频文件行为日志

 

三、同源性分析

我们在用户现场提取到的kreap5141.dll随机名动态库会根据配置文件下发的恶意模块到本地执行,在下发的多个恶意模块中,我们找到了一个和KwExternal.exe功能高度相似的恶意模块1002.dll。1002.dll数字签名信息,如下图所示:

Image-42.png 

1002.dll数字签名信息

kreap5141.dll随机名动态库虽然带有酷我音乐有效数字签名,但是酷我音乐卸载时,并不会对kreap5141.dll相关恶意模块进行删除。下发恶意代码到用户本地执行的相关配置数据,如下图所示:

Image-43.png 

恶意模块下发相关配置

KwExternal.exe与1002.dll代码具有极高相似性,所以系同源恶意模块。同源代码,如下图所示:

Image-44.png 

KwExternal.exe与1002.dll同源代码

 

四、附录

样本hash

Image-45.png 

9999.jpg

]]>
数名国人躲在泰国低价订购SIM卡注册虚假微信账号出售给诈骗团伙被捕 Wed, 22 Jan 2020 05:25:31 +0800 对于电信诈骗和杀猪盘以及境外菠菜诈骗相信许多用户都知道,不过这些黑色产业涉及到的链条巨大且分工明确。

例如这些诈骗需要大量的微信账号诱导国内用户参与,但微信监测到异常便会直接封号阻止诈骗团伙继续使用等。

在应对灰黑产方面微信现在还要求注册微信号需要其他用户帮忙验证,这让诈骗团伙直接注册微信账号难度剧增。

于是又有新的产业链参与帮忙注册微信号并进行养号,然后再高价出售给诈骗团伙用于向境内用户进行诈骗等等。

数名国人躲在泰国低价订购SIM卡注册虚假微信账号出售给诈骗团伙被捕

数名中国人因灰黑产在泰国被捕:


随着国内手机卡实名制的推行批量购买手机卡注册微信难度也非常大,于是灰黑产也辗转到泰国购买低价手机卡。

日前泰国警方就逮捕数名从事灰黑产的中国人,这些人从国内带去大量安卓设备再购买低价手机卡注册微信账号。

这些微信账号接着再被出售给诈骗团伙从事网络诈骗,这几个人原本以为躲到泰国便万事大吉但没想到还是被捕。

泰国警方表示这几人入驻的酒店会正常订餐但从来不让服务员进入房间打扰卫生,这种情况引起酒店方面的注意。

随后酒店将情况报告给警方然后警方进行了突袭,泰国警方以未经允许的工作起诉这几人并与中国官方进行合作。

数名国人躲在泰国低价订购SIM卡注册虚假微信账号出售给诈骗团伙被捕

越来越多的灰黑产到泰国进行非法活动:


泰国当地媒体表示该犯罪团伙每天都可以注册几千个虚假微信账号,而这些微信账号在诈骗团伙那里需求量极高。

这些虚假微信账号会被以较高的价格出售给诈骗团伙使用,对于该犯罪团伙来说注册虚假微信号可谓是获利颇丰。

然而这会让更多国内用户遭到躲藏在境外的网络诈骗团伙出现经济损失,显然这些活动都是违反相关法律法规的。

泰国警方也表示越来越多的灰黑产辗转到泰国进行非法活动,为此泰国警方也积极与中国官方进行合作打击犯罪。

近年来中国警方已经与东南亚各国合作逮捕许多从事网络诈骗的犯罪者,最终这些犯罪者会被遣返回国进行受审。

9999.jpg

]]>
Wyze泄露240万用户数据,澄清与阿里云关系 Wed, 22 Jan 2020 05:25:31 +0800 近日,智能家居技术制造商 Wyze Labs 首席执行官宋东升发布公告证实,从 12 月 4 日至 12 月 26 日,在超过三周的时间内,连接到 Elasticsearch 集群的生产数据库泄露了超过 240 万用户的用户数据。

接到安全媒体 IPVM 的通知后 6 小时内,Wyze 紧急注销了所有摄像头用户账户,用户需要重新登录其帐户并生成新的双因子认证 (2FA) 代码,以连接到 Alexa,Google 助手或 IFTTT 的 Wyze 关联服务。

最早曝光该事件的 Twelve Security(十二安全)公司在博客发布安全报告称泄露数据被传回了阿里云。

小米被针对

此外 Twelve Security 的报告指出 Wyze 泄露的数据包括大量用户隐私信息,而且 “存储中国用户数据的数据库是加锁的,而存储美国用户信息的数据库却(不小心)门洞打开”。

