新發現 Android 木馬,不但竊取用戶個資,還會暗中訂閱付費服務

資安研究單位發現一個名為「小丑」(Joker)的 Android 木馬,除了會竊取用戶個資、製造廣告假點閱外,甚至還會暗中訂閱付費服務。

資安公司 CSIS 日前發表研究報告,指出該公司發現一個全新的 Android 木馬程式,稱為「小丑」(Joker),且已經大量透過 Google Play 官方軟體下載中心散布。

這個惡意程式不但會竊取用戶手機中的通訊錄、裝置資訊和簡訊通訊內容,也會製造廣告假點擊,浪費用戶頻寛並詐取廣告分潤;更嚴重的是會自動幫用戶訂閱付費服務,造成更大的損失。

目前 CSIS 觀測到 Joker 已藏身在 24 支於 Google Play 上架的 App 之中,總安裝次數接近五十萬次。受害者多分布於歐洲和亞洲各國,但也觀測到當用戶身處美國和加拿大時,該木馬便會自動停止執行。

CSIS 的報告中有詳細的惡意軟體行為分析可供參考。

資料來源:

https://medium.com/csis-techblog/analysis-of-joker-a-spy-premium-subscription-bot-on-googleplay-9ad24f044451

Android 全新 0-Day 漏洞,可導致駭侵者取得更高操作權限

趨勢科技旗下的資安研究單位 ZDI 發表研究報告指出,該單位發現一個嚴重的 Android 0-Day 漏洞;駭侵者可藉此取得更高的作業系統操作權限。。

ZDI 指出,這個漏洞出現在 Android 的繪圖相關子系統驅動程式 V4l2(Video4Linux 2)中; 駭侵者只要先取得較低的執行權限,接著利用這個漏洞,就可以獲得更高權限,進而控制整個裝置。

這個 0-Day 漏洞的 CVSS 嚴重程度分數達到 7.8,算是相當嚴重的安全漏洞;ZDI 於今年三月通報 Google,但目前針對該漏洞的修補程式,尚未出現在 Google 九月的系統更新之中。

  • 影響產品(版本) :Android 各版本
  • 解決方案:尚無。
  •  CVE編號:暫無
  • 資料來源:
  1. https://www.zerodayinitiative.com/advisories/ZDI-19-780/
  2. https://threatpost.com/android-zero-day-bug-opens-door-to-privilege-escalation-attack-researchers-warn/148014/

蘋果澄清 Google 發表 iOS 安全漏洞報告的若干疑點

日前 Google 發表關於 iOS 的重大安全漏洞消息,造成用戶震撼;蘋果針對其內容發表澄清聲明。

日前 Google 的資安研究團隊 Project Zero 發表重大資安公告,指稱蘋果的 iOS 作業系統存有嚴重資安漏洞,導致駭侵團體長年利用該漏洞竊取用戶敏感資訊;消息傳開後造成媒體大量報導,並造成用戶震撼。

蘋果針對該報告中的問題,於日前發表聲明,澄清下列疑慮:首先,駭侵團體的攻擊目標是針對特定對象,也就是維吾爾人社群,而非針對一般大眾。其次,蘋果強調在 Google 發出公告前六個月,蘋果即已修復該漏洞。

蘋果也說,透過特定網站發動駭侵攻擊的時間,並非如 Google 所說的長達兩年,而是約兩個月。蘋果也在內部發現此一漏洞的十天內就修補了該漏洞。

資料來源:

  1. https://www.apple.com/newsroom/2019/09/a-message-about-ios-security/

 

名為「Checkm8」的漏洞,能破解自 iPhone 4s 到 iPhone X 的所有先前 iPhone 機種

駭客發表一個存在於 iPhone 硬體的漏洞破解方法,能夠暫時性地破解 iOS;為近年來影響範圍最大的 iPhone 漏洞。

這個稱為「Checkm8」(將軍)的漏洞,能在從 iPhone 4s 到 iPhone X 的各種舊款 iPhone 上執行,破解作業系統的執行權限限制,一度引起 iPhone 用戶群的緊張。

但這個漏洞的破解有諸多限制:必須以實體 USB 連接電腦和 iPhone,進入 DFU 模式後,在電腦上執行破解程式才行;而且只要 iPhone 重新開機,破解就失效,必須重覆上述步驟。

