《資安新聞周報》IIoT成為駭客攻擊目標的四個原因/駭客改裝 Lightning 線, Mac﹑iPhone 一插即被入侵!

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

一周精選媒體資安新聞

【不顧民眾反對】美國邊境加設人臉辨識,刷臉入境哪裡錯了?    報橘

微軟本月修補93個安全漏洞,逾20個屬於重大漏洞    iThome

微軟警告有2個類似BlueKeep的RDS重大漏洞    iThome

無密碼時代來臨!Google提供Pixel手機用戶免密碼登入 近日將擴大到安卓設備    ETtoday新聞雲

蘋果遭集體訴訟:iCloud數據竟存儲於谷歌微軟伺服器    新浪網(臺灣)

劉黎兒觀點》中國犯罪集團一棒打死日本小七的「7pay」電子支付    新頭殼

駭客研發惡毒 Lightning 線 一插即可入侵電腦    流動日報

捷報!臺灣聯隊HITCON x BFKinesiS獲得DEF CON CTF駭客競賽第二名    iThome

新Mirai病毒變種利用Tor網路躲避偵查    iThome

研究人員警告:圖片傳輸協定PTP含安全漏洞,能讓駭客在數位相機植入勒索軟體加密記憶卡    iThome

14金融機構搶開放銀行頭香 繳費管理開支一鍵完成     中央通訊社

保險業者祭出105萬高額獎金,歡迎各路英雄組隊來挑戰!    風傳媒

研究人員踢爆:微軟忽視RDP漏洞直至察覺它影響Hyper-V    iThome

Skype遭爆竊聽疑雲 微軟:事先經用戶同意    ETtoday新聞雲

Whatsapp訊息會被竄改? 黑帽大會指控臉書放任安全漏洞不管    自由時報電子報

iPhone通訊錄成「攻擊目標」 駭客能直接繞過安全機制    ETtoday新聞雲

Container周報第109期:K8s第一份第三方資安稽核報告出爐!Knative滿週年使用數據大公開    iThome

效果不大,Chrome、Firefox將縮減EV簽章標示    iThome

「天網」將破?美國政府禁五家中企採購案後的下一步    聯合新聞網

聯合國:北韓對 17 國發起 35 宗網攻事件  交易所、挖礦劫持成攻擊目標    區塊客

MyDoom 2019年依然活躍,台灣受到威脅全球第三    T客邦
《延伸閱讀》MyDoom ,史上最會隔空叫罵的病毒

中國資訊戰警報!「買台灣不如騙台灣」的資訊戰,你抵擋的了嗎?    沃草

IBM展示最新軍艦攻擊,直接寄送具網路攻擊能力的實體裝置到目標企業    iThome

點網頁出現釣魚頁面怎解決?聽專業駭客解釋…    華視行動網

你的個資不再是你的:當心數位足跡留痕難抹去    新頭殼

《Apex英雄》外掛藏病毒 數百名玩家信息被盜    新浪網(臺灣)

玩家信用卡遭盜刷!Epic Games面臨集體訴訟    新頭殼

美媒:臉書轉錄用戶語音    雅虎奇摩

駭客威脅公布露點照 女星霸氣搶先分享照片    世界日報

蘋果抓漏獎勵專案擴大到macOS及Apple TV,最高獎金增加到100萬美元   iThome

駭客論壇Cracked.to資料庫遭競爭對手公布    iThome

HTTP/2含有多個服務阻斷漏洞,亞馬遜、臉書、蘋果、微軟全遭殃    iThome

Steam含有權限擴張漏洞,波及1億用戶    iThome

思科智慧網路交換器爆重大漏洞,可讓駭客執行指令攻擊、接管系統    iThome

Spectre變種攻擊再現,SWAPGS漏洞幾乎讓所有Intel主流處理器中標    T客邦

逾40款硬體驅動程式漏洞可讓駭客在Windows核心執行惡意程式,Intel、Nvidia及多家臺灣廠商上榜    iThome

【不顧民眾反對】美國邊境加設人臉辨識,刷臉入境哪裡錯了?    報橘

繼幾年來的風波和爭議,近日公開的招標草案暗示著美國海關及邊境保衛局(U.S. Customs and Border Protection agency,  CBP)並沒有放棄臉部辨識系統,甚至計畫著繼續擴大該系統的應用範圍。

