原标题:资安一周第4期:主流mPOS与25款Android手机韧体都有安全漏洞
企业安全解决方案供应商Positive表示,美国与欧洲市场的mPOS热门品牌,包括Square、SumUp、 iZettle与PayPal,都存有安全漏洞,这些漏洞允许骇客执行中间人攻击,通过蓝牙或行动程式传递任意程式,或者是变更磁条交易的支付款项,也能远端执行程式。(图片来源/square)
0808-0815一定要看的资安新闻?
?行动收银机? ?mPOS?
小心mPOS读卡机内含安全漏洞,窜改消费金额让你荷包大失血企业安全解决方案供应商Positive△Technologies在今年黑帽(Black△Hat)骇客大会上指出,行动收银机(mPOS)装置含有众多漏洞,将允许不良商家窜改荧幕上所显示的金额,或是让骇客取得消费者的支付卡资讯。
mPOS可借由智能手机、平板电脑或无线装置来执行支付卡的收银功能,它借由蓝牙连至装置上的行动程式,再将资料传送至支付供应商的伺服器上。根据电子交易协会(ETA)的预测,到了2019年,全球的收银终端将有接近半数采用mPOS。而Positive评估的是在美国与欧洲市场的热门品牌,包括Square、SumUp、 iZettle与PayPal。
Positive表示,这4个品牌的mPOS装置或多或少都存有安全漏洞,这些漏洞允许骇客执行中间人攻击,通过蓝牙或行动程式传递任意程式,或者是变更磁条交易的支付款项,也能远端执行程式。更多内容
?
?Android手机?
25款Android手机的韧体或预载程式含有安全漏洞行动资安业者Kryptowire在近期DEFCON骇客大会上揭露,有25款Android手机在出厂时的韧体或预设程式就含有安全漏洞,在这些装置上总计找到大大小小的35个漏洞,有些轻微的漏洞只会造成装置当掉,严重的漏洞则会让骇客取得装置的最高权限。
当初Kryptowire主要锁定由6家美国电信营运商负责销售的高、低阶Android手机进行分析,以探索这些手机在出售给消费者时所预载的程式或韧体的安全性,但事实上该研究结果影响了全球的装置,这些漏洞全都超出了Android平台既有的许可,包括执行任意程式、取得数据机与程序(logcat)日志、移除装置上的使用者资料、读取或变更装置用户简讯、传送任意简讯,或是取得装置通讯录等。
Kryptowire表示,现身于韧体或预载程式上的漏洞,意谓着消费者在安装其它程式或进行无线通讯之前就已曝露在安全风险中,更严重的是,针对韧体的攻击程式得以绕过Android上的各种防御机制,因为这些安全程式无法侦测应用程序层背后的漏洞。更多内容
?
?多功能印表机?
Check△Point:骇客只要有电话线跟传真号码就能攻陷企业印表机你的印表机是具备传真能力的多功能印表机吗?Check△Point展示了导入传真协议的多个安全漏洞,相关漏洞将允许骇客通过一条电话线与传真号码来攻陷远端的传真机或多功能印表机,取得装置的控制权,进而攻击同一网络上的其它电脑。
在Check△Point的示范视频中,骇客在电脑上针对目标传真机传送了攻击程式,并成功地在传真机的荧幕上秀出被骇讯息,在掌控了传真机之后,进而搜寻与传真机位于同一网络中的电脑,再通过NSA所打造的攻击工具EternalBlue发动攻击。
EternalBlue开采的是微软在2017年3月所修补的CVE-2017-0144漏洞,这是一个攸关共享档案与印表机资源的SMB协议漏洞,也是恶名昭彰的WannaCry及Petya勒索蠕虫所利用的漏洞。
自此,骇客就能在企业网络中的个人电脑安装恶意程式,窃取个人电脑中的机密资讯,再传真给骇客。更多内容
?
?智慧城市?
