本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選媒體資安新聞精選:
- 高危險Android漏洞Janus, 攻擊者可繞過簽章,竄改APP
- 資安攻擊為何一再發生? 剖析四個”過於暴露”的案例
- 2017年常被惡意濫用的系統管理工具和協定
- 地下市場:只要3美元,就能存取企業遠端桌面(RDP)伺服器!
媒體資安新聞精選:
趨勢科技:智慧喇叭暗藏許多漏洞,駭客竊取資訊還會惡作劇發出怪聲 iThome
部分Sonos和Bose揚聲器存在漏洞:或被黑客利用 新浪網(臺灣)
Sonos、Bose智慧音響被駭 發出鬼哭神號 Pchome 新聞
亞馬遜谷歌智能音響會「監聽用戶」 關機也會錄音蒐集隱私 ETNEWS新聞雲
沒錯,智慧音箱有可能會記錄你的私密對話,但你不用太過擔心駭客會偷聽你昨天晚上說了什麼 T客邦
超可怕!她裝「室內監視器」監控寶寶 竟發現別人也在看 三立新聞網
比特幣狂飆 資安風險大 經濟日報(臺灣)
又一門羅幣採礦程式入侵 Chrome 擴充程式,Archive Poster 遭駭 科技新報網
2018IT人必看12趨勢 iThome Weekly電腦報
趨勢科技年度預測報告:2018 三大駭客攻擊手法,趕快預防勝於治療啊! 科技報橘網
勒索軟體大肆蔓延!因應勒索軟體威脅是企業重要課題 iThome
研究:分析感測器數據就能猜中Android手機的弱密碼,精準度高達99.5% iThome
上百款GPS追蹤服務有漏洞,可能洩露你的行蹤、個資 iThome
美國國土安全部測試33款公共安全App,一半以上含有重大漏洞 iThome
前英國銀行行員,暗地裡幫助駭客植入Dridex 金融木馬程式洗錢,開設人頭戶多達 105 個 T客邦
比特幣失寵 2018當紅加密貨幣是它們 台灣蘋果日報網
虛擬貨幣專家遭綁 比特幣當贖金 工商時報
英轟臉書Google 不配合反恐就罰重稅 台灣蘋果日報
銀行防駭 金管會盯上連網設備 包括數位錄影機、錄音設備等 全面防堵資安漏洞 台灣蘋果日報
第二大風險 地緣衝突、網攻恐攻 威脅仍在 中國時報
頂尖駭客攻防交流,培養多元防護新觀點 iThome
在未善意知會蘋果下,研究人員徑行公布macOS中藏身15年的本地權限擴張漏洞 iThome
intel處理器曝重大安全漏洞!新系統更新之後效能降低3成 ETNEWS新聞雲
Intel 64 處理器硬體全部中招,軟體修復漏洞最高導致 30% 效能下滑 T客邦
基於瀏覽器 技術的密碼管理軟體出現漏洞,廣告商可透過漏洞直接竊取使用者密碼來追蹤用戶 電腦王阿達
端點防護是勒索軟體最終抵禦的戰場 iThome
【勒索軟體監控第一道防線】網路透明度是掌握勒索軟體攻擊的關鍵 iThome
【針對電子郵件與網頁的內容,過濾潛藏的危機 】內容安全是上網防護的核心 iThome
遏中國滲透 澳力阻華為鋪海底電纜 自由時報
資通電軍指揮官馬英漢:謹慎處理網路攻擊 自由時報
網路自由將消失? 電信業者籲學美國廢除網路中立 yam蕃薯藤
老大哥正在看著你:淺談政府大規模監控與隱私衝突 關鍵評論網
通俄門 紐時:澳密報 助FBI展開調查 Pchome 新聞
【2018關鍵趨勢11:資安法】資安法即將三讀,移除行政檢查但遭駭不通報要重罰 iThome
《天堂M》遭DDos攻擊 港澳玩家無法登入氣得跳腳 台灣蘋果日報網