<回到新聞列重點>

微軟本月修補93個安全漏洞,逾20個屬於重大漏洞    iThome

微軟發布8月的Patch Tuesday安全更新,其中包括他們特別提出警告的遠端攻擊漏洞,以及本周被美國CERT/CC公開的HTTP/2服務阻斷漏

<回到新聞列重點>

微軟警告有2個類似BlueKeep的RDS重大漏洞    iThome

受影響的Windows版本包括Windows 7、8.1、Windows Server 2008 R2 SP1、Server 2012,以及Windows 10桌機及Server版

<回到新聞列重點>

無密碼時代來臨!Google提供Pixel手機用戶免密碼登入 近日將擴大到安卓設備    ETtoday新聞雲

Google今日宣佈從Pixel手機開始,用戶能使用指紋或任何一種該用戶已設置的解鎖方法,如圖型解鎖等,登入一些Google的服務。該功能從今日開始,即可用於某些安卓(Android)手機,而且未來數日後,將會推廣至所有搭載Android 7.0 Nougat或更高版本的手機。

<回到新聞列重點>

蘋果遭集體訴訟:iCloud數據竟存儲於谷歌微軟伺服器    新浪網(臺灣)

新浪科技訊 日期:8月13日下午消息,據美國媒體AppleInsider報導,周一,加利福尼亞州北部地區的美國地方法院收到一起集體訴訟,指控蘋果發佈虛假廣告,聲稱該公司表面上告訴消費者iCloud數據為「由蘋果存儲」,實則這些數據在某些情況下卻是存儲在由亞馬遜、微軟和谷歌運營的伺服器上。

<回到新聞列重點>

劉黎兒觀點》中國犯罪集團一棒打死日本小七的「7pay」電子支付    新頭殼

日本7-Eleven 的手機支付的「7pay」7月1日才開張一個月就因為成為中國犯罪集團而被打死而無法復生,現在7-Eleven在8月1日就宣布放棄,而在9月底全面結束,全面投降;才風光登場沒多久,7月3日就發現遭中國集團盜刷時,原本各界還多少認為7-Eleven會有對策,但了解狀況的人都知道7Pay悲劇才開始,終究會被打得無法站起來,而且如此悲劇不僅會發生在7Pay,因為中國的這些網路犯罪集團只要想駭盜,幾乎沒有不成功的,日本至今也被惡搞無數次,如鉅額積點大量遭盜刷,其他中毒或當機更隨時可能發生,日本被盯上了,就很難不遭殃,讓日本拼命想發展的電子支付瞬間冷卻,原本就愛用現金的日本人更覺得現金沒什麼不好。

<回到新聞列重點>

駭客研發惡毒 Lightning 線 一插即可入侵電腦    流動日報

過去我們常常聽到因為用了第三方連接線而導致 iPhone 產生各種問題的事蹟,但是現在有研究人員做出了 Lightning 連接線,不但和 Apple 出廠的連接線外型相同,且還有個很惡毒的功能——可以讓人遠端控制你的電腦。

<回到新聞列重點>

捷報!臺灣聯隊HITCON x BFKinesiS獲得DEF CON CTF駭客競賽第二名    iThome

美國太平洋時間8月9日~8月11日連續三天於美國賭城拉斯維加斯舉辦的第27屆DEF CON CTF(搶旗攻防賽)比賽中,代表臺灣參加的臺灣聯隊HITCON x BFKinesiS在歷經三天不眠不休的熬夜解題,獲得第二名的好成績。這也是臺灣代表隊參加DEF CON CTF迄今第六年,在資深老將HITCON戰隊與新生代戰隊BFKinesiS合體後,再度獲得亞軍的殊榮。今年的冠軍隊伍則是美國PPP(Plaid Parliament of Pwning)戰隊,中國隊Tea Deliverers位居第三。

