Apple 自 App Store 中移除多支濫用企業布署機制的 App

Apple 先前移除多支家長控制 App,遭開發商抗議;Apple 發表聲明,指出這些 App 濫用企業 App 布署機制,可能造成隱私與資安問題。

Apple 日前於其 App Store 中移除多支家長控制 App。這些 App 的用途多半集中在讓家長控制子女使用 iOS 設備的時間與上網權限,並檢視使用記錄。

Apple 的下架行動遭開發商抗議,其中卡巴斯基更對 Apple 發動法律戰,在俄羅斯以反托拉斯法的罪名將 Apple 告上法院,認為 Apple 移除其 App,是為了保護自己在 iOS 中的相近功能,因而濫用其平台壟斷地位。

Apple 則在官網發表公告,說明移除這些 App 的原因,在於這批 App 違反了開發者協議,使用了 MDM 企業布署機制;這可能造成用戶的隱私與資安問題。

Apple 表示,MDM 機制是 Apple 提供給企業開發其內部 App 與管理企業用 iOS 設備的架構,管理者可以管理並監控企業內部的 iOS 設備與其使用情形:「MDM 提供第三方控制並存取裝置及其最敏感的資訊,包括使用者位置、app 使用、電子郵件帳戶、相機權限和瀏覽歷史記錄。」

Apple 在聲明中也說:「父母不應該因為擔心孩子使用裝置的狀況而需要承擔隱私和安全的風險,App Store 也不應該成為強迫接受這種選擇的平台。除了你以外,沒有人可以無限制地存取管理你孩子的裝置」。

資料來源:

  1. https://www.apple.com/tw/newsroom/2019/04/the-facts-about-parental-control-apps/
  2. https://www.infosecurity-magazine.com/news/apple-parental-control-apps-1/
  3. https://www.kaspersky.com/blog/apple-fas-complaint/26017/

iOS 版 Chrome 瀏覽器的程式錯誤,可能導致眾多 iPhone 用戶遭駭

資安專家警告,一個 iOS 版 Chrome 瀏覽器的程式錯誤,可能導致近五億 iPhone 或 iPad 用戶遭惡意廣告攻擊。

資安專家 Eliya Stein 指出,一個被稱為 eGobblers 的駭侵團體,可能利用 iOS 版 Chrome 瀏覽器尚未修補的程式錯誤,讓 iOS 用戶在瀏覽到惡意廣告時遭到駭侵攻擊。

Stein 的專文表示,當用戶瀏覽到惡意網頁時,會突然被導向到另一個廣告頁面,或是跳出一個無法關閉的廣告頁面;這些頁面看起來和大品牌的廣告無異,但實際上暗藏惡意軟體。

由於 Chrome 的軟體錯誤,該惡意軟體將可以跳過 iOS 系統的沙盒限制,並且劫持用戶的瀏覽 session。報導指稱這波攻擊主要針對美洲的 iOS 用戶,但在歐洲也觀察到駭侵事件。

也有其他資安公司指出,不只是 iOS 版 Chrome 易遭攻擊,甚至連 iOS 內建的預設瀏覽器 Safari 也可能遭駭;這使得潛在的受害層面大大擴及幾乎每一支 iOS 設備。

ThreatPost 的專文詳細描述了該駭侵攻擊的細節。

資料來源:

  1. https://blog.confiant.com/massive-egobbler-malvertising-campaign-leverages-chrome-vulnerability-to-target-ios-users-a534b95a037f
  2. https://threatpost.com/easter-attack-apple-ios/143901/

 

內藏詐騙廣告機制,中國大型開發者 App 遭 Google 大批移除

中國大型 App 開發商 Do Global 有 46 支 App,因內含詐騙廣告機制,遭 Google 自 Play Store 中下架。

由中國網路巨人百度公司持股 34% 的 App 軟體公司 Do Global,遭美國媒體 Buzzfeed News 踢爆,其開發的多支 Android App 內含惡意廣告詐騙機制;Google Play Store 隨即祭出鐵腕,將該公司上架的 46 支 App 下架。

Google 除了將這些 App 下架外,也將 Do Global 自旗下的 AdMob 廣告聯播網中除名,因此該公司未來也無法自 Google AdMob 廣告播放中獲利。

資安廠商 Check Point 先前發現六支來自 Do Global 的 Android App,內含詐騙廣告機制;即使用戶沒有開啟 App,這些 App 也會暗中點擊廣告。這不但造成用戶手機連線費用增加、電力下降、速度變慢、手機升溫、提高故障率,更造成 Google 在廣告刊登費用的巨額損失。

據報導,Do Global 在 Play Store 中上架了近百支各式 App,每月活躍用戶超過兩億五千萬人,總下載次數超過六億次;但調查發現並非每支 App 都標示為 Do Global 發行。有些 App 標示為其他開發者發行,這也增加調查難度。

資料來源:

  1. https://research.checkpoint.com/preamo-a-clicker-campaign-found-on-google-play/
  2. https://www.buzzfeednews.com/article/craigsilverman/google-ban-play-store-do-global-baidu