避免掉入天價APP陷阱 專家告訴你怎麼做 台灣蘋果日報網
紐時:中國製無人機存在資安隱憂 中央社即時新聞網
車子也會被駭客入侵? ATIS憂智能車網路安全問題 汽車日報
(未來科技展)激盪產學合作火花 攜手邁向科技新未來 電子時報
倫敦警察鑑識小組每年要查驗約5.3萬部裝置搜索犯罪證據,但隨著人工智慧(AI)技術發展日新月異,可望為鑑識人員分擔這些繁瑣的工作。據The Telegraph報導,人工智慧可協助警方從嫌疑犯的手機和電腦搜索虐童 圖像。
<回到新聞條列重點>
趨勢科技:智慧喇叭暗藏許多漏洞,駭客竊取資訊還會惡作劇發出怪聲 iThome
趨勢科技指出智慧喇叭暗藏風險程度不一的漏洞,例如透過開放埠,駭客可存取與喇叭同步的使用者資料,或是同一網路下的裝置列表、共享文件匣,還可進一步控制喇叭播放惡作劇 內容。
<回到新聞條列重點>
部分Sonos和Bose揚聲器存在漏洞:或被黑客利用 新浪網(臺灣)
據 Wired 報導,趨勢科技的安全研究人員,剛剛在部分型號的 Sonos 和 Bose 揚聲器上發現了漏洞,或可導致設備被劫持。 這些揚聲器被別有用心的人訪問到之後,可能被用來播放詭異的聲音、執行 Alexa 語音命令、或者播放理查德?艾斯利的專輯。值得慶幸的是,實際上只有小部分型號的揚聲器受到影響,包括 Sonos Play:1、Sonos One、以及 Bose SoundTouch 。
<回到新聞條列重點>
Sonos、Bose智慧音響被駭 發出鬼哭神號 Pchome 新聞
隨著智慧音響市場漸熱,越來越多家庭會購買類似裝置放在家中,作為聯網家具、家電的聲控中樞,同時也作為家庭成員們的個人助理。不過,類似裝置的安全性卻是一大問題,日前,Sonos、Bose等品牌部分智慧音響遭到駭客入侵,在使用者的客廳裡發出詭異 聲響。
<回到新聞條列重點>
亞馬遜谷歌智能音響會「監聽用戶」 關機也會錄音蒐集隱私 ETNEWS新聞雲
目前市面上的智能音響中,以Google Home和Amazon Echo這兩款最為暢銷,使用者可以透過聲控的方式操作,讓機器播放音樂或是控制家中電子設備等等。但是,美國消費者保護組織「看門狗」(Consumer Watchdog)的一份報告中顯示,智能音響可能會被拿來當作監聽設備,可以收集用戶資訊並推銷 產品。
<回到新聞條列重點>
沒錯,智慧音箱有可能會記錄你的私密對話,但你不用太過擔心駭客會偷聽你昨天晚上說了什麼 T客邦
語音正在成為最主要的人類與機器溝通的接口。它存在於我們日常使用的許多技術中,比如家用電器,汽車和行動應用。 我們關燈、點菜、購買每週的雜貨,或者聽最喜愛的唱片,所有這些都可以借助最自然的技術之一——語音來 完成。
<回到新聞條列重點>
超可怕!她裝「室內監視器」監控寶寶 竟發現別人也在看 三立新聞網
不少人會在家裝設室內監視器,但要小心可能會有「第3人」偷看。有女網友在臉書《爆怨公社》貼文,表示自己為了監控寶寶在房間、客廳的狀況,所以在樓上和樓下都各裝了一隻監視器,沒想到有天竟發生鏡頭自己轉動的聲音,才發現有別人偷看,嚇的趕快拔插頭並換 密碼。
<回到新聞條列重點>
比特幣狂飆 資安風險大 經濟日報(臺灣)
趨勢台灣暨香港區總經理洪偉淦表示,根據趨勢科技發布的「2018年資安預測報告」,比特幣價格暴漲,從去年初的400多美元,甚至曾飆破2萬美元天價,被炒到那麼高,已成為駭客攻擊的重要 目標。
