今天的安全早报包括:再曝实锤,更多证据显示俄罗斯或干预了去年的美国大选;沉睡一年的“脏牛”又被攻击者利用;CBS 网站被发现在用户浏览器中挖矿;Google发布iPhone 7 Wifi漏洞利用poc。
【国际时事】
再曝实锤,更多证据显示俄罗斯或干预了去年的美国大选
越来越多的证据被曝出,俄罗斯有可能干预了去年的美国大选。
去年大选结束时就有传闻指出俄罗斯或干预了此次大选,比如白宫人员被质疑,Facebook
上发现了由俄罗斯组织赞助的广告,而这些广告似乎有针对性地反对选民的意见。本周,国土安全局(DHS)已经通知了至少 21
个州的选举官员:他们在去年的美国大选中,就已经被这些俄罗斯组织盯上了。
今年 2 月,印第安纳州,俄亥俄州,佐治亚州,爱达荷州一起控诉 DHS 在过去几个月内入侵他们的州选举系统来控制选举结果。这些州声称
DHS 在没有获得任何许可的情况下,擅自对其网络进行“安全扫描”。肯塔基州和西弗吉尼亚州也拿出了 DHS
进行“安全扫描”的证据,但又补充说这些扫描已经获得了授权。这似乎表明“安全扫描”和 DHS 的关系并不是很大,而是由那些俄罗斯黑客组织发起的。
弗吉尼亚州议员 Mark Warner 表示:
选举结束快一年了,DHS才通知各州选举系统可能被动过手脚,这样的办事效率我们是不能接受的,但是 DHS 已经尽可能多的采取了我们的建议,也算是可以松一口气了。
Mark 同时也是情报委员会中职位最高的民主党人,他正在帮助参议院调查”俄罗斯有可能干预选举“的相关事宜。
DHS 现在的处境非常艰难。去年年底,州官员和 DHS 都发现”有人“正在寻找选举网络中的潜在漏洞。并且这样的事情每天都会发生上千次。
[Freebuf报道]
【安全漏洞】
沉睡一年的“脏牛”又被攻击者利用,Android 用户你们还好吗?
“脏牛”漏洞自 2007 年开始就存在于 Linux 的内核中,直到 2016
年才被发现,漏洞爆出后很快就有了修复补丁。后来,研究人员还发现这个漏洞可以用于获取 Android 设备的 root 权限,因为 Android
系统是基于早期的 Linux 内核,所以也可能遭到“脏牛”的攻击。
由于修复迅速且利用难度较大,当时并没有太多利用“脏牛”进行攻击的案例。然而,时隔近一年,来自趋势科技的研究人员又发现了“脏牛”的踪迹:一个名为
ZNIU 的恶意程序使用“脏牛”漏洞获取 Android 设备的 root 权限并植入后门,攻击者可以利用植入的后门收集设备中的信息。
从技术层面来看,ZNIU 实际使用的“脏牛” exploit 其实与去年研究人员公布的 POC 代码并不相同。目前 ZNIU 使用“脏牛”
exploit 只在 64位 ARM/X86 架构的 Android 版本上生效。如果 ZNIU 感染的是 32 位 ARM CPU
架构的安卓手机,则会利用 KingoRoot APP 和Iovyroot exploit(CVE-2015-1805)获取 root 权限。
ZNIU的本机代码的主要逻辑如下:
1. 收集设备的型号信息;
2. 从远程服务器获取相应的 rootkit;
3. 解密 exploit;
4. 逐个触发 exploit,检查结果,并删除 exploit 文件;
5 .报告 exploit 的结果
[Freebuf报道]
CBS 网站被发现在用户浏览器中挖矿
CBS旗下Showtime网站被发现使用了一段JavaScript代码,在观众访问网站时候秘密地挖掘加密货币。
在周末,CBS的Showtime的网站被发现包含一个JavaScript代码,允许某人在观众的网络浏览器中秘密地挖掘隐藏货币。
Showtime.com和iShowtimeAnytime.com在访客的浏览器中悄悄注入代码,利用访客的电脑资源挖掘Monero货币。这段隐藏的代码让访客的CPU使用率飙升到60%。
这段脚本通过Code Hive编写,这是一套合法开发的JavaScript代码,可以由网站管理员添加到他们的网站,用加密货币的收入来替代投放广告。之前海盗湾就曾被发现使用了代码代替原有的广告。
