進出新疆旅客,手機被強迫安裝惡意軟體

多家媒體指出,進出新疆邊境的外國旅客,最近開始遭到中國邊防單位強制於其手機中安裝惡意軟體,以取得手機內各種資訊

包括紐約時報、南德日報、英國衛報、德國公共廣播NDR、科技媒體Motherboard等都報導這項強制監控行動。

近來進出新疆的外國旅客,會在邊境檢查時被要求交出手機給邊防人員檢查,同時強制安裝一支名為「蜂采」的 Android 惡意軟體。
南德日報和 Motherboard 取得這支「蜂采」App 後,會同紐約時報、英國衛報與多個資安研究單位,對其進行分析;研究人員發現這支軟體會竊取手機中的各項資訊,如行事曆中的所有行程、通訊錄、通話記錄、用戶在各個 App 中的登入資訊等,並將資料上傳到某一台伺服器中。

這支 App 還會掃瞄用戶手機中的各種檔案,內建超過七萬三千種不同檔案的雜湊特徵碼;其中某些目標檔案屬於伊斯蘭極端主義相關或 IS 的線上出版物,但該 App 也會針對伊斯蘭經典古蘭經或達賴喇嘛相關內容進行掃瞄。

通關旅客如果使用 iPhone,雖然不會被強制安裝惡意軟體,但手機也會被邊防人員取走,利用特殊機器加以掃瞄。

資料來源:

  1. https://www.vice.com/en_us/article/7xgame/at-chinese-border-tourists-forced-to-install-a-text-stealing-piece-of-malware
  2. https://www.theguardian.com/world/2019/jul/02/chinese-border-guards-surveillance-app-tourists-phones
  3. https://www.nytimes.com/2019/07/02/technology/china-xinjiang-app.html

中國 Android 惡意軟體「狸貓換太子」,會將正版 App 替換成夾 帶廣告詐騙機制的假貨

資安研究人員發現一個來自中國的 Android 惡意軟體「史密斯探員」,會將用戶手機中的正版 App 偷換成會夾帶廣告詐騙機制的假 App,受害者已達兩千萬人。

資安公司 Check Point 指出,該公司發現一個來自中國廣州的 Android 惡意軟體,會將用戶手機中的各種正版 App 偷偷換成看起來很像,但是卻會暗中下載並點擊廣告的假 App。

這個被命名為「史密斯探員」(Agent Smith)的 Android 惡意軟體在 2018 年初首次出現,一開始只出現在 Adnroid 平台上一個稱為 9Apps 的第三方 App Store,但 Check Point 最近發現「史密斯探員」也出現在 Google 官方的 Play Store 平台中,已經發現有 11 支 App 內含該惡意軟體。

目前該惡意軟體的受害者已達兩千萬人左右,主要分布在印度、巴基斯坦與孟加拉;Check Point 擔心這支惡意軟體侵入 Google Play Store 後,受害者會大幅增加。該公司估計目前新增的受害者已達一千萬名。

Check Point 也在第一時間通報 Google,目前 Google Play Store 已將確認感染的 App 下架,但 Android 用戶仍應提高警覺,因為類似的惡意軟體種類相當多。

 

資料來源:

  1. https://blog.checkpoint.com/2019/07/10/agent-smith-android-malware-mobile-phone-hack-virus-google/
  2. https://www.zdnet.com/article/new-android-malware-replaces-legitimate-apps-with-ad-infested-doppelgangers/

十五年前的惡意軟體 MyDoom,今日依然肆虐

五年前誕生的 Email 惡意軟體 MyDoom,在十五年後的今天,仍然在網路上散布,繼續危害用戶。

據資安專家指出,於 2004 年出現的 Email 惡意軟體 MyDoom,在十五年後仍然在網路上自行散播感染。即使在 2019 年上半年,還是有近五十萬封夾帶 MyDoom 的惡意 Email 在網上流竄。

MyDoom 又名 Novarg、Mimail 或 Shimg,主要透過 Email 感染;受害電腦遭感染後會寄出更多夾帶 MyDoom 的垃圾信,有些變種也會透過區域網路散布。

MyDoom 在感染後會開啟 TCP 埠號 3127 到 3198 的後門,讓攻擊者能過遠端控制受害電腦,並進一步植入更多惡意軟體;某些變種也能用來發動 DoS 攻擊。

雖然已經過了十五年,但 MyDoom 在網路上的活動量不但沒有消失,甚至今年還有增加的趨勢,;目前受害者分布以美國和中國為主,科技業則是主要被攻擊的產業。

 

資料來源:

  1. https://blog.talosintelligence.com/2019/07/rats-and-stealers-rush-through-heavens.html
  2. https://www.bleepingcomputer.com/news/security/notorious-mydoom-worm-still-on-autopilot-after-15-years/

廣受歡迎的線上會議服務 Zoom 被爆嚴重安全漏洞,網站可藉以綁架 Mac 攝影鏡頭

資安研究人員發現用戶極多的 Zoom 線上視訊會議服務,其 Mac 版應用程式內含嚴重安全漏洞,可直接開啟用戶 Mac 電腦上的攝影鏡頭,並自動將用戶加入任何視訊會議。

