【普普每周安全资讯】【8月第一周】
北京鼎普

作者:

时间:
2019-08-07

安全研究人员发现中国网贷App漏洞泄露大量个人信息

2019.08.01 周四

最近有研究人员发现有大量网贷App泄漏了个人信息,有几百万用户受影响。来自SafetyDetective的研究人员Anurag Sen发现,在网上有一个达889GB的巨型数据库,内有超过460万使用网贷App的装置信息。包括用户个人联络数据、财务信息(包括借贷记录、风险管理数据、交易详情)、装置数据报括联络人列表、短讯记录、IMEI编号以及容量数据,甚至每次登入时的地理位置,而且在不断更新之中,因此如果有意对特定用户进行监控,甚至可以追踪实时位置。这个数据库位于阿里云,未经加密公开,而研究人员表示阿里云应该没有参与或造成这次个人资料泄漏。

普普评述:

是“被动”还是“主动”,不得而知。


 

iPhone蓝牙流量被指在某些情况下泄露用户电话号码

2019.08.02 周五

安全研究员表示他们能够在某些操作中从iPhone 智能手机的蓝牙流量中提取用户的手机号码。

该攻击起作用的地方在于,当启动苹果设备上的蓝牙时,设备在全方位发送 BLE(蓝牙低功耗)数据包,广播设备的位置和多种详情。

这种行为是苹果无线直连 (AWDL) 协议的部分行为,该协议可通过 WiFi 或 BLE 互联并允许数据在附近的设备之间进行传输。

此前的学术研究工作指出,AWDL BLE 流量中包含设备识别详情如电话状态、WiFi 状态、OS 版本、缓冲区可用性等。

然而,Hexway公司的安全研究员指出,在某些操作下,这些 BLE 数据包也能够包含设备电话号码的某个 SHA256 哈希。

由于电话号码的格式相当严格,因此攻击者可使用预先计算的哈希表来恢复电话号码的其余部分。

普普评述:

当用户使用 AirDrop 和其它用户分享文件时、当用户电话尝试分享 WiFi 密码时、或当联系人要求用户共享 WiFi 密码时,包含电话号码哈希的 BLE 流量可遭恶意人员捕获。


 

7层DDoS攻击围困某娱乐公司流服务器13天

2019.08.03 周六

某娱乐公司流应用被超 40 万台设备组成的物联网 (IoT) 僵尸网络围困 13 天,网络及服务器在大规模分布式拒绝服务 (DDoS) 攻击下持续宕机。攻击发生在 4 月 24 日,峰值时该流服务器每秒承受 29 万多个请求,跻身史上大型应用层 DDoS 攻击行列。

应用层攻击即为针对 OSI 七层模型中最顶层的攻击,亦称 7 层 (Layer7) 攻击,区别于 DNS 放大等网络层攻击。该攻击旨在通过大量 HTTP GET/POST 请求弄崩公司服务器。发现该攻击的 Imperva 安全研究员维塔利 · 西蒙诺维奇 (Vitaly Simonovich) 在报告中称:攻击者使用了与该娱乐公司客户服务应用相同的合法用户代理 (User-Agent),屏蔽掉了自身攻击动作。

普普评述:

信息安全任重道远。



臭名昭著的MyDoon计算机蠕虫2019年依旧肆虐

2019.08.04 周日

尽管早在2004年便被发现,MyDoom在今天仍然活跃,这足以证明其初始破坏性该有多么强大。多年来,仍有大量的基础设施受到感染,我们在今天的威胁环境中仍能继续看到MyDoom的存在。尽管在恶意邮件当中含有MyDoom病毒的比例相对较小,但这一病毒始终存在。

 

基于对我们所掌握数据的分析,大多数受到MyDoom感染的基础设施其IP地址大多来自中国,而美国则紧跟其后。尽管MyDoom病毒全球传播并指向多个国家,但中国和美国仍然是两个主要接收MyDoom邮件的国家。高科技产业是其最大攻击目标。

普普评述:

MyDoom传播的方法是通过邮件,因此也会被恶意这广泛采用。



移动安全威胁

2019.08.05 周一

智能手机、平板电脑和更小的联网设备对企业安全构成了新的风险,因为与传统的工作设备不同,它们通常不能保证及时和持续的软件更新,而如今这些因素正成为越来越大的威胁。

Ponemon 认为,撇开攻击可能性增加不提,移动平台的广泛使用提高了数据泄露的总体成本,而大量与工作相关的物联网产品只会导致这一数字进一步攀升。根据网络安全公司 Raytheon 的说法,物联网是一扇 “敞开的大门”。该公司赞助的一项研究显示,82% 的 IT专业人士预测,不安全的物联网设备将会导致企业内部的数据泄露——而且这种数据泄露规模和影响很可能是 “灾难级的”。

同样,一项强有力的政策还有很长的路要走。有些Android设备确实可以及时获得可靠的持续性更新。在物联网领域变得不那么像 “蛮荒西部” 之前,必须由一家公司围绕它们建立自己的安全网络。

普普评述:

移动互联网的发展,也带来了新的挑战。



5G下的网络安全建设

2019.08.06 周二

随着5G技术在全球范围内的逐渐商用和相关产业链的不断成熟,5G产业发展已成为通信业、信息产业、社会经济乃至全球竞争的重要热点,在全球范围内已经进入了商用部署的关键时期。

与此同时,网络安全建设同样不容忽视。万物互联的发展为攻击者提供了更多的入侵策略,纵观网络安全形势的发展,过去“创可贴”式的网络安全建设思路已经不再适用,应该借助5G建设的契机,在信息化升级改造的初期,进一步推进落实“三同步”战略,即:同步规划、同步建设与同步运营。

对此,加强5G商用与相关网络安全防护的标准化工作,运用标准来指导网络安全、规范引领信息技术应用,已经成为当务之急。各方机构应该携手探索5G在各行业尤其是物联网和工业互联网等方面的商用标准,加快5G商用的步伐,强化相关网络安全防护能力。

普普评述:

5G在引领网络技术到一个新的世界的同时,也要考虑到其带来的风险。



谨防“鲸钓攻击”

2019.08.07 周三

“鲸钓攻击” (Whaling Attack) 指的就是针对高层管理人员的欺诈和商业电子邮件骗局。如今,商业电子邮件妥协 (BEC) 攻击已经对全球各类型组织都构成了严重的威胁,而令人更为担忧的现实是,这种攻击类型正变得越来越复杂,遭受 “鲸钓攻击” 的受害者往往需要承受比普通网络钓鱼攻击更沉重的经济损失。顾名思义 “鲸钓攻击” 胃口更大,与随机窃取电脑使用者个人机密资料的 “网络钓鱼” (phishing) 不同,鲸钓攻击比网络钓鱼更懂得放长线钓大鱼!这类针对性网络钓鱼手法专门锁定企业高级主管,试图利用电子邮件来骗取信息。网络媒体《Lifewire》指出,鲸钓攻击电子邮件皆假冒某权威来源的电子邮件地址,并且要求收件人尽速解决某项紧急问题。黑客利用这样的手法来骗取员工信息、重要文件,甚至是关键系统的帐号密码。

普普评述:

虽然这是一个可怕的前景,但未来的商业电子邮件妥协 (BEC) 骗局可能就是这样!