iOS 版 Chrome 瀏覽器的程式錯誤,可能導致眾多 iPhone 用戶遭駭

資安專家警告,一個 iOS 版 Chrome 瀏覽器的程式錯誤,可能導致近五億 iPhone 或 iPad 用戶遭惡意廣告攻擊。

資安專家 Eliya Stein 指出,一個被稱為 eGobblers 的駭侵團體,可能利用 iOS 版 Chrome 瀏覽器尚未修補的程式錯誤,讓 iOS 用戶在瀏覽到惡意廣告時遭到駭侵攻擊。

Stein 的專文表示,當用戶瀏覽到惡意網頁時,會突然被導向到另一個廣告頁面,或是跳出一個無法關閉的廣告頁面;這些頁面看起來和大品牌的廣告無異,但實際上暗藏惡意軟體。

由於 Chrome 的軟體錯誤,該惡意軟體將可以跳過 iOS 系統的沙盒限制,並且劫持用戶的瀏覽 session。報導指稱這波攻擊主要針對美洲的 iOS 用戶,但在歐洲也觀察到駭侵事件。

也有其他資安公司指出,不只是 iOS 版 Chrome 易遭攻擊,甚至連 iOS 內建的預設瀏覽器 Safari 也可能遭駭;這使得潛在的受害層面大大擴及幾乎每一支 iOS 設備。

ThreatPost 的專文詳細描述了該駭侵攻擊的細節。

資料來源:

  1. https://blog.confiant.com/massive-egobbler-malvertising-campaign-leverages-chrome-vulnerability-to-target-ios-users-a534b95a037f
  2. https://threatpost.com/easter-attack-apple-ios/143901/

 

多支 Android App 內含廣告軟體,大量耗電並用光連線頻寛

資安廠商發現多達 50 支 Google Play Store 中的 Android App 暗藏廣告軟體,不但破壞用戶體驗,更會造成電力或可用上網額度快速耗盡等問題。

資安廠商 Avast 發表研究報告指出,該公司在 Google Play Store 中發現至少 50 支各式 Android App,內含有問題的廣告軟體,會造成用戶各種困擾。

一但用戶安裝了這些 App,不但手機經常會自動跳出全螢幕廣告,還會要求用戶點按安裝特定 App;而用戶的手機速度會明顯變慢,電池電力會快速耗盡,可用上網額度也會被占用;對沒有上網吃到飽的用戶來說,可能造成上網費用暴增。

據 Avast 統計,這些 App 個別下載量從五千次到五百萬次不等,整體下載量可能超過三千萬次;而 App 所屬領域相當多元,從小遊戲、健身、相片編修、音樂等都有。目前多數廣告 App 均已遭下架。

由於這些 Android App 都曾在 Google Play 合法上架,因此用戶難以識別;Avast 建議 Android 手機用戶應該安裝值得信任的防毒軟體,在下載前也應先仔細閱讀 App 說明與用戶意見回饋。類似的不良 App 應會有用戶提供負面反應,只要細讀即可察覺。另外對於要求過多權限的 App,也應提高警覺。

資料來源:

  1. https://blog.avast.com/adware-plagues-google-play
  2. https://docs.google.com/spreadsheets/d/1T2zy8lTtkYj45psdTyOZw6GVe1WI7LQuU8k42tHeiuM/edit#gid=1186582891

新發現的高通晶片設計瑕疵,可能導致眾多 Android 裝置面臨密鑰外洩風險

新發現的高通(Qualcomm)手機晶片設計瑕疵,讓駭客得以取得存在晶片中的加密密鑰。Android 手機機用戶請盡速更新系統。

資安研究單位 NCC Group 的研究員 Keegan Ryan 近日發表研究報告,指出高通的手機晶片由於設計瑕疵,駭侵者可用其分支預測與快取中取得資訊,並且據以解開儲存於晶片中的 224、256 位元 ECDSA 加密密鑰。

研究報告稱一供有 36 種高通手機晶片有此安全問題,包括廣泛使用在各型熱銷 Android 手機中的 SnapDragon 820、835、845 與 855 型晶片。

採用這些晶片的市場熱銷手機包括 Samsung Galaxy 系列、Sony Xperia 系列、小米 Mi 系列和 LG V50、中興 Axon 等。

Qualcomm 在今年四月時針對此漏洞推出修補程式,而 Google 隨後也發表 Android 系統更新;然而各廠家推出針對旗下 Android 手機系統更新軟體的進度不一,有些較舊手機甚至完全無法更新。建議 Android 手機用戶盡可能安裝最新版作業系統。

資料來源:

  1. https://www.nccgroup.trust/us/our-research/private-key-extraction-qualcomm-keystore/
  2. https://threatpost.com/qualcomm-critical-flaw-private-keys-android/144112/
  3. https://www.qualcomm.com/company/product-security/bulletins