獨立資安研究者 Jonathan Leitschuh 發現 Zoom Mac 版應用程式存有極嚴重的 0-day 安全漏洞,任何網站都可利用這個漏洞,在用戶不知情的情形下,直接開啟 Mac 的攝影鏡頭,把用戶加入任一視訊會議之中。

更糟的是,Zoom 完全沒有告知用戶,其應用程式會在 Mac 上安裝一個在背景運作的網頁伺服器;即使用戶先前已將 Zoom 應用程式自 Mac 上移除,這個網頁伺服器也不會遭到移除,甚至還會自動重新安裝 Zoom 應用程式。

Letischuh 指出,這個漏洞會讓用戶的 Mac 陷入被 DoS 的風險之中,只要攻擊者持續發送大量 GET request 指令給 Zoom 秘密安裝的網頁伺服器,Zoom app 就會不斷向 MacOS 發出回到前景模式的要求,這樣就能有效阻斷用戶的正常操作。

Letischuh 在三月初發現這個漏洞後,立即向 Zoom 回報,但 Zoom 沒有立即處理,在一般公認的 90 天保密期中,也僅推出一個快速修補方案,但並沒有真正解決其安全問題。

在各大科技媒體這兩天廣泛報導後,Zoom 才推出緊急更新版本,完全移除隱藏版的網頁伺服器。

 

資料來源:

  1. https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5
  2. https://www.theverge.com/2019/7/8/20687014/zoom-security-flaw-video-conference-websites-hijack-mac-cameras
  3. https://www.theverge.com/2019/7/9/20688113/zoom-apple-mac-patch-vulnerability-emergency-fix-web-server-remove
  4. https://blog.zoom.us/wordpress/2019/07/08/response-to-video-on-concern/

中國製智慧家庭設備商,洩漏超過二十億筆個資項目

中國一家名為 Orvibo 的智慧家庭設備供應商,遭資安單位發現將二十億筆以上的個資資料庫曝露在網上,幾無保護,供人任意存取。

據資安研究人員指出,在這個資料庫中主要存有用戶姓名、Email、密碼、精確的地點座標資訊,筆數達二十億筆以上,含蓋幾乎全球各地的用戶,受害者遍及中國、日本、泰國、美國、英國、墨西哥、法國、澳洲、巴西等國。

Orvibo 主要的業務範圍包括各種智慧家庭解決方案,例如家用、業務用或旅館業者的各種系統,包括安全與能源管理系統,以及遠端監控與資料記錄分析服務,並透過其私有雲端服務平台加以整合。

這個資料庫的內容僅經過簡單的 MD5 雜湊加密,非常容易破解還原;資安研究單位在六月初就發送資安疑慮通知給 Orvibo 公司,但直到七月初,該公司才將這個資料庫加上較強的保護措施。

資料來源:

  1. https://www.bleepingcomputer.com/news/security/billions-of-records-including-passwords-leaked-by-smart-home-vendor/
  2. https://blog.avast.com/orvibo-smart-home-devices-leaked-records

Google 發現能讓 iPhone 變磚的 iMessage 訊息炸彈

Google 的資安研究單位發現,特定的 iMessage 訊息能讓 iPhone 陷入反覆重開機的錯誤,除非將手機重設為出廠預設狀態,否則手機將無法使用。

根據 Google 資安研究單位 Project Zero 指出,該單位發現一個可讓 iPhone 無法使用(變磚)的 iMessage 文字訊息炸彈;iPhone 一旦接收到這個訊息,就會陷入不斷重新啟動的循環,導致用戶無法使用手機,甚至 hard reset 都無法解決問題。

研究人員說,用戶想要取回手機控制權的唯一方式,就是在重開機後立即進入恢復模式,然後清空手機內所有資料,回復至出廠狀態。這當然會造成用戶存在手機中的資料流失。

除了 iPhone 外,如果是 Mac 版 iMessage 接收到這個訊息,同樣會造成 MacOS 當機,但重新啟動後即可繼續使用,不會造成 Mac 變磚。

Google Project Zero 在發現這個問題時便立即通報 Apple,Apple 也在問題提報的九十天之內就推出了修補軟體;只要 iPhone 在五月時更新到 iOS 12.3 之後的版本,就不用擔心這個問題。還沒有更新到此版本的 iPhone 使用者,請立即更新,並打開手機的自動更新開關。

資料來源:

  1. https://bugs.chromium.org/p/project-zero/issues/detail?id=1826
  2. https://www.forbes.com/sites/daveywinder/2019/07/07/google-confirms-apple-iphone-bricking-imessage-bomb/#296a19177a43

掀起全球流行的變臉軟體 FaceApp,資安疑慮引發各界關注

近來再度於社群平台上掀起全球話題俄羅斯變臉軟體 FaceApp,引發大量資安疑慮;資安專家認為用戶應該謹慎使用這類 App

兩年前就已推出的手機變臉軟體 FaceApp,最近推出可以計算模擬人臉變老的模樣,因而再度掀起使用熱潮;許多用戶在社群平台上分享自己變老後的照片;但 FaceApp 是由俄羅斯團隊開發,再加上美國總統大選將至,因而引發各界的資安疑慮。

