今天的安全早报包括：AWS S3 配置错误导致美军秘密监控资料泄露，社交媒体相关内容高达 TB 级；Amazon Key存在安全问题，可被攻击者关闭用户摄像头；大量安卓手机存在漏洞，可被截屏和窃听；GitHub安全新机制：开发者引入不安全的库时会出现提醒；StartCom将宣布将停止数字证书业务。

【国际时事】

AWS S3 配置错误导致美军秘密监控资料泄露，社交媒体相关内容高达 TB 级

总是与泄露事件挂钩的 AWS S3 近日又曝出新一批信息：美军监控社交媒体的资料在三个 AWS S3 存储服务器中可在线公开访问，总量达到 TB 级别。其实，美国军方的数据不是第一次泄露了。早在 9 月份，就有安全研究人员发现数千份美国退伍军事、情报和政府工作人员的个人数据在网上曝光长达数月，而且也与 AWS S3 有关。

此次泄漏事件是 UpGuard 公司的知名数据泄露猎人 Chris Vickery 发现的。当时，Vickery 在公开的 S3 存储服务器中进行常规扫描，在扫描到“COM”这个词时，发现了CENTCOM，经过分析才知道是美军的资料。在今年 6 月份，Vickery 也曾发现过美国政府在亚马逊服务器上泄露的资料。

Vickery 表示，泄露的资料一共储存在三个存储服务器种，分别为 centcom-backup、centcom-archive 和 pacom-archive。其中 CENTCOM 是美国中央司令部（US Central Command）以及覆盖中东、北美和中亚的美军司令部（US Military command that covers the Middle East, North Africa and Central Asia）的缩写，PACOM 则是覆盖南亚、中国和大洋洲的美国太平洋司令部。泄露的资料包含社交媒体帖子、论坛帖子、博客、新闻评论等类似信息，都是美军从世界各地的网络中爬取的，用于区分被监控者并将其进行分类。

[Freebuf]

【漏洞威胁】

Amazon Key存在安全问题，可被攻击者关闭用户摄像头

Rhino安全实验室的研究人员演示了如何禁用Amazon Key上的相机，这可能会让快递员能够进入客户的家中。

本月早些时候，亚马逊宣布为Prime用户提供Amazon Key，这是一个新计划，让快递员在视频监控下进入你的家，安全地放下包裹，并在离开时候锁上门锁。这个系统还可以让你信任的人访问房间，比如您的家人，朋友或房屋清洁工。

但是Rhino安全实验室的专家证明，攻击Amazon Key非常容易，这就让那些不速之客能够进入你的房间。

研究人员发现Amazon Key的传送服务和Cloud Cam安全摄像头存在漏洞，黑客可以篡改相机并将其关闭，就会看起来没有人进入家中。

房主可以使用Amazon Key应用程序，通过视频源远程监控家门，并接收亚马逊的快递提醒，Prime使用的应用程序可用于解锁和锁定家门。

Rhino实验室的专家开发了一个应用程序，可以向Wi-Fi路由器伪造来自Cloud Cam设备连接的请求，要求关闭摄像头。

[SecurityAffairs]

运行Lolipop, Marshmallow和 Nougat应用的安卓手机存在MediaProjection遭受攻击的威胁，会被截屏和窃听

运行Lolipop，Marshmallow和Nougat系统的Android智能手机被曝存在漏洞，漏洞利用MediaProjection服务捕获用户屏幕和录制系统音频。

根据份额统计，受影响的设备占总体Android设备的77.5％。

问题出在MediaProjection上，这是一种能够捕获屏幕内容和记录系统音频的Android服务。

这个服务自从Android诞生就存在，不过要想利用，应用程序需要root访问权限，并且必须使用特定密钥进行签名。也就把MediaProjection限制在Android OEM部署的系统级应用程序。

随着Android Lolipop（5.0）的发布，Google向所有程序开放了这项服务。问题在于Google并没有像其他权限一样把这个权限做成需要用户同意的样式。