智慧城市牢不可破?IBM揭露智慧城市系统的17个安全漏洞随着全球各大城市皆已悄悄地展开智慧城市(Smart△City)部署,IBM△X-Force△Red团队与资安业者Threatca携手检视智慧城市所使用的主要系统,发现了17个安全漏洞,将允许骇客操纵警报系统、窜改感应器数据,造成民众的恐慌或城市的混乱,并于今年黑帽(Black△Hat)骇客大会上公布。
IBM△X-Force△Red研究总监Daniel△Crowley表示,他们是在今年初开始测试智慧城市所使用的Libelium、Echelon与Battelle系统,当中的Libelium是个无线感应器网络的硬件制造商,Echelon则专门销售工业物联网装置与嵌入式应用,也生产连网照明控制器,Battelle则为专门开发与商业化各种技术的非营利单位。
研究人员主要查访的是有关智慧交通系统、灾难管理,以及工业物联网的装置,这些装置是通过Wi-Fi、4G、ZigBee或其它通讯协议连网。
在找到这些装置或服务的漏洞之后,研究人员还在公开网络上发现数百个含有漏洞的装置,有些欧洲国家利用这些装置来侦测辐射,美国城市则使用它们来监控交通。
这17个安全漏洞涉及采用预设密码、可绕过身份验证机制,以及资料隐码等,当中有8个被列为重大(Critical)漏洞,透露出就算是最为现代化的智慧城市,却仍旧曝露在老派的安全威胁中。更多内容
?
?Win10 企业版? ?可抛弃式沙箱? ?InPrivate△Desktop?
Windows△10 Enterprise可能正在测试可抛弃式沙箱InPrivate△Desktop根据Bleeping△Computer报道,为了进一步防范不安全软件在桌机上执行,微软Windows企业版可能将加入名为InPrivate△Desktop的安全功能。
这项功能是张贴于Windows△10开发人员测试计划Insider△Feedback△Hub中,根据文字描述,InPrivate△Desktop(Preview)旨在让管理员启动可抛弃式沙箱,作为不信任软件一次性执行的安全环境。它基本上是一个快速启动的VM,当App关闭时就被回收。微软原本提供连结可由Microsoft△Store下载InPrivate△Desktop,不过后来被移除。
虽然使用者已经可以手动建立VM来跑可疑的软件,不过InPrivate△Desktop可以省去这些麻烦作业,就能确保恶意程式不会安装到作业系统,也能更深度整合主机作业系统,以执行例如剪贴簿来传输资料。更多内容
?
?WhatsApp?
假新闻充斥惹议,WhatsApp再被爆含有可窜改通讯内容的安全漏洞就在WhatsApp因假新闻事件被印度政府盯上的时候,以色列资安业者Check△Point在近期又踢爆WhatsApp含有可窜改通讯内容的安全漏洞。
WhatsApp为一跨平台且强调端对端加密的免费通讯程式,在2014年被脸书收购,目前在全球拥有超过15亿的用户。
Check△Point研究人员以逆向工程探索WhatsApp的演算法,于本地端解密了WhatsApp的网络请求以判断该程式的运作方式,发现WhatsApp传递讯息时所使用的参数,并借由变更这些参数来试探可能的攻击行为,显示出他们得以在群组中使用“引用”(quote)功能时变更寄送者的身份,也能窜改别人所回复的文字,或者传送一个看起来像是公开讯息的私人讯息予群组用户。不过,上述攻击都必须要在骇客身处对话或群组中才能执行。更多内容
?
?WPA2?
