資安專家成功示範以修改過的 Lightning 連接線, 透過 iPhone 駭入 Mac

資安專家成功以修改過的 Lightning 連接線連接受害者的 iPhone 和 Mac 後,在用戶不知不覺的情況下,以另一支 iPhone 遙控並駭入用戶的 Mac,並執行任意指令。

由駭客 _MG_ 等人開發的「O.MG Cable」,外觀上看起來和一般的 Lightning 連接線沒有任何差異,甚至在插入 iOS 裝置和電腦時,系統也不會偵測到任何異常。

但只要受害者利用這條連接線連接 iOS 裝置和 Mac 電腦,駭侵者就可以透過網路來控制受害者的 Mac,甚至包括開啟 Terminal 視窗,執行任意程式碼。

開發者指出,在這條 O.MG Cable 上可以預先載入多種指令或程式腳本,也能刪除自身運作的記錄。

資料來源:

  1. https://mg.lol/blog/omg-cable/
  2. http://mg.lol/blog/defcon-2019/
  3. https://www.vice.com/en_us/article/evj4qw/these-iphone-lightning-cables-will-hack-your-computer

研究人員再次發現 Tesla Model S 無線鑰匙漏洞,可竊走車輛

去年發現 Tesla Model S 無線鑰匙可被任意複製的資安研究人員,再次發現另一漏洞,同樣可在車主不知不覺的情形下,以無線方式複製鑰匙並竊走車輛。

比利時 KU Leuven 大學資安研究人員 Lennert Wouters,日前在亞特蘭大市舉辦的資安學術研討會發表演說,再次指出 Telsa Model S 無線鑰匙存有資安漏洞;駭客能在不接觸到車主持有正版鑰匙的情形下,利用該漏洞破解鑰匙與車輛間的加密通訊,透過無線連結竊取資料,打造出一模一樣的無線鑰匙,從而竊走車輛。

這已是 Lennert Wouters 第二次揭露 Tesla Model S 無線鑰匙系統的漏洞。去年他首次發表此一漏洞時,完整示範了整個破解與複製鑰匙的過程;本次他只提供部分證明,並未完整示範。

Lennert Wouters 表示,新漏洞和去年相比,其可操作的範圍較小,距離車身必需近一點,花費複製時間也較長,但同樣有效。Tesla 原廠已得知該漏洞,並將在近期透過無線方式進行更新推播,以修補此漏洞。

資料來源:

https://www.wired.com/story/hackers-steal-tesla-model-s-key-fob-encryption/

針對工業的駭侵行為,相較去年上半年大增一倍

IBM 轄下的資安研究單位 X-Force IRIS 日前發表研究報告,指出過去半年以來,針對工業和製造業的駭侵次數,和去年上半年相比,大幅增加了一倍。

IBM 的報告指出,該單位發現製造業被列為駭侵攻擊對象的比例,近年來大幅增加;近半年來有一半左右的駭侵事件,都是針對工業製造部門發動的。

這些駭侵行動最主要的攻擊手法,仍是透過釣魚郵件、發動水坑攻擊,或是駭入企業的第三方合作單位,以取得入侵所需的登入資訊。

有些駭侵團體會先在企業內網中潛伏數月之久,盡量搜刮所需的檔案;但也有駭侵行動在入侵之後就立刻展開。

IBM 估計,大型企業每次遭到攻擊,平均會有 12,000 台電腦遭到破壞;企業至少要花 512 小時才會發現遭到駭入,復原所需時間更長達 1,200 小時。

資料來源:

  1. https://securityintelligence.com/posts/from-state-sponsored-attackers-to-common-cybercriminals-destructive-attacks-on-the-rise/
  2. https://www.zdnet.com/article/cyberattacks-against-industrial-targets-double-over-the-last-6-months/

專家研製偵測軟體 Bluetana,抓到竊取信用卡資訊的假冒藍牙刷卡機

資安公司 Krebs 與美國大學共同合作,開發出一支能夠偵測出假冒藍牙刷卡機的 App,可以用來遏止信用卡資料竊盜事件。

Krebs on Security 發表專文指出,該單位與加州大學聖地牙哥分校、伊利諾大學香檳城區分校,共同開發出一支稱為 Bluetana 的手機 App,希望能夠找出各種透過藍牙傳輸資料的假冒信用卡刷卡機。

這類假的藍牙刷卡機經常被歹徒放在美國各地自助加油站的刷卡機旁,當不知情的顧客刷卡時,信用卡資料就有被竊取的風險。

研究單位表示,他們讓 44 位志願者使用 Bluetana 偵測全美六個州的 1,185 個加油站,一年來發現了 64 個假冒刷卡機。

Bluetana 將有助於加油站管理者與警察更快速找到可疑的假冒刷卡機,減少信用卡資料竊取與盜刷造成的巨大損失。

資料來源:

  1. https://krebsonsecurity.com/2019/08/meet-bluetana-the-scourge-of-pump-skimmers/

單眼相機也可能被勒贖軟體攻擊

資安研究單位 Check Point 發表研究報告,指出單眼相機也可能成為勒贖軟體的攻擊目標。

Check Point 的資安專家指出,單眼相機用來傳送相片資料的 PTP 傳輸協定,存有易被駭客攻擊的漏洞;駭客可利用 PTP 在相機中植入勒贖軟體。

Check Point 使用 Canon EOS 80D 進行攻擊示範,透過相機的 Wi-Fi 相片傳輸功能,將勒贖軟體植入相片,並且將記憶卡中的所有影像資料加密,讓用戶無法存取相片或影片。