Twelve Security的泄露信息包括:

1. 购买相机然后将其连接到家中网络的用户名和电子邮件;

2. 在240万用户中,有24%位于EST时区(其余时间分散在美国,英国,阿联酋,埃及和马来西亚部分地区的其余地区);

3. 他们曾经与他人共享摄像机访问权限的任何用户的电子邮件,例如家庭成员;

4. 家庭中所有摄像机的列表,每个摄像机的昵称,设备型号和固件;

5. WiFi SSID,内部子网布局,摄像机的上次启动时间,从应用程序上次登录的时间,从应用程序上次注销的时间;

6. API令牌,可从任何iOS或Android设备访问用户帐户;

7. 已将Alexa设备连接到Wyze相机的24,000位用户的Alexa令牌;

8. 一部分用户的身高,体重,性别,骨密度,骨质量,每日蛋白质摄入量和其他健康信息。

Twelve Security 在安全报告中还反复暗示此次数据泄露并非一次偶然的安全事故,而是有预谋的计划,报告声称 Wyze 的实际控制者就是小米公司,其技术架构包括 GitLab 服务器和数据库有相当一部分在中国(下图,该信息并未得到 Wyze 的官方确认)。

在海外市场启用全新品牌是国内厂商拓展海外市场比较常见的国际化营销策略,例如 TikTok 就是海外版的抖音,而 WyzeCam 其实就是米家小方智能摄像机的一个升级版本(下图),最大的区别就是集成了亚马逊的 AWS 云服务。

但值得注意的是,安全咨询公司 Twelve Security 曝光 Wyze 数据库违规泄露风险时,并未按照常规做法先通知 Wyze,而是直接向外界公布了暴露数据库的信息,导致纷沓而来的各路安全人士 “踩踏数据泄露现场”,使得Wyze很难核定数据泄露的实际规模。此外,在Wyze被 Twelve Security 密切跟踪爆料不到两个月前,TikTok 刚刚因为 “潜在的国家安全危险” 接受美国外国投资委员会 (CFIUS) 的调查。

作为中国科技业进军海外市场颇为成功的两个典范,Tikok 和 Wyze 几乎是同时陷入了境外隐私合规与数据安全问题的泥沼。

Wyze 联合创始人兼首席产品官宋东升昨日在博客中澄清,包括 IPVM 在内的某些渠道的报道信息并不准确。

他在回应 Twelve Security 报告和 IPVM 的报道时说:

我们不会将数据发送到阿里云。而且,即使是 beta 测试中的产品,我们也不会收集有关骨密度和每日蛋白质摄入量的信息。而且六个月前我们没有发生(Twelve Security所声称的)类似的违规事件。

麻烦不断的Elasticsearch

从 Wyze 官方确认的信息来看,泄露数据的 Elasticsearch 数据库是 Wyze 生产数据库的副本,其中包含所有用户信息的子集。可以查询已连接设备的数量,连接错误来 “测量基本业务指标,例如设备激活,连接失败率” 等等。

就计算机资源而言,诸如此类的查询开销很大,会严重影响用户产品体验。因此,我们创建了一个单独的数据库,专门用于处理那些较繁重的请求。

虽然最初对暴露数据库进行了正确的配置以保护 Wyze 的客户,但 12 月 4 日,一名 Wyze 员工在使用时又错误地删除了安全协议。

在验证数据库是否泄露之前,我们已经锁定了有问题的数据库。我们这样做是为了预防,因为已经发表的文章提到了与 Elasticsearch 相关的数据库:这也是我们在查询数据库中使用的搜索工具。

安全研究员 Bob Diachenko 也证实了 Wyze 暴露了 Elasticsearch 集群的信息包含 1,807,201,457 条记录,包括日志数据,API 请求和事件:

实际上,在 Wyze 之前,Elasticsearch 数据库已经成了 2019 年的 “年度泄露之王“,超大规模的泄露警报几乎月月红:

  • 去年 12 月,另一个包含 8200 万美国人个人信息的数据库在网上暴露了出来。

  • 今年1月份,一家在线赌博网站Elasticsearch泄露了超过 1.08 亿笔投注信息和客户资料。

  • 今年1月,百安居一个存有70000 多名盗窃者信息的Elasticsearch服务器被暴露。

  • 今年早些时候,Elasticsearch服务器上公开了超过2000万俄罗斯公民的个人信息。

  • 今年5月,在 Freedom Mobile 的 Elasticsearch 数据库泄漏后,包含数百万加拿大人 CVV 码的个人和支付卡数据再次暴露。

  • 11月,一个包含12亿用户账户的Elasticsearch服务器被公开在暗网上。

  • 12月,SecurityDiscovery网站发现了一个巨大的ElasticSearch数据库,包含超过27亿个被盗的电邮地址,其中有10亿个密码都是简单的明文。大多数被盗的邮件域名都来自中国的邮件提供商,比如腾讯、新浪、搜狐和网易,雅虎gmail和一些俄罗斯邮件域名也受了影响。

到底暴露了哪些Wyze用户信息?

