本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
-
媒體資安新聞精選:
英特爾修補影響數百萬台PC與伺服器的CPU韌體漏洞 iThome
Google 在你關掉 GPS 拒絕被蒐集位置的時候還是會偷偷收集 科技新報網
擔心父母監控孩子,德禁售兒童智慧手錶 MONEYDJ新聞摘錄
趨勢科技董事長張明正:AlphaGo Zero讓人類看到自身盲點 企業應更謙卑 電子時報修手機怕被坑維修費、照片外流!專家:幾乎所有民眾都不知道,手機送修前要做這4件事… 風傳媒
蘋論:駭客不戰而屈人之兵 台灣蘋果日報
- 小心Android漏洞讓駭客盜錄你的手機螢幕 iThome美國公布北韓國家駭客作案IP,臺灣近2百個IP名列其中 iThomeAmazon Key 送貨服務遭破解,控制監控相機後就可大方進入 T客邦
陸支付迎新挑戰 個人資安威脅大 旺報科學家研發用「汗」解鎖技術:號稱史上最安全,但搞的手機上都是汗好像有點噁 科技報橘網
政府發現漏洞是公開還是隱瞞!? 美國頒佈揭露原則說明白 iThomeAndroid 裝置成駭客攻擊的主要目標?惡意軟體的感染率高達近 7 成 自由時報電子報
Intel CPU 裡「有鬼」:大漏洞讓駭客可以截圖錄音偷資料,想躲也躲不掉 科技報橘網Google坦承蒐集Android裝置用戶地點資料,關閉GPS也沒用 iThome
Skype在中國也遭禁,自蘋果App Store下架 iThome
【竊資片】Uber:駭客竊走全球5700萬乘客.駕駛個資 蘋果日報
當心! 全球前5萬大網站中有482個會紀錄你的鍵盤敲擊、滑鼠軌跡 iThome
國際產經:Tether稱遭駭客攻擊,價值逾3000萬美元加密貨幣被盜 財訊快報虛擬貨幣發行商Tether遭駭,價值3100萬美元的虛擬貨幣被盜 iThome
新版OWASP十大網站安全風險排名出爐,微服務風潮帶來三大新安全風險 iThome
偷《冰與火之歌》劇本伊朗駭客 勒索HBO1.8億 台灣蘋果日報網
更換加密設定!財政部報稅系統 明年6月後不支援微軟XP ETNEWS新聞雲
為何台積電大動作防洩密? 竹科高層:大廠每天有數千次駭客攻擊 台灣蘋果日報網
自駕車開始走向大規模量產!Volvo汽車將替Uber生產上萬輛自駕出租車 iThome
小個子史素珍 跨出台灣資安一大步 自由時報
資安專家如何保護自己的電腦? 草根影響力新視野
哪個國家上網最不自由?中國連續三年「奪冠」!自由之家:各國政府都在加強箝制網路言論 風傳媒
「吃雞」火遍全球,當心同名壁紙軟體惡意推廣 新浪網(臺灣)
US-CERT警告Windows的ASLR含有可接管系統的臭蟲 iThome
台灣近年來深受勒索病毒的危害,行政院長賴清德今(22)日表示,希望經由政府和民間的共同努力,解決此問題,並推動台灣資安產業的發展。因此,將請政務委員吳政忠及相關單位在兩個月內,將「資安產業策略會議(SRB)」會議結論化為行動方案,成為政府政策。
<回到新聞條列重點>
英特爾修補影響數百萬台PC與伺服器的CPU韌體漏洞 iThome
英特爾修補存在於處理器韌體的8個漏洞,包括Intel ME、Intel SPS及Intel TXE上的漏洞,受影響的產品涵蓋了第6/7/8代Core處理器家族、Intel Xeon E3-1200及Scalable、W等處理器家族,估計數百萬台PC與伺服器可能受影響。
<回到新聞條列重點>
Google 在你關掉 GPS 拒絕被蒐集位置的時候還是會偷偷收集 科技新報網
