今天的安全早报包括：美国服饰零售商 Forever 21 遭入侵，用户支付卡信息泄露；爱沙尼亚悲剧再现？西班牙电子 ID 卡也存在加密问题；BlueBorne 漏洞仍旧影响数千万 Amazon Echo 与 Google Home 设备；WordPress 的 Formidable Forms 插件存在漏洞，可搜集用户提交的数据；福斯康姆 Foscam C1 网络摄像头存在多个远程代码执行漏洞；一加手机再出问题，原装应用上传用户照片、WiFi 和 GPS日志等内容。

以下请看详细内容：

【国际时事】

美国服饰零售商 Forever 21 遭入侵，用户支付卡信息泄露

生意不息，泄露不止。新的一天，又一起数据泄露事件出现在大家眼前，这次遭入侵的是美国知名服饰零售商 Forever 21。Forever 21 总部位于洛杉矶，在 57 个国家开设了 815 家门店，虽然在通告中并未指明具体哪些门店的用户信息遭泄露，但 Forever 21 表示，在 2017 年 3 月到 10 月之间消费的用户都有可能受影响。

此前，Forever 21 曾生成自己在 2015 年就采取了加密措施并使用基于 token 的认证系统来保护 POS 终端的交易数据。但此次入侵事件表明，这些手段并未奏效，黑客还是通过未授权访问获取到了用户的支付卡信息。目前相关调查正在进行，受影响的门店、用户数目都都不明确。Forever 21 建议所有用户密切关注支付卡动态，一旦发生未授权的交易，就立刻联系发卡银行处理。[来源：TheHackerNews ]

爱沙尼亚悲剧再现？西班牙电子 ID 卡也存在加密问题

上周，爱沙尼亚政府觉决定取消 76 万张电子身份证 （ http://www.freebuf.com/news/153289.html），原因是电子身份证中使用的英飞凌芯片出现 ROCA 加密漏洞，可能导致身份 ID 和证件内容遭到克隆。无独有偶，本周西班牙政府也面临着类似窘境。

据外媒 TheRegister 报道，西班牙的电子身份证也因为英飞凌芯片加密漏洞而存在风险，因此西班牙政府也将取消有问题的电子身份证，不过相比之下，电子身份证在西班牙的普及率不及爱沙尼亚，因此不至于影响到西班牙全国公民，受影响的数量大约在 500 万到 1000 万之间。[来源：TheRegister ]

【漏洞攻击】

BlueBorne 漏洞仍旧影响数千万 Amazon Echo 与 Google Home 设备

还记得九月份影响范围很广的蓝牙协议漏洞 BlueBorne （http://www.freebuf.com/news/147577.html）吗？黑客可以利用BlueBorne 漏洞发起远程攻击，不需要任何用户交互就能接管设备、传播恶意程序甚至进行中间人攻击，接入设备的网络并获取设备的关键数据。当初该漏洞刚曝出时，影响的设备大约有 53 亿，包括 Android、iOS、Windows、Linux 系统的设备以及 IoT 设备等多种使用蓝牙技术的设备。

而当时发出过相关分析的 Armis 公司日前表示，这系列漏洞仍然可能影响安卓和 Linux 版本的 Amazon Echo 与 Google Home 设备，总数超过 2 千万。Amazon Echo 和 Google Home 都属于利用了蓝牙技术的智能 IoT 设备，受到很多公司或 IT 专家的青睐。Armis 表示，虽然距离漏洞披露已经有两个月之久，但仍有很多设备没有及时打补丁，仍然可能受到影响。得知 Armis 的披露后，亚马逊和谷歌分别针对 Amazon Echo 与 Google Home 发布了修复补丁。

[来源： bleepingcomputer ]

WordPress 的 Formidable Forms 插件存在漏洞，可搜集用户提交的数据

近日，Klikki Oy 公司的研究人员 Jouko Pynnönen 发现 WordPress 站点中的 Formidable Forms 插件存在几个漏洞，可能会被攻击者利用获取敏感信息甚至接管受感染网站。Formidable Forms 既有免费版本也有收费版本，主要功能是帮助用户创建联系页面、投票或调查问卷表单或其他形式的表单。据统计，Formidable Forms 的累计安装量超过 20 万次。

