<資安新聞周報>Apple Pay登台後首宗盜刷!/叫車app也有山寨/真要命!近50萬心律調節器有漏洞

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

◆ 資安趨勢部落格一周精選:

◆ 媒體資安新聞精選:

涉假冒林青霞助理、盜刷Apple Pay 黃琪又被逮     自由時報電子報

「受害人提供個資」黃琪騙過銀行認證    自由時報

研究人員發現一機器人程式利用高達7.11億筆電郵散布銀行木馬郵件       iThome

瀏覽器擴充漏洞可能導致資料外洩或用戶曝光,Firefox、Chrome與Safari都受影響       iThome

駭客隨便修改價格,1 美元就能買到 MacBook Pro?    科技新報網

包含上千個路由器等IoT裝置帳密遭公開,恐成殭屍網路一員     iThome

退隱歌手復出、準總統海外藏錢?都是騙你的!暗黑新產業肆虐 假新聞防賭得了?      遠見雜誌

研究人員釋出iOS核心概念驗證攻擊程式        iThome

叫車app也有山寨!小心木馬病毒入侵手機    HiNet

美大學研究:智慧電網易遭網路攻擊        電子時

趨勢科技支援 VMware Cloud on AWS Deep Security 為客戶提供專為混合雲而最佳化的單一資安解決方案   T客邦

趨勢科技 Mobile Pwn2Own 2017 大賽總價值超過 50 萬美元獎金      網管人

「不要再把我們當詐騙集團」Hitcon ZeroDay指企業三種反應決定「漏洞」傷害程度      MSN台灣

電影字幕也是漏洞?  台灣駭客年會揭露多項資安議題 自由時報電子報

釣魚郵件新技倆,透過假的驗證動作取信被駭者    網管人

滑雪女神林賽沃恩裸照遭駭 色情網站曝光      中時電子報網

賽琳娜IG遭駭客入侵 上傳舊愛小賈正面裸照        台灣蘋果日報網

免費Wi-Fi別急著連 5招教你免被駭        Pchome 新聞

Google糟了!340個應用程式夾帶惡意軟體     世界新聞網

小心手機資安! 中國爆多款App具備監聽能力      自由時報電子報F

Google等七家業者聯手擊潰Android裝置組成的WireX殭屍網路        iThome

撞船事故頻傳 美海軍否認遭駭客攻擊      中時電子報網

美軍艦連環撞 日本專家警告:美核艦艇參數可能也遭破解  雅虎奇摩

Akamai示警網路安全風險 DDoS捲土重來       聯合財經網

閱讀軟體Foxit隱藏2個零時差漏洞,原廠自認不用修補漏洞      iThome Weekly電腦報

美駐俄大使:去年美大選30州選舉系統遭俄駭客攻擊  中時電子報網

維基解密再揭露,美國中情局祕密駭入聯邦調查局        科技新報網

AI在台灣:大型企業投資底層技術 新創企業重視應用場景  電子時報

這款操作系統16年屹立不倒!你還在堅守陣地嗎?      新浪網(臺灣)

害怕個資被駭? 專家:關鍵在遵守信任關係  聯合新聞網

太昌國小軟體學習營 師生志工教學三贏  更生日報

 

涉假冒林青霞助理、盜刷Apple Pay 黃琪又被逮     自由時報電子報

原名黃照岡的黃琪,曾因假冒國泰金控千金住飯店,交保出獄,今年4月又假冒影星林青霞助理,向澎湖喜來登等3家飯店騙取優惠,並以Apple Pay行動支付盜刷,另也在實品店面、網路購物,盜刷購買3C、化妝品等共34筆約7萬多元,刑事局昨天將他與參與犯案的男友人鍾昞程逮捕到案。

<回到新聞條列重點>

研究人員發現一機器人程式利用高達7.11億筆電郵散布銀行木馬郵件       iThome

安全研究人員在某個網站目錄上找到高達7.11億筆電子郵件資料,包含電子郵件的位址、密碼及SMTP郵件伺服器,且已被一支機器人程式Onliner Spambot利用來發送含有銀行木馬的垃圾郵件。

