freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

青莲晚报(第五十一期)| 物联网安全多知道
2019-06-26 18:47:12

微信公众号-青莲晚报封面图-51.jpg

以色列公司 Cellebrite 宣称可解锁所有 iOS 12 设备


6月17日上午消息,以色列的法证公司Cellebrite本周透露,它现在有能力解锁任何运行iOS 12.3的iOS设备。该公司在推特上宣布了这一消息,并大力宣传其用于法律提取证据的作用。

在他们产品UFED Premium(通用取证提取装置)的介绍网页上,Cellebrite称这是执法机构“解锁并从所有iOS和旗舰安卓设备中提取关键手机证据”的唯一解决方案。

在iOS系统上,UFED Premium支持运行iOS 7到iOS 12.3的所有设备。他们可以绕过屏幕锁,在任何iOS设备上完整提取文件系统,从而获得比其他传统方法更多的数据。

他们介绍说:通过此工具,能获取第三方应用程序数据、聊天对话、已经下载到手机的电子邮件和附件、甚至已经删除的内容等等,增加你找到犯罪证据并解决案件的机会。

虽然UFED只作为内部工具出售给警方。但这产品毕竟是第三方民间公司研发的产品,而且是商业售卖流程,这种方法让Cellebrite很难保护自己的技术。

详文阅读:

http://hackernews.cc/archives/25949


因 Alexa 经常收集儿童用户录音 亚马逊遭到起诉


据报道外媒,任何打开 YouTube 的人都能找到无数儿童在与 Alexa 开心交谈的视频。Alexa 是亚马逊推出的一款数字语音助手智能扬声器产品。在这款产品给用户带来便利、乐趣的同时,许多人却在担心由其带来的隐私问题。

日前,这家公司就因这个问题遇到了两起联邦诉讼。诉讼称 Alexa 经常在未经儿童或其父母同意的情况下对数百万名儿童进行录音和收集声纹。

获悉,其中一起诉讼于周二在西雅图联邦法院发起,原告为一名来自马萨诸塞州的 10 岁女孩。就在同一天,洛杉矶法院也接到了一起类似的诉讼,原告则为一名 8 岁的男孩。

诉讼的核心在于加利福尼亚州和华盛顿都被称为“两方同意州”。在这两个州中,如果想要对某人进行录音商家则必须要征得双方的同意才行。然而,西雅图的诉讼称,“亚马逊从未警告未注册用户,它正在为他们的 Alexa 互动创建持续的语音记录,更不用说征得他们的同意了。”

针对这两起诉讼案,亚马逊方面拒绝置评。

详文阅读:

http://hackernews.cc/archives/25926


CVE-2019-8603(macOS漏洞):利用一个越界读漏洞实现了Safari沙箱逃逸


在今年Pwn2Own中,有研究人员发现利用一个越界读漏洞竟然实现了Safari沙箱逃逸,然后利用kextutil中存在的TOCTOU获得内核代码执行权限。

目前该漏洞已经被命名为CVE-2019-8603,简单来说,这是一个存在于Dock和苹果卸载网站(com.apple.uninstalld)中的堆越界读取漏洞,该漏洞将导致攻击者调用CFRelease并在macOS上实现Safari浏览器沙盒逃逸,最终获取到目标设备的root权限。

另外,在测试过程中,CVE-2019-8606允许研究者通过kextutil中的竞态条件(race condition),用root权限实现内核代码执行。如果再借助一个qwertyoruiopz和bkth开发的WebKit引擎漏洞(远程代码执行漏洞),则研究人员可以完全实现Safari沙箱逃逸。

详文阅读:

https://www.4hou.com/vulnerable/18483.html


macOS门禁功能爆出安全漏洞:可安装恶意程序


门禁(Gatekeeper)是macOS系统上的一项安全工具,旨在确保只有受信任的软件才能在 Mac 上运行。不过援引外媒报道,这款应用身份认证功能存在安全漏洞,可以用于传播名为“OSX/Linker”的恶意软件安装包。

当您安装来自 App Store 外部的 Mac 应用、插件和安装器软件时,macOS 会检查 Developer ID 签名和公证状态,以验证软件是不是来自获得认可的开发者并且没有遭到改动。通过 macOS Mojave,开发者还可以让 Apple 来公证他们的应用——这表明应用在分发前已经上传到 Apple 并通过了安全检查。

该漏洞由安全专家Filippo Cavallarin首先发现,主要利用了Mac的两项功能:automount和Gatekeeper。

详文阅读:

http://hackernews.cc/archives/26084


研究发现黑客已渗透十多家运营商 必要时可切断通讯网络


黑客已经悄然渗透到全球十多家移动运营商,完全掌控了公司的通讯网络。根据总部位于波士顿的安全公司Cybereason近期发布的安全警告,在过去七年中黑客一直利用已经渗透的运营商网络来窃取敏感数据,甚至于在必要的时候可以完全关闭通讯网络。

该公司的安全研究人员本周二表示,他们一直在调查名为Operation Softcell的黑客活动,攻击目标主要针对欧洲、亚洲、非洲和中东地区的移动运营商。自2012年开始不断有移动运营商被悄然渗透,获取完整的网络控制权限,并吸取了数百GB的用户数据。

详文阅读:

http://hackernews.cc/archives/26071

# 物联网安全 # 青莲云
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者