<回到新聞條列重點>
又一門羅幣採礦程式入侵 Chrome 擴充程式,Archive Poster 遭駭 科技新報網
又有受歡迎軟體遭門羅幣採礦程式入侵!頗受歡迎的 Tumblr post 採集轉載 Chrome 擴充程式 Archive Poster,被發現遭植入 Coinhive 採礦程式開採門羅幣(Monero),成為最新被植入開採門羅幣程式的受 害者。
<回到新聞條列重點>
2018IT人必看12趨勢 iThome Weekly電腦報
AI浪潮席捲全世界,科技龍頭更帶頭力推,要讓AI普及化,但新一波技術變革和產業趨勢正在醞釀,IT架構和企業營運都將面臨新考驗,尤其這12項關鍵趨勢,IT人一定要 知道。
<回到新聞條列重點>
趨勢科技年度預測報告:2018 三大駭客攻擊手法,趕快預防勝於治療啊! 科技報橘網
全球網路資安解決方案領導品牌趨勢科技今日發表 2018 年資安年度預測報告,指出隨著人們透過不安全網路進行連線和互動的情況越來越普遍, 駭客將以「鎖定數位勒索獲利模式」、「仰賴漏洞為攻擊管道」、「搶搭機器學習與區塊鏈熱潮發展新攻擊技巧」三大手法發動網路攻擊 ,駭客攻防進入新 層次。
<回到新聞條列重點>
勒索軟體大肆蔓延!因應勒索軟體威脅是企業重要課題 iThome
近年來,說起資安威脅,許多人可能第一個想到的,就是像Cryptolocker這種鼎鼎大名的加密勒索軟體。這種攻擊手法,與其他的方式最大不同之處,莫過於加密電腦裡的檔案,造成資料無法使用,使用者必須支付比特幣,才能贖回電腦裡的資料。對於受到攻擊的企業而言,很可能因為電腦裡存放的資料極為重要,不少公司選擇私下付錢 了事。
<回到新聞條列重點>
研究:分析感測器數據就能猜中Android手機的弱密碼,精準度高達99.5% iThome
新加坡南洋理工大學的研究者利用app蒐集了手機上各項感測器的資料,例如手指經過螢幕造成的光阻擋,或是手機傾斜程度,藉由這些特徵找出螢幕上可能被使用者按下的 數字。
<回到新聞條列重點>
上百款GPS追蹤服務有漏洞,可能洩露你的行蹤、個資 iThome
研究人員指出,寵物追蹤、個人健身或是家人攜帶的隨身求助裝置所使用的線上服務隱藏許多程度不一的漏洞及安全風險,可能讓駭客取得使用者的位置、電話、使用裝置、上傳照片等個人 資料。
<回到新聞條列重點>
美國國土安全部測試33款公共安全App,一半以上含有重大漏洞 iThome
美國政府和公共安全組織APCO利用資安業者Kryptowire的軟體測試平台分析33款公共安全App,顯示有高達32款程式含有隱私及潛在的安全疑慮,並有18款含有重大的安全 漏洞。
<回到新聞條列重點>
前英國銀行行員,暗地裡幫助駭客植入Dridex 金融木馬程式洗錢,開設人頭戶多達 105 個 T客邦
英國專門負責打擊組織犯罪的機構,英國國家犯罪調查局(National Crime Agency,NCA)在不久前指出,前英國巴客萊銀行(Barclays Bank)的員工,Jinal Pethad因協助利用惡名昭彰的 Dridex 金融木馬,幫兩位駭客進行不法洗錢,在上週正式被英國判刑 6 年又 4 個月。
<回到新聞條列重點>
比特幣失寵 2018當紅加密貨幣是它們 台灣蘋果日報網
