《資安新聞周報》假美肌APP,觸發 WAP 代扣繳費功能/工廠已成駭客最愛目標/德國政府掛保證:最安全的瀏覽器是它

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

這張圖片的 alt 屬性值為空,它的檔案名稱為 NEWS-R-1024x738.png

資安趨勢部落格一周精選

一周精選媒體資安新聞

可以攻擊ATM讓它把所有鈔票吐光的惡意軟體在歐洲盛行,專家警告最終將如勒索軟體般橫行全球         T客邦

【2019 邊緣運算論壇】工廠已成駭客最愛目標,建立完整資安組織與 SOP 是台廠當務之急       報橘

加密貨幣是幫兇!全球最大兒童色情網站337位用戶遭逮捕        新頭殼

Google著手修復Pixel 4人臉解鎖漏洞,恐花好幾個月   中時電子報

利用字母變化 電郵詐騙至少每起百萬起跳      TVBS新聞網

為選舉備戰!Facebook推候選人帳號防駭功能,並標註來自「國有媒體」的內容    數位時代

Alexa與Google Home第三方應用程式可用語音釣魚竊取用戶密碼      iThome

Linux核心含有可造成系統當機或遭駭客掌控的陳年漏洞       iThome

AI非萬靈丹 專家:智慧城市衍生諸多疑慮      中央通訊社

《科技》Windows 7終止支援最後倒數88天   中時電子報網

打造微型間諜晶片花6千元就能辦到,兩名資安專家DIY告訴你有多簡單 數位時代

趨勢科技與Snyk策略聯盟,協助軟體開發人員迅速安全地開發應用程式   iThome電腦報周刊

撐大雲端資安傘,趨勢科技21億元併購澳洲新創Cloud Conformity     數位時代

FTC出手禁售3款跟蹤程式        iThome

三星Galaxy S10指紋辨識爆漏洞 多家銀行暫停指紋登入功能       新頭殼

反送中》「香港解密」曝台人個資 台灣基進籲政府反制港府        自由時報電子報

中國國家級駭客再升級 專攻少數族群及其海外親友手機      中央廣播電臺

俄羅斯駭客駭進伊朗駭客的攻擊架構與工具,借刀殺人        iThome

孟加拉掀宗教流血事件 起因網路暴力      台灣醒報

2018政府機關資安通報現況大公開,6起3級事件最嚴重    iThome

行動身分識別跨大步 用手機也能查繳地價稅  工商時報電子報

資安一周第65期:臺灣連日發生多起服務中斷事件,包括民生金融LINE Pay電子支付、ATM跨行提款等        iThome

第一證券遭駭?分析師曝真相…分享2檔資安ETF,年化報酬率逾10%      商業周刊

微軟聯合PC業者防止韌體惡意程式  iThome

金融業系統頻頻出包 金管會八大措施強化控管      自由時報電子報

NordVPN、TorGuard與VikingVPN三大VPN業者的金鑰外流  iThome

德國政府掛保證:Firefox是最安全的瀏覽器    iThome

調查局查獲大陸人士散布蔡總統賣台假訊息    中央通訊社

總統:感謝美國「共和黨國際事務協會」來台分享對抗假訊息經驗    中時電子報

駭客用WAV檔散佈惡意程式      iThome

AIoT Taiwan及電子展完美落幕 打造跨產業智慧生態系  台灣新論

Android 版 Chrome 瀏覽器獲得防禦 Spectre 攻擊的更新    Engadget中文版

世上運算最強電腦,將孕育另一個半導體業 台積電點名的重磅科技 量子電腦到底是什麼?      商業周刊(台灣)

無視美國禁令?華為獲得 32 個歐洲 5G 合約        鉅亨網

不只要發現漏洞,還必須驗證會被濫用的可行性 戴夫寇爾剖析網頁郵件系統漏洞  iThome電腦報周刊

開源軟體漏洞 macOS終端模擬器iTerm2存在重大漏洞        iThome電腦報周刊

中國駭客以後門程式入侵MS SQL Server   iThome


可以攻擊ATM讓它把所有鈔票吐光的惡意軟體在歐洲盛行,專家警告最終將如勒索軟體般橫行全球         T客邦

近日某個上午,德國弗萊堡市的一位銀行職員發現,某台 ATM 機似乎出現了問題。其控制面板上收到了一條奇怪的消息「Ho!」可惜的是,這位員工沒有立即意識到,駭客已經將惡意軟體植入了ATM自動櫃員機中 。 

<回到新聞條列重點>

【2019 邊緣運算論壇】工廠已成駭客最愛目標,建立完整資安組織與 SOP 是台廠當務之急       報橘

因應中美貿易戰而造成的台商回流潮,經濟部鼓勵台商在台投資、帶動產業智慧升級,而制定了多項投資抵減配套措施,TechOrange 日前舉辦 2019 邊緣運算論壇,以「 AI + IoT 備戰台商回流潮, IIoT 智慧升級」為題,邀請 AI、工業物聯網等業界專家分享產業升級趨勢與觀察,在智慧工廠的資安防護方面,TechOrange 邀請到趨勢科技台灣暨香港總經理洪偉淦以及資策會資安科技研究所所長毛敬豪,到場分析 IoT 時代的 OT 資安防護思維。      