義大利公司疑似散布間諜軟體,Google Play 緊急下架二十五支 App

Google Play 日前緊急移除二十五支 App,這些 App 遭到一支被稱為  Exodus 的間諜軟體感染;資安研究單位指散布該 App 的是一家名稱 eSurv 的義大利公司,而該公司亦承包義大利政府標案,目前正接受司法調查。

非營利資安研究單位「無邊界安全」(Security Without Borders)指出,這些 App 偽裝成義大利各電信業者的服務用軟體。

一旦感染後,手機中的各種資訊,包括 IMEI、手機號碼、安裝的 App 清單、撥號與通聯記錄、簡訊內容、手機所在地的座標、網頁瀏覽記錄、行事曆中的行程、通訊錄等敏感個資都會遭到不當存取。

無邊界安全同時指出,Exodus 可能已經感染數百到上千支 Android 手機。

散布該 App 的義大利公司 eSurv 的主要業務是錄影監視系統、無人機監視、面孔與車牌辨識等安保範圍;在此事遭揭發後 eSurv 的網站即無法讀取,該公司的多個社群帳號亦被清空。

那不勒斯的義大利檢調單位已針對此案展開調查行動。報導指出,三星期前 eSurv 的辦公室即遭到搜索,所有可疑電腦設備均遭調查單位查扣。

資料來源:

  1. https://securitywithoutborders.org/blog/2019/03/29/exodus.html
  2. https://threatpost.com/google-play-boots-italian-spyware-apps-that-infected-hundreds/143308/
  3. https://www.securityweek.com/exodus-android-spyware-possible-links-italian-government-analyzed
  4. https://www.vice.com/en_us/article/eveeq4/prosecutors-investigation-esurv-exodus-malware-on-google-play-store

最新 WiFi 加密標準 WPA3 存有安全漏洞,攻擊者可取得密碼

研究報告指出,最新的 WiFi 加密標準 WPA3 仍存有安全漏洞,駭客可藉以取得無線網路的加密密碼。

由資安專家 Mathy Vanhoef 和 Eyal Roene 發表的研究報告指出,最新的 WPA3 無網網路加密協定,仍然存有一系列的安全漏洞;駭客可以透過這些漏洞取得無線網路密碼。

報告指出,推出才一年的 WPA3,當初是為了補強 WPA2 的弱點而推出,例如離線字典攻擊與前向保密(Forward secrecy);然而 WPA3 本身也有一些設計缺陷。

該報告透過理論分析與實際模擬,指出駭客可以利用時間差或鄰近頻道的快取攻擊來取得 WiFi 密碼。

報告也指出,他們找到的安全漏洞,能夠以非常簡單的軟體更新加以解決。

詳細的漏洞分析與攻擊模擬結果,可參照報告原文。

資料來源:

  1. https://papers.mathyvanhoef.com/dragonblood.pdf
  2. https://www.computing.co.uk/ctg/news/3074010/security-flaws-in-wpa3-allow-attackers-to-hack-passwords

駭侵組織鎖定 D-Link、TOTOLINK 等家用路由器進行 DNS 劫持

近三個月來有駭侵團體鎖定家用路由器進行 DNS 劫持攻擊,遭入侵的多為 D-Link 和 TOTOLINK 的產品,總數接近兩萬台。

資安公司 Bad Packets 指出,該公司自去年十二月起觀察到至少三波大規模家用路由器劫持攻擊事件,而攻擊行動目前仍持續進行中。

駭侵團體透過路由器韌體的安全漏洞,竄改路由器的 DNS 伺服器設定,將用戶的網路連線導向至假的 DNS 伺服器,以讓用戶進入假網站,誘使用戶輸入帳號密碼或其他重要資訊。

據報導,受害者會被導至的假網站包括 Netflix、Google、PayPal 等,以及巴西多家銀行的官方網站。

目前已知受害的路由器廠牌型號與受感染台數分列如下:

  • D-Link DSL-2640B – 14,327
  • D-Link DSL-2740R – 379
  • D-Link DSL-2780B – 0
  • D-Link DSL-526B – 7
  • ARG-W4 ADSL routers – 0
  • DSLink 260E routers – 7
  • Secutech routers – 17
  • TOTOLINK routers – 2,265

如果你發現自己的路由器 DNS 被設定為以下四個 IP 之一,請立即更正,並儘快更新路由器韌體。

  • 70.173.48
  • 217.191.145
  • 128.126.165
  • 128.124.131

資料來源:

  1. https://badpackets.net/ongoing-dns-hijacking-campaign-targeting-consumer-routers/
  2. https://twitter.com/stefant/status/1114190053226549248
  3. https://en.wikipedia.org/wiki/DNSChanger
  4. https://www.zdnet.com/article/hacker-group-has-been-hijacking-dns-traffic-on-d-link-routers-for-three-months/#ftag=RSS-03-10aaa0a

