Buf 早餐铺 | FireEye内部数据遭泄露;谷歌明年10月起不再信任赛门铁克SSL证书;腾讯科恩实验室侵入特斯拉 Model X;开发者请愿开源Flash

2017-08-01 196168人围观 ,发现 2 个不明物体 资讯

今天是 8 月 1日。随着台风的来临,江浙沪包邮区终于迎来了一丝微风。迎着这来之不易的清凉之风,和FreeBuf 一起享受丰盛的早餐吧!

BlackHat 刚刚结束,预热尚未消退,今天的新闻中就出现了谷歌、微软、特斯拉等大公司,是大新闻吗?一起来看看吧——CA市场似乎发生了动荡,谷歌宣布从 2018 年 10 月起,彻底不再信任赛门铁克现有全部 SSL 证书;Blackhat 会议上以“安全”著称的 ApplePay 移动支付也可被黑客窃听篡改;微软将其云平台模糊测试服务 Microsoft Security Risk Detection 向公众开放;腾讯科恩实验室发现特斯拉Model X 中漏洞,目前已得到修复;Adobe Flash 尚有可能“灵魂永存”,GitHub 社区开发者请愿将 Flash 源码开源,由社区就对 Flash 插件进行支持。

Buf 早餐铺 | FireEye内部数据遭泄露

【国际时事】

谷歌从 2018 年 10 月起,将不再信任赛门铁克现有全部 SSL 证书

谷歌从 2018 年 10 月开始将不再信任赛门铁克现存的全部SSL证书,如果赛门铁克想要持续其 CA 业务,则需要重新构建整个证书颁发基础设施。这是谷歌和 Mozilla 的工程师针对赛门铁克 SSL 证书颁发流程进行调查之后的最终决定。

Buf 早餐铺 | FireEye内部数据遭泄露

今年 3 月份,谷歌和 Mozilla 工程师发现,赛门铁克滥发了 127 个 SSL 证书,随着调查的深入,最终发现这个数字其实超过 30000 个。谷歌是最早提出要逐步在 Chrome 浏览器中去除对赛门铁克证书支持的厂商。赛门铁克方先前就表示自己没有问题,调查结果“夸张、存在误导”。随后的事件走向将会是这样的:赛门铁克会成为 SubCA ,谷歌对于此举也基本满意,这对赛门铁克而言也是开展业务的一个方案; Chrome 66 开始将逐步不再信任 2016 年6月1日前颁发的赛门铁克证书;从 Chrome 70开始,所有赛门铁克SSL证书都将在浏览其中显示安全警告。由于赛门铁克在 CA 市场的统领地位,GeoTrust、Thawte和RapidSSL都会受到影响。[ bleepingcomputer ]

Apple Pay 移动支付也不安全?交易可被窃听篡改

上周的 Blach Hat 大会上,来自 Positive Technologies 的研究人员宣布可利用 Apple Pay 移动支付中的缺陷来发动攻击。Apple Pay 可以说是目前最安全的支付系统之一。其中一种攻击方发需要设备越狱,通过恶意程序感染越狱设备,拦截发往苹果服务器的支付数据;还有一种攻击方式则不需要越狱,攻击者可拦截并/或伪造SSL流量,篡改交易数据,比如修改交易金额、币种等细节信息。

Buf 早餐铺 | FireEye内部数据遭泄露

攻击者可以将窃取到的卡片信息,注册到其 iPhone 账户中,并进行交易;拦截设备与苹果服务器间的 SSL 流量进行欺诈支付。不过攻击存在一些缺陷,比如说非法交易发生后受害者也会收到通知。研究人员建议用户不要通过公共 WiFi 网络使用 Apple Pay 在未使用 HTTPS 的站点购买商品,攻击者可很容易地对流量进行窃听;还有当然就是不要越狱。[ 更多内容欢迎参考FreeBuf文章《DEF CON 精彩破解》]

微软向公众开放云平台模糊测试服务 Microsoft Security Risk Detection

目前微软发布了建在 Azure 平台上基于AI 的模糊测试服务 Microsoft Security Risk Detection,据微软称,目标是为了给软件开发者等相关人员提供这样的漏洞检测服务,帮助应用程序的安全开发——在上线之前发现软件中存在的安全弱点。

Buf 早餐铺 | FireEye内部数据遭泄露

Microsoft Security Risk Detection 为客户提供了一个虚拟机来安装要测试的软件的二进制文件,以及运行要测试场景的”测试驱动“程序,以及一组”种子文件“作为样本输入。

去年9月之前,这项服务仅在微软内部使用自己的软件产品和有限数量的客户和合作伙伴进行测试使用,现在已经向更广范围的公众开放了。目前,这项服务提供了针对Windows应用程序的版本,Linux的版本还在测试阶段,并未实际开放。[ helpnetsecurity ]

【国内新闻】

腾讯科恩实验室特斯拉成功侵入 Tesla Model X 汽车

继 2016 年利用特斯拉多个高危安全漏洞实现对特斯拉的无物理接触远程攻击,腾讯科恩实验室再次发现多个高危安全漏洞并实现了对特斯拉的无物理接触远程攻击,能够在驻车模式和行驶模式下对特斯拉进行任意远程操控。