2018新年伊始比特幣(bitcoin)行情依舊震盪,寫下2015年來首次開年大跌的紀錄,沖淡了過去1年價位飆漲14倍的狂熱氣氛。然而就在比特幣跌破1.3萬美元之際,以太幣(Ethereum)價位卻攀上了空前新高,其他加密貨幣也正乘勢而起,顯示這場由比特幣掀起的加密貨幣狂潮離止歇 仍遠。
<回到新聞條列重點>
虛擬貨幣專家遭綁 比特幣當贖金 工商時報
去年躍升為全球交易最熱門的貨幣比特幣,由於隱密性高,加上幣值一路狂飆,已淪為不法人士用來犯罪的工具!根據金融時報報導,一名英國虛擬貨幣交易所專家上周在烏克蘭遭到綁架,結果綁匪要求支付價值超過1百萬美元的比特幣做為贖金。烏克蘭當局形容這是一起「比特幣綁架與勒索」 的犯罪。
<回到新聞條列重點>
英轟臉書Google 不配合反恐就罰重稅 台灣蘋果日報
為更有效打擊恐怖主義、維護網路安全,英國當局考慮對拒絕配合國安部門提供解密資料的臉書、Google等網路巨頭,祭出重稅懲罰!英國國防大臣華勒斯(Ben Wallace)痛批網路巨擘「寧可把資料賣給貸款公司或情色產業,也不願意把資料交給民選政府」,導致當局得耗費鉅資用於監控網路或破解加密 資料。
<回到新聞條列重點>
資安連續創業家邱銘彰,過去兩次創業都被外商收購,讓台灣資安實力跨出國際。這次,他選擇用AI切入資安市場,攜手同樣在資安圈打滾多年的吳明蔚和叢培侃,共同創辦奧義智慧科技,要提供從防禦到保險的一條龍資安解決 方案。
<回到新聞條列重點>
銀行防駭 金管會盯上連網設備 包括數位錄影機、錄音設備等 全面防堵資安漏洞 台灣蘋果日報
為防堵駭客利用海外錄音設備作為「跳板」,以遠端連線進入內網,發生如一銀ATM「自動吐鈔」事件,金管會罕見盯上具有網路連線功能的「自動化辦公(OA)設備」,包括數位錄影機(DVR)、錄音設備、電話交換機等,要求銀行公會擬定安控規範,全面防堵資安 漏洞。
<回到新聞條列重點>
第二大風險 地緣衝突、網攻恐攻 威脅仍在 中國時報
地緣政治意外被歐亞集團列為2018全球10大風險第二名。風險最高的地區是朝鮮半島。另外,網路攻擊和化整為零的恐怖分子,也將為全球帶來 威脅。
<回到新聞條列重點>
頂尖駭客攻防交流,培養多元防護新觀點 iThome
根據統計,駭客喜歡挑重大節日來行動,面對難以預測且層出不窮的資安事件,果核數位舉辦Merry Hackmas 2017資安社群論壇,透過交流分享、相互精進彼此的資安防護 能力。
<回到新聞條列重點>
在未善意知會蘋果下,研究人員徑行公布macOS中藏身15年的本地權限擴張漏洞 iThome
一名研究人員在本周一對外公佈了macOS中存在15年之久的權限擴張漏洞,由於沒有基於善意先知會蘋果引發外界的批評,所幸該漏洞無法從遠端開採,預期蘋果將在月底釋出 更新。
<回到新聞條列重點>
intel處理器曝重大安全漏洞!新系統更新之後效能降低3成 ETNEWS新聞雲
最近科技廠實在不平靜,除了 iPhone 降頻事件、三星 Note8無法充電事件,現在 intel 最新處理器也被爆出重大設計缺陷,其安全漏洞將迫使Windows、Linux進行系統更新,更新之後,反而讓整個電腦效能降低,目前 intel 官方尚無任何 回應。
<回到新聞條列重點>
Intel 64 處理器硬體全部中招,軟體修復漏洞最高導致 30% 效能下滑 T客邦
Intel 自從 Prescott 微架構 E0 版開始能夠執行 x86-64 指令,至今已有 10 餘年以上的時間,但是近日卻爆出重大硬體設計瑕疵,使得在使用者模式之下的程式碼可以繞過部分安全機制,取得核心模式記憶體區域的資料,Linux 核心目前已提供修正檔,但是效能下降幅度並不 樂觀。