挖礦蠕蟲「Beapy」對亞洲企業造成嚴重威脅

Symantec 資安研究人員發現一支全新的惡意挖礦蠕蟲「Beapy」,正對亞洲各國的企業造成嚴重威脅,特別是中國境內企業受害最深。

這支前所未見的惡意挖礦軟體,係透過釣魚郵件進行散播;一但成功感染,就會透過已知的兩個 Windows 漏洞 EternalBlue 與 DoublePulsar,對感染者的內網發動大規模攻擊,利用受感染電腦進行挖礦。

被這類挖礦蠕蟲感染的電腦,除了速度會變慢,造成使用者生產力下降外,也容易因為過熱導致系統提前損壞,造成企業電費和 IT 維護支出增加;如果感染的是雲端主機,雲端的使用費也會增加,更有可能造成重要資料外洩。

據 Symantec 觀察,Beapy 主要感染對象 98% 都是企業設備;受害者以中國企業最多,占 83%,次多的是日本與南韓企業,台灣企業也有 2% 左右遭駭。

資料來源:

  1. https://www.symantec.com/blogs/threat-intelligence/beapy-cryptojacking-worm-china
  2. https://www.scmagazine.com/home/security-news/new-cryptomining-worm-beapy-targets-asian-enterprises-while-ignoring-consumers/

印度大型資訊服務外包業者遭駭,全球眾多客戶遭殃

印度大型資訊服務外包服務業者 Wipro 日前遭駭,更遭駭侵者用來攻擊其客戶。

規模大到可在紐約證交所上市的印度第三大資訊服務業者 Wipro,據信遭到疑似國家支持之駭侵行動攻擊,攻擊對象為 Wipro 的客戶。

資安專業媒體 KrebsOnSecurity 收到兩個可信賴的獨立消息來源於本月初指稱,Wipro 已經連續數月遭到駭侵攻擊。攻擊者利用 Wipro 的服務系統,對其客戶發送釣魚信件;被攻擊的 Wipro 客戶多達十多家;但目前並不清楚到底是哪些 Wipro 客戶遭到攻擊。

消息來源也指出 Wipro 本身的郵件系統已遭駭客攻破,Wirpo 正在發展全新的私密郵件系統提供給其客戶使用。

Wipro 在全球只有十七萬名員工,服務對象遍及六大洲,亦包括多家財星五百大企業,行業範圍遍及醫療、金融、電信等產業。2018 年該公司的營業額突破八十億美金。

資料來源:

  1. https://krebsonsecurity.com/2019/04/experts-breach-at-it-outsourcing-giant-wipro/
  2. https://tech.economictimes.indiatimes.com/news/corporate/wipro-it-systems-may-have-been-hacked-and-used-to-attack-its-clients-report/68899479

Facebook 偷偷承認:數百萬 Instagram 用戶密碼,亦以明文儲存

Facebook 再爆重大資安缺失,以明文儲存上百萬 Instagram 用戶的密碼。

上周 Facebook 再度傳出醜聞級重大資安缺失。Facebook 悄悄於美國復活節假期前夕,在一篇一個月前刊登於官方部落格的舊文中加上更新,指出經調查後他們也發現有數百萬 Instagram 用戶的密碼係以明文儲存。

Facebook 上個月才爆發以明文儲存眾多用戶密碼,同時在註冊時竟向用戶索取 Email 帳密的各種資安缺失;本周再度出現將 IG 密碼以明文儲存的問題。

Facebook 發布此事的時機與管道也令許多人質疑:FB 選在周五下午美股收盤後發布,避免負面消息影響隔周開盤股價表現的意圖十分明顯。媒體也指出 Facebook 經常在重要假日前夕發布負面消息,IG 密碼以明文儲存這樣的重大消息,更只用幾句話更新在舊文中,顯然有意逃避社會大眾的注意力。

資料來源:

  1. https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/
  2. https://edition.cnn.com/2019/04/18/tech/facebook-news-dump

盜版《權力遊戲:冰與火之歌》等熱門影集,成為駭侵攻擊最佳誘餌

HBO 的《權力遊戲:冰與火之歌》最新一季掀起收視熱潮,然而不在播送區域內的全球眾多追劇網友,很可能因此成為駭侵攻擊的對象。

德國資安廠商 Zscaler 資安專家 Christopher Louie 指出,駭客可以利用像 HBO《權力遊戲:冰與火之歌》之類能帶動全球追劇風潮的熱門影集或電影,在追劇迷下載盜版內容時,同時誘使用戶下載安裝惡意軟體。

舉例來說,許多像《權力遊戲:冰與火之歌》之類的精彩影視作品,未在第一時間於全球播送;許多急著觀影的影迷,只好透過非法下載、盜版線上影音網站或 P2P 檔案分享服務來追劇。

