各位Buffer早上好,今天是2019年4月3日星期三。今天的早餐铺内容主要有:“2345导航站”弹窗广告携带病毒,盗取QQ和多款热门游戏账号;因配置失误,超1.3万iSCSI存储集群已在线上暴露;百度、搜狗、360因骚扰电话软件销售推广信息问题被约谈;Pipdig 使用客户的网站 DDoS 竞争对手;腾讯科恩实验室再次发布特斯拉Autopilot安全性研究三大成果。
“2345导航站”弹窗广告携带病毒,盗取QQ和多款热门游戏账号
4月1日凌晨,火绒安全团队发出警报,部分“2345导航站”首页的弹窗广告携带盗号木马,该病毒会偷取QQ、游戏平台(steam、WeGame)、知名游戏(地下城与勇士、英雄联盟、穿越火线)的账号。这是一次设计精巧、组织周密的大规模盗号行动,利用周末时间突然发起攻击,主要目标是网吧游戏用户。
工程师分析,部分“2345导航站”首页右下角会弹出弹窗广告(上图红色箭头所指),该广告页面一经弹出,即可自动下载病毒,无需用户点击。病毒下载链接自动激活后,首先访问跳板网站“yyakeq.cn”(存放跳板脚本以及flash漏洞),然后再从“ce56b.cn”网站下载病毒,而盗取的QQ、游戏等账号则被上传到“zouxian1.cn”网站。[来源:FreeBuf]
因配置失误,超1.3万iSCSI存储集群已在线上暴露
iSCSI 是一种将工作站和服务器与数据存储设备相连的协议,通常可在大型企业 / 数据中心的磁盘存储阵列、以及消费级的网络附加存储(NAS)设备上找到。然而由于客户忘记启用身份验证,这种错误的配置导致超过 13000 个 iSCSI 存储集群向别有用心的网络犯罪分子敞开了大门。对于设备拥有者来说,这会让他们面临极大的数据安全风险。
外媒 ZDNet 指出,iSCSI 全称为“互联网小型计算机系统接口”,该协议旨在操作系统查看远程存储设备,并与之交互。在实际体验上,它更像是一种本地组件,而不是基于 IP 的可访问系统。[来源:cnBeta]
百度、搜狗、360因骚扰电话软件销售推广信息问题被约谈
近日,北京市通信管理局针对互联网上发现的骚扰电话软件销售推广信息的问题,集中约谈了百度、奇虎360、搜狗等搜索服务提供商。
约谈中,北京管局指出,搜索服务提供商要认真履行社会责任,严格落实工业和信息化部等十三部门综合整治骚扰电话专项行动的相关要求,从源头上切断骚扰电话相关软件、设备的信息来源。针对网络上依然存在的“喵池”、“改号APP”等骚扰电话软件、设备的变体词、关联词组等问题要进行全面清理排查,建立动态监测和屏蔽机制,对骚扰电话软件和设备信息要发现一起屏蔽一起。三家搜索服务提供商表示,将严格贯彻落实工业和信息化部及北京管局的要求,深化骚扰电话源头治理工作,全面排查存在的问题,立即进行整改。[来源:工信部]
Pipdig 使用客户的网站 DDoS 竞争对手
WordPress 主题供应商 Pipdig 被发现利用客户的服务器对竞争对手的网站发动 DDoS 攻击。安全研究人员分析了它的代码,找到了 DDoS 攻击的确凿证据。但 Pipdig 官方博客发表了一份义正言辞的声明,否认发动 DDoS 攻击,声称相关代码是用来检查主题的许可密钥。它还迅速从其 bitbucket 库里删除了证据,只是有人已经将证据进行了存档。[来源:Solidot]
腾讯科恩实验室再次发布特斯拉Autopilot安全性研究三大成果
3月29日,腾讯科恩实验室(Tencent Keen Security Lab)官方发布博文称,利用此前在特斯拉Model S(版本2018.6.1)发现的已知漏洞可以获取Autopilot控制权,通过实验证明即使Autopilot系统没有被车主主动开启,也可以利用Autopilot功能实现通过游戏手柄对车辆行驶方向进行操控。
以特斯拉Model S(软件版本2018.6.1)为对象,针对其搭载的Autopilot系统进行安全研究,科恩实验室取得了以下三个研究成果:
成果一、雨刷的视觉识别缺陷
特斯拉Autopilot系统借助图像识别技术,通过识别外部天气状况实现自动雨刷功能。科恩实验室通过研究发现,利用AI对抗样本生成技术生成特定图像并进行干扰时,该系统输出了“错误”的识别结果,导致车辆雨刷启动。
成果二、车道的视觉识别缺陷
特斯拉Autopilot系统通过识别道路交通标线,实现对车道的识别和辅助控制。科恩实验室通过研究发现,在路面部署干扰信息后,可导致车辆经过时对车道线做出错误判断,致使车辆驶入反向车道。
成果三、遥控器操控车辆行驶
利用已知漏洞在特斯拉Model S(版本2018.6.1)获取Autopilot控制权之后,科恩实验室通过实验证明,即使Autopilot系统没有被车主主动开启,也可以利用Autopilot功能实现通过游戏手柄对车辆行驶方向进行操控。[来源:KEENLab]