Quartz 調查發現,從 2017 年開始,Android 手機裡的 Google 應用程式只要連上網,就會回傳收集到的用戶地理資訊。即便關掉 GPS,Google 透過基地台,記錄基地台 Cell ID,三角定位推測使用者位置。即便使用者拔掉 SIM 卡,Android 手機只要連到 Wi-Fi,就會回傳 Google 使用者的位置資訊。
<回到新聞條列重點>
擔心父母監控孩子,德禁售兒童智慧手錶 MONEYDJ新聞摘錄
德國電信監理機構今天宣布禁售兒童「智慧手錶」,因這項裝置可能被父母用來監控孩子的行動,違反德國嚴格的反監控法律。
<回到新聞條列重點>
趨勢科技董事長張明正:AlphaGo Zero讓人類看到自身盲點 企業應更謙卑 電子時報
從2016年AlphaGo打敗人類棋士後,「人工智慧」(AI)一詞彷彿成了企業對外行銷利器。企業推出產品或宣布未來布局策略,一定得跟AI掛勾,就連政府機構在審核補助計畫時,這個詞彙也彷彿成了通關密語。
<回到新聞條列重點>
修手機怕被坑維修費、照片外流!專家:幾乎所有民眾都不知道,手機送修前要做這4件事… 風傳媒
幾年發生越來越多私人影片或照片洩漏事件,部分原因是在送修過程遭人外洩,若要確保設備和隱私安全,手機送修前,有4件事必須先確認。
<回到新聞條列重點>
蘋論:駭客不戰而屈人之兵 台灣蘋果日報
美國政府委派的獨立檢察官正在調查2016年大選時,俄國的網軍對美國選舉兩個層面的操弄:是否有駭進大選電腦做出對俄國有利的結果;以及俄國透過網路假造或揭發對俄國不利的候選人的不法言行,像是希拉蕊的電郵門,以私人電郵,處理國務院公務機密等。
<回到新聞條列重點>
小心Android漏洞讓駭客盜錄你的手機螢幕 iThome
研究人員發現在Android 5.0之後的MediaProjection存在漏洞,app開發商不需根權限或系統金鑰簽章就能蒐集用戶手機螢幕畫面,目前僅有Android 8.0修補漏洞,將近8成的Android用戶曝露於個人隱私外洩的風險。
<回到新聞條列重點>
美國公布北韓國家駭客作案IP,臺灣近2百個IP名列其中 iThome
美國國土安全部與聯邦調查局自六月開始,陸續揭露北韓政府的國家駭客組織—「Hidden Cobra」,也就是在資安圈惡名昭彰的Lazarus。
<回到新聞條列重點>
Amazon Key 送貨服務遭破解,控制監控相機後就可大方進入 T客邦
Amazon Key 是 Amazon 公司推出的送貨服務,送貨員可在相機監控的狀況下打開消費者家門放入貨物,用戶需要配備可由送貨員打開的智慧型門鎖和鏈接雲端服務器的相機 Cloud Cam。Amazon Key 推出不到一個月,安全性就遭質疑,駭客可控制相機拍攝的畫面,在用戶不知情下進入家中。
<回到新聞條列重點>
中國支付清算協會會長、中國農業銀行行長趙歡16日表示,支付業務快速發展時,隱含風險也發生變化,業者首先面臨保護個人訊息安全的新挑戰。他說支付作為訊息密集型業務,隨著規模化、開放化,從客觀上自然會提高訊息、資料外洩的機率,尤其部分支付機構片面追求客戶體驗,但個資保護卻不夠周全,甚至為電信網路詐騙等犯罪提供機會。
<回到新聞條列重點>
科學家研發用「汗」解鎖技術:號稱史上最安全,但搞的手機上都是汗好像有點噁 科技報橘網
智慧型手機的解鎖方式經歷了一系列進化。從起初最原始的數字密碼,到後來指紋解鎖的普及,而在最新的 iPhone X 上,蘋果又向世人展示了最新的 Face ID 技術。
<回到新聞條列重點>
政府發現漏洞是公開還是隱瞞!? 美國頒佈揭露原則說明白 iThome