此外,除了 iPhone 4s、iPhone 5 和 iPhone 5c 等沒有 Secure Enclave 晶片的機種之外,其他所有 iPhone 機種的資料,都無法透過這個破解取得並解密。

由於是硬體漏洞所致,所以這個漏洞無法修復;不過專家評估這個漏洞並不會造成研重的攻擊事件,用戶只要不讓手機與解鎖密碼落入他人手中,就不必過於擔憂。

資料來源:

  1. https://appleinsider.com/articles/19/09/28/the-checkm8-exploit-isnt-a-big-deal-to-iphone-or-ipad-users-and-heres-why
  2. https://www.theregister.co.uk/2019/09/27/unpatchable_exploit_for_ios/

Windows Defender 防毒軟體於近期更新後無法運作

內建於多個 Windows 版本中的防毒軟體 Windows Defender,在最近一次更新之後出現問題,無法順利掃毒。

 在套用微軟於 2019 年七月發行的每月更新包後,內建於多種 Windows 版本中的掃毒軟體 Windows Defender 出現問題;不論是快速或完整掃毒,在掃瞄約 40 個檔案後,Windows Defender 便會出現「沒有發現威脅」的訊息,然後停止掃毒。

出問題的 Windows Defender 版本是 4.18.1908.7;針對這個錯誤,微軟也推出新版 Windows Defender 加以解決。

如果你還沒有升級到新版,也可以使用「自定掃瞄」來避開這個錯誤。

資料來源:

https://wccftech.com/microsoft-fixes-windows-defender-scans-broke/

惡意活動邀請造成十億 Google 日曆用戶嚴重資安威脅

近來許多 Google 日曆用戶頻繁收到內含惡意連結的活動邀請,造成嚴重資安威脅。Google 已著手處理此一問題。

近來眾多 Google 日曆用戶發現,自己的行事曆中出現奇怪的活動邀請;這些活動邀請往往以贈獎或其他吸引人點擊的文案,以類似釣魚郵件的手法,誘使用戶點擊惡意連結,填寫個資、信用卡資訊。

某些連結甚至直接夾帶惡意軟體,用戶只要一點擊,就有被駭侵的可能。

雖然早在數年前就有資安專家提出類似警告,但 Google 一直到日前才正式承諾,已經認知到該問題,並已著手處理。但 Google 認定這些惡意邀請的出現,並不是產品本身有錯誤或漏洞,而是一種濫用行為。

Google 也呼籲用戶小心處理日曆中出現的不明邀請,若認為該活動邀請有問題,可以提出檢舉並予以刪除。

 

資料來源:

  1. https://support.google.com/calendar/thread/13429505?hl=en
  2. https://support.google.com/calendar/answer/6110973?hl=en&ref_topic=3418057#report_spam
  3. https://www.forbes.com/sites/daveywinder/2019/09/09/google-finally-confirms-security-problem-for-15-billion-gmail-and-calendar-users/#72c55416279f

Google Play 商店中再次發現兩個自拍 App,會一直顯示蓋版廣告

資安研究人員在 Google Play 商店中再度發現兩個自拍美顏 App,不但會持續顯示蓋版廣告,而且難以移除。

資安公司 Wandera 的研究人員指出,他們在 Google Play 商店中發現兩個新的惡意廣告 App,都是頗受歡迎的自拍美顏軟體。

這兩個軟體,一個叫做 Sun Pro Beauty Camera,已有一百萬次下載;另一個叫做 DUnny Sweet Beauty Selfie Camera,約有五十萬次下載。

這兩個 App 都藏有用戶不知情的惡意廣告機制,安裝之後用戶的手機就會不停跳出蓋版廣告,即使用戶在執行其他軟體,廣告仍會不斷跳出;不但干擾用戶操作,更會快速消耗手機資量傳輸量與電力。

這兩支 App 還會在第一次使用後,把自己從應用程式列表中隱藏起來,讓用戶難以移除;即使移除手機桌面的捷徑,App 仍會在背景持續執行。

研究人員也發現這兩個 App,都使用來自中國的 APK 包裝機制 Ijiami(愛加密),以避免程式碼被解開檢視。

Google 已將這兩支 App 自 Google Play 商店中下架。

 

資料來源:

  1. https://www.wandera.com/mobile-security/google-play-adware/
  2. https://www.zdnet.com/article/two-android-adware-apps-with-1-5-million-downloads-removed-from-google-play-store/

