【CES 2018亮點產品】可追蹤移動記錄的阿拉丁智慧神燈,會講話的馬桶,陪狗狗玩的機器人…

安裝在牆上的阿拉丁智慧神燈,可追蹤使用者的移動記錄

聲控、會講話的馬桶

可以陪狗狗玩的智慧行動寵物夥伴機器人
今年 CES 會上還有哪些亮點?

根據研究指出,隨著物聯網(IoT ,Internet of Thing)裝置的持續發展,全球 IoT 市場將從 2016 年的 1,570 億美元成長至 2020 年的 4,570 億美元。全球最新消費性電子科技匯聚的 CES 消費電子展,預告今年即將上市的最新產品。今年 (2018 年),IoT 裝置廠商已準備大展身手,推出一些訴求便利的終極產品來吸引消費者。

在會議中心外的停車場,Google 搭建的三層樓展示空間是今年的注目焦點,裡面展示著 Google Assistant 數位助理以及相關搭配的智慧喇叭、廚房家電等產品。根據 HIS Markit 的預測,2018 年將有超過 50 億個消費性裝置支援數位助理功能,這數量至 2021 年將再成長 30 億。

然而,Google Assistant 並非今年 CES 會上的唯一亮點。

Ring 希望藉由視訊門鈴與監視攝影機來達成指尖開鎖的居家功能。該裝置可讓使用者透過智慧型手機、平板或 PC 來監控家中狀況。每個 Ring 裝置都內建一個廣角鏡頭、一個麥克風及一個喇叭,使用者可隨時隨地看到、聽到有誰靠近他們的房子,並且和對方通話。當 Ring 偵測到任何物體移動時,使用者會立即收到通知,進而隨時掌握有誰踏上他們的土地。

圖 1:Ring 的視訊門鈴與監視攝影機 (資料來源:ces18.mapyourshow.com)。

Domaly 公司的 Aladin Smart Lamp (阿拉丁智慧神燈) 是一個安裝在牆上的智慧燈具,配有物體移動感應器,聰明地為年長者在半夜起床時提供適當照明。而且,萬一偵測到年長者跌倒了,燈具還可以發送通知給緊急聯絡人。同時,這款燈具還擁有行為分析功能,可追蹤使用者的移動記錄,當燈具發現使用者上廁所的次數超過正常情況時,還可通知家屬。

除此之外,CES 2018 會上還有一些有趣的創新發明。Kohler 公司的 Numi 是一款聲控、會講話的馬桶,提供情境燈光、暖腳器、音樂播放、除臭器以及先進的「免治馬桶」功能,包括脈衝、震盪、波動等多種洗淨方式。除此之外,還有 CamToy 公司的 Laika 智慧行動寵物夥伴機器人,讓主人隨時隨地從遠端和心愛的寵物互動。而主人也可將 Laika 設成自主模式,讓它自己陪狗狗玩,這樣當主人不在家時,狗狗就不會覺得無聊。

【CES 2018亮點產品】可追蹤移動記錄的阿拉丁智慧神燈,會講話的馬桶,陪狗狗玩的機器人...
圖 2:CamToy 的 Laika 寵物夥伴機器人(資料來源:nibletz.com)。

上述產品只不過是 IoT 裝置提升使用者生活便利的幾個範例。有些裝置對學生或老年人甚至可說相當實用。但隨著這類裝置不斷推陳出新,裝置的安全性仍應是優先考量,如此才能防範相關威脅,確保使用者安全。根據預測,從 2015 至 2020 年,IoT 解決方案相關的總支出將達到 6 兆美元。

目前,物聯網在安全上仍有一些設計瑕疵,不過使用者可透過一些方法來降低智慧裝置的安全風險。例如, 妥善保護家用路由器並定期變更密碼 ,就能大幅提升智慧裝置生態系的安全並防範攻擊。

至於在產品安全上扮演關鍵角色的製造商,則可遵循一些最佳實務原則來防範針對 IoT 裝置的攻擊,例如:

  • 裝置製造商首先在心態上必須了解,任何裝置一旦連上網際網路,就可能遭到駭客利用。因此,在產品開發的早期階段就加入適當的安全措施,與產品功能的開發同等重要。
  • 所謂的「弱點測試」就是產品開發人員模擬或實際對產品發動攻擊,這類測試可幫助開發人員了解裝置的安全機制是否可能被歹徒避開。
  • 製造商可和資安專家合作,請他們幫忙評估裝置的安全性,進而避免設計上的漏洞和瑕疵。此外,也可以透過一些漏洞懸賞計畫來鼓勵第三方研究人員幫忙抓出裝置的漏洞。

 

原文出處:CES 2018: Securing the Promise of Invaluable Convenience from New IoT Devices

 

 

智慧交通運輸系統 (ITS)的三重威脅

上個月,趨勢科技發表一份研究報告,詳細探討了未來全自動化線上整合交通運輸網路可能面臨的威脅。這份名為「智慧交通運輸系統面臨的網路攻擊」(Cyberattacks Against Intelligent Transportation Systems) 的研究報告,針對未來即將改變全球工作、移動及商業營運方式的多重交通運輸系統,提供了我們的剖析與觀察。此外,也針對這類系統在整合與營運上可能帶來的資安問題和事件提出一些研究發現。保障智慧交通運輸系統 (ITS) 實體與網路基礎架構的安全,不論對誰都是一項艱難的挑戰:要怎樣做才能防止如此龐大的系統遭到網路攻擊?這對那些必須承擔責任者 (如資安長CISO) 尤其沉重。首先,第一步就是要了解自己所面臨的威脅為何,以及 ITS 當中的高風險領域在哪。

智慧交通運輸系統 (ITS)三重威脅

我們在研究報告當中指出了智慧交通運輸系統 (ITS)可能面臨的三大攻擊類型:網路攻擊、無線攻擊、實體攻擊。我們採用了業界標準的 DREAD 威脅模型 (D:破壞潛力、R:再現性、E:可利用性、A:受影響的用戶、D:可發現性) 來評估 ITS 可能面臨的各種威脅之後發現,網路攻擊可能是 ITS 所面臨最具破壞力的威脅,其次是無線攻擊,最後才是實體攻擊。

智慧交通運輸系統 (ITS)的三重威脅

這一點其實不難理解,因為 ITS 是由多重系統所構成,這些系統不僅連網,而且還包含大量彼此溝通的物聯網 IoT ,Internet of Thing)裝置。因此理所當然地,網路攻擊具備了最大的破壞潛力。除了針對性攻擊/鎖定目標攻擊(Targeted attack )可能導致系統內的裝置失靈,進而造成營運中斷之外,網路攻擊還可能導致資訊遭竊或資料外洩,兩者都將造成營業損失。許多 (縱使並非全部) 專門攻擊智慧交通運輸系統 (ITS)或類似系統的駭客,如:國家資助的團體、網路犯罪集團、駭客激進主義團體、恐怖分子等等,都很擅長網路攻擊,因此智慧交通運輸系統 (ITS)不僅很可能遭到網路攻擊,而且應該說無可避免。 Continue reading “智慧交通運輸系統 (ITS)的三重威脅”

《 IOT 物聯網》 智慧喇叭暗藏漏洞

智慧喇叭突然暫停正在播放的歌曲,可能是攻擊者在背後操縱。還不止如此,攻擊者可以根據目標的音樂偏好發送客製化的釣魚郵件, 可以播放假錄音訊息來誘騙目標下載惡意軟體,甚攻擊者可以追踪目標居住的位置並得知他們是否在家。

除了智慧喇叭,任何具有相同或相似漏洞的設備都可能面臨這些攻擊風險。

《 IOT 物聯網》 智慧喇叭暗藏漏洞

隨著整合熱門網路服務的物聯網(IoT ,Internet of Thing)設備的出現,有越來越多的使用者看見這類設備的價值。容易整合讓使用者更會考慮將這些產品放入自己的網路。不過易用性雖然很誘人,這些產品也可能出現安全問題而帶來負面的影響。