<回到新聞條列重點>

瀏覽器擴充漏洞可能導致資料外洩或用戶曝光,Firefox、Chrome與Safari都受影響       iThome

研究人員利用特定的列舉攻擊手法,繞過主要瀏覽器的防護機制,取得使用者的擴充程式資訊,可能使得Tor、VPN用戶身份曝光。

<回到新聞條列重點>

駭客隨便修改價格,1 美元就能買到 MacBook Pro?    科技新報網

如果發現你辛苦存了幾個月的錢買的 MacBook Pro 居然花 1 美元就能買到,會是什麼感覺……1 美元大概等於 30.160 台幣,30 元就買得到 MacBook Pro 嗎?其實這是駭客在 SAP 伺服器上發現的漏洞所導致的惡意修改。

<回到新聞條列重點>

釣魚郵件新技倆,透過假的驗證動作取信被駭者    網管人

一般用來釣取使用者 E-mail 帳號密碼的釣魚郵件,並沒有真正的帳號密碼資料庫可驗證,因此,只要資安意識稍高使用者懂得在第一次輸入假的帳號密碼就可拆穿其釣魚技倆。但是,駭客似乎也察覺了使用者的驗證招數。

<回到新聞條列重點>

太昌國小軟體學習營 師生志工教學三贏  更生日報

趨勢科技教育基金會贊助太昌國小,二十六日起辦理一連三天的「Scratch軟體學習營」,太昌國小與三棧國小四至六年級共二十一名學生參加,在老師指導下,小朋友們用滑鼠拖曳程式區塊到腳本區,以組合積木的方式來撰寫程式碼,使用Scratch創造故事、動畫、遊戲、或音樂等,希望藉此激發學童對於電腦程式的興趣。

<回到新聞條列重點>

退隱歌手復出、準總統海外藏錢?都是騙你的!暗黑新產業肆虐 假新聞防賭得了?      遠見雜誌

在全球政經情勢不穩下,各類機構靠假新聞操縱政治選舉,成為藉此獲得巨大利益的暗黑新產業。難道只能放任,無法徹底解決?

<回到新聞條列重點>

包含上千個路由器等IoT裝置帳密遭公開,恐成殭屍網路一員     iThome

研究人員發現包含家用路由器在內上千個IoT物聯網裝置所使用的帳密、IP位址被公開於網路論壇上,據推測6月即已被公佈,目前已有超過2萬次讀取,若遭有心人士利用,這些裝置恐成為殭屍網路,淪為DDoS攻擊幫兇。

<回到新聞條列重點>

研究人員釋出iOS核心概念驗證攻擊程式        iThome

ziVA利用7個存在於iOS的漏洞打造而成,主要存在於AppleAVEDriver模組,可導致記憶體毀損、擴張權限,進一步掌控裝置,研究人員早先已提報蘋果,5月已釋出安全更新。

<回到新聞條列重點>

叫車app也有山寨!小心木馬病毒入侵手機    HiNet

近期有民眾反映叫車程式不斷要求使用者輸入信用卡資料,根據資安研究人員調查發現,有一個銀行木馬程式「 FakeToken 」偽裝成Android叫車應用程式,而FakeToken 首次現身於 2013 年,一開始是專門竊取銀行資訊的手機惡意程式,但同時也是一個手機勒索病毒,現在甚至還會冒充成一些交通罰單或飯店和機票訂位的支付程式,讓人防不勝防。

<回到新聞條列重點>

趨勢科技支援 VMware Cloud on AWS Deep Security 為客戶提供專為混合雲而最佳化的單一資安解決方案   T客邦

全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天宣布其領先市場的 Deep Security™ 伺服器防護產品正式支援 VMware Cloud™ on AWS。

<回到新聞條列重點>

趨勢科技 Mobile Pwn2Own 2017 大賽總價值超過 50 萬美元獎金      網管人

持續對抗惡意攻擊、努力保護企業和一般消費者的全球網路資安解決方案領導廠商趨勢科技,今天為旗下的 Zero Day Initiative 零時差漏洞懸賞計劃舉辦的 Mobile Pwn2Own 大賽發出公告。這項比賽專門獎勵資安研究人員示範與揭露有關最新熱門行動裝置的零時差攻擊。

<回到新聞條列重點>

「不要再把我們當詐騙集團」Hitcon ZeroDay指企業三種反應決定「漏洞」傷害程度      MSN台灣

為了搭起資安專家和企業的橋樑,台灣駭客年會在2016年設置,在接獲通報、確認漏洞形成的原因和影響後,會聯繫該企業的資安窗口、予以提醒,迄今已收到逾百件漏洞提報。該平台名稱取自「零時差漏洞」(Zero Day),指的是還沒修補完成的程式安全漏洞。

