Google 發現能讓 iPhone 變磚的 iMessage 訊息炸彈

Google 的資安研究單位發現,特定的 iMessage 訊息能讓 iPhone 陷入反覆重開機的錯誤,除非將手機重設為出廠預設狀態,否則手機將無法使用。

根據 Google 資安研究單位 Project Zero 指出,該單位發現一個可讓 iPhone 無法使用(變磚)的 iMessage 文字訊息炸彈;iPhone 一旦接收到這個訊息,就會陷入不斷重新啟動的循環,導致用戶無法使用手機,甚至 hard reset 都無法解決問題。

研究人員說,用戶想要取回手機控制權的唯一方式,就是在重開機後立即進入恢復模式,然後清空手機內所有資料,回復至出廠狀態。這當然會造成用戶存在手機中的資料流失。

除了 iPhone 外,如果是 Mac 版 iMessage 接收到這個訊息,同樣會造成 MacOS 當機,但重新啟動後即可繼續使用,不會造成 Mac 變磚。

Google Project Zero 在發現這個問題時便立即通報 Apple,Apple 也在問題提報的九十天之內就推出了修補軟體;只要 iPhone 在五月時更新到 iOS 12.3 之後的版本,就不用擔心這個問題。還沒有更新到此版本的 iPhone 使用者,請立即更新,並打開手機的自動更新開關。

資料來源:

  1. https://bugs.chromium.org/p/project-zero/issues/detail?id=1826
  2. https://www.forbes.com/sites/daveywinder/2019/07/07/google-confirms-apple-iphone-bricking-imessage-bomb/#296a19177a43

中國製智慧家庭設備商,洩漏超過二十億筆個資項目

中國一家名為 Orvibo 的智慧家庭設備供應商,遭資安單位發現將二十億筆以上的個資資料庫曝露在網上,幾無保護,供人任意存取。

據資安研究人員指出,在這個資料庫中主要存有用戶姓名、Email、密碼、精確的地點座標資訊,筆數達二十億筆以上,含蓋幾乎全球各地的用戶,受害者遍及中國、日本、泰國、美國、英國、墨西哥、法國、澳洲、巴西等國。

Orvibo 主要的業務範圍包括各種智慧家庭解決方案,例如家用、業務用或旅館業者的各種系統,包括安全與能源管理系統,以及遠端監控與資料記錄分析服務,並透過其私有雲端服務平台加以整合。

這個資料庫的內容僅經過簡單的 MD5 雜湊加密,非常容易破解還原;資安研究單位在六月初就發送資安疑慮通知給 Orvibo 公司,但直到七月初,該公司才將這個資料庫加上較強的保護措施。

資料來源:

  1. https://www.bleepingcomputer.com/news/security/billions-of-records-including-passwords-leaked-by-smart-home-vendor/
  2. https://blog.avast.com/orvibo-smart-home-devices-leaked-records

廣受歡迎的線上會議服務 Zoom 被爆嚴重安全漏洞,網站可藉以綁架 Mac 攝影鏡頭

資安研究人員發現用戶極多的 Zoom 線上視訊會議服務,其 Mac 版應用程式內含嚴重安全漏洞,可直接開啟用戶 Mac 電腦上的攝影鏡頭,並自動將用戶加入任何視訊會議。

獨立資安研究者 Jonathan Leitschuh 發現 Zoom Mac 版應用程式存有極嚴重的 0-day 安全漏洞,任何網站都可利用這個漏洞,在用戶不知情的情形下,直接開啟 Mac 的攝影鏡頭,把用戶加入任一視訊會議之中。

更糟的是,Zoom 完全沒有告知用戶,其應用程式會在 Mac 上安裝一個在背景運作的網頁伺服器;即使用戶先前已將 Zoom 應用程式自 Mac 上移除,這個網頁伺服器也不會遭到移除,甚至還會自動重新安裝 Zoom 應用程式。

Letischuh 指出,這個漏洞會讓用戶的 Mac 陷入被 DoS 的風險之中,只要攻擊者持續發送大量 GET request 指令給 Zoom 秘密安裝的網頁伺服器,Zoom app 就會不斷向 MacOS 發出回到前景模式的要求,這樣就能有效阻斷用戶的正常操作。

Letischuh 在三月初發現這個漏洞後,立即向 Zoom 回報,但 Zoom 沒有立即處理,在一般公認的 90 天保密期中,也僅推出一個快速修補方案,但並沒有真正解決其安全問題。

在各大科技媒體這兩天廣泛報導後,Zoom 才推出緊急更新版本,完全移除隱藏版的網頁伺服器。

 

資料來源:

  1. https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5
  2. https://www.theverge.com/2019/7/8/20687014/zoom-security-flaw-video-conference-websites-hijack-mac-cameras
  3. https://www.theverge.com/2019/7/9/20688113/zoom-apple-mac-patch-vulnerability-emergency-fix-web-server-remove
  4. https://blog.zoom.us/wordpress/2019/07/08/response-to-video-on-concern/

十五年前的惡意軟體 MyDoom,今日依然肆虐

五年前誕生的 Email 惡意軟體 MyDoom,在十五年後的今天,仍然在網路上散布,繼續危害用戶。

據資安專家指出,於 2004 年出現的 Email 惡意軟體 MyDoom,在十五年後仍然在網路上自行散播感染。即使在 2019 年上半年,還是有近五十萬封夾帶 MyDoom 的惡意 Email 在網上流竄。

MyDoom 又名 Novarg、Mimail 或 Shimg,主要透過 Email 感染;受害電腦遭感染後會寄出更多夾帶 MyDoom 的垃圾信,有些變種也會透過區域網路散布。

MyDoom 在感染後會開啟 TCP 埠號 3127 到 3198 的後門,讓攻擊者能過遠端控制受害電腦,並進一步植入更多惡意軟體;某些變種也能用來發動 DoS 攻擊。

雖然已經過了十五年,但 MyDoom 在網路上的活動量不但沒有消失,甚至今年還有增加的趨勢,;目前受害者分布以美國和中國為主,科技業則是主要被攻擊的產業。

 

資料來源:

  1. https://blog.talosintelligence.com/2019/07/rats-and-stealers-rush-through-heavens.html
  2. https://www.bleepingcomputer.com/news/security/notorious-mydoom-worm-still-on-autopilot-after-15-years/

中國 Android 惡意軟體「狸貓換太子」,會將正版 App 替換成夾 帶廣告詐騙機制的假貨

資安研究人員發現一個來自中國的 Android 惡意軟體「史密斯探員」,會將用戶手機中的正版 App 偷換成會夾帶廣告詐騙機制的假 App,受害者已達兩千萬人。

資安公司 Check Point 指出,該公司發現一個來自中國廣州的 Android 惡意軟體,會將用戶手機中的各種正版 App 偷偷換成看起來很像,但是卻會暗中下載並點擊廣告的假 App。

這個被命名為「史密斯探員」(Agent Smith)的 Android 惡意軟體在 2018 年初首次出現,一開始只出現在 Adnroid 平台上一個稱為 9Apps 的第三方 App Store,但 Check Point 最近發現「史密斯探員」也出現在 Google 官方的 Play Store 平台中,已經發現有 11 支 App 內含該惡意軟體。

目前該惡意軟體的受害者已達兩千萬人左右,主要分布在印度、巴基斯坦與孟加拉;Check Point 擔心這支惡意軟體侵入 Google Play Store 後,受害者會大幅增加。該公司估計目前新增的受害者已達一千萬名。

Check Point 也在第一時間通報 Google,目前 Google Play Store 已將確認感染的 App 下架,但 Android 用戶仍應提高警覺,因為類似的惡意軟體種類相當多。

 

資料來源:

  1. https://blog.checkpoint.com/2019/07/10/agent-smith-android-malware-mobile-phone-hack-virus-google/
  2. https://www.zdnet.com/article/new-android-malware-replaces-legitimate-apps-with-ad-infested-doppelgangers/

美國網戰司令部發布警告,指有網軍透過 Outlook 老舊漏洞進行駭侵

美國網路作戰司令部於日前在 Twitter 上發布警訊,指目前正有透過老舊 Outloook 漏洞,針對美國政府單位的網路攻擊,正在大規模發生中。

 被利用來進行駭侵攻擊的 Outlook 漏洞,編號為 CVE-2017-11774,是兩年前就被確認的老舊漏洞;微軟已在 2017 年十月發行的安全更新中提供修補軟體。

這個漏洞可讓攻擊者跳過 Outlook 的沙盒限制,在目標電腦的作業系統中執行惡意程式碼。

資安研究單位 SensePost 指出,在 2018 年曾監測到由伊朗支持的 APT33 駭侵團體,利用此漏洞發動網路攻擊。

美國網戰司令部沒有列出可能的攻擊來源,但一般相信這次攻擊和伊朗有關;資安專家指出,未來來自伊朗的駭侵攻勢可能繼續升高。

資料來源:

  1. https://twitter.com/CNMF_VirusAlert/status/1146130046127681536
  2. https://www.zdnet.com/article/us-cyber-command-issues-alert-about-hackers-exploiting-outlook-vulnerabil

羅技等品牌無線鍵鼠 USB 接收器,存有多個嚴重資安漏洞,可能遭劫持

包括羅技、微軟等主要品牌無線鍵鼠或簡報控制器,其 USB 接收器被資安人員發現存有多個嚴重安全漏洞,駭侵者附了可以竊取鍵盤按鍵資料外,更可以插入按鍵資料,並且取得電腦控制權。