為了了解物聯網設備的安全防護能力以及攻擊者可以如何地去操縱物聯網設備,趨勢科技測試了特定物聯網設備(智慧喇叭)的安全性。

聲音入侵

在“針對性攻擊的聲音(The Sound of a Targeted Attack)”案例研究中,趨勢科技測試了兩款可連網的智慧喇叭: Sonos Play:1和Bose SoundTouch,發現暗藏的安全漏洞,會暴露使用者資料及其他可用於攻擊的資訊,其中包括了阻斷服務(DoS)漏洞。

過去的研究都專注在奪取喇叭(如Amazon Echo和Google Home)的控制能力,我們的報告則有另外的發現,包括了開放端口所造成的安全間隙,這開放端口讓網際網路上的任何人都可以存取設備和使用者資訊。第一個被找到的是跟設備同步的音樂串流服務連結電子郵件地址。另一個可以拿到的是與測試機位於同網路的設備及共享資料夾列表。我們還取得了BSSID資訊,查詢BSSID可以讓我們知道測試機所使用無線基地台的大致位置。最後,我們還可以看到設備上進行的動作,比如正在播放的歌曲、遠端控制設備以及通過URI路徑播放音樂。

這些問題所帶來的影響超過了設備遭受控制。因為智慧喇叭等物聯網設備可能會洩露讓攻擊者可以用於惡意攻擊的資訊。首先來剖析測試機(Sonos Play:1喇叭)找出安全問題,我們能夠模擬可能的攻擊情景,不僅適用在家庭用戶,也可能被用在企業網路。雖然測試的是連接網際網路的喇叭,而且Sonos Play:1的更新也已經推出,但其他的物聯網設備仍然具備類似問題,也讓攻擊者能夠相同的利用。

攻擊物聯網設備的先決條件

無論針對的物聯網設備是什麼,要發起攻擊時都會利用多項元素。在各種攻擊情境裡,攻擊者都會利用可存取和可利用的資訊。下面列出IoT攻擊情境的先決條件,我們根據對Sonos喇叭的測試來制定了這些條件:

  • 對外暴露的設備 – 正如我們對入侵工業機器人以及美國和西歐城市暴露設備的研究所顯示,攻擊者可以透過Shodan等搜尋引擎在網際網路上尋找對外暴露的設備。在進行研究時,我們可以看到大約4,000到5,000個對外暴露的Sonos喇叭。
  • 存在不安全性 – 設備具有可讓攻擊者利用的安全漏洞。這可能是缺乏身份認證、未經修補的漏洞或外部來源所洩漏的資訊。在此測試中是開放對使用者資料的存取及其他部分。
  • 可被利用的設備功能 – 因為物聯網設備的形式和功能各不相同,某些設備可能具備攻擊者可加以利用的獨特功能。在智慧喇叭的例子裡,攻擊者可以利用從網路來源播放音樂的能力。
  • 可公開取得的個人身份資訊(PII) – 這些資訊可以來自合法來源,例如線上搜尋工具或社群媒體,也可以來自被公開的資料外洩資訊。在此研究中,我們發現了727個不重複電子郵件地址能夠輸入到開放原始碼情報工具(如Maltego)。我們還看到數個電子郵件帳號連結到之前的資料外洩事件,如River City Media,LinkedIn和fm。

 

攻擊情境

使用上述的攻擊先決條件,我們可以為智慧喇叭制定三種攻擊情景。同樣地,任何具有相同或相似漏洞的設備都可能面臨這些攻擊風險。

攻擊者可以根據目標的音樂偏好發送客製化的釣魚郵件。

 

透過Nmap掃描,我們發現Sonos Play:1的應用程式用TCP/1400進行連線。這讓我們找到一個不用身份驗證的URI頁面。 Continue reading “《 IOT 物聯網》 智慧喇叭暗藏漏洞”

物聯網殭屍網路Satori原始碼,被公開在Pastebin上

安全研究人員回報Satori物聯網(IoT ,Internet of Thing)殭屍網路的原始碼已經被放到Pastebin上。去年12月初,Satori在短短12個小時內就影響了28萬個IP地址,讓無數家用路由器成為其殭屍網路的一部分。