黑客可能攻击了网站,植入了JavaScript代码,并在发现之前将其删除。这段脚本在周末的时候运行,周一时已经消失。
[SecurityAffairs]
Google发布iPhone 7 Wifi漏洞利用poc
Google安全研究人员公布了一段PoC代码,这段代码可以通过WiFi连接劫持iPhone 7手机。
Google Project Zero安全团队的成员Gal Beniamini说:“漏洞能够入侵iPhone 7上Wi-Fi固件进行代码执行。”
“在成功执行漏洞利用后,攻击者可以把后门插入固件,从而向固件发出远程读/写命令,轻松远程控制Wi-Fi芯片。”
漏洞可以远程利用执行,无需用户交互,可以用来攻击任何连接到陷的WiFi网络的用户。
在苹果公司上周发布了iOS的安全更新之后,研究人员今天发布了利用代码。这个漏洞会影响到所有的iOS版本,但是iOS 11系统中修复了漏洞。
虽然演示代码适用于iPhone 7设备,但漏洞影响的设备非常广泛,包括Android手机,运行tvOS的智能电视以及其他具有Broadcom WiFi芯片的设备。
苹果公司还发布了针对tvOS的补丁,Google本月初通过Android安全公告2017-09-05的补丁修复了Android中的漏洞。
值得一提的是,这个漏洞与Broadpwn十分类似,是另一个影响Broadcom WiFi芯片组的漏洞。
[BleepingComputer]
【国内新闻】
黑客入侵共享单车系统 从34个账户偷走两万多
一般而言,在使用共享单车中,涉及金钱的账户包括共享单车账户和支付宝账户。但是,实际上很少有人能够记得自己这两个账户的余额。不法分子正是利用人们的这种粗心大意,盯上了受害者的电子钱包。
杨某和吴某是通过网络认识的。一次偶然的机会,杨某得知可以利用软件修改某共享单车APP的用户信息,将用户共享单车账户内的余额押金退到自己掌握的微信账户上,杨某就将这一信息和操作方法告诉了吴某。吴某对电脑比较熟悉,他发现除了可以退回余额押金外,还可以将账户内的领养单车的收益退到自己掌握的账户上,于是吴某又将这一信息反馈给了杨某。
“共享信息”之下,短短的两天时间,两个人分别在不同的电脑和手机上面,对该共享单车APP的账户进行非法登录,先后盗取了34个用户账户的资金共计两万余元人民币。
该公司的工程师发现,系统确实存在漏洞。原来,有些用户没有在注册的时候绑定自己的微信账户,就给不法分子留下了可乘之机。另外公司的登录后台可以修改客户资料,也给了这些“懂技术”的不法分子得以“黑”进技术后台来修改资料、实施盗窃。案件里的杨某和吴某就是看到了系统的漏洞,加以“研究”后盗窃了共享单车用户的资金。
目前该共享单车公司已对这些受到损失的客户进行了赔偿。本月25日,深圳检方以涉嫌盗窃罪批准逮捕了这两名犯罪嫌疑人。
[Cnbeta]
又是世纪佳缘 男子同时交往6女子 骗了她们460多万
近期,南京鼓楼警方侦破了一起由婚恋交友引发的诈骗案件,一名男子通过世纪佳缘婚恋交友网站伪装成公务员身份,同时与六名女孩交往,并骗取她们为其贷款总计460余万元。
谢某利用条件一般的女孩受宠若惊的心态,获得她们无条件的信任,为日后的诈骗打下铺垫。
交往两三个月后,谢某便向女朋友小李提出了一个不情之请。”他说因为自己是公务员,不能以自己的名义在外投资做生意,但现在有一个很好的投资机会,他就提出以我的名义贷款,至于还款都不用我操心,他搞定,每个月还给我一点分红。”
就这样,小李稀里糊涂之下就以自己的名义向小额贷款公司贷款,从最开始的2万到十几万,而每个月钱一到帐她就转给了谢某,然后由谢某进行还款。
“经过我们的调查,嫌疑人从2012年开始,用同样的手段在婚恋网站上结识女孩,以恋爱为名,骗取他们为其贷款。谢某自称是公务员,但经过我们查证他只是邻市一名普通职工,因为工作时间比较弹性,两市路途较近,所以他经常来南京,对这些女孩则声称自己被派到外地挂职锻炼,他有过一段婚姻和孩子,目前是离异状态。”
经过侦查,警方于8月底将谢某抓获归案。
[CnBeta]
转载至freebuf网站:freebuf