<回到新聞列重點>

新Mirai病毒變種利用Tor網路躲避偵查    iThome

趨勢科技發現某款Mirai病毒變種會利用Tor網路來隱匿行蹤,這種手法可能帶動其他物聯網惡意程式家族的演進,引發另一波網路威

<回到新聞列重點>

研究人員警告:圖片傳輸協定PTP含安全漏洞,能讓駭客在數位相機植入勒索軟體加密記憶卡    iThome

各家數位相機所採用的圖片傳輸協定PTP含有安全漏洞,將允許駭客藉由相機與電腦之間的USB連線或Wi-Fi連線發動攻

<回到新聞列重點>

14金融機構搶開放銀行頭香 繳費管理開支一鍵完成     中央通訊社

迎戰純網銀,傳統銀行祭出利用開放應用程式介面(API),民眾未來可以暢行無阻使用各種金融相關服務,不用再個別輸入一堆帳號密碼,部分銀行預計最快8月底前推出第一階段服務,滿足民眾生活繳費、管理開支等需求。

<回到新聞列重點>

保險業者祭出105萬高額獎金,歡迎各路英雄組隊來挑戰!    風傳媒

為了推動台灣金融科技發展,挖掘頂尖數據人才,國泰人壽今年再度與國立政治大學統計學系合作舉辦「2019國泰大數據競賽」,本次首度與趨勢科技合作,提供AI競賽平台「T-Brain AI實戰吧」進行競賽。本屆競賽主題聚焦於精準行銷,希望參賽者不只具備數據分析的專業技能,更要試著運用數據分析結果與行銷創意,發展具實務應用的商業價值。

<回到新聞列重點>

研究人員踢爆:微軟忽視RDP漏洞直至察覺它影響Hyper-V    iThome

Check Point研究人員去年10月曾向微軟通報一項遠端桌面協定漏洞,但未受重視,微軟一直到今年中旬二度被告知這項RDP漏洞會波及到Hyper-V時,才著手修

<回到新聞列重點>

Skype遭爆竊聽疑雲 微軟:事先經用戶同意    ETtoday新聞雲

繼亞馬遜、Google、蘋果相繼傳出竊聽疑雲後,微軟也傳出側聽旗下網路通話應用程式Skype使用者間的私密對話。微軟周四(8)承認其承包商會透過聆聽對話來訓練Skype及Cortana數位助理的語音翻譯功能,不過前提是經過用戶許可。

<回到新聞列重點>

Whatsapp訊息會被竄改? 黑帽大會指控臉書放任安全漏洞不管    自由時報電子報

世界最大社群媒體「臉書」五年半前收購的即時通訊應用程式「WhatsApp」驚爆安全漏洞,惡意行為者可竄改訊息內容及傳訊者名字!以色列網路安全科技公司「Checkpoint」7日在美國內華達州拉斯維加斯市「黑帽大會」年度盛會對外發布這項警訊,同時指控臉書一年前早已知情,卻未公告此事並完善解決問題。

<回到新聞列重點>

iPhone通訊錄成「攻擊目標」 駭客能直接繞過安全機制    ETtoday新聞雲

資安公司Check Point發現,包括iOS、MacOS、Windows 10等作業系統採用的SQLite資料庫引擎,可能成為駭客攻擊的目標,例如有心人能夠繞過蘋果安全機制,獲取iPhone的控制權,並控制聯絡人通訊錄程式。