Satori(也被稱為Mirai Okiru,趨勢科技偵測為ELF_MIRAI.AUSR),意為日文的“啟蒙”或“覺醒”(“okiru”意為“升起”),被認為是惡名昭彰的Mirai殭屍網路繼承者,同樣地會將路由器殭屍化並攻擊知名網站使其離線。跟Satori一樣,原始的Mirai原始碼也被公開,並且發展出許多新版本。最近在哥倫比亞、厄瓜多、巴拿馬、埃及、突尼西亞和阿根廷都有出現使用Mirai的攻擊。

物聯網殭屍網路Satori原始碼,被公開在Pastebin上
去年12月初,Satori在短短12個小時內就影響了28萬個IP地址,讓無數家用路由器成為其殭屍網路的一部分

Satori攻擊了兩個漏洞:

  • CVE-2017-17215 – 華為家用路由器(Huawei HG532)的漏洞(在2017年11月修補)。對此漏洞的攻擊針對端口37215。
  • CVE-2014-8361 – Realtek SDK 的UPnP SOAP介面命令注入漏洞(在2015年5月修補)。對此漏洞的攻擊針對端口52869。

趨勢科技的初步觀察顯示,在2017年12月與Satori相關的偵測數量超過170,000筆。Satori相關攻擊出現在歐洲(義大利,法國),北非和中東(突尼西亞,埃及)和南美洲(哥倫比亞,厄瓜多)以及美國和日本。

 

[延伸閱讀:保護你的路由器對抗Mirai和其他家庭網路攻擊]

隨著物聯網設備在家庭和工作場合的日益普及,以及它們遭受攻擊後所可能帶來的不良影響,Satori已經成為了確切真實的威脅。分散式阻斷服務攻擊 (DDoS)攻擊、網域名稱系統(DNS)變更惡意軟體和數位貨幣挖礦惡意軟體只是使用者和企業所可能面臨的部分威脅。而且物聯網設備也可能發生顯著的效能下降。

以下是讓路由器和網路更能抵禦攻擊的六個最佳實作Continue reading “物聯網殭屍網路Satori原始碼,被公開在Pastebin上”

服飾品牌Forever 21 承認支付系統遭駭

服飾品牌Forever 21發布其在2017年11月時回報資料外洩事件調查結果,揭示出現端點銷售(PoS)惡意軟體及對受影響PoS設備進行未經授權存取的跡象,這些設備的加密技術曾被關閉。Forever 21的新聞稿稱這PoS惡意軟體是用來搜尋支付卡資料。

在聲明中:“惡意軟體只搜尋會經過PoS設備的支付卡磁軌資料。在大多數情況下,惡意軟體只能找到磁軌資料而沒有持卡人姓名 – 只有卡號、到期日和內部驗證碼,但偶爾還是會找到持卡人姓名”。

Forever 21在57個國家擁有超過800家的商店。雖然美國以外的商店使用不同的支付處理系統,但他們還在確認這些商店是否受到影響。Forever 21並且說明這惡意軟體和資料外洩事件並沒有影響在他們網站使用的支付卡。

[延伸閱讀:2017年的知名資料外洩事件時間表]

PoS惡意軟體(以AbaddonPOSRawPOSMajikPOS為代表)經常結合其他威脅來最大化能夠竊取的資料,像是後門程式和鍵盤側錄程式。被竊取的資料可能包括駕照、認證資訊和其他個人身份資訊(PII)。

被竊的資料最終通常都會放在地下網路犯罪市場販賣,最高可達700美元。像是中國地下市場也會提供相關的產品,如可以從PoS設備和自動提款機(ATM)取得資料的硬體側錄器。

被竊的PII也可以用來進行其他網路攻擊,就像Onliner Spambot利用之前資料外洩事件所打造的7.11億個帳號列表來散播垃圾郵件。網路犯罪分子還可以利用PoS惡意軟體來攻擊其他產業,從大型跨國公司到中小型企業(SMB)都有。

[延伸閱讀:駭客可以用你被竊的身份資料做什麼?]