Google Chrome 應用程式商店中出現假冒廣告阻擋外掛,用以詐騙電商銷售分潤

兩支假冒知名網頁廣告阻擋器的假冒外掛程式,於 Google Chrome 應用程式商店中被發現;估計每月詐得的電商購物分潤,高達數百萬美元。

這兩支假冒外掛程式是「AdBlock by AdBlock Inc.」以及「uBlock by Charlie Lee」,分別假冒 AdBlock 和 uBlock 這兩個廣受歡迎的廣告阻擋軟體。

發現這兩支假冒外掛的,是另一家知名廣告阻擋軟體開發者 AdGuard;AdGuard 在其官方部落格中發文指出,這兩支假冒外掛合計已有 160 萬用戶。

報告進一步分析假冒外掛後,發現這兩支外掛都會進行「cookie stuffing」詐騙,也就是在用戶瀏覽器中偷偷塞入不相干的第三方 cookie;當用戶於某些電商網站購物時,就可以透過該 cookie 進行不實推薦認證,詐取分潤傭金。

AdGuard 發現這兩支假冒外掛的詐騙 cookie,詐騙的目標包括 Alexa 前一萬名中的三百個大型網站,每個月可詐得的傭金,估計高達數百萬美元。

在這個消息公開後,Google 已將這兩支假冒外掛下架,但由於 Google 對 Chrome Store 外掛程式上架的審核非常鬆散,資安專家建議用戶在安裝任何瀏覽器外掛時,最好三思,是否真的需要這個外掛,也不要輕信外掛的說明文字、評價和用戶留言。

資料來源:

  1. https://adguard.com/en/blog/fake-ad-blockers-part-2.html
  2. https://www.zdnet.com/article/google-removes-two-chrome-ad-blocker-extensions-caught-cookie-stuffing/
  3. https://www.tomshardware.com/news/adblock-ublock-fake-google-chrome-browser-extensions,40422.html

維基百科遭 DDoS 攻擊,一度無法存取

負責維運維基百科的維基媒體(Wikimedia)德國分部,日前指出該單位的多台伺服器遭到「分散式服務阻斷攻擊」(DDoS),導致美國、英國、歐洲和中東地區的用戶,無法連線到維基百科存取其內容。

根據專門監測網路故障事件的非政府組織 NetBlocks 指出,這次攻擊事件造成的維基百科服務中斷,約持續九小時;駭侵者主要攻擊美國和歐洲境內的維基媒體伺服器。

英國國家網路安全中心(NCSC)在這次事件後也發表聲明,呼籲各公私組織應該發展更有效的因應對策,以防制日趨頻繁且嚴重的此類服務阻斷攻擊。

  • 攻擊手法:分散式服務阻斷攻擊(DDoS)
  • 關鍵字:Wikipedia, Wikimedia, NCSC
  • 資料來源:
  1. https://twitter.com/WikimediaDE/status/1170077481447186432
  2. https://twitter.com/netblocks/status/1170174414840901632
  3. https://www.bleepingcomputer.com/news/security/wikipedia-ddos-attacks-prompt-ncsc-to-remind-of-dos-mitigation/

汽車行銷業者資料庫未加任何保護,近兩億車主資料曝光

資安研究人員發現一個含有近兩億名車主個資的巨大資料庫公開在網路上,未經任何保護。

 資安廠商 SecurityDoscovery 的研究人員 Jeremiah Fowler 日前在網路上發現一個巨大 ElasticSearch 資料庫,內含近兩億名美國車主的多項個資,且未加上任何保護措施,可任人自由存取。

該資料庫的檔案大小高達 413 GB,資料欄位包括車主姓名、Email 地址、電話號碼、居住地址等個資,而且均以明碼儲存。

研究人員追蹤該資料庫的擁有者,發現資料庫屬於一家美國汽車行銷公司 dealerleads.com。這家公司的業務,以汽車的網路行銷與市場調查為主。

研究人員指出,這類資料庫外洩的資安事件,多半肇因於錯誤的資料庫參數設定; delaerleads.com 在得知此事後,已將資料庫設定為外界無法存取,但是否有車主因此受到影響,目前仍不得而知。

資料來源:

  1. https://securitydiscovery.com/dealer-leads/
  2. https://www.infosecurity-magazine.com/news/marketer-exposes-198-million-car/