<回到新聞條列重點>
基於瀏覽器 技術的密碼管理軟體出現漏洞,廣告商可透過漏洞直接竊取使用者密碼來追蹤用戶 電腦王阿達
網路讓大家變得平等,很多隱私容易曝光在上面,也容易被有心人暗中蒐集。特別是密碼這東西也是如此,為了保護自己的帳號,網路上有太多地方需要設置密碼,但密碼一多就變得難以記住,加上密碼通常需要一定的長度跟複雜度,這使得密碼管理軟體的重要性提升不少,但最近普林斯頓大學的訊息技術策略中心卻警告,這些 基於瀏覽器 進行密碼儲存管理的軟體都有被竊取密碼的風險,容易被網路廣告商利用這些密碼追蹤使用者 行為。
<回到新聞條列重點>
端點防護是勒索軟體最終抵禦的戰場 iThome
基本上,勒索軟體發動攻擊的地方,主要還是在端點電腦上,因此針對端點提供保護的措施,乃是兵家必爭之地。由於近年來,針對企業的持續性進階威脅(APT)攻擊相當常見,不少廠商推出新興的次世代防毒軟體(NGAV),就強調能夠抵擋這類未知攻擊,而不像傳統防毒軟體的做法,有待仰賴特徵碼更新後,才能識別並加以 攔截。
<回到新聞條列重點>
【勒索軟體監控第一道防線】網路透明度是掌握勒索軟體攻擊的關鍵 iThome
近年來,防護思維大轉彎,從端點電腦分析使用者與應用程式的存取行為,並進一步加以反制,成為資安的新顯學。然而,這並非代表網路層的防護不再重要,相反的,企業若是能透過防火牆、網頁安全閘道、入侵預防系統(IPS)等設備,及早從網路流量就先行過濾,而非完全倚賴端點電腦的防護措施,便能減少電腦為了解析惡意攻擊,消耗大量的運算效能,影響使用者生產力的情 況。
<回到新聞條列重點>
【針對電子郵件與網頁的內容,過濾潛藏的危機 】內容安全是上網防護的核心 iThome
在網路流量的過濾之後,企業針對上網的內容,也需要進一步的透視,減少員工經由收發電子郵件、瀏覽網頁等情況下,遭到有心人士下手,發動勒索軟體攻擊的 機會。
<回到新聞條列重點>
遏中國滲透 澳力阻華為鋪海底電纜 自由時報
隨著中國在南太平洋影響力日益擴大,區域霸主澳洲的「危機意識」愈發強烈。英國「金融時報」上月二十九日指出,中國官方色彩濃厚的電信龍頭華為,原與我國邦交國索羅門群島談妥鋪設海底電纜計畫,但澳洲政府為免中國控制其「後院」,進而強化中對澳的情報滲透力,已採取行動「搶生意」,迫使華為打 退堂鼓。
<回到新聞條列重點>
資通電軍指揮官馬英漢:謹慎處理網路攻擊 自由時報
國防部今年六月將「資電作戰指揮部」升格為「資通電軍指揮部」,指揮官層級自少將提升為中將,藉此強化我國網路作戰能力。國防部昨舉辦「一○七年上半年陸海空軍將官晉任布達暨授階典禮」,晉升中將的資通電軍指揮官馬英漢表示,資通電防衛為第一選項,攻擊則涉及國家利益,全世界的網電部隊都會謹慎處理這 部分。
<回到新聞條列重點>
網路自由將消失? 電信業者籲學美國廢除網路中立 yam蕃薯藤
美國近來因為廢除「網路中立」以致網路自由消失引起極大爭議,而今這情形也再台灣逐漸展開序幕。昨(28)台灣大哥大總經理鄭俊卿公開表示,希望能廢除網路中立,創造產業 三贏。
<回到新聞條列重點>
老大哥正在看著你:淺談政府大規模監控與隱私衝突 關鍵評論網