企業在資料外洩方面所造成的損失不僅僅是收入。失去客戶的信任和商譽也一樣地嚴重。而將於2018年5月實施的歐盟通用資料保護規範(GDPR)將對未能保護客戶資料處以罰款2,000萬歐元(2400萬美元)。

以下是企業可以用來減輕這類威脅的五個做法:

  1. 確保所有商店都符合最新的支付卡產業資料安全標準(PCI-DSS
  2. 部署使用點對點加密的晶片密碼卡(EMV),這比磁條卡要來得安全
  3. 保護好其他可能的進入點,例如遠端桌面和端點 Continue reading “服飾品牌Forever 21 承認支付系統遭駭”

Shodan 搜尋引擎暴露各大城市網路資產

西歐、英國、法國、德國、美國等各大城市都有許多裝置暴露在網際網路上。您的連網裝置是否也如此?看看這有什麼風險?

 

Shodan 讓暴露在外的網路資產無所遁形

趨勢科技前瞻威脅研究 (FTR) 團隊利用 Shodan 搜尋引擎針對全球各大都市最常暴露在網際網路上的資產進行了一番研究。網路資產 (如:網路攝影機和印表機) 一旦可透過搜尋引擎在網際網路上找到,駭客就能設法入侵這些裝置,或是看看裝置本身及其軟體是否有可利用的已知漏洞。這份研究可協助相關機構了解自己該投資哪些必要的安全措施來提升其資料和資產的安全,防範潛在的入侵。

Shodan 搜尋引擎暴露各大城市網路資產

Shodan 是什麼?

Shodan 是一個網路搜尋引擎,專門用來搜尋連上網際網路的各種裝置。Shodan 可搜尋的裝置和系統包括:網路攝影機、嬰兒監視器、醫療設備、工業控制系統 (ICS) 裝置、家用電器,以及資料庫等等。Shodan 會蒐集、彙整連網裝置所公開的一些基本資料和資訊,讓任何人都能輕易搜尋。

什麼是暴露在外的網路資產?

所謂「暴露在外的網路資產」,就是那些連上網際網路、並可從 Shodan 或類似引擎搜尋到的裝置和系統,表示這些裝置也可經由網際網路進行存取。當某個裝置或通訊協定暴露在外時,並不一定代表它就含有漏洞或者會遭到入侵。

不過,當某個裝置可以從公共網路搜尋得到時,駭客就能利用 Shodan 提供的資訊來策畫其攻擊。例如,駭客可看裝置上的軟體是否含有已知漏洞,或是該裝置的管理員密碼是否很容易猜測。

網路資產暴露在外的全球城市

我們針對全球多個已開發國家進行一番研究,看看其網路資產暴露在外的程度和方式是否有所差異。我們將這些城市劃分成:美國、西歐、英國、法國和德國等幾個地區來看。請點選圖片來開啟完整的 PDF 報告。

西歐城市暴露情況新增

此處我們整理了西歐人口最稠密的十大城市網路資產暴露在外的情況,包括:倫敦、柏林、雅典、馬德里、羅馬、巴黎、斯德哥爾摩、奧斯陸、阿姆斯特丹,以及里斯本。倫敦和柏林的數量在 250 萬以上,阿姆斯特丹和馬德里則在 100 萬左右。

檢視報告 >>

英國城市暴露情況新增

此處我們整理了英國人口最稠密的十大城市網路資產暴露在外的情況,包括:倫敦、曼徹斯特、伯明罕/伍爾弗漢普頓、里茲/布拉福德、格拉斯哥、利物浦、南安普敦/樸茨茅斯、泰恩河畔新堡/桑德蘭、諾丁漢,以及雪菲爾。倫敦是英國網路資源暴露在外數量最多的城市,約略超過 250 萬,其次是曼徹斯特 (約 32 萬) 和格拉斯哥 (約 16 萬)。 Continue reading “Shodan 搜尋引擎暴露各大城市網路資產”