美國民主黨全國委員會就提出警訊,呼籲民眾不要安裝使用這支來自俄羅斯的 App,以避免潛在的資安風險;也有資安專家從其使用授權條款出發,認為這支 App 的使用條款要求太多權限,無法確保用戶隱私。甚至有人指出 FaceApp 會把用戶手機裡的所有相片上傳到俄羅斯的伺服器。

TechCrunch 和其它專家研究 FaceApp 的運作過程,指出並沒有觀察到除了用戶選定的相片之外,其他相片也被上傳的跡象;專家說 iPhone 版 FaceApp 使用的是 iOS 的標準 API,一次只能上傳一張用戶主動選取的相片。

FaceApp 團隊也出面說明,該團隊雖然位在俄羅斯,但用戶相片是在 AWS 和 Google Cloud 中處理,並沒有傳送到俄羅斯。

資料來源:

  1. https://techcrunch.com/2019/07/17/faceapp-responds-to-privacy-concerns/
  2. https://edition.cnn.com/2019/07/17/politics/dnc-warning-faceapp/index.html

又有一所美國大專院校遭勒贖,要求二百萬美元贖金

位於美國紐約的蒙洛學院(Monroe College)上周遭勒贖軟體攻擊;駭客要求的贖金高達二百萬美元。

蒙洛學院於七月十一日遭到勒贖軟體的駭侵攻擊,導致該校師生無法存取校務電腦系統;包括該校的網站、Email、教學輔助系統等都陷入癱瘓。

攻擊者要求該校以比特幣支付相當於二百萬美元的巨額贖款,以取回被加密鎖定的系統與校務檔案。

該校表示,目前尚不清楚攻擊者的身分;該校也尚未決定是否要支付高達二百萬美元的贖金。該校已經會同 FBI 進行調查,而資安研究單位認為最近幾起針對政府單位和學校的勒贖攻擊行動,很可能都是同樣幾個駭侵團體發動的。

另外,駭侵團體要求的勒贖金額也有升高的趨勢;數年前幾家美國大學院校被勒贖的贖款約在數千美元上下,然而近來贖金卻節節上漲。

 

資料來源:

  1. https://www.insidehighered.com/news/2019/07/15/hackers-demand-2-million-monroe-college-ransomware-attack
  2. https://nakedsecurity.sophos.com/2019/07/16/ransomware-attackers-demand-1-8m-from-us-college/

佛羅里達小城支付勒贖金,但市政檔案並未完全復原

受勒贖軟體攻擊的美國佛羅里達小城 Lake City,雖然支付了相當於 46 萬美元的比特幣贖金,但市政檔案並未完全復原,整體復舊遙遙無期。

最近一年以來有多個美國城市遭到惡意勒贖攻擊,市政相關檔案系統遭到加密,導致許多城市的政務推動與日常運作陷入癱瘓。其中有一些城市選擇支付贖金,例如佛羅里達小城 Lake City 便以比特幣支付了相當於 46 萬美元的贖款。

然而,贖款付了,市政系統的全面復舊卻仍然遙遙無期。

以 Lake City 的例子來說,雖然電話和 Email 系統能夠恢復運作,但仍有不少系統和檔案並未回復成功;更糟的是,累積了一百年以上的市政歷史資料,例如各種會議記錄、政令等數千份歷史文件,還是得以人工作業方式重新掃瞄建檔。

另外,Lake City 在支付贖金後,立即開除了其 IT 主管。

FBI 指出去年發生超過一千五百起各式加密勒贖攻擊事件,攻擊對象包括各種公私營機構;最近則有集中攻擊像 Lake City 這類有投保的小型城鎮的趨勢;這類小型地方政府多半缺乏足夠的 IT 技術資源抵禦攻擊,再加上有保險公司承保,比較傾向支付贖款以救回市政檔案與系統。

資料來源:

  1. https://www.nytimes.com/2019/07/07/us/florida-ransom-hack.html
  2. https://www.zdnet.com/article/florida-city-fires-it-employee-after-paying-ransom-demand-last-week/

俄國否認對以色列機場進行GPS信號干擾

以色列指控俄羅斯涉嫌干擾其機場附近的 GPS 信號,俄羅斯政府予以否認。

 六月初起,位於以色列特拉維夫東南方的本-古里昂機場,開始持續發生 GPS 信號遭到干擾事件;班機無法在空中透過 GPS 正確定位,僅能以機場地面系統進行起降;雖然沒有釀成任何飛安事故,但對機場的正常運作造成很大衝擊。

以色列政府指稱,這是一起典型的攻擊事件,以色列政府高度懷疑這項攻擊係來自俄羅斯布署在敘利亞境內的電戰系統,該系統位於本-古里昂機場北方約 350 公里的空軍基地之中。

俄羅斯駐以色列大使駁斥這項指控,說這項指控是假新聞,根本不值一談。

 

資料來源:

  1. https://edition.cnn.com/2019/06/27/middleeast/israel-russia-gps-failure-intl/index.html
  2. https://sporaw.livejournal.com/638666.html