Wyze 首席隐私官 (CPO) 确认了一些与 Twelve Security 12 月 26 日报告信息有关的信息。他表示,这个不安全的数据库确实包含客户电子邮件和摄像头名称、WiFi SSID、Wyze 设备信息、与 Alexa 集成相关的大约 24,000 个令牌以及身体身高(包括身高,体重,性别和其他少量健康信息),还包括一些 Beta 产品测试员的信息。

泄露数据中IPVM某雇员的信息(与Wyze的说法比较吻合)

作为新硬件 Beta 测试的一部分,Wyze 在公开数据库中还存储了 140 个外部 Beta 测试人员的健康信息。

但是,宋东升补充说,该数据库 “未包含用户密码或政府管制的个人或财务信息”,与 Twelve Security 在其报告中提供的信息相左。

此外,Wyze 的联合创始人还表示:没有证据显示 iOS 和 Android 的 API 令牌已被暴露,但我们为预防起见,决定在开始调查时更新它们。

对于此安全事件的影响,Wyze 建议其用户警惕未来的网络钓鱼攻击,因为第三方可能会拥有用户电子邮件地址。

作为一种预防措施,Wyze 通过刷新令牌来注销所有用户,并 “为我们的系统数据库添加了另一级别的保护(调整了一些权限规则,并添加了仅允许某些列入白名单的IP访问数据库的预防措施)”。

这些措施的直接结果是,所有 Wyze 客户都必须在下次访问其帐户,连接 Alexa,Google Assistant 或 IFTTT 集成时重新登录。

新的漏点

截至本文发稿,宋东升在 Wyze 社区中的最后更新日期是 29 日,透露又发现一个不安全数据库,内容摘译如下:

我们希望为大家提供有关正在进行的调查(19/26/19上报告的数据泄漏)的最新信息。

从那时起,我们一直在审核所有服务器和数据库,并发现了另一个不受保护的数据库。这不是生产数据库,我们可以确认密码和个人财务数据未包含在该数据库中。我们仍在研究泄漏了哪些其他信息以及导致该泄漏的情况。我们要感谢 Wyze 社区成员,我们在 12/27 更新后不久就此事与我们私下联系。他们的协助帮助我们那天晚上迅速解决了这个漏洞。

9999.jpg

]]>
儿童智能手表爆高危漏洞 黑客能轻易追踪孩子 Wed, 22 Jan 2020 05:25:31 +0800 因一个定位追踪数据库的暴露,仅通过一部智能手机的精准定位数据,短短几分钟内,美国总统特朗普的一举一动就被完全锁定掌握。《纽约时报》在 12 月 20 日刊出的《如何追踪特朗普》一文,披露了这份重磅级数据库的存在,内含 1200 多万美国人、500 亿个定位信号,其中包括很多美国名人、政要的定位信息。

由此报道,位置数据的重要性可见一斑。试想一下,如果是你家孩子的实时定位信息被陌生人掌握,那该是多可怕的一件事?!

实际上,一旦带有定位追踪功能的儿童智能手表存在安全漏洞,这样的事情并不遥远。包括 Techcrunch、Pen Test Partners、Rapid7、Avast 等外媒和国外安全软件公司,近期相继曝出多家中国儿童智能手表供应商普遍存在安全防护漏洞问题,据估计,至少有 4700 万甚至更多数量的终端设备可能受此影响

图 | 儿童智能手表(来源:Rapid7)

黑客基于这些安全漏洞不仅能检索或改变儿童的实时 GPS 位置,还可以给他们打电话和或悄悄监视孩子的活动范围,或者从不安全的云端捕获到基于设备的通话音频文件。

这给儿童智能产品市场敲响了一记警钟,本来想省心的你是否买到了不靠谱的儿童智能手表?

用户信息在什么环节被泄漏了?