資安人員指出,這些漏洞也能讓駭客取得用於加密鍵鼠通訊的密鑰;甚至還能跳過阻擋不明鍵鼠連線的安全系統。

存有這些安全漏洞的裝置,包括羅技全系列使用「Unifying」USB 接收器的產品線;羅技自 2009 年起使用 Unifying USB 接收器於所有無線滑鼠、鍵盤、軌跡球、簡報控制器等周邊之上。

事實上,這個漏洞並非羅技產品獨有,只要是採用了相同的控制晶片的產品,都存有這個漏洞;受影響的品牌除羅技外,還包括 HP、Dell、Gigabyte、Lenovo、AmazonBasics、微軟的無線鍵鼠產品等;而且因為是硬體的安全漏洞,所以和作業系統無關,包括 Windows、OSX、Linux 等皆受影響。

目前僅有部分廠牌推出更新修補程式,建議以上廠牌無線鍵鼠用戶盡速更新,以免成為駭侵對象。

影響產品(版本):羅技、HP、Dell、Gigabyte、Lenovo、AmazonBasics、微軟等多種無線鍵鼠產品

解決方案:至各廠牌網站下載安裝更新修補程式

 

資料來源:

  1. https://www.bastille.net/research/vulnerabilities/mousejack/affected-devices?fbclid=IwAR2-XqecmMnE4SfV39NQBMUB68cG3opAQi6Lufu_BT66zh7HiUCmZNY3Smg
  2. https://www.zdnet.com/article/logitech-wireless-usb-dongles-vulnerable-to-new-hijacking-flaws/?fbclid=IwAR2lndtglgv4poJXZzC2p9URXqHNyeLdB6VEOGu9J2MsOsh7tPQfBY43Ec8
  3. https://www.theverge.com/2019/7/14/20692471/logitech-mousejack-wireless-usb-receiver-vulnerable-hack-hijack?fbclid=IwAR0vBhtQYrWsIcnTngnjl2nUg7nsequXBTFtBfeVIBvuNW4dKUa36SgzovE

資安研討會及活動

2019數位政府高峰會 _ Digital Government Summit 2019

活動時間:2019/8/28 (三) 09:00 – 16:40
活動地點:台北富邦國際會議中心 B2
活動網站:https://egov.ithome.com.tw/
活動概要:數位政府高峰會將介紹外界最關心的換發數位身分識別證 (New eID) 最新規劃,說明依據智慧政府發展藍圖,在便捷生活、保障隱私、高安全性及資訊自主原則下,規劃發行數位身分識別證,將國民身分證結合自然人憑證,作為實體世界及網路身分之人別辨識之鑰匙,並說明New eID 個資、資安保護作為及相關更便利、更安全、更自主、更加值之各項情境。本議程邀請內政部戶政司司長張琬宜蒞臨分享數位身分識別證 (New eID) 虛實整合之規劃方向。2019 數位政府高峰會,內容不僅多元且豐富,一同探討數位轉型浪潮下公務員應具備的新能力,一起參與推動政府進步創新的行列。


2019 CYBERSEC 101

活動時間:2019/9/6(五)、9/20(五)、10/25(五)、11/8(五)、11/29(五)
活動地點:台北市松山區敦化南路一段108號 B2
活動網站:https://cybersec101.ithome.com.tw/
活動概要:CYBERSEC 101 為全新系列研討會,藉由定期舉辦,持續對資安實務做更全面更深入的探討與交流,期能擴大 IT 與資安人員的資安視野,精進資安防禦技能,持續提升企業組織的資安防禦水平。
2019 年 CYBERSEC 101 資安實務研討會的第一場次,將以當前全球最受企業與政府矚目的「NIST Cybersecurity Framework」為主題,透過此一完整涵蓋企業五大防禦構面的資安藍圖,由資安專家帶領 IT 與資安人員,以每個月一個子題的節奏,依序探討NIST Cybersecurity Framework 的五大資安防禦功能(Identify、Protect、Detect、Respond、Recover),完整檢視企業資安防禦的全貌,為企業資安防禦奠定持續改善的基礎。