Windows 7 更新後無法啟動,微軟暫停對 Sophos 防毒用戶推送四月分更新

微軟暫停推送本月的 Windows 7 與 Windows 8.1 更新給 Sophos 防毒軟體用戶,因為有眾多用戶回報更新後電腦即無法啟動。

發生更新後無法啟動問題的,主要是在 Windows 7 和 Windows 8.1 上安裝 Sophos Endpoint Security and Control 以及 Sophos Central Endpoint Standard/Advanced 防毒軟體的電腦;同樣的問題也出現在 Windows Server 2008 R2 和 Windows Server 2012 之上。

微軟在周二推送了四月分的軟體更新,主要解決的問題包括 KB4493467、KB4493446、KB4493448、KB4493472、KB4493450 和 KB4493451。

Sophos 已經對其用戶發出通知,暫勿安裝微軟四月份系統更新;已經安裝且發生問題的用戶,可以用安全模式啟動電腦後關閉 Sophos 防毒並移除更新程式,就能再度啟動 Windows 並重新啟用 Sophos 防毒。

其他消息來源指出,Avast防毒同樣受這次更新影響,但微軟尚未確認。

資料來源:

  1. https://community.sophos.com/kb/en-us/133945
  2. https://www.zdnet.com/article/windows-7-problems-microsoft-blocks-april-updates-to-systems-at-risk-of-freezing

微軟推出 Tamper Protection 新功能,防止惡意軟體關閉掃毒

微軟公司在其防毒產品 Microsoft Defender Advenced Threat Protection 中新增「Tamper Protection」功能,可預防惡意軟體試圖關閉系統的資安監測功能。

有許多惡意軟體會試圖關閉作業系統上運作中的駭侵監控功能,例如有個叫做 DoubleAgent 的惡意軟體,會搜尋並關閉諸如 Avast, AVG、Avira、Bitdefender、Trend Micro、Comodo、ESET、F-Secure、Kaspersky、Malwarebytes、McAfee、Panda、Norton 等知名防毒軟體。

微軟新推出的 Tamper Protection 功能,會在其防駭系統中新增一個稱為「Tampert Protectoion」的選項;開啟後即可防止惡意軟體修改系統核心設定,避免駭侵監控功能遭到關閉。

微軟表示,啟用該功能後,系統駭侵監視功能被關閉的機會將會大幅降低。

該功能也會防止惡意軟體試圖刪除已安裝的安全更新修補程式,並阻止惡意軟體關閉微軟的雲端防駭監控功能。微軟認為這樣能大幅減少系統被 0-day 惡意軟體攻擊的風險。

這項新功能目前仍在測試,未來正式推出的日期未定。

資料來源:

  1. https://techcommunity.microsoft.com/t5/Windows-Defender-ATP/Tamper-protection-in-Microsoft-Defender-ATP/ba-p/389571
  2. https://www.zdnet.com/article/windows-security-microsoft-defender-av-can-now-stop-malware-from-disabling-it/

微軟客服帳號遭駭,Outlook、Hotmail、MSN 等雲端郵件內容可能外洩

微軟承認由於客服管理用帳號密碼遭駭客取得,包括 Outlook.com、MSN 和 Hotmail 等非企業用郵件帳號,可能遭到不當存取。

TechCrunch 日前報導,擁有近七億七千三百萬個郵件帳號的微軟雲端郵件服務,其客服管理工具的帳號密碼遭駭客取得,造成眾多郵件用戶面臨郵件內容和敏感訊息外洩的風險。

微軟表示,可能外洩的資料類型,包括 Email 地址、資料夾名稱、Email 主旨、通訊對象的 Email 地址或連絡人名稱;微軟說約有 6% 的上述雲端郵件用戶可能遭駭,微軟也已分別寄出通知信信給這些用戶。

微軟否認 Email 內容和附加檔案被駭侵的可能性,但資訊新聞網站 Motherboard 報導說他們收到匿名人士提供管理工具各種功能的螢幕截圖,顯示駭客可以透過該工具取得郵件內文。

這起駭侵事件發生於今年一月一日至三月二十八日,微軟表示已經停用被取得的管理工具帳號;不過各界對微軟的風控漏洞多所指責,更有不少聲音批評微軟竟然能夠以內部工具存取客戶的郵件內容,簡直不可思議。

資料來源:

  1. https://techcrunch.com/2019/04/13/microsoft-support-agent-email-hack/
  2. https://www.vice.com/en_us/article/ywyz3x/hackers-could-read-your-hotmail-msn-outlook-microsoft-customer-support

2019年4月份事件通報概況

本中心每日透過官方網站、電郵、電話等方式接收資安情資通報,以下為各項統計數據,分別為通報地區統計圖及通報類型統計圖。

通報地區統計圖為本中心所接獲之通報中,針對通報事件責任所屬地區之通報次數比率,如圖1所示;通報類型統計圖則為本中心所接獲的通報中,各項攻擊類型之筆數比率,如圖2所示。

圖1、通報地區統計圖
圖2、通報類型統計圖