研究人员发现速度更快的新WPA2密码破解手法继去年底爆发WPA2协议漏洞及KRACK攻击工具后,如今又有骇入WPA2的新手法。研究人员Jens△Steube以atom为名在论坛网站Hashcat上发表其发现,只要骇客验证登入Wi-Fi网络,从路由器上取得单一EAP白领 框架的RSN△IE协议资讯,再以封包抓取工具取得PMKID,这部份可能只需10分钟。这时骇客还未取得PSK密码,但若用户设定的密码太过简单,则他可以配合暴力破解工具取得密码。现有大部分骇入Wi-Fi网络的行为需要等使用者连上Wi-Fi,启动四向交握时取得这部份资讯以暴力破解出密码,这也是去年KRACK攻击的手法之一。而新型攻击手法则不需要完整的EAP白领四路交握,速度也快得多。
研究人员指出,目前还不知道有多少路由器遭受影响,但相信新手法可用于启动漫游功能的所有802.11i/p/r网络,即大部分现代路由器产品。更多内容
?
?GDPR? ?欧盟?
GDPR效应:仍有至少千个新闻网站拉黑欧盟读者一位网站开发人员Joseph△O'Connor指出,自从欧盟在今年5月实施GDPR迄今,仍有超过一千个新闻网站拉黑欧盟用户存取,无独有偶地,哈佛大学尼曼基金会(Nieman△Foundation)旗下实验室也发现,美国前一百大新闻网站中,有三分之一网站拉黑欧盟读者,包括洛杉矶时报、圣地牙哥联合论坛报、芝加哥论坛报及纽约每日新闻等。
GDPR为《欧盟通用资料保护规则》的简称,它阐明所有欧洲民众都有权检视企业所握有的个资,而且还能要求企业删除这些个资,企业除了必须取得搜集与使用个资的明确同意之外,也必须在发生资料外泄事件的72小时内通知使用者与主管机关,否则将面临巨额罚款,也让担心自己不符GDPR要求的企业选择规避。更多内容
?
更多资安新闻台湾HITCON战队获DEF△CON△CTF第三名!韩国再度抱走冠军
Let's△Encrypt根凭证正式受到所有主要根程式的信赖
相关:
De’Longhi 旗舰咖啡机 PrimaDonna Elite 到港 蓝牙手机连线+即磨咖啡豆 | 香港 UNWIRE.HK 玩生活.乐科技
De’Longhi 最新旗舰级咖啡机 PrimaDonna Elite ECAM650.85 正式抵港,这部最新咖啡机集合了最新科技、De’Longhi 冲调技术与优雅设计于一身。最近厂商就邀请到陈豪到又一城同大家品尝这部先进咖啡机冲调的咖啡。意大
【评测】FeiyuTech G6 Plus稳定器 手机相机都得+用料扎实 | 香港 UNWIRE.HK 玩生活.乐科技
市面上推出的各款稳定器,大部分都只是主打一个类别的装置,手机还手机,运动摄影机还运动摄影机,对于有多样拍摄装置的用家来说,确是一大不方便之处。而这次笔者到手的 FeiyuTech G6 Plus?,除了能应付手机、运动摄
Google释出今年I/O大会Android App原始码,作为新兴行动应用开发典范
Google释出了Google△I/O△2018大会所用的Android应用程序原始码。今年的应用程序综合使用了Firebase、Kotlin与Material△Design等Google推出的新兴技术,开源其专案原始码能让开发者作为技术范例参考。有别于过去Go
男童地铁不停偷看屏幕 纽约男子慷慨借出手机网民激赞 | 香港 UNWIRE.HK 玩生活.乐科技
在搭巴士地铁时使用手机,遇着邻座乘客不断偷看,不知道你会有什么感觉,又会如何处理呢?美国纽约一位男士在搭地铁时玩手机,发现坐在旁边的男孩一直望着他的手机屏幕,而且表现得非常好奇,这名男乘客决定将手机借
【DEF CON 18】:25款Android手机的韧体或预载程式含有安全漏洞
示意图,与新闻事件无关。 行动资安业者Kryptowire在上周于拉斯维加斯(Las△Vegas)展开的DEFCON骇客大会上揭露,有25款Android手机在出厂时的韧体或预设程式就含有安全漏洞,在这些装置上总计找到大大小小的35个