<回到新聞列重點>

Container周報第109期:K8s第一份第三方資安稽核報告出爐!Knative滿週年使用數據大公開    iThome

在第一次K8s稽核報告中發現,仍有不少部署政策安全性不足,甚至直接預設使用不安全的TLS傳輸,有些命令列參數或變數容易外洩憑證、機密元件命名缺乏Log記錄、沒有預設開啟Linux核心的seccomp安全機制等。最後,稽核小組公布了一份Kubrnetes資安白皮書和威脅模

<回到新聞列重點>

效果不大,Chrome、Firefox將縮減EV簽章標示    iThome

由於在網址列出現延伸驗證(EV)圖示,並無法實際達到保護使用者的作用,先前蘋果iOS/Mojave桌機版Safari以及微軟Edge的網址列,都已不再顯示EV實體名稱,現在Chrome和Firefox也決定跟

<回到新聞列重點>

「天網」將破?美國政府禁五家中企採購案後的下一步    聯合新聞網

8月7日,美國正式禁止聯邦政府採購華為等五家中國企業之監控設備與相關服務。在美中貿易談判陷入泥淖之際,美國此舉除了擴大防線,也加重了對中共的施壓力道。

<回到新聞列重點>

聯合國:北韓對 17 國發起 35 宗網攻事件  交易所、挖礦劫持成攻擊目標    區塊客

根據《美聯社》日前報導,聯合國專家表示「正在調查北韓駭客針對 17 國所發起的 35 宗網路攻擊事件」,實質上是在為大規模毀命性武器計畫非法籌集資金。

<回到新聞列重點>

MyDoom 2019年依然活躍,台灣受到威脅全球第三    T客邦

MyDoom 在過去幾年相對來說保持著一致性,平均大概1.1%的電子郵件中會發現惡意軟體附件。我們每個月都會持續紀錄成千上萬的 MyDoom 樣本。絕大多數 MyDoom 電子郵件位址來自中國,而美國則排在第二位。這些電子郵件被發送到全世界,主要針對高科技,批發和零售,醫療保健,教育和製造業。

<回到新聞列重點>

中國資訊戰警報!「買台灣不如騙台灣」的資訊戰,你抵擋的了嗎?    沃草

資訊戰屬於「混合戰」的一種。混合戰是種新型態的戰爭,以 8 成「非軍事」及 2 成「軍事」手段,搭配以完成併吞其他國家目的。而台灣,正默默面臨中國這樣無聲的入侵,從「打台灣不如買台灣」演變成「買台灣不如騙台灣」。

<回到新聞列重點>

IBM展示最新軍艦攻擊,直接寄送具網路攻擊能力的實體裝置到目標企業    iThome

駭客寄送以單板電腦製作的網路攻擊裝置到目標企業後,就能從遠端但又近距離地在企業內進行網路攻

<回到新聞列重點>

點網頁出現釣魚頁面怎解決?聽專業駭客解釋…    華視行動網

許多iPhone手機使用者今(11)日都發現,點開Google或是網站頁面都會跳轉到另一個「釣魚網站」,Dcard和巴哈姆特都有網友po文哀嚎「跳出可以獲得禮物」的網頁,並強制要求點選,怎麼按也按不掉。

<回到新聞列重點>

你的個資不再是你的:當心數位足跡留痕難抹去    新頭殼

上班族小雯對美妝有興趣,平時經常上網瀏覽新品,不過最近她發現自己的臉書,總會不斷跳出美妝品牌廣告,或美妝版主的業配文,雖然她從未在廣告中留下個資,但社群網站其實在不知不覺中,已掌控她的興趣及慣用的搜尋模式,使她成為廣告主的目標客戶,進而達到行銷目的。俗話說「凡走過必留下痕跡」,在沙灘上行走,腳印可用沙子蓋掉;但徜徉網路世界,一旦留下足跡,卻很難消除。「數位足跡」(Digital footprint)就是網路便利性的代價,它將讓你在大數據面前無所遁形。

