趨勢科技發現一個會影響版本1.1.1以下的Spotify Android應用程式中的漏洞。一旦被利用,該漏洞可以讓壞人控制顯示在應用程式介面的內容。該漏洞可能被網路犯罪份子用來發動釣魚攻擊而導致資料遺失或被竊。
Spotify快速地回應了趨勢科技的發現,修復了其在1.1.1版本應用程式的漏洞。我們建議使用者確保自己所使用的是最新版本的Spotify
受影響的活動
該漏洞影響一特定活動(com.spotify.mobile.android.ui.activity.TosTextActivity),其被設計來取得和顯示Spotify網頁在應用程式上。該漏洞導致這些輸出網頁的內容可以被安裝在手機上的其他應用程式看到。此外,該漏洞可以讓其他應用程式、程序或執行緒在無須額外權限下觸發活動。
使用一個惡意應用程式,攻擊者可以利用此一活動來改變該應用程式呈現給使用者的內容。例如,在Spotify應用程式上顯示Google首頁。更加惡意的網頁也可以在應用程式內出現。
圖1、官方 Spotify應用程式顯示 Google首頁
趨勢科技之前討論過一個可能導致使用者資料被截取或用來發動攻擊的Android漏洞。我們發現相當普及的Evernote Android應用程式包含了此漏洞。趨勢科技披露了細節給Evernote,他們也採取了行動,釋出他們Android應用程式的更新版本。Evernote在Evernote for Android 5.8.5中增加額外的控制來保護使用者資料。使用版本低於5.8.5的Android使用者應該要更新到最新版本。
內容提供者(Content Provider)漏洞
被修補的漏洞跟儲存應用程式資料的Android元件有關。該元件有一屬性(android:exported)可以讓其他應用程式對受影響應用程式讀取或寫入特定的資料。
之前版本的Evernote定義了兩個權限來保護用來儲存幾乎所有使用者資料的內容提供者。然而,這兩個權限的保護層級被設為「正常」,意味著設備上的其他應用程式也可以被授予這兩個權限。
圖1、Evernote內容樣本
圖2、利用內容提供者漏洞所顯示的內容
網路犯罪分子可能會建立惡意應用程式用來截取儲存在Evernote應用程式的資料。對於使用Evernote儲存敏感資料(使用者帳號和密碼)的使用者來說,這可能會導致資料被竊或身份詐騙等後果。
外露、未加密的資料
除了上面所介紹的漏洞外,我們也發現另一漏洞可能會讓惡意應用程式看到儲存記事的受影響設備上的所有記事。
Evernote應用程式將所有使用者的記事儲存在外部儲存裝置的/sdcard/Android/data/con.evernote/files/資料夾內。不幸的是,儲存在該資料夾的檔案並沒有加密,而且可以被其他應用程式讀取。
圖3、記事樣本
圖4、利用SD卡漏洞來存取記事
受影響設備的Android作業系統版本也會影響應用程式所能存取的數量。在Android 4.3及更早版本中,應用程式甚至不需要特殊權限就可以存取該資料夾。在Android 4.4及更高版本中,需要READ_EXTERNAL_STORAGE權限。不過該權限對於一般應用程式來說很常見,所以惡意應用程式請求該權限不會引起懷疑。
惡意使用者可以寫一段簡單的程式碼用來讀/寫上述應用程式所儲存的檔案,然後注入具有READ_EXTERNAL_STORAGE權限的重新包裝應用程式。然後,攻擊者可以利用這重新包裝的應用程式來誘騙使用者給予所要的權限。
我們揭露此一資訊好讓可能同樣不正確使用外部儲存裝置的開發者可以修改他們的應用程式。開發者也要將他們的權限設定在簽章層級以保護其重要元件。我們也建議開發者對於應用程式所建立、處理和傳輸的任何內容都進行加密。可以的話,任何敏感資料都不該儲存在外部儲存裝置。
趨勢科技已經通知Evernote此一新漏洞。我們目前還沒有看到針對此漏洞的攻擊出現。
@原文出處:Evernote Patches Vulnerability in Android App作者:Weichao Sun(行動威脅分析師)
惡意 Android App 攔截銀行傳送密碼,專門破解連線階段密碼安全機制
趨勢科技發現了一個名為「Operation Emmental」(愛曼托行動) 的網路犯罪行動,專門攻擊網路銀行。當銀行及客戶利用手機簡訊 (SMS) 進行雙重認證時,駭客趁機竊取銀行客戶的登入帳號密碼並攔截簡訊,進而完全掌控帳戶。這項在奧地利、瑞典、瑞士相當盛行的犯罪行動目前已現身日本,因而使得亞太地區遭受類似攻擊的風險升高。
在這項攻擊行動當中,歹徒會先假冒知名銀行的名義散發垃圾郵件給使用者,引誘缺乏戒心的使用者點選一個惡意的連結或附件檔案,讓使用者的電腦感染一個特殊的惡意程式。有別於一般網路銀行惡意程式,此惡意程式會修改受感染電腦的網域名稱伺服器 (DNS) 組態設定,將DNS 設定指向歹徒掌控的DNS伺服器,然後再將惡意程式本身刪除,因此便不留痕跡,無法偵查。這雖然只是一個小小的修改,但對受害者的影響卻非常深遠。
