8wDlpd.png
8wDFp9.png
8wDEOx.png
8wDMfH.png
8wDKte.png
AWS S3 配置错误导致美军秘密监控资料泄露;Amazon Key存在安全问题,可被攻击者关闭用户摄像头;大量安卓手机可被截屏和窃听
aiyun 2017-11-21

今天的安全早报包括:AWS S3 配置错误导致美军秘密监控资料泄露,社交媒体相关内容高达 TB 级;Amazon Key存在安全问题,可被攻击者关闭用户摄像头;大量安卓手机存在漏洞,可被截屏和窃听;GitHub安全新机制:开发者引入不安全的库时会出现提醒;StartCom将宣布将停止数字证书业务。

300000764046131969241453957_950.jpg    

【国际时事】

AWS S3 配置错误导致美军秘密监控资料泄露,社交媒体相关内容高达 TB 级

1511164640846.png    

总是与泄露事件挂钩的 AWS S3 近日又曝出新一批信息:美军监控社交媒体的资料在三个 AWS S3 存储服务器中可在线公开访问,总量达到 TB 级别。其实,美国军方的数据不是第一次泄露了。早在 9 月份,就有安全研究人员发现数千份美国退伍军事、情报和政府工作人员的个人数据在网上曝光长达数月,而且也与 AWS S3 有关。

此次泄漏事件是 UpGuard 公司的知名数据泄露猎人 Chris Vickery 发现的。当时,Vickery 在公开的 S3 存储服务器中进行常规扫描,在扫描到“COM”这个词时,发现了CENTCOM,经过分析才知道是美军的资料。在今年 6 月份,Vickery 也曾发现过美国政府在亚马逊服务器上泄露的资料。

Vickery 表示,泄露的资料一共储存在三个存储服务器种,分别为 centcom-backup、centcom-archive 和 pacom-archive。其中 CENTCOM 是美国中央司令部(US Central Command)以及覆盖中东、北美和中亚的美军司令部(US Military command that covers the Middle East, North Africa and Central Asia)的缩写,PACOM 则是覆盖南亚、中国和大洋洲的美国太平洋司令部。泄露的资料包含社交媒体帖子、论坛帖子、博客、新闻评论等类似信息,都是美军从世界各地的网络中爬取的,用于区分被监控者并将其进行分类。

[Freebuf]

【漏洞威胁】

Amazon Key存在安全问题,可被攻击者关闭用户摄像头

Amazon-Key-app.png    

Rhino安全实验室的研究人员演示了如何禁用Amazon Key上的相机,这可能会让快递员能够进入客户的家中。

本月早些时候,亚马逊宣布为Prime用户提供Amazon Key,这是一个新计划,让快递员在视频监控下进入你的家,安全地放下包裹,并在离开时候锁上门锁。这个系统还可以让你信任的人访问房间,比如您的家人,朋友或房屋清洁工。

但是Rhino安全实验室的专家证明,攻击Amazon Key非常容易,这就让那些不速之客能够进入你的房间。

研究人员发现Amazon Key的传送服务和Cloud Cam安全摄像头存在漏洞,黑客可以篡改相机并将其关闭,就会看起来没有人进入家中。

房主可以使用Amazon Key应用程序,通过视频源远程监控家门,并接收亚马逊的快递提醒,Prime使用的应用程序可用于解锁和锁定家门。

Rhino实验室的专家开发了一个应用程序,可以向Wi-Fi路由器伪造来自Cloud Cam设备连接的请求,要求关闭摄像头。

[SecurityAffairs]

运行Lolipop, Marshmallow和 Nougat应用的安卓手机存在MediaProjection遭受攻击的威胁,会被截屏和窃听

Android-MediaProjection.jpg    

运行Lolipop,Marshmallow和Nougat系统的Android智能手机被曝存在漏洞,漏洞利用MediaProjection服务捕获用户屏幕和录制系统音频。

根据份额统计,受影响的设备占总体Android设备的77.5%。

问题出在MediaProjection上,这是一种能够捕获屏幕内容和记录系统音频的Android服务。

这个服务自从Android诞生就存在,不过要想利用,应用程序需要root访问权限,并且必须使用特定密钥进行签名。也就把MediaProjection限制在Android OEM部署的系统级应用程序。