趨勢科技公布2018資安預測:駭客三大手法 智慧攻防邁入新層級

鎖定數位勒索、物聯網漏洞、機器學習與區塊鏈熱潮  駭客攻擊技巧再進化

【2017年12月20日,台北訊】全球網路資安解決方案領導品牌趨勢科技(東京證券交易所股票代碼:4704)今日發表2018年資安年度預測報告,指出隨著人們透過不安全網路進行連線和互動的情況越來越普遍,駭客將以「鎖定數位勒索獲利模式」、「仰賴漏洞為攻擊管道」、「搶搭機器學習與區塊鏈熱潮發展新攻擊技巧」三大手法發動網路攻擊,駭客攻防進入新層次。因應更加猖獗的網路犯罪行為,企業應採納多層式的跨世代防禦策略,強化企業內部資安意識,提升資安防禦層級。消費者使用數位裝置上網時更應重視資安防護,確保個人機密資料及財產多一層保護。

趨勢科技公布2018資安預測:駭客三大手法 智慧攻防邁入新層級

鎖定數位勒索獲利模式,針對性勒索將成寵兒!

趨勢科技觀察過去幾年,網路犯罪手法已由間接誘騙使用者的帳號密碼,轉向直接勒索錢財的「數位勒索」為主,駭客利用勒索病毒威脅受害者付錢贖回資料或透過變臉詐騙攻擊或稱為商務電子郵件入侵(Business Email Compromise,簡稱 BEC)手法進行商業詐騙,以獲得高利潤報酬。

回顧2017 年,從WannaCry(想哭)勒索蠕蟲Petya 到 BadRabbit,勒索病毒風暴席捲全球企業端及消費端,顯見駭客攻擊手法日益進步。趨勢科技預測,2018年駭客將持續大量寄發勒索病毒信件,並進一步鎖定特定可帶來最高報酬的對象攻擊,例如單一企業機構以中斷營運為威脅,試圖從中盈利。由於勒索病毒手法趨向純熟,促使其他類型的數位勒索攻擊也更加猖獗、從而發展出多樣且龐大的詐騙手法。

其中,變臉詐騙 (BEC) 快速、程序簡單的特性,加上企業組織架構資訊容易取得,將持續成為駭客喜愛攻擊手法。趨勢科技預估變臉詐騙 (BEC) 案件在 2018 年只會增加、不會減少,甚至恐造成高達 90 億美元的全球損失。原因除了有企業普遍對變臉詐騙及其手法的認識越來越高,通報數量有逐年成長的趨勢外,更重要的是變臉詐騙所仰賴的網路釣魚手法,長久以來依然屢試不爽,使變臉詐騙成為高效率的賺錢工具。 Continue reading “趨勢科技公布2018資安預測:駭客三大手法 智慧攻防邁入新層級”

趨勢科技 IoT Security 物聯網防護將支援西門子 Mentor Automotive ConnectedOS™ 車用作業系統

【2017 年 12 月 1 日】隨著汽車越來越有智慧、越來越仰賴網路,車用系統的資安要求也不斷升高。近來一些針對車門鎖與煞車系統的駭客攻擊,突顯了智慧汽車的漏洞,甚至迫使車廠召回某些車款。全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天宣布其 IoT Security 物聯網防護方案將支援西門子旗下事業 Mentor 所開發的 Mentor Automotive ConnectedOS™ 車用作業系統。Mentor Automotive ConnectedOS™ 是眾多車廠車用資訊系統 (IVI) 與駕駛人資訊系統 (Cluster) 所採用的一套平台。

趨勢科技執行長陳怡樺指出:「IoT 裝置為所有產業皆帶來了巨大挑戰,因為它們開啟了新的駭客攻擊領域。所以,所有環節皆應建置有效的 IoT 防護,不論裝置、網路或伺服器。藉由讓 IoT Security 支援 Mentor Automotive ConnectedOS™ 作業系統,能讓防護從一開始就內建其中,而不是事後才加入。」
趨勢科技 IoT Security 是一套專門針對需要在一般通用作業系統上經由 IP 通訊對外部溝通的車用 IoT 裝置而設計的防護產品。可將防護導入設計和開發階段來降低資安風險,進而提升連網汽車的整體安全,避免因為資安防護是從外部附加而產生漏洞,讓駭客有機會駭入系統。
Mentor 車用事業部資訊娛樂總監 Michael Ziganek 表示:「趨勢科技對 Mentor Automotive ConnectedOS™ 作業系統的支援,將有助於解決我們車用系統客戶對系統安全日漸增加的疑慮。」