<回到新聞列重點>

《Apex英雄》外掛藏病毒 數百名玩家信息被盜    新浪網(臺灣)

安全公司Sophos發現,自今年2月份以來,一些在《Apex英雄》、《CS:GO》中試圖作弊的玩家,他們所下載的外掛會讓電腦感染上病毒,而他們的重要個人信息也遭到了竊取。

<回到新聞列重點>

玩家信用卡遭盜刷!Epic Games面臨集體訴訟    新頭殼

外媒「Polygon」報導,有上百位玩家透過Franklin D. Azar & Associates律師事務所向Epic Games提起集體訴訟,起訴原因為「未能保證平台使用者資料安全,並在玩家個人資料遭洩露後未及時通知用戶」,有玩家在去年發現與Epic帳號綁定的信用卡有未授權的消費行為發生,即是俗稱的「盜刷」。

<回到新聞列重點>

美媒:臉書轉錄用戶語音對話    雅虎奇摩

美國媒體13日報導,社群媒體龍頭臉書(Facebook)傳出付錢聘僱數以百計的承包商員工,聽取使用者對話片段並轉錄成文字。

<回到新聞列重點>

駭客威脅公布露點照 女星霸氣搶先分享照片    世界日報

面對駭客威脅公布清涼露點照片,36歲女星兼電視製作人惠特妮康明斯(Whitney Cummings)以另類手段回應,也就是搶先一步在社群網站公布照片,讓眾多粉絲先睹為快。

<回到新聞列重點>

蘋果抓漏獎勵專案擴大到macOS及Apple TV,最高獎金增加到100萬美元   iThome

蘋果預告漏洞獎勵計畫的範圍,將從原本的iOS擴大到macOS、watchOS與Apple TV,並把發現特定漏洞的最高獎金一口氣調高五

<回到新聞列重點>

駭客論壇Cracked.to資料庫遭競爭對手公布    iThome

HaveIBeenPwned發現駭客論壇Cracked.to的備份資料庫落入對手Raidforums手中,內含30多萬名用戶個

<回到新聞列重點>

HTTP/2含有多個服務阻斷漏洞,亞馬遜、臉書、蘋果、微軟全遭殃    iThome

美國CERT/CC、Google與Netflix發現,許多HTTP/2實現含有服務阻斷攻擊漏洞,Amazon、Apache Traffic Server專案、蘋果、臉書、Go語言及微軟都受影

<回到新聞列重點>

Steam含有權限擴張漏洞,波及1億用戶    iThome

研究人員發現Steam客戶端程式暗藏的零時差漏洞,讓安裝了Steam的Windows電腦陷入安全風

<回到新聞列重點>

思科智慧網路交換器爆重大漏洞,可讓駭客執行指令攻擊、接管系統    iThome

其中一項遠端程式碼執行漏洞,能使未授權的遠端用戶進行緩衝區溢位攻擊,並取得作業系統根權限來執行任意程式

<回到新聞列重點>

Spectre變種攻擊再現,SWAPGS漏洞幾乎讓所有Intel主流處理器中標    T客邦

SWAPGS是種以Spectre為基礎的旁路攻擊(Side-Channel Attack),它能讓惡意程式繞過現有的保護機制,讀取未經授權的資料,進而達到竊取資料的目的。這個漏洞由資安公司Bitdefender進行負責任揭露,而Microsoft也推出對應的Windows更新檔以修正問題。

<回到新聞列重點>

逾40款硬體驅動程式漏洞可讓駭客在Windows核心執行惡意程式,Intel、Nvidia及多家臺灣廠商上榜    iThome

研究人員發現,多款經簽章的驅動程式存在安全漏洞,可被當作代理伺服器以讀寫核心記憶體或內部CPU組態暫存器,使這些合法驅動程式反而被攻擊者用來繞過甚至關閉Windows安全機制,進而執行任意程式

<回到新聞列重點>