具备定位追踪功能的儿童智能手表工作原理其实很简单,很多元器件在市面上十分常见且价格不贵。手表内的主板 SOC 模组集成了提供位置的 GPS 模块,以及向设备提供 GPRS 数据传输 + SMS 短信功能的 SIM 卡模块。

对儿童智能手表的 SIM 卡或物联网卡进行激活,绑定其他手机设备和 APP 程序后就能进行数据传输,家长在手机上打开相匹配的应用,就能实时得到孩子的位置信息。

图 | 定位基本原理(来源 Avast)

而常见的漏洞便是出现在设备联网之后各项涉及用户数据的交互环节,比如用户注册登陆过程、与设备关联的 Web 网页和管理站点、移动应用程序和云之间的通信量,以及 GPS 与云之间的 GPRS 通信量等。

图 | 智能手表 GPS 跟踪器的典型数据传输结构(来源 Avast)

安全软件公司 AVAST Software 通过检测 Shenzhen i365 Tech 产品相关的 Web 应用程序发现,所有的请求都是纯文本的标准 JSONAjax(一种轻量级的数据交换格式)请求,且所有请求都是未加密和明文的,传输信息附带指定的 ID 号和默认密码 123456,更值得关注的是黑客基于这些漏洞可以向设备发出指令,除了能获得 GPS 坐标,可能还有更 “黑” 的操作:

图 | Web 应用程序 Ajax 请求(来源 Avast)

比如可以让儿童智能手表拨打存储名单中的任意电话号码,一旦连接上,就可以监听到用户的语音数据,而用户却不知情;可以激发设备 SOS 模式,发送短信给所有号码,进而使用 SMS(短信服务)作为攻击矢量;甚至可以发送一个 URL 的更新固件允许在设备上安装新固件,植入一些木马程序

图 | 登陆包和指令请求传输过程中的各类数据信息,涉及 ID、密码等用户敏感信息已打码(来源 Avast)

利用这些漏洞,黑客可以轻而易举地发动“MITM 攻击”(中间人攻击,一种间接的入侵攻击方式),通过把黑客控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,结合用于来回发送数据的不安全协议,黑客可以使用标准 IP 工具攻击捕获所有用户数据。

图 | 黑客攻击的方式(来源 Avast)

有用户调侃,对于这些劣质的儿童智能手表,定位不精准或许成了最大优点,最起码被黑客截取信息后,也不能准确找到孩子的位置和行踪。

三家被点名的中国公司

被外媒和安全公司披露存在安全漏洞的三家公司分别为 Thinkrace、Shenzhen i365 Tech、3G ELECTRONICS,经查证工商资料,三家都是深圳地区的科技电子企业。

Thinkrace 是深圳市尚锐科技有限公司,3G ELECTRONICS 是深圳市三基同创电子有限公司,而 Shenzhen i365 Tech 从其官网展示信息线索看,关联的公司主体或为深圳市叁创新科技有限公司和深圳市叁陆伍物联科技有限公司。

三家公司旗下都有一块相似的业务板块,即生产销售 GPS 跟踪器和智能穿戴,包括相关的软硬件开发解决方案,提供 OEM/ODM 服务,基于现成的产品技术方案,第三方经营者可以轻易地贴牌进行转卖销售,很多客户都在海外,包括北美和欧洲许多国家地区。

图 | 一种现成的儿童智能手表的产品开发方案(来源:3G ELECTRONICS)

Thinkrace 应该是三家公司中最大的一家。资料显示,该公司成立于 2006 年,专门从事智能穿戴设备、车联网等产品的设计、制造和整合行业解决方案,据悉每年能生产交付超过 300 万台物联网设备,还曾作为 2019 年世界夏季特奥会指定穿戴设备供应商。

而据 Techcrunch 报道,很多 Thinkrace 生产或贴牌转售的设备,背后都关联到一个不安全的云平台上。

Thinkrace 云平台的安全漏洞主要是因为云端 API 调用和加密的问题,没有采用 SSL 加密(一种为保护敏感数据在传送过程中的安全而设置的加密技术),暴露了一些密码和数据的明文传输漏洞,然后调用 API 的时候也没有做动态的校验。

关于安全漏洞问题,DeepTech 联系到 Thinkrace 公司负责人唐日新(RickTang)。他回应称,目前在自己公司管控范畴内的安全漏洞其实都已经进行了排查修复。

唐日新表示,现在的数据相关环节都已进行了加密和动态校验部署。比如采用了比较成熟的 Web API Token 方式,第三方想要调用数据需要申请一个 Token,且验证会有时间限制,对一些数据进行了安全保护的强化,如果验证超时则需要请求一个新的 Token 才能调用数据。

