信息泄露
Instagram用户账号被盗,个人信息遭篡改
Facebook旗下照片分享应用程序Instagram API存在安全漏洞,黑客使用恶意代码窃取用户账号信息,并篡改其头像、个人资料、邮箱地址及手机号码等个人信息。目前尚不清楚黑客窃取这些账号的目的及具体方法,Instagram已修复该漏洞并通知所有受到影响的用户,但已被窃取的账号无法恢复。
图片来源于HackerNews
网络攻击
研究人员发现新IKE攻击,可破解加密通信
研究人员发现,在IPsec IKE的不同版本和模式中重用密钥可破解加密通信,该攻击技术在USEnix会议上被提出。研究人员发现的漏洞被追踪为CVE-2018-0131,同时影响到思科、华为、ZyXEL、Clavister等多家厂商,是针对IKE协议的新Bleichenbacher oracle加密攻击的四个CVE标识符之一。截至目前,思科、华为、ZyXEL已发布修复该漏洞的固件更新。
图片来源于安全加
印度Cosmos银行遭黑客攻击,损失约1350万美元
近日,印度Cosmos银行被黑客攻击,黑客使用恶意软件窃取用户信息执行约1.2万笔转账交易,交易涉及28个国家将近9.44亿卢比(约合1350万美元)。专家分析,黑客可能入侵了Cosmos的SWIFT系统,建议银行等金融机构定期更新网络应急和安全防范机制。
图片来源于The Register
恶意软件
KeyPass恶意软件变种被发现,可轻易改变解密价格
KeyPass勒索软件新变种在巴西、越南等地被发现,可通过*载下**勒索软件模块的虚假安装程序进行传播。该勒索软件包含可手动控制的隐藏表单,恶意活动者可通过手动控制的新技术,更改加密密钥、勒索信息名称、勒索信息文本、加密文件扩展名等参数自定义加密过程,轻易改变解密价格。用户可从受信任的来源安装软件,使用强密码进行RDP访问来免受KeyPass勒索软件的侵害。
图片来源于SECURELIST
漏洞曝光
英特尔CPU漏洞Foreshadow曝光
英特尔CPU漏洞Foreshadow曝光,攻击者可利用该漏洞攻击SGX,并访问受SGX保护的L1缓存,甚至提取检查SGX完整性的加密密钥,获取存储在处理器“安全*锁封**区域”的敏感数据。研究人员还发现了两个Foreshadow-NG漏洞,可攻击SMM代码、操作系统、管理程序软件及其他微处理器。英特尔已通过软件修复和微码更新,提供了缓解Foreshadow攻击的措施。
图片来源于cnBeta
Def Con披露数百万安卓设备存在固件漏洞
Def Con安全会议上,研究人员详细介绍了25款安卓智能手机固件和默认应用程序中的47个漏洞,其中有11款智能手机在美国热销。这些漏洞从可使系统崩溃的简单漏洞到允许攻击者获取root权限的高危漏洞,涵盖多个等级,部分漏洞甚至允许攻击者执行任意命令。目前受到影响的品牌包括中兴、索尼、诺基亚、Vivo、Oppo等。
图片来源于BleepingComputer
安卓现存储资源漏洞,易受Man-in-the-Disk攻击
CheckPoint研究人员发现,安卓设备存储资源的使用存在漏洞,部分应用程序易受Man-in-the-Disk(MitD)攻击。攻击者可篡改“外部存储”系统中相关数据,在目标应用程序特权上下文中注入代码。谷歌及小米部分应用程序都受到该漏洞影响,专家建议应用程序开发人员应遵循安卓安全指南,避免恶意软件通过外部存储空间攻击应用程序。
图片来源于BleepingComputer
图片来源于BleepingComputer
NetComm工业路由器多个严重漏洞曝光
澳大利亚通信设备公司NetComm Wireless工业路由器多个严重漏洞曝光,攻击者可远程控制受影响设备。据了解,运行版本2.0.29.11及之前版本的NetComm 4G LTE Light工业M2M路由器受四个漏洞影响,包括信息泄露漏洞、跨站脚本及跨站点请求伪造漏洞,NetComm已发布固件更新修复这些漏洞。
安全资讯
部分Google应用可强制读取并存储用户位置数据
据外媒报道,Google可通过安卓和iPhone设备上的Google APP追踪并存储用户的位置数据,即使用户已禁用设备上的位置追踪功能,部分Google应用仍能强制读取并存储包含时间记录的位置数据。Google回应,追踪用户位置是为了改善用户体验,用户可随时打开或关闭位置历史记录、网络和应用活动以及设备定位服务,甚至删除这些数据来保护个人隐私。
图片来源于security affairs