BUF早餐铺 | 大量安卓设备调试端口暴露;以太坊再爆安全漏洞;一加 6 系统存在重大漏洞;北京检方发布《网络安全刑事司法保护白皮书》

2018-06-13 97051人围观 资讯

五月榴花妖艳烘,绿杨带雨垂垂重。五色新丝缠角粽~

各位 Buffer 早上好,今天是 6 月 13 日星期三,农历四月三十。今天份的BUF 早餐内容主要有:大量安卓设备的调试端口暴露在外网;苹果明确禁止挖掘加密货币的应用程序;以太坊再爆安全漏洞;以太坊客户端 Geth 出漏洞,超过 2000 万美元的数字货币被盗;一加 6 系统存在重大漏洞,官方已确认并将尽快修复;北京检方发布《网络安全刑事司法保护白皮书》。

安全资讯早知道,两分钟听完最新安全快讯~

早餐.jpg

以下请看详细内容:

【国际时事】

大量安卓设备的调试端口暴露在外网

上周,安全圈又发布了新的安全警告:安装了调试端口的 Android 设备暴露在远程连接中。事实上,今年2月,奇虎 360 Netlab 团队就第一次发现了这个问题,当时他们发现了一种在 Android 设备之间传播的蠕虫病毒,并使用名为 ADB.Miner 的矿机在设备中挖矿。

Android.png

导致这类病毒传播的主要原因是供应商向用户提供的安卓设备出场默认使用基于 WiFi 的 ADB 功能。而用户并不知道他们的设备可以通过 ADB 接口进行远程连接。此外,ADB 还授权用户访问 Unix Shell 等敏感工具,导致更多风险。目前,有超过 15600 台设备暴露了 ADB 端口。建议用户检查设备是否开启 ADB 功能,并尽快关闭或禁用ADB 接口。[bleepingcomputer]

苹果明确禁止挖掘加密货币的应用程序

近日,苹果更新了其审查指南,明确禁止在官方 APP Store 上传的 iOS 和 Mac 应用程序利用用户设备进行加密货币挖掘操作。此次更新是苹果 WWDC 大会的更新后续。

Apple-new-rules.jpg

这个禁令主要针对明确用于挖矿的应用程序,不过与加密货币相关的管理或交易程序依然能用。对于移动设备而言,挖矿程序很容易导致手机过热、破坏电池,甚至导致电池变形、漏液、着火。因此,苹果才发布了这项规定。[bleepingcomputer]

【漏洞攻击】

以太坊再爆安全漏洞

区块链安全团队 PeckShield 曝光了名为 tradeTrap 的以太坊智能合约漏洞,该漏洞可让黑客随意操控币价、随意增发 Token。这个智能合约漏洞波及 700 多个 ERC-20 Token,其中也包括 AI、SUB、NTO、TGT、FC、TBT 等 Token 在内的数十个已经在交易所交易的 Token,涉及币安、火币、OKEx、HitBTC、ZB、EtherDelta、IDEX 等 26 家交易所。

以太坊

这是今年发现的影响用户数量最大、涉及币种最多、涉及交易所最多的安全漏洞,据悉该漏洞可能有意或无意被开发人员预留在智能合约中,若用意良好不会造成影响,但是如果被黑客滥用,可以轻松地实现非法套利和操控价格的安全事件发生。[Bianews]

以太坊客户端 Geth 出漏洞,超过 2000 万美元的数字货币被盗

近日,360 Netlab 调查发现,因为运行不安全的客户端 Geth,在过去几个月里,被盗的以太坊价值超过了2000万美元。Geth 是一款常用的客户端,运行以太坊节点。用户可以用 Geth,通过 JSON-RPC 界面远程管理钱包。

ethereum-price-fb.jpg

黑客通过扫描与以太坊网络进行通信的 8545 端口,寻找暴露 JSON-RPC 的加密货币钱包,进而窃取货币。据了解,黑客一共窃取了 38,642 以太币,价值超过 2050 万美元。[SecurityAffairs]

一加 6 系统存在重大漏洞,官方已确认并将尽快修复

Edge Security 的研究员近日发现,一加 6 手机的 BootLoader 存在严重漏洞。在Bootloader处于锁定状态下,一些非官方的ROM也能刷入手机中。这导致任何人都可能随意重启手机或修改镜像,进而获取对手机的管理员控制权限。

QQ截图20180612114229.png

不过,黑客若要利用此漏洞,不仅需要与一加 6 进行物理接触,还必须将手机与 PC 连接,这增大了利用难度。目前,一加官方已经知道漏洞信息,并回应称官方非常重视手机安全性,正在紧急修复。[Securityaffairs]

【国内新闻】

北京检方发布《网络安全刑事司法保护白皮书》

北京市海淀区人民检察院6月7日发布《网络安全刑事司法保护白皮书》,白皮书显示,网络犯罪主体呈现低龄、低学历化特征,犯罪行为产业化特征明显,日渐形成完整、闭合的产业链条。基于社会实践和打击的需要,白皮书将网络犯罪分为网络黑产犯罪和网络化的传统犯罪两种基本类型。其中,网络黑产犯罪以计算机数据、程序、系统或者软件等作为犯罪对象,形成了一条封闭的产业链,上游提供工具和平台,中游获取信息、清洗数据,下游精准诈骗、盗窃财产。在实践中,此类案件主要以破坏计算机信息系统罪、非法获取计算机信息系统数据罪、侵犯公民个人信息罪为主。随着互联网应用场景和互联网技术的普及,传统犯罪与网络平台、网络技术相结合,开始出现赌博、贩毒、色情等传统犯罪向网络社会延伸和扩张的现象,衍生出网络赌博、网络色情、贩卖毒品、互联网金融诈骗等犯罪,并出现从PC端向移动互联端蔓延的趋势。[ 法制网]

*AngelaY 编译整理,转载请注明来自 FreeBuf.COM

取消
Loading...
css.php