<回到新聞條列重點>

電影字幕也是漏洞?  台灣駭客年會揭露多項資安議題 自由時報電子報

邁入第十三屆的台灣駭客年會(HITCON)今年針對資安議題再次進行特別探討,除了像是Mirai這類惡意程式的問題再次被討論,暗藏在生活種的各種漏洞,也成為HITCON上的重要議題。

<回到新聞條列重點>

「受害人提供個資」黃琪騙過銀行認證    自由時報

行動支付Apple Pay在台發生首宗盜刷案,金管會昨表示,遭盜刷的銀行為國泰世華及台北富邦銀行,但主要問題不在銀行,而是受害人把個資提供給嫌犯,讓嫌犯有完整資料通過銀行認證,進而變更個人設定;至於銀行在接受變更資料過程有無疏失或不夠嚴謹,將再進一步釐清。

<回到新聞條列重點>

滑雪女神林賽沃恩裸照遭駭 色情網站曝光      中時電子報網

高爾夫球名將老虎伍茲與前女友、滑雪女神林賽·沃恩的親密照在色情網站曝光,照片尺度相當大,包括沃恩的全裸照片。伍茲的律師對該色情網站發去了律師函,警告該色情網站立即刪掉裸照,否則採取法律手段。

<回到新聞條列重點>

賽琳娜IG遭駭客入侵 上傳舊愛小賈正面裸照        台灣蘋果日報網

美國小天后賽琳娜戈梅茲(Selena Gomez)現在正與大她2歲的加拿大歌手威肯熱戀ing,但她與舊愛「小賈斯汀」賈斯汀畢柏依然無法徹底切斷關聯,在IG上擁有超過1億2千5百萬追隨者的賽琳娜日前帳號遭駭客入侵

<回到新聞條列重點>

免費Wi-Fi別急著連 5招教你免被駭        Pchome 新聞

趨勢科技在官方部落格發文表示,台灣人使用行動裝置的比率越來越高,行動網路的使用機率也越來越大,其中無線網路Wi-Fi因為可以免費連上網路,不需要花費自己的流量,使用人數更是年年激增,但是許多人只知道Wi-Fi帶來許多便利性,卻忽略了其背後潛藏的危機。

<回到新聞條列重點>

Google糟了!340個應用程式夾帶惡意軟體     世界新聞網

趨勢科技日前在官方部落格發文指出,這些含有廣告軟體的應用程式包括休閒遊戲、設備效能工具(如清理工具和加速工具)和檔案管理程式、QR條碼掃描程式、多媒體錄放程式、設備充電和GPS與導航相關應用程式。這些程式出現在台灣、東南亞、巴西、日本、俄羅斯、義大利和美國。

<回到新聞條列重點>

Google等七家業者聯手擊潰Android裝置組成的WireX殭屍網路        iThome

Google、Akamai、Cloudflare等7家業者聯手共同打擊Android裝置殭屍網路WireX,該殭屍網路曾在8月15日自至少7萬個IP發動DDoS,Google已移除Google Play上暗藏WireX的300個程式,同時自遠端清除用戶裝置上的相關程式。

<回到新聞條列重點>

小心手機資安! 中國爆多款App具備監聽能力      自由時報電子報

中國江蘇省消費者協會在8月23日公布調查報告,目前有大量手機App會在未經用戶同意的情況下獲取個人資訊,甚至具備監聽能力。對此,資策會提醒民眾,由於App的架構是相同的,應該留意App取用權限是否存在「過度授權」問題,避免一旦App漏洞遭惡意人士破解時,民眾手機內的個人資訊可能會遭竊用。

<回到新聞條列重點>

撞船事故頻傳 美海軍否認遭駭客攻擊      中時電子報網

雖然有人認為很可能是駭客攻擊,並導致美國海軍震驚、重新審視整個艦隊的訓練,但理察森否認,並表示這只是大眾猜測而已。他在海軍臉書的直播中表示,海軍將繼續深入調查,但他想要向大眾保證,至今尚未發現任何跡象顯示是駭客攻擊。

<回到新聞條列重點>

美軍艦連環撞 日本專家警告:美核艦艇參數可能也遭破解  雅虎奇摩

今年的亞洲海域很不平靜,8月21日在新加坡東部海域發生一起美國軍艦馬侃號(USS John S. McCain)與一艘商船相撞事件,已是今年第4起美鑑意外,共造成17名美軍死亡,目前除了英國、以色列、美國專家都認為有駭客攻擊的可能以外,日本國防承包商透露,「這些意外可能為駭客的攻擊,連美國的核子動力潛艇、航母的參數都有可能遭破解。」