Check Point 在今年三月發現這個漏洞,並且通報 Canon;Canon 也於日前推出安全更新。攝影愛好者除了應該立即更新,並應避免使用未加密的無線網路傳輸照片;而在相片傳輸完成後應立即關閉相機的 WiFi 功能。

資料來源:

  1. https://research.checkpoint.com/say-cheese-ransomware-ing-a-dslr-camera/
  2. https://global.canon/en/support/security/d-camera.html
  3. https://www.theverge.com/2019/8/11/20800979/check-point-canon-eos-80d-dslr-malware-ransomware-cybersecurity

美國政府警告,2020 總統大選恐遭勒贖攻擊

美國政府官員指出,2020 總統大選時,駭客可能會加強攻擊選民資料庫;尤其是勒贖攻擊。

據路透社報導指出,美國政府已著手規畫針對 2020 大選選民資料庫的資安強化作業,各項新保護措施預計在一個月內就會上線。

美國官員指出,該資料庫曾在 2016 年遭俄羅斯駭客入侵,當時駭客的目的僅為竊取資料;但 2020 年可能發生的駭侵行為,其動機將會是操弄、干擾選舉或破壞資料。

美國國土安全部旗下的網路基礎架構安全局(CISA)特別針對勒贖攻擊的威脅發出警告;過去半年來已有多個美國大小城市,因勒贖攻擊而造成市政系統全面癱瘓。

CISA 已經開始會同 2020 大選各相關單位,共同研擬遭到各種攻擊時的反應計畫,同時加強對各式網路攻擊的防範準備。

資料來源:

  1. https://www.reuters.com/article/us-usa-cyber-election-exclusive/exclusive-u-s-officials-fear-ransomware-attack-against-2020-election-idUSKCN1VG222

McAfee 指出:2019 年第一季,每分鐘就有 504 次駭侵攻擊

資安廠商 McAfee 發表統計數字,指出 2019 年上半年各種駭侵攻擊的統計數字。

根據 McAfee 的報告,2019 年第一季的全球駭侵活動仍持續上升,平均每分鐘就觀測到高達 504 次各式駭侵活動。其他重要的觀測統計數字如下:

  • 與去年同期相較(以下同),勒贖攻擊增加了 118%,駭侵的進行策略與技術都有所提升;
  • 超過 20 億組帳號的登入資訊被盜,且在暗網中流通;
  • 愈來愈多針對公司行號進行的駭侵攻擊,以魚叉式網路釣魚(Spearphishing)為初始攻擊手法;
  • 意在挖掘新虛擬貨幣的挖礦惡意軟體攻擊增加 29%;
  • 針對亞太區的網路攻擊增加 126%。

詳細的報告資料,可參考 McAfee 的報告全文。

資料來源:

  1. https://www.mcafee.com/enterprise/en-us/assets/reports/rp-quarterly-threats-aug-2019.pdf

最新統計指出,倫敦每月平均遭到近一百萬次網路攻擊

資安研究單位指出,今年前三個月的統計,倫敦平均每月遭到近一百萬次網路攻擊,較去年提高 90%

資安研究單位「資訊自由」(Freedom of Information)發表研究報告,指出 2019 年第一季,倫敦一共遭到 280 萬次各式網路攻擊事件,平均一個月就有近一百萬次。

和 2018 年四月到十二月的攻擊統計相比,身為英國金融中心的倫敦,遭網路攻擊的次數上升了 90%;資安單位認為一方面是因為攻擊次數確實有所增加,但也可能是因為攻擊偵側技術的進步所致。

在去年四月以來的 720 萬次網路攻擊中,垃圾郵件佔絕大多數,達 690 萬次;其次是釣魚詐騙信件,有近 25 萬次,和惡意軟體相關的攻擊也有近兩萬起。

資料來源:

  1. https://www.infosecurity-magazine.com/news/city-of-london-one-million/

承諾用戶匿名使用的色情網站,大量洩漏用戶個資

一個名為 Luscious.net 的色情網站,承諾讓用戶匿名使用,然而卻發生大量用戶個資外洩事件。

據資安專家指出,該網站的用戶資料庫被發現公開在外部網路上,而且沒有任何保護措施;外洩的個資包括 110 萬名用戶的用戶名稱、email、使用記錄、性別、所在地等資料欄位。

另外,像是用戶自己上傳的相片和影片內容、留言、貼文、喜愛的內容、追蹤的帳號等資料也在外洩之列。

這個色情網站的內容,以變態和動漫的色情內容為主,雖然名氣不大,但據 Alexa 統計,其流量位居全美五千大網站之列。

資安專家和 TechCrunch 試圖和該網站連絡,以通報個資外洩事件,但都沒有得到任何回應。

資料來源:

  1. https://www.vpnmentor.com/blog/report-luscious-data-breach/
  2. https://techcrunch.com/2019/08/19/anonymous-luscious-hentai-manga-porn-security-lapse/

D-Link DVA-5592 路由器存有資安漏洞

DLink DVA-5592 無線路由器的 Web 管理界面,存有中等嚴重程度的資安漏洞。

透過此漏洞,駭客可以跳過帳密認證程序,直接進入管理界面,並且取得用戶的敏感資訊,例如 Wi-Fi 密碼或用戶的手機門號。

發現這個漏洞與本機其他安全漏洞的資安研究人員表示,已在一個多月前將漏洞資訊提報給 D-Link 的資安通報專線,但目前仍未看到 D-Link 推出修補程式。

  • CVE編號:CVE-2019-6969
  • 影響產品:D-Link DVA-5592
  • 解決方案:截稿前尚無

資料來源:

  1. https://rhaidiz.net/2019/02/27/dribble-router-vulns-dlink-alcatel-cve-2019-6969-cve-2019-6968-cve-2019-7163/
  2. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6969