Buf 早餐铺 | FireEye内部数据遭泄露

此次的侵入有四大特点:第一,实现了和2016年一样的完整攻击效果,最终入侵特斯拉车电网络实现任意远程操控。第二,本次研究中在特斯拉多个模块发现 0Day ,目前科恩实验室正在和特斯拉及相关厂商协商漏洞的国际 CVE 编号。第三,特斯拉为了提升车辆安全性,在 2016 年 9 月增加了“代码签名”安全机制,对所有 FOTA 升级固件进行强制完整性校验,本次研究突破了该“代码签名”机制。第四,本次研究展示中的“特斯拉灯光秀”效果,涉及对特斯拉多个 ECU 的远程协同操控。

目前,科恩实验室已经按照“负责任的漏洞披露”流程,将本轮研究中发现的所有安全漏洞技术细节报告给特斯拉美国产品安全团队。特斯拉产品安全团队快速确认了漏洞有效性和危害,并于7月初进行了快速修复并通过 FOTA 推送了升级系统固件。[ 详细内容可参考 Freebuf 文章《Model X这次又被腾讯科恩实验室破解了》 ]

【安全漏洞】

GitHub出现一则请愿:请求Adobe将Flash开源

上周Adobe才宣布将于2020年停止对Flash的支持,很快GitHub之上出现一则请愿,请求Adobe将Flash开源。芬兰开发者 Juha Lindstedt 在请愿中提到:Flash是互联网历史上重要的一笔,消灭Flash意味着将来的一代就看不到以前的东西了。这样一来,很多游戏、体验和网站就会被遗忘;所以请求Adobe对Flash进行开源或部分开源,这样一来开源社区就能对Flash插件进行支持,或者至少打造可将swf/fla文件转换至HTML5、WebAssembly代码的工具。

Buf 早餐铺 | FireEye内部数据遭泄露

另外他还提出可以做个独立的浏览器,继续对以前的Flash内容提供支持。目前该项目已经获得超过3000颗星。但也有人表示,Flash的安全漏洞如此之多,早就该永远被埋葬。[ BleepingComputer ]

低成本 Android 手机中发现 Triada 木马

俄罗斯反病毒公司 Dr.Web 的恶意软件研究人员近日在几款低成本 Android 智能手机的固件中发现 Triada 木马,这些型号的手机包括包括Leagoo M5 Plus,Leagoo M8,Nomu S10,和Nomu S20。Dr.Web 的病毒分析检测到恶意程序内置运行在 Android 移动设备的固件中。该恶意程序目前被称为 Android.Triada.231,它渗透了所有正在运行的应用程序的进程,并且可以秘密下载和运行其他模块。

Buf 早餐铺 | FireEye内部数据遭泄露

专家称,Triada Trojan 不能使用标准方法进行删除,因为它隐藏在操作系统的一个库中,属于系统部分。为了消除安全威胁,有必要重新安装一个干净的 Android 固件。[ securityaffairs ]

【数据安全】

FireEye 一名威胁情报分析师的个人电脑遭黑客入侵,企业内部数据泄漏

FireEye 作为曾经全球最大的互联网安全公司,却被曝出其位于弗吉尼亚州的 Mandiant 公司的一名高级威胁情报分析师  Adi Peretz 的个人电脑被黑客组织入侵,并渗透进公司内网获取大量机密资料。黑客组织自称代号“31337”,并表示此次入侵没有经济利益驱动,只是想证明自己技高一筹,他们发动了名为 #LeakTheAnalyst 的网络攻击行动,在网络及真实世界发起对分析师的一切追踪。

Buf 早餐铺 | FireEye内部数据遭泄露

而目前,已经可以看到,该组织已经获取了初次的成功,通过入侵 Adi Peretz 的个人电脑,他们获取了企业内部邮件、网络拓扑结构、企业账户的相关信息如WebEx账号、LinkedIn账号等数据。而目前FireEye回应称,目前还没发现确凿证据和实际威胁,有待进一步调查。

黑客利用比特币交易所的服务洗黑钱:比特币平台 BTC-e 与 BitMixer

不少黑客利用比特币作为勒索软件赎金,而且现在还找到了方法对于收到的赎金在交易所进行洗钱、混淆来源、最终不被追踪地提取出来。据称,这种方法叫mixing服务,它通过将一个账户中的钱分成多个更小分额的交易,转往其他账户而实现,理论上无法追踪所有的交易,因此不会暴露目标账户。这种 mixing 服务在全球最大的比特币混淆服务平台 BitMixer 上目前却停止运营,他们称之所以关闭服务是因为他们已经意识到,比特币“在设计上是透明的非匿名系统”。

Buf 早餐铺 | FireEye内部数据遭泄露

本周,美国当局还逮捕了BTC-e交易平台运营者,因为此人涉嫌洗钱,这也是在对比特币交易做追踪调查后发现的。而且BTC-e的黑钱有不少也通过Mixing服务做了处理。BitMixer也意识到有犯罪分子在使用他们的服务,并表示黑市的确对于其服务关闭造成了影响,还说期望通过此举让比特币生态更干净、透明。BitMixer认为很快这种mixing服务在绝大部分国家都会变得非法。[BleepingComputer]

*本文作者:Elaine,转载请注明 FreeBuf.COM

发表评论

已有 2 条评论

取消
Loading...
css.php