惡意 Android App 程式會偽裝成銀行連線階段密碼產生器。但事實上,它卻會攔截銀行所送出的密碼,並且將它轉傳到歹徒的幕後操縱 (C&C) 伺服器或歹徒的行動電話號碼。也就是說,網路犯罪者不僅透過網路釣魚(Phishing)網站取得了受害者的銀行登入帳號和密碼,現在更取得了網路交易所需的連線階段密碼。如此,犯罪集團便能完全掌控受害者的銀行帳戶。
您網路銀行帳號的防護很可能就像瑞士埃文達乳酪 (Swiss Emmental) 一樣千瘡百孔、充滿漏洞。長久以來,銀行一直試圖防止犯罪集團將黑手伸入您的網路帳號當中。密碼、PIN 碼、座標卡、交易認證碼 (TAN)、連線階段密碼等等,全都是用來防止銀行詐騙的措施。最近,趨勢科技發現一個專門破解連線階段密碼安全機制的網路犯罪行動,以下說明該行動的犯案手法。
該犯罪集團的目標是那些透過簡訊發送連線階段密碼到客戶手機的銀行。這是一種將客戶手機當成第二認證管道的雙重認證機制。當使用者要登入網路銀行網站時,銀行會利用簡訊傳送一串數字到使用者手機。使用者必須將這串數字,連同原本的使用者名稱和密碼,一起輸入到網站來進行網路交易。目前有某些奧地利、瑞典、瑞士及其他歐洲國家的銀行在使用這套機制。
網路犯罪者會先發送假冒購物網站的電子郵件給這些國家的使用者。若使用者點選了其中的惡意連結或附件檔案,其電腦就會被惡意程式感染。到這裡,一切都像典型的攻擊,沒什麼特殊之處。
不過,接下來就很有意思。使用者的電腦其實也不算受到感染,總之,不像一般的銀行惡意程式那樣。惡意程式只會修改系統的組態設定,然後就將自己刪除。這招反偵測手法如何?雖然只是小小的改變…. 但影響卻非常深遠。
其運作方式如下:使用者電腦的 DNS 設定將被指向一個由網路犯罪者所掌控的國外伺服器。惡意程式在系統上安裝了一個惡意的 SSL 根憑證,如此一來,系統就會自動信任歹徒的惡意 HTTPS 伺服器,不讓使用者看到安全警告訊息。
圖 1:電腦感染 Emmental 行動惡意程式之後的雙重認證流程 繼續閱讀
遊戲安全全面提升 讓你隨時隨地Fun心玩
【2014年7月29日台北訊】隨著智慧型行動裝置日漸普及,手機App應用程式每日頻繁的被你我使用,不僅讓各式惡意程式及病毒有機可乘,網路詐騙引起的個資洩漏危機事件更是層出不窮。國內遊戲龍頭智冠科技與全球資訊安全領導廠商趨勢科技,今日宣布結合雙方所長,共同推出《安全達人》及《加速達人》X《攻略王》全新服務,雙強聯手讓玩家能夠在安全優質的遊戲環境下,享有更多樣化的休閒娛樂選擇,隨時隨地都能Fun心遊玩!
身為國內資訊安全龍頭的趨勢科技,持續開發及提供最新資安威脅防護的網路安全解決方案,以協助使用者能安心快樂的享受上網的樂趣,於今年上半年推出《《安全達人》及《加速達人》,提供使用者全方位免費的手機防護機制,透過防毒、防止詐騙、個資遭竊、手機遺失、釣魚網站過濾、詐騙簡訊及來電過濾等功能,重重把關守護手機資料的安全。
趨勢科技即日起,將與智冠合作推出全新改版攻能,在《安全達人》及《加速達人》的「安全快樂聯盟推薦」項目中新增了《攻略王》服務。除了提供最新上市及熱門推薦的遊戲App可供下載外,還有玩家們最需要的遊戲介紹、最新消息、遊戲攻略以及電玩宅速配精彩的影音新聞資訊等豐富內容,並設有虛寶專區,提供各式超值虛寶好禮免費領取,讓你輕鬆掌握所有手遊資訊!而智冠未來也將努力提供更多遊戲內容,讓玩家全面享有最便利、多元的遊戲服務。
圖說:《安全達人》及《加速達人》推出全新改版的「安全快樂聯盟推薦」,豐富遊戲內容輕鬆掌握!
去年, 數位隱私相關攻擊震驚了全世界。今年,我們相信,儘管各界正努力恢復隱私權保障,但「大眾的不信任將依然不變」。一項新的作法就是使用所謂的「限期張貼 App 程式」,這類程式只將訊息、照片或其他多媒體內容張貼一段時間,且一旦檢視之後就永久刪除。
不過,最近發生的一起案例卻提醒我們,完全信賴 App 程式所宣稱的隱私保障是不智之舉,因為連廠商自己都可能發生資料外洩。曾經發生這樣一起案例,某個這類私密性 App 程式的伺服器因其程式開發介面 (API) 缺乏防範不當存取的安全措施而遭到攻擊。
現在既然知道了,我們就應該謹慎挑選自己所要下載的 App 程式,別太在意廠商那些可能做不到的承諾。
當萬物聯網IoE(Internet of Everything)正待崛起,美國著名研究機構更看到比現今經濟大上30倍的發展契機;引領企業資安布局的您,該如何預見具前瞻價值的資安趨勢,為「萬物可聯網‧無處不資安」的時代及早準備?【即刻報名!!CLOUDSEC 2014企業資安高峰論壇】