Continue reading “趨勢科技 IoT Security 物聯網防護將支援西門子 Mentor Automotive ConnectedOS™ 車用作業系統”

曾造成大規模網路癱瘓的物聯網殭屍病毒Mirai ,變種如野火蔓延

2016年年底,以 Linux 類系統為目標的 Mirai 殭屍病毒造成多起相當轟動的分散式阻斷服務攻擊 (DDoS)攻擊,讓我們見識到物聯網有多麼脆弱。最初的 Mirai 殭屍病毒是在 2016 年 8 月發現,專門攻擊採用 Linux 韌體的 IoT 裝置,例如:路由器、監視攝影機、數位監視錄影機 (DVR)、印表機等等。請參考:專發動 DDoS 攻擊的Mirai 殭屍網路再出擊,用 Windows木馬擴大地盤!

概念證明(PoC)程式碼會觸發舊 ZyXEL PK5001Z 路由器在今年初被公開的漏洞CVE-2016-10401。
概念證明(PoC)程式碼會觸發舊 ZyXEL PK5001Z 路由器在今年初被公開的漏洞CVE-2016-10401。

近日一名安全研究人員據報發現一隻Mirai的新變種(趨勢科技確定屬於ELF_MIRAI病毒家族)正在迅速擴散。在11月底觀察到了端口2323和23的流量顯著地增加,其中約10萬筆不重複的掃描IP來自阿根廷。

被公布在公開漏洞資料庫的概念證明(PoC)漏洞攻擊碼被認為引發了Mirai殭屍網路活動的增加。10月31日公佈漏洞攻擊碼後,這些掃描在11月22日就使用了概念證明(PoC)程式碼。這概念證明(PoC)程式碼會觸發舊 ZyXEL PK5001Z 路由器在今年初被公開的漏洞CVE-2016-10401Continue reading “曾造成大規模網路癱瘓的物聯網殭屍病毒Mirai ,變種如野火蔓延”

兒童智慧手錶出現的漏洞造成安全隱憂

穿戴式物聯網(IoT ,Internet of Thing)(如智慧手錶)可以幫助父母關心孩子,同時也提供他們生活和活動所需的獨立性和連結性。但如果你打算替你的小孩買一個,請確保這裝置和上面的應用程式不會危及你孩子的安全 – 在網路上或其他地方。

安全研究人員和挪威消費者委員會最近發表對兒童用智慧手錶的調查報告,並回報數個可能危及隱私和安全性的漏洞。根據他們的報告,這些安全漏洞可以讓第三者秘密追踪佩戴者的位置,竊聽語音訊息及竊取設備上的個人身份資料。

[延伸閱讀:智慧手錶正在製造新的網路安全問題]

研究人員測試了三支智慧手錶,其中一支有35萬的使用者。另外兩支用不同品牌銷售到全世界。這些智慧手錶具備即時GPS追踪功能,還可以進行雙向通話。跟據挪威的消費者組織,陌生人很容易“控制手錶,並且追蹤、竊聽和與孩子通話”。他們可以在孩子移動時加以追蹤,也可以讓孩子看起像位在某處但其實不是。一些資料在傳輸和儲存時都沒有加密。

[TrendLabs Security Intelligence 部落格:將高科技戴在手上]

該報告還指出其中一個受測設備所具備的SOS和電話號碼白名單功能都很糟糕。佩戴者離開某些地區後的訊息傳送也很不可靠。挪威消費者委員會補充說,智慧手錶上的一些應用程式沒有提供授權合約(EULA)或使用條款,這樣違反了該國的“市場行銷管理法”和“個人資料保護法”。 Continue reading “兒童智慧手錶出現的漏洞造成安全隱憂”