根據美國政府內部訂定的漏洞揭露原則,漏洞是否揭露交由跨政府各部門的審查委員會負責審核,並由國安局擔任行政祕書的角色居中協調,被祕而不宣的漏洞,每年也會重新審核是否公開,並將提出作業報告提交給國會。
<回到新聞條列重點>
Android 裝置成駭客攻擊的主要目標?惡意軟體的感染率高達近 7 成 自由時報電子報
Nokia 在近日於官網公布一項最新資安調查報告「2017 Threat Intelligence Report」,並指出在2017 年行動裝置受惡意軟體感染的比例高達72%,顯示出惡意軟體鎖定行動裝置為主要目標,受感染情況已持續呈現逐年增長的趨勢。
<回到新聞條列重點>
Intel CPU 裡「有鬼」:大漏洞讓駭客可以截圖錄音偷資料,想躲也躲不掉 科技報橘網
電腦有了硬體,自然要有軟體來輔助,而一般我們說可以操作一台電腦中各項硬體的軟體,就是作業系統(OS),台灣大部分的人使用的應該都是由微軟推出的 Windows 作業系統,另外一派人則是使用由蘋果所推出的 MacOS(不知道自己是不是?基本上蘋果買來後預載在電腦裡的那個介面就是了),而這些作業系統平常存在硬碟中,電腦開機後讀取至電腦內進行運作。
<回到新聞條列重點>
Google坦承蒐集Android裝置用戶地點資料,關閉GPS也沒用 iThome
Google坦承會蒐集用戶所在位置附近基地台的Cell ID碼,但強調是為了改善訊息傳送速度之用,且這些資料使用完即刪除,並未儲存紀錄,月底將會釋出Android更新移除蒐集功能。
<回到新聞條列重點>
Skype在中國也遭禁,自蘋果App Store下架 iThome
蘋果證實收到中國公安部的通知,因數個網路語音服務不遵守當地法令,因此將app自中國App Store移除,其中包括了微軟的Skype。
<回到新聞條列重點>
【竊資片】Uber:駭客竊走全球5700萬乘客.駕駛個資 蘋果日報
Uber執行長柯斯洛夏希(Dara Khosrowshahi)周二透過聲明認錯:「這事不應該發生,我沒有任何藉口解釋。」Uber表示,遭駭客竊取的個資包括乘客與駕駛姓名、電子郵件與行動電話號碼。此外,約60萬駕駛的駕照細節也遭曝光。Uber事後提供所有用戶免費監控軟體,確認個資未遭濫用。
<回到新聞條列重點>
當心! 全球前5萬大網站中有482個會紀錄你的鍵盤敲擊、滑鼠軌跡 iThome
一項研究發現全球流量前5萬網站中有482個會蒐集造訪者敲擊鍵盤、滑鼠移動軌跡、停留的網頁內容等行為,甚至紀錄使用者輸入的密碼等機密資訊,可能引起上網隱私爭議。
<回到新聞條列重點>
國際產經:Tether稱遭駭客攻擊,價值逾3000萬美元加密貨幣被盜 財訊快報
外電引述CNBC的報導指出,根據加密貨幣新聞網站CoinDesk稱,USDT代幣的發行公司Tether週一發布公告稱,其電腦系統遭駭客襲擊,導致價值3,095萬美元的USDT代幣被盜。
<回到新聞條列重點>
虛擬貨幣發行商Tether遭駭,價值3100萬美元的虛擬貨幣被盜 iThome
Tether為虛擬貨幣USDT的發行商,讓客戶可以美金或歐元兌換USDT,在發現被駭後正努力復原被竊的虛擬貨幣,同時公布駭客的錢包地址,提醒用戶不要接受該地址的USDT,失竊的USDT已被記號,無法兌換美元。
<回到新聞條列重點>
新版OWASP十大網站安全風險排名出爐,微服務風潮帶來三大新安全風險 iThome
OWASP在11月20日公布最新版十大網站資安風險,納入社群建議和實際調查結果後,調整了多項資安風險項目,各平臺常見的XML外部處理器漏洞,Java平臺、PHP或Node.js等平臺常見的不安全反序列化漏洞,以及紀錄與監控不足風險,則是2017年上榜的網路安全新風險。