<回到新聞條列重點>

Akamai示警網路安全風險 DDoS捲土重來       聯合財經網

Akamai今(29)日發佈《2017 年第二季網際網路現狀–安全報告》最新資料顯示,因為捲土重來的 PBOT DDoS 惡意軟體成為 DDoS 的攻擊基礎,分散式阻斷服務(DDoS)與網路應用程式攻擊數量又再次增長,而這波攻擊亦是 Akamai 本季所見最強。

<回到新聞條列重點>

閱讀軟體Foxit隱藏2個零時差漏洞,原廠自認不用修補漏洞      iThome Weekly電腦報

經常使用閱讀軟體Foxit開啟PDF文件的用戶注意!資安研究人員17日揭露,Foxit隱含2個零時差漏洞,漏洞編號分別是CVE-2017-10951和CVE-2017-10952,前者具體存在app.launchURL函數中,後者漏洞則是在JavaScript API功能中,由於Foxit在驗證機制上有疏失,攻擊者可以利用上述兩者漏洞,誘拐使用者開啟惡意PDF文件後,攻擊者能在遠端操控目標裝置,來執行任何命令。

<回到新聞條列重點>

美駐俄大使:去年美大選30州選舉系統遭俄駭客攻擊  中時電子報網

儘管去年底川普擊敗了希拉蕊當選美國總統,並於今年1月就職,然而就職後卻不斷被爆料俄國試圖用各種方式干預美國大選並和川普陣營聯繫,導致川普身陷「通俄門」醜聞當中,美國駐俄大使又近一部宣稱,去年美國大選時有30州選舉系統遭俄駭客攻擊,此說恐進一步加深美國人對於俄國干預自己大選的印象。

<回到新聞條列重點>

維基解密再揭露,美國中情局祕密駭入聯邦調查局        科技新報網

在 8 月 24 日公布的文件,維基解密揭示了中情局一個「醜陋的」祕密計畫──從 2009 年開始,中情局偷偷設計了一款假更新升級軟體。他們假藉生物資訊系統升級為名,監視需要中情局提供技術支援的合作機構,並竊取對方的私密數據和資訊。

<回到新聞條列重點>

資安業者:主流機器人存在重大安全漏洞        電子時報

美國資安業者IOActive發布報告指出,半導體測試設備大廠泰瑞達(Teradyne)旗下Universal Robots銷售的工業機器人存在重大安全漏洞,同時點名日本軟體銀行(Softbank)製造的消費機器人Pepper和Nao,以及大陸機器人公司優必選(UBTECH Robotics)製造的Alpha 1和Alpha 2一樣具有被駭危機。

<回到新聞條列重點>

AI在台灣:大型企業投資底層技術 新創企業重視應用場景  電子時報

科技部正式宣布未來5年將投入新台幣160億元預算,協助台灣發展人工智慧(AI);而在這波AI帶來的浪潮中,台灣軟體業者也積極投資AI。

<回到新聞條列重點>

這款操作系統16年屹立不倒!你還在堅守陣地嗎?      新浪網(臺灣)

據市場調查機構NetMarketShare的最新數據顯示,Windos XP系統目前仍舊佔有6.10%的市場份額,相比上個月下降了0.86個百分點。即便如此,這套16歲「高齡」的操作系統仍然是全球第三大系統,份額甚至超過了macOS、Linux的總和!

<回到新聞條列重點>

害怕個資被駭? 專家:關鍵在遵守信任關係  聯合新聞網

根據全球網路資安防護研發公司趨勢科技日前最新統計,近六個月家用網路路由器所發生的網路入侵事件,在全球被攻擊次數排名中,台灣位居第9名,顯示當前資安問題的重要。現任教育部「資訊安全人才培育計畫」的計畫主持人吳宗成說,資料外洩往往出自好奇心所致,因此學生應改變的就是上網習慣。

<回到新聞條列重點>

美大學研究:智慧電網易遭網路攻擊        電子時報

美國配電系統正逐步現代化,轉換為利用雙向通訊和電腦處理的智慧電網,卻因此越來越容易遭受網路攻擊威脅。美國塔爾薩大學(University of Tulsa)電腦科學學院Sujeet Shenoi博士率領的研究團隊,深入分析智慧電網的安全問題,並提出確保供電安全的關鍵。

<回到新聞條列重點>