几个漏洞中，最严重的一个是 SQL 盲注漏洞，可能被攻击者利用获取网站数据库内容，包括 WordPress 用户凭证和通过 Formidable Forms 提交给网站的数据。此外，还有跨站脚本漏洞，可被利用在管理员浏览环境中执行任意 JS 代码。该研究员因为发现 SQL 注入漏洞而获得 4500 美元奖金，也因为其他几个小漏洞而获得几百美元的奖励。目前，Formidable Forms 已经发布了 2.05.02 和 2.05.03 更新版本，以修复这些漏洞。[来源：SecurityWeek]

【国内新闻】

福斯康姆 Foscam C1 网络摄像头存在多个远程代码执行漏洞

近日，来自思科公司的Talos团队发现国内福斯康姆制造的 Foscam C1 网络摄像头存在安全漏洞，可被攻击者利用，在受影响的设备上实现远程代码执行，并将恶意固件镜像上传到设备中，进而完全控制目标设备。

Foscam C1室内高清摄像机是一款基于网络的摄像机，广泛应用于多种场景，还可用作家庭安全监控设备。据分析，此次共有 9 大漏洞，包括：Foscam 网络摄像头 web 服务 DDNS 客户端代码执行漏洞（涉及 4 个 CVE 漏洞）、Foscam 网络摄像头 CGIProxy.fcgi 固件升级未签名映像漏洞(CVE-2017-2872)、Foscam网络摄像头CGIProxy.fcgi SoftAP设置命令注入漏洞(CVE-2017-2873)、Foscam网络摄像头devMng Multi-Camera端口10000 Command 0×0000 信息泄露漏洞(CVE-2017-2874)、Foscam网络摄像头devMng Multi-Camera端口10000 Command 0×0002 用户名字段代码执行漏洞 (CVE-2017-2875)、Foscam 网络摄像头 devMng Multi-Camera 端口10000 Command 0×0002 密码字段代码执行漏洞 (CVE-2017-2876)、Foscam 网络摄像头 devMng Multi-Camera 端口 10001 Command 0×0064 空 AuthResetKey 漏洞 (CVE-2017-2877)、Foscam 网络摄像头 CGIProxy.fcgi logOut 代码执行漏洞 (CVE-2017-2878)、Foscam 网络摄像头UPnP发现代码执行漏洞 (CVE-2017-2879)。

经测试，主要受影响的是iFoscam Indoor 网络摄像头 C1 系列（System Firmware Version: 1.9.3.18 / Application Firmware Version: 2.52.2.43 / Plug-In Version: 3.3.0.26）。福斯康姆已经针对此发布了固件更新（https://foscam.com/downloads/index.html），请相关用户尽快检查设备并及时下载更新。[来源：思科 talos 博客 ]

一加手机再出问题，另一原装应用会上传用户照片、WiFi 和 GPS日志内容

昨天我们刚刚报道了一加手机存在安全后门，今天发现该后门的研究员又发现一加手机中另一个原装应用也存在问题。该应用名为 OnePlusLogKit，出厂时就安装在一加设备中，在系统权限下运行。该研究人员称，攻击者可以利用 OnePlusLogKit 获取用户的照片、录像以及 NFC活动、GPS、WiFi、蓝牙连接等各种存储在手机 SD 卡中的日志。此外，该应用还能被用户请求获取实时信息，如当前运行的进程、当前运行的服务、电池电量等。

该研究员表示，这个问题其实很严重，因为无需 root 操作就可以通过三种途径启动 OnePlusLogKit，进而获取用户敏感信息。由于可以获取到当前进程信息，攻击者甚至可以在用户使用银行相关应用时发送钓鱼欺诈信息。目前，一加尚未有任何回应。建议用户保持警惕。[来源：bleepingcomputer ]

转载至freebuf网站：freebuf