<回到新聞條列重點>
偷《冰與火之歌》劇本伊朗駭客 勒索HBO1.8億 台灣蘋果日報網
紐約曼哈頓美國檢察官辦公室表示,化名「Skote Vahshat」的29歲伊朗籍駭客梅斯里(Behzad Mesri),因這起與入侵系統相關的網絡犯罪遭到起訴。梅斯里目前在伊朗潛逃,由於伊朗與美國執法單位並無司法互惠合作,聯邦當局希望在他離開伊朗時將他逮捕。
<回到新聞條列重點>
更換加密設定!財政部報稅系統 明年6月後不支援微軟XP ETNEWS新聞雲
今年5月報稅系統大當機,民眾空等6小時,為其系統建立17年以來最嚴重的災難。高雄國稅局今(20)日指出,為了確保未來網路資訊安全性,報稅系統將配合財金資訊股份有限公司的線上繳稅系統,自明年6月26日起關閉「TLS1.0加密通訊協定及HTTPS加密連線使用3DES演算法」功能、改用TLS V1.1或V1.2加密通訊協定。
<回到新聞條列重點>
為何台積電大動作防洩密? 竹科高層:大廠每天有數千次駭客攻擊 台灣蘋果日報網
《日本經濟新聞》英文版報導,台積電(2330)資深副總經理暨資訊長左大川本周三出席在新竹舉行的台灣半導體產業協會年會時透露,為了防止投資額達900億元台幣的南京12吋晶圓廠,在對岸洩漏任何自家技術機密,台積電於新竹總公司與南京晶圓廠之間至少祭出5大資安保密手段。
<回到新聞條列重點>
自駕車開始走向大規模量產!Volvo汽車將替Uber生產上萬輛自駕出租車 iThome
Volvo汽車最近宣布將向Uber供應數萬輛的自動駕駛汽車,做為自駕車共乘服務。這也是至今汽車界最大一筆成交的自駕車生產交易,Volvo將從2019年投入量產,將分3年完成生產,這也意謂著,未來Uber將有超過數萬臺以上的自動駕駛車隊,來提供無人載客服務。
<回到新聞條列重點>
小個子史素珍 跨出台灣資安一大步 自由時報
關貿網路昨天宣佈推出「資安天網防禦SDS」的資安服務,在記者會上說明資安資源共享的區域聯防概念時,只見講臺後面一個臉幾乎快被遮住的小個子,鉅細靡遺講解如何集結各國際資安大廠達成嚴密防護網,這位罹患小兒麻痺的小個子史素珍,正是資安天網防禦幕後功不可沒的推手。
<回到新聞條列重點>
資安專家如何保護自己的電腦? 草根影響力新視野
妮可佩羅是紐約時報的記者,專門於網路資訊安全。對於這樣的一個資安專家,他是如何保護自己在網路世界的隱私安全呢? 以下是記者與她的訪談要旨:
<回到新聞條列重點>
哪個國家上網最不自由?中國連續三年「奪冠」!自由之家:各國政府都在加強箝制網路言論 風傳媒
國非政府組織「自由之家」日前發表《2017年網路自由度報告書》,調查65國網路用戶從2016年6月至2017年5月的上網障礙、發表內容限制,以及政府侵犯權利事件。該報告以限制多寡累加分數,分數愈高,該國網路自由度愈低。
<回到新聞條列重點>
「吃雞」火遍全球,當心同名壁紙軟體惡意推廣 新浪網(臺灣)
最近,「吃雞」繼CS、《守望先鋒》之後成為了射擊類遊戲愛好者的新寵兒。在《絕地求生大逃殺》冒險射擊遊戲,玩家拿到第一之後屏幕上就會出現「大吉大利,晚上吃雞」。從此「吃雞」就成了對逃殺類遊戲的戲稱。
<回到新聞條列重點>
US-CERT警告Windows的ASLR含有可接管系統的臭蟲 iThome
US-CERT警告Windows 8開始導入的ASLR機制含有臭蟲,若利用EMET或Windows Defender Exploit Guard啟用ASLR,Windows 8及之後的版本無法妥善地隨機配置每個應用程式,在特定狀況下將會出現瑕疵,予遠端的駭客掌控系統。
<回到新聞條列重點>