相反，应用程序只需要通过“intent调用”来请求访问这个危险的系统服务，程序会显示一个SystemUI弹出窗口，当应用程序想要捕获他的屏幕和系统音频时，会弹出一个警告窗口。

MWR实验室的安全研究人员去年冬天发现，攻击者可以检测到这个SystemUI弹出窗口何时出现，然后触发另一个窗口将其覆盖，并用另一个消息伪装窗口文本。

这项技术被称为tap-jacking，多年来一直被Android病毒开发者使用。

随着Android Oreo（8.0）的发布，Google今年秋季在Android操作系统中修补了这个漏洞。但较旧的Android版本仍然能被入侵。

[BleepingComputer]

新的Zeus银行木马窃取Facebook、Twitter、Gmail账号信息

安全研究人员发现了一个新的基于Zeus银行木马的的恶意软件，它窃取不仅仅是银行帐户的详细信息。

这款银行木马最早2016年年中被发现，并被命名称为Terdot，原本能够执行代理进行中间人（MitM）攻击，窃取浏览信息（如存储的信用卡信息和登录密码）还有能够注入HTML代码到访问的网页。

然而，安全公司Bitdefender的研究人员发现，这款银行木马现在已经加入了新功能，例如使用开源工具来欺骗SSL证书，然后获取社交媒体和电子邮件帐户，甚至是以用户的身份发布文章。

Terdot银行木马通过中间人攻击（MITM）来实现前面的功能，理论上它能够截获感染电脑上的任何流量。

除此之外，Terdot的新变种甚至增加了自动更新功能，让病毒能够按照黑客要求下载执行文件。

Terdot针对的银行主要位于加拿大，包括加拿大皇家银行，Banque Nationale，PCFinancial，Desjardins，BMO（蒙特利尔银行）和Scotiabank。

[THN]

【安全事件】

GitHub安全新机制：开发者引入不安全的库时会出现提醒

代码托管服务GitHub增加了新功能，现在它能够警告开发人员他们的项目中有存在漏洞的软件库，并且会提出修复方法解决问题。

GitHub最近引入了依赖关系图，该功能会列出项目使用的所有库。新功能支持JavaScript和Ruby，公司还计划在明年增加对Python的支持。

新的安全功能旨在当开发人员项目的依赖存在漏洞时进行提醒。对于公开repo，GitHub已经自动启用了依存关系图和安全警报功能，但对于私有repo还未开启。

依赖图能够在项目拥有者使用存在漏洞的库时进行提醒，并通知项目的所有者，然后从GitHub获取修复建议。

“如今超过75％的GitHub项目存在依赖关系，除了帮助大家看到这些重要的项目，我们还要做更多的事。启用您的依赖关系图后，当我们检测到您的某个依赖关系中存在漏洞时我们现在会通知您，并且给出相应的修复建议。“GitHub介绍道。

[BleepingComputer]

【国内新闻】

StartCom将宣布将停止数字证书业务

现已归属360公司的数字证书颁发机构StartCom目前已正式宣布将会停止证书业务并吊销现有的根数字证书。该证书颁发机构原本为360旗下的沃通提供中级证书，同时还帮助沃通建立PKI设施和指导通过国际安全审计。

意外的是2016年下半年奇虎360通过控股公司完全并购了StartCom并将其部分PKI设施迁移到了奇虎。由于牵涉安全问题 360 的秘密收购在行业里引起轩然大波，同时沃通公司还被发现故意签发违规的数字证书。

此后沃通以及StartCom的证书均被主流操作系统和浏览器屏蔽，可以说最终这项收购案已完全变得得不偿失。

现在360似乎也确实没有什么必要继续运行 StartCom 的业务， 毕竟被收购后其整体名声已经变得糟糕不堪。360称将会在2018年1月1日停止从StartCom继续签发证书， 未来两年里也将会把现存的根证书直接吊销掉。

[CnBeta]

转载至freebuf网站：freebuf