随着Android Lolipop(5.0)的发布,Google向所有程序开放了这项服务。问题在于Google并没有像其他权限一样把这个权限做成需要用户同意的样式。

相反,应用程序只需要通过“intent调用”来请求访问这个危险的系统服务,程序会显示一个SystemUI弹出窗口,当应用程序想要捕获他的屏幕和系统音频时,会弹出一个警告窗口。

MWR实验室的安全研究人员去年冬天发现,攻击者可以检测到这个SystemUI弹出窗口何时出现,然后触发另一个窗口将其覆盖,并用另一个消息伪装窗口文本。

这项技术被称为tap-jacking,多年来一直被Android病毒开发者使用。

随着Android Oreo(8.0)的发布,Google今年秋季在Android操作系统中修补了这个漏洞。但较旧的Android版本仍然能被入侵。

[BleepingComputer]

新的Zeus银行木马窃取Facebook、Twitter、Gmail账号信息

Screenshot_20171117-213307_01.jpg    

安全研究人员发现了一个新的基于Zeus银行木马的的恶意软件,它窃取不仅仅是银行帐户的详细信息。

这款银行木马最早2016年年中被发现,并被命名称为Terdot,原本能够执行代理进行中间人(MitM)攻击,窃取浏览信息(如存储的信用卡信息和登录密码)还有能够注入HTML代码到访问的网页。

然而,安全公司Bitdefender的研究人员发现,这款银行木马现在已经加入了新功能,例如使用开源工具来欺骗SSL证书,然后获取社交媒体和电子邮件帐户,甚至是以用户的身份发布文章。

Terdot银行木马通过中间人攻击(MITM)来实现前面的功能,理论上它能够截获感染电脑上的任何流量。

除此之外,Terdot的新变种甚至增加了自动更新功能,让病毒能够按照黑客要求下载执行文件。

Terdot针对的银行主要位于加拿大,包括加拿大皇家银行,Banque Nationale,PCFinancial,Desjardins,BMO(蒙特利尔银行)和Scotiabank。

[THN]

【安全事件】

GitHub安全新机制:开发者引入不安全的库时会出现提醒

github-bb449e0ffbacbcb7f9c703db85b1cf0b.png    

代码托管服务GitHub增加了新功能,现在它能够警告开发人员他们的项目中有存在漏洞的软件库,并且会提出修复方法解决问题。

GitHub最近引入了依赖关系图,该功能会列出项目使用的所有库。新功能支持JavaScript和Ruby,公司还计划在明年增加对Python的支持。

新的安全功能旨在当开发人员项目的依赖存在漏洞时进行提醒。对于公开repo,GitHub已经自动启用了依存关系图和安全警报功能,但对于私有repo还未开启。

依赖图能够在项目拥有者使用存在漏洞的库时进行提醒,并通知项目的所有者,然后从GitHub获取修复建议。

“如今超过75%的GitHub项目存在依赖关系,除了帮助大家看到这些重要的项目,我们还要做更多的事。启用您的依赖关系图后,当我们检测到您的某个依赖关系中存在漏洞时我们现在会通知您,并且给出相应的修复建议。“GitHub介绍道。

[BleepingComputer]

【国内新闻】

StartCom将宣布将停止数字证书业务

cb5331ae1f108e5.jpg    

现已归属360公司的数字证书颁发机构StartCom目前已正式宣布将会停止证书业务并吊销现有的根数字证书。该证书颁发机构原本为360旗下的沃通提供中级证书,同时还帮助沃通建立PKI设施和指导通过国际安全审计。

意外的是2016年下半年奇虎360通过控股公司完全并购了StartCom并将其部分PKI设施迁移到了奇虎。由于牵涉安全问题 360 的秘密收购在行业里引起轩然大波,同时沃通公司还被发现故意签发违规的数字证书。

此后沃通以及StartCom的证书均被主流操作系统和浏览器屏蔽,可以说最终这项收购案已完全变得得不偿失。

现在360似乎也确实没有什么必要继续运行 StartCom 的业务, 毕竟被收购后其整体名声已经变得糟糕不堪。360称将会在2018年1月1日停止从StartCom继续签发证书, 未来两年里也将会把现存的根证书直接吊销掉。

[CnBeta]

转载至freebuf网站:freebuf

最新回复 (0)
    • Ai云
      2
        立即登录 立即注册
返回