新全民公敵—不實訊息

活動時間:108年8月19日(星期一)14時至17時
活動地點:IEAT會議中心3F第1會議室(臺北市中山區松江路350號3樓)
活動網站:https://twnic-icann.kktix.cc/events/108-5
活動概要:
網路不實訊息所導致的社會不信任與分歧的負面現象,甚至對民主的干預,已經成為許多國家的擔憂。
以5月底甫結束的歐洲議會大選為例,為防止俄羅斯以不實資訊活動干擾選情,歐盟早在去年12月5日發布《對抗不實訊息行動方案》,從增加專業資源投資、建立即時預警系統、要求業者落實自律規範、提升大眾認知等4大方向著手。
國際間也有從訂立法律或擬訂政策以為因應的做法,例如在去年通過與實施的法國《打擊資訊操弄法案》、德國《網路執行法》(NetzDG);以及今年5月通過的新加坡《防止網路虛假與操弄法案》等;這些做法中或從維護選舉公正性為出發點,也有從抑制網路仇恨言論散播的角度為立法初衷。
綜觀國際間防制不實訊息的不同做法,或可區分在短期間可奏效者包括從立法、平臺自律、或設立事實查核中心等;以及長期可收效的提升民眾媒體素養、健全媒體結構等。
本座談將聚焦於,釐清臺灣社會面對不實訊息帶來的威脅當中應優先處理的議題為何?針對優先處理議題,現有來自於政府與民間推動的措施是否足以因應?缺口為何?國際經驗中,又有哪些得以借鏡之處?
主持人    胡元輝 教授(中正大學電訊傳播研究所)
與談人(※依姓氏筆畫排序)
何吉森 副教授(世新大學廣播電視電影學系)
沈伯洋 副會長(台灣人權促進會)
黃兆徽 經理(華視新聞部)
羅秉成 政委(行政院)


2019 NGO 資安種子講師培訓

活動時間:2019/08/29(四) 09:00 – 2019/09/01(日) 17:00
活動地點:CLBC 德惠弍參 T23 / 10491台北市中山區德惠街23號
活動網站:https://ocftw.kktix.cc/events/cscs2019tot
活動概要:台灣擁有在國際間相當知名的開源社群,亦有著極為活躍的公民社會。為了促進這兩個社群之間的交流,開放文化基金會國際交流組與華人民主書院、台灣駭客協會、台灣人權促進會共四個組織共同開啟 「CSCS 專案:Civil Society Cyber Shield」,讓社會運動與組織者能夠接觸最新的資安工具、對抗資安威脅,在安全的線上環境中推動社會議題。
同時,台灣身為亞洲少數高度民主的國家,更期許以豐厚的民主土壤培養跨國資安支援網絡,將高品質的資安培訓提供到亞洲各國活躍的更多社會運動者與高危險社群。 2017 年,在台灣舉辦「東亞及華人社群人權工作者資安隱私保護工作坊」,超過 14 國、50 位跨國參加者及多個國際組織共襄盛舉,開啟後續更多深度合作,後半年起並於東南亞數國舉辦數場資安培訓。
CSCS 社群由志工講師及台灣的公民團體代表組成,由 OCF 擔任活動的統籌祕書處,協助社群發展。
課程大綱:

  • 如何向新手介紹資安?
  • 手機、電腦、線上通訊的安全性,如何教學?
  • 台灣公民團體(NGO)的資訊科技使用現狀
  • 如何建立與公民團體(NGO)的合作關係
  • NGO 資安培訓實作經驗分享

美國資安公司販售 BlueKeep 駭侵工具,用以測試資安環境

一家名為 Immuity Inc. 的公司,推出可利用 BlueKeep 嚴重安全漏洞的駭侵工具,該公司宣稱這可讓公司行號用以測試資安設定。

一家美國資安公司 Immunity Inc. 在日前在其資安測試工具 CANVAS 7.23 版中,新增了可利用 BlueKeep 漏洞進行駭侵測試的模組,引起資安界的討論。

透過該測試工具,就能成功利用 BlueKeep 取得遠端電腦的控制權,並執行任何程式碼。

BlueKeep 是最近 Windows 遠端桌面協定最嚴重的安全漏洞之一,CVE 編號為 CVE-2019-0708,可以用來散布例如 WannaCry 之類的惡意軟體。微軟已在五月時提供安全更新修補程式,但市面上仍有許多 Windows 電腦未及更新。

CANVAS 的售價達數千美元,該公司表示這個工具僅用於測試用途,而且不會自我複製並感染其他電腦;但有資安專家認為,這個工具的公開販售,等於是讓任何人都能擁有利用 BlueKeep 這個漏洞的強大駭侵工具,只要他出得起幾千美金。

資料來源:

  1. https://www.zdnet.com/article/us-company-selling-weaponized-bluekeep-exploit/
  2. https://twitter.com/Immunityinc/status/1153752470130221057

2019年7月份事件通報概況

本中心每日透過官方網站、電郵、電話等方式接收資安情資通報,以下為各項統計數據,分別為通報地區統計圖及通報類型統計圖。

通報地區統計圖為本中心所接獲之通報中,針對通報事件責任所屬地區之通報次數比率,如圖1所示;通報類型統計圖則為本中心所接獲的通報中,各項攻擊類型之筆數比率,如圖2所示。

圖1、通報地區統計圖

 

圖2、通報類型統計圖