图 | 一款儿童智能手表的内部构造(来源:Pen Test Partners)

但这次安全漏洞的修复并不能完全覆盖所有 Thinkrace 之前生产的设备,原因是在云服务和软件开发层面,实际上有不少 Thinkrace 的第三方客户会自己去做开发,包括 APP、云服务和一些新增软件功能,Thinkrace 只提供了硬件设备的方案或产品制造,因此无法保障他们产品数据的安全性,这部分设备销售出去也不在其控制范围之内。

另外,世界各国对于信息数据安全的标准和要求不同,很多欧洲客户不仅是要求保证 API 和云服务的安全。比如欧盟目前实施的 GDPR 通用数据保护条例,包括 Google 和 Facebook 等科技巨头都会时常遭到诉讼,动辄要面临数十亿欧元的罚款,欧美地区的法规监管相对会更严格一点。

而数据安全漏洞不仅包括数据的传输环节,也涉及怎么使用数据,使用哪些类型的数据,使用数据的存活是多长时间,有没有向用户如实披露,用户能不能彻底清理数据,企业要用这些数据做什么事情等等,这些环节都存在用户数据被泄漏的风险。

“我们不能保证每个客户都能按照 GDPR 的标准去执行落实,但在欧洲,我们会尽量协助客户一起去做好数据安全系统的完善。”唐日新说。

DeepTech 也尝试联系 Shenzhen i365 Tech 和 3G ELECTRONICS 等询问其安全漏洞相关解决措施,截至发稿前尚未收到回应,其安全问题可能仍未得到有效解决。

产业链弊病仍难根除

据业内人士介绍,全球儿童智能手表大概有 90% 来自深圳,很多杂牌儿童智能手表的开发方案几乎没有什么技术门槛,堪称“地摊货”,尤其是在电子产品产业链完备的深圳地区,山寨小厂非常多,很多百元左右的智能手表硬件模块大多是由劣质甚至二手零件拼装,一只手表的成本最低只有十几元,背后的技术团队能力水平很低,数据安全根本无从谈起。

图 | 深圳市关于儿童智能手表的指导文件(来源:深圳市市场和质量监督管理委员会)

2018 年 5 月,深圳市消委会曾牵头编制发布《深圳市儿童智能手表标准化技术文件》团体标准,试图从产业链层面解决行业无标准、无监管以及山寨杂牌横行的乱象,文件里概括性提到了在终端、客户端、安全管理平台、数据传输等层面的信息安全要求,但关于这些安全要求细则怎么真正落实到相关企业,形成最好的治理效果仍需结合多种政策手段进行推进。

国内儿童智能手表目前只有极少品牌有实力配备完善的硬件、软件、ROM、云服务等高质量的运维开发团队,大部分杂牌儿童智能手表为了降低成本,都是使用的现成解决方案贴牌跑销量为主,包括手表的系统、APP 以及共用的服务器后台接入,如果源头厂商对安全性不够重视,下游市场必然安全漏洞百出,混乱一片

对于企业来说,儿童智能手表虽然是儿童产品,但绝不能以糊弄小孩的心态来做,做儿童智能产品,反而需要实施更严格和完备的产品安全标准,来为孩子们真正撑起一把保护伞。

9999.jpg



]]>
关于印发《App违法违规收集使用个人信息行为认定方法》的通知 Wed, 22 Jan 2020 05:25:31 +0800 国家互联网信息办公室秘书局

工业和信息化部办公厅

公安部办公厅

国家市场监督管理总局办公厅

关于印发《App违法违规收集使用个人信息行为认定方法》的通知

国信办秘字〔2019〕191号

640.webp (11).jpg


各省、自治区、直辖市及新疆生产建设兵团网信办、通信管理局、公安厅(局)、市场监管局(厅、委):


根据《关于开展App违法违规收集使用个人信息专项治理的公告》,为认定App违法违规收集使用个人信息行为提供参考,落实《网络安全法》等法律法规,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定了《App违法违规收集使用个人信息行为认定方法》。现印发你们,请结合监管和执法工作实际参考执行。


国家互联网信息办公室秘书局

工业和信息化部办公厅

公安部办公厅

市场监管总局办公厅

  2019年11月28日


App违法违规收集使用个人信息行为认定方法


根据《关于开展App违法违规收集使用个人信息专项治理的公告》,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引,落实《网络安全法》等法律法规,制定本方法。

  

一、以下行为可被认定为“未公开收集使用规则”


  1.在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;


  2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;


  3.隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;


  4.隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。