2013年6月由衛報批露的史諾登(Edward Snowden)揭密案震驚全球,這位前美國國家安全局(National Security Agency, NSA)約聘職員曝光的機密文件顯示,NSA近年鎖定美國公民與外國人,進行以反恐為名的大規模無差別 監聽。
<回到新聞條列重點>
通俄門 紐時:澳密報 助FBI展開調查 Pchome 新聞
《紐約時報》2017年12月30日披露,2016年時任川普競選陣營的外交顧問巴帕多普洛斯,向澳洲駐英官員「爆料」俄國握有希拉蕊的把柄,日後成為美國聯邦調查局(FBI)調查「通俄門」的重要 線索。
<回到新聞條列重點>
【2018關鍵趨勢11:資安法】資安法即將三讀,移除行政檢查但遭駭不通報要重罰 iThome
法律是企業組織賴以生存的根本,而資通安全法除了規範公務機關外,就是特定非公務機關,以關鍵基礎設施業者為主,刪除視為行政權擴權的行政檢查條文,對於相關的公務及特定非公務機關遭駭卻知情不報者加重處罰,罰金從原本的10萬~100萬元提高為30萬~500 萬元。
<回到新聞條列重點>
《天堂M》遭DDos攻擊 港澳玩家無法登入氣得跳腳 台灣蘋果日報網
遊戲橘子(6180)代理《天堂M》並取得台港澳營運權,近日傳出港澳玩家遭到橘子封鎖ip導致無法登入遊戲,並串連玩家採取刷退課金方式抗議。不過,橘子今澄清絕對沒有針對港澳地區玩家封鎖ip,而是近日遭到來自海外DDoS(Distributed Denial of Service,分散式阻斷服務攻擊)攻擊導致部份海外玩家無法登入,目前正在排除狀 況中。
<回到新聞條列重點>
避免掉入天價APP陷阱 專家告訴你怎麼做 台灣蘋果日報網
針對有消費者下載到詐騙App,3C達人Tim哥建議,雖然有些APP是免費機制,但是如果在任何合約裡面,包含同意使用的條件按鈕,必須一定要看清楚,因為很多付費的資訊,可能在合約裡的某一個條款,消費者只要不注意,按了同意或確認的按鈕,就等於啟動了付費 機制。
<回到新聞條列重點>
紐時:中國製無人機存在資安隱憂 中央社即時新聞網
紐約時報28日引述美國入境和海關執法局洛杉磯辦事處一份2017年備忘錄指出,中國無人機大廠大疆所製作的無人機正向中國發送美國基礎設施的敏感資訊。對此,大疆透過聲明否認這些 指控。
<回到新聞條列重點>
車子也會被駭客入侵? ATIS憂智能車網路安全問題 汽車日報
根據外媒的報導,一間美國公司Alliance for Telecommunications Unications Industry Solutions (以下簡稱ATIS)近日指出,隨著自動駕駛車輛的通聯系統和人工智能技術的發達,未來可能會造成一波車輛網路安全 的問題。
<回到新聞條列重點>
匯聚了台灣學研單位創新研發能量的未來科技展,已於28日展開3天的展期,其中,台灣三大科學園區(竹科、中科、南科)、國家實驗研究院、國家同步輻射中心、國家災害防救科技中心等單位,各以專區展現最新研發成果;另以技術應用分類方式,規劃了電子與光電區、智慧應用與能源環境區、金屬化工與新穎材料區、生技與新藥區、醫材區,展出117項產學研界最新的研發 成果。
<回到新聞條列重點>
(未來科技展)激盪產學合作火花 攜手邁向科技新未來 電子時報
台灣研發經費佔國內生產毛額(GDP)比率早已突破3%,其中中央政府科技預算近幾年都超過新台幣1,000億元,2018年更高達1,460億,其中又以科技部的預算 最高。
<回到新聞條列重點>
<回到新聞條列重點>