駭侵者可以在這些網站中植入惡意軟體,攻擊用戶的瀏覽器,或是讓用戶下載打不開的影片檔,再誘騙用戶下載實際上是駭侵軟體的「專屬影片解碼器」。這樣可以輕鬆駭入大量追劇用戶的電腦或手機。

過去發生的案例中,甚至連字幕檔也可以用來攻擊系統漏洞,植入挖礦程式讓用戶幫駭客賺取加密貨幣。

資料來源:

https://www.zscaler.de/blogs/corporate/malware-authors-have-already-won-iron-throne

WiFi 分享軟體驚傳洩漏兩百萬組連線密碼

一個廣受歡迎的 Android  WiFi 熱點搜尋連線 App,被資安專家發現其連線密碼資料庫沒有任何安全措施,可任人隨意取用。

資安專家 Sanyam Jain 向科技媒體 TechCrunch 透露,一支廣受歡迎的 Android  WiFi 熱點搜尋連線 App,其存有兩百萬組 WiFi 連線密碼的資料庫,竟然沒有加上任何防護措施,任何人均可自由存取,並且打包下載。

這支名為 WiFi Finder 的 Android App,疑似由中國團隊開發;在 Google Play Store 上已有超過十萬次下載,目前仍在架上。

該 App 雖然強調儲存的都是可供公眾使用的 WiFi 熱點,但實際檢視資料庫內容後發現,該資料庫也包含許多家用或私人 WiFi 路由器密碼。

專家指出,攻擊者可以透過這些密碼進入內網,進一步設法修改路由器的設定,將該區網的用戶導向至惡意網站,或是竊聽網路封包內容,進一步竊取帳密等各種資訊。

TechCrunch 試圖連絡 App 開發者,但均無回音;存放該筆資料庫的雲端服務廠商 DigitalOcean 已將此資料庫自網路上撤下。

資料來源:

https://techcrunch.com/2019/04/22/hotspot-password-leak

多支 Android App 內含廣告軟體,大量耗電並用光連線頻寛

資安廠商發現多達 50 支 Google Play Store 中的 Android App 暗藏廣告軟體,不但破壞用戶體驗,更會造成電力或可用上網額度快速耗盡等問題。

資安廠商 Avast 發表研究報告指出,該公司在 Google Play Store 中發現至少 50 支各式 Android App,內含有問題的廣告軟體,會造成用戶各種困擾。

一但用戶安裝了這些 App,不但手機經常會自動跳出全螢幕廣告,還會要求用戶點按安裝特定 App;而用戶的手機速度會明顯變慢,電池電力會快速耗盡,可用上網額度也會被占用;對沒有上網吃到飽的用戶來說,可能造成上網費用暴增。

據 Avast 統計,這些 App 個別下載量從五千次到五百萬次不等,整體下載量可能超過三千萬次;而 App 所屬領域相當多元,從小遊戲、健身、相片編修、音樂等都有。目前多數廣告 App 均已遭下架。

由於這些 Android App 都曾在 Google Play 合法上架,因此用戶難以識別;Avast 建議 Android 手機用戶應該安裝值得信任的防毒軟體,在下載前也應先仔細閱讀 App 說明與用戶意見回饋。類似的不良 App 應會有用戶提供負面反應,只要細讀即可察覺。另外對於要求過多權限的 App,也應提高警覺。

資料來源:

  1. https://blog.avast.com/adware-plagues-google-play
  2. https://docs.google.com/spreadsheets/d/1T2zy8lTtkYj45psdTyOZw6GVe1WI7LQuU8k42tHeiuM/edit#gid=1186582891

新發現的高通晶片設計瑕疵,可能導致眾多 Android 裝置面臨密鑰外洩風險

新發現的高通(Qualcomm)手機晶片設計瑕疵,讓駭客得以取得存在晶片中的加密密鑰。Android 手機機用戶請盡速更新系統。

資安研究單位 NCC Group 的研究員 Keegan Ryan 近日發表研究報告,指出高通的手機晶片由於設計瑕疵,駭侵者可用其分支預測與快取中取得資訊,並且據以解開儲存於晶片中的 224、256 位元 ECDSA 加密密鑰。

研究報告稱一供有 36 種高通手機晶片有此安全問題,包括廣泛使用在各型熱銷 Android 手機中的 SnapDragon 820、835、845 與 855 型晶片。

採用這些晶片的市場熱銷手機包括 Samsung Galaxy 系列、Sony Xperia 系列、小米 Mi 系列和 LG V50、中興 Axon 等。

Qualcomm 在今年四月時針對此漏洞推出修補程式,而 Google 隨後也發表 Android 系統更新;然而各廠家推出針對旗下 Android 手機系統更新軟體的進度不一,有些較舊手機甚至完全無法更新。建議 Android 手機用戶盡可能安裝最新版作業系統。

資料來源:

  1. https://www.nccgroup.trust/us/our-research/private-key-extraction-qualcomm-keystore/
  2. https://threatpost.com/qualcomm-critical-flaw-private-keys-android/144112/
  3. https://www.qualcomm.com/company/product-security/bulletins