青莲晚报(第六十五期)| 物联网安全多知道

当今社会物联网设备已经逐步渗透到人们生产生活的方方面面,为人们及时了解自己周围环境以及辅助日常工作带来便利。但随着互联紧密度的增高,物联网设备的安全性问题也逐渐影响到人们的正常生活,甚至生命安全,物联网设备安全不容小觑。 以下为近日的物联网安全新闻内容。

微信公众号-青莲晚报封面图-64.jpg

Google 修复了 Android 中的 DoS 漏洞(CVE-2019-2232)

Android系统发布了2019年12月的安全更新,此次解决的漏洞中包含一个可能导致DoS攻击的严重漏洞(CVE-2019-2232)。

12月1日的补丁解决了Framework中的六个漏洞,两个媒体框架漏洞,系统中的七个以及Google Play系统更新中的两个漏洞。

CVE-2019-2232 DoS漏洞将会影响Framework组件,以及Android版本8.0、8.1、9和10。

Google发布安全公告称:“黑客可能利用漏洞伪造特殊消息,进而导致永久拒绝服务。”。

Google还解决了Framework中的5个漏洞,三个特权提升漏洞(CVE-2019-9464,CVE-2019-2217,CVE-2019-2218),一个高风险信息泄露(CVE-2019-2220 ),以及一个中等级别的特权提升错误 (CVE-2019-2221)。

系统中修补的漏洞严重性较高,例如远程执行代码,特权提升和五个信息泄露漏洞。

详文阅读:

http://hackernews.cc/archives/28735

 

俄勒冈 FBI 警告:智能电视易被黑客入侵危及用户隐私

随着假日购物季的到来,许多消费者可能正在考虑为自家升级一些智能设备,比如 Google Nest Home、Amazon Alexa 等智能扬声器,或者集成了语音助理的智能电视。然而美国俄勒冈州联邦调查局办公室指出,随着智能电视扮演着越来越多的娱乐和控制中心角色,网络犯罪分子已经将黑手伸向了这一领域,或对用户隐私造成严重的侵害。

FBI 的这一警告,本身是一种相当常识性的建议,资深网民早已对此见怪不怪。问题在于,除了麦克风之外,还有越来越多的智能电视集成了摄像头组件。

传统麦克风仅用于识别语音命令,而相机则能够用于用户识别和视频聊天。一些厂商或基于此,提供个性化的内容推荐。

然而在连上互联网之后,设备的隐私安全就被提上了重要的议程,因为有无数看不见的黑手向沾染用户的终端设备。

尽管带有这类功能的智能电视的普及率还较低,但黑客攻击事件确实存在、且并不罕见。显然,FBI 希望在引发大事件之前,尽早地培育消费者的忧患意识。

目前目前最常见的隐私风险,就是数据收集。在注册每一款网络服务的时候,几乎都逃不开这个话题。

遗憾的是,无论在智能电视、或其它物联网产品上,人们几乎没有仔细阅读相关提示的习惯。

详文阅读:

http://hackernews.cc/archives/28645

 

工控系统再迎大波澜,伊朗APT组织将其作为重点攻击目标

伊朗APT组织活动发生变化,工业控制系统成其重点攻击目标

前段时间,在弗吉尼亚州阿灵顿举行的CyberwarCon会议上,安全研究员内德·莫兰(Ned Moran)表示:伊朗黑客组织APT33(也称为Elfin,Refined Kitten和Holmium)的活动发生了变化:

据持续性观察,APT33一直在进行所谓的密码喷洒(Password spraying)攻击,尤其在过去一年,这些攻击在成千上万个组织的用户帐户中仅尝试了几种通用密码。可以说,这是粗暴且不加区别的攻击。

但在过去两个月中,APT33已将其密码喷洒范围大大缩小到每月约2,000个组织,与此同时,针对每个组织的帐户数量却平均增加了近十倍。

更为值得注意的是,把这些黑客试图破解的帐户进行排名,发现在黑客尝试入侵的25个顶级组织中有一半是工业控制系统设备的制造商、供应商或维护商。据该研究员会上介绍,自10月中旬以来,仅近一个月时间,APT33已经瞄准了数十家工业设备和软件公司。

详文阅读:

http://toutiao.secjia.com/article/page?topid=112123

 

国家级黑客组织“海莲花” 攻陷宝马,汽车工业成APT新目标


汽车工业也惨遭黑客“毒手”,今年6月宝马公司被迫进行了脱网

据报道,针对德慕尼黑宝马汽车公司的攻击始于2019年春。6月份时,该公司将有关计算机进行了脱网。在近期的一次采访中,宝马相关负责人表示:

“我们已经对结构和流程进行了进一步防范,可以最大程度减少未经授权的外部人士访问我们系统的风险,同时,在发生某些事件时,我们能快速进行检测、重建和恢复。”

值得注意的是,我们发现针对此次攻击,宝马并没有过早反应。国外某IT安全公司的安德烈亚斯•罗尔(Andreas Rohr)给出了解释,“通常情况下,企业一旦发现攻击者,多半会利用此为线索,对攻击者进行反监视,以了解黑客最大攻击范围,以及哪些地方需要进一步妥协,进而实现将攻击者赶出网络的最终目的。”

对使用工具与攻击行为进一步分析,威胁领域最先进“海莲花”浮出水面

在进一步分析中,我们发现该黑客组织应是从BRRecherche攻击了计算机。为此,他们设法安装了一个名为“ Cobalt Strike”的工具,该工具可使攻击者更方便地远程监视和控制计算机。

与此同时,攻击者还建立了一个假冒网站,此网站给人造成了隶属于宝马泰国分公司的假象。这样,黑客组织就可以更“自由地环顾”网络,了解存在哪些文件夹和文件,以及哪些用户已登录,进而锁定目标信息。此外,这些步骤还有助于他们在更多计算机上进行扩展,从而将攻击范围扩大。

详文阅读:

https://www.4hou.com/info/news/22008.html

 

CVE-2019-11157:Intel处理器“VoltJockey”(骑士)漏洞风险提示


0×00 漏洞描述

2019年12月10日,Intel官方正式确认并发布了“VoltJockey”(骑士)漏洞公告,漏洞编号为:CVE-2019-11157。该漏洞是由于现代主流处理器微体系架构设计时采用的动态电源管理模块DVFS(Dynamic Voltage and Frequency Scaling)存在安全隐患造成的,存在提权和信息泄露的风险。

VoltJockey漏洞基于电压故障注入对CPU进行攻击,利用硬件故障对CPU的硬件隔离设施(如TrustZone)进行攻击。不同于传统采用编程接口漏洞的攻击方式,该方法完全采用CPU的硬件漏洞,防御起来相对困难,且对于类似TrustZone的其它CPU的硬件安全扩展也有类似效果。目前VoltJockey漏洞广泛存在于主流处理器芯片中,可能涉及当前大量使用的手机支付、人脸/指纹识别、安全云计算等高价值密度应用的安全,影响面广。

另外该安全漏洞仅当在Intel SGX(Software Guard Extensions)开启时才存在。Intel已经向系统制造商发布了固件更新,以缓解这一潜在的漏洞。

详文阅读:

https://www.anquanke.com/post/id/194775

取消
Loading...

相关推荐

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php