<回到新聞條列重點>

加密貨幣是幫兇!全球最大兒童色情網站337位用戶遭逮捕        新頭殼

美國司法部昨(17)宣布,已與南韓、英國聯手破獲世界最大、以比特幣進行影片交易的兒童色情網站「Welcome to Video」,目前該網站架設者已被判刑,迄今共有337位用戶被捕

<回到新聞條列重點>

Google著手修復Pixel 4人臉解鎖漏洞,恐花好幾個月   中時電子報

Google 年度新機 Pixel 4 系列日前已正式發表,上網訂購的消費者近幾日就能收到新機,入手親自體驗。不過,得留意的是,Pixel 4 在正式送達消費者手中之前,透過媒體評測已發現系統漏洞,就是人臉解鎖(face unlock)竟然「閉著眼睛都能解」,引發資安疑慮。對此,Google 已著手開發系統更新,試圖解決。不過,恐怕會讓使用者感到困擾的是,恐怕得等候比你我預期更久的時間,才能盼到夠安全的人臉辨識功能。       

<回到新聞條列重點>

利用字母變化 電郵詐騙至少每起百萬起跳      TVBS新聞網

詐騙手法花招百出,甚至透過幾個字母變化,就能詐騙百萬元,因為詐騙集團瞄準企業端,侵入員工電腦,針對正在進行交易的信件,假造類似的郵件地址,讓企業端錯誤付款,損失大筆金錢,光是今年到九月份為止,就有37件,損失金額達到四千多萬元

<回到新聞條列重點>

為選舉備戰!Facebook推候選人帳號防駭功能,並標註來自「國有媒體」的內容    數位時代

Facebook Protect將要求開啟兩階段驗證,Facebook將監控是否有遭受駭客攻擊,若有異常位置或未經驗證的設備嘗試登入等駭入帳號的行為,Facebook將會通知帳號管理員,並調查此帳號是否遭受攻擊,以避免不法份子藉由駭入選舉候選人或其幕僚的帳號,竊取敏感訊息、洩密、進而散播假消息。       

<回到新聞條列重點>

Alexa與Google Home第三方應用程式可用語音釣魚竊取用戶密碼      iThome

駭客技術研究組織SRLabs發現,無論是Google Home或是Amazon的Alexa智慧助理,惡意人士都可以透過廠商開放的標準介面,使裝置轉變成為智慧間諜,不只能夠利用語音釣魚騙取用戶的敏感訊息,還能在用戶認為裝置停止運作之後,持續繼續進行竊聽。   

<回到新聞條列重點>

Linux核心含有可造成系統當機或遭駭客掌控的陳年漏洞       iThome

此一漏洞編號為CVE-2019-17666,它存在於Linux核心中的RTLWIFI驅動程式,這個驅動程式是用來支援瑞昱(Realtek)的Wi-Fi晶片,因此,當採用瑞昱Wi-Fi晶片的Linux裝置位在惡意裝置的無線通訊範圍內時,該漏洞就能被觸發,形成緩衝區溢位,而讓Linux系統當掉,或是允許駭客取得系統權限。       

<回到新聞條列重點>

AI非萬靈丹 專家:智慧城市衍生諸多疑慮      中央通訊社

越來越多亞洲城市在提供社會福利和公共服務時,採用臉部辨識和人工智慧(AI)等科技。但都市發展專家今天呼籲,亞洲政府也應解除民眾的隱私疑慮和保護社會弱勢族群。   

<回到新聞條列重點>

《科技》Windows 7終止支援最後倒數88天   中時電子報網

微軟2020年1月14日將終止支援Windows 7,離現在僅剩88天,微軟表示,繼2018年11月Windows 10用戶數正式超過Windows 7後,Windows 10已經以全球超過9億台裝置成為市場上的主流作業系統。根據Statcounter統計,截至2019年10月,台灣Windows 10使用者佔比已近6成,並持續上升中。為協助更多的用戶升級到Windows 10,微軟今日宣布推出電腦分析(Desktop Analytics)服務,協助企業更加有效部署及管理Windows 10版本更新。 

<回到新聞條列重點>

打造微型間諜晶片花6千元就能辦到,兩名資安專家DIY告訴你有多簡單 數位時代

去年十月,彭博社報導中國駭客在美國科技大廠的伺服器內加裝微型間諜晶片遭駁斥,如今卻有資安專家跳出來進行試驗,說這種晶片「在自家地下室就做得出來」。     

<回到新聞條列重點>

趨勢科技與Snyk策略聯盟,協助軟體開發人員迅速安全地開發應用程式   iThome電腦報周刊

趨勢科技與Snyk將共同協助企業管理漏洞的風險而不阻礙軟體供應流程,藉由結合Snyk 與趨勢科技的開放原始碼漏洞情報,為DevOps環境開發團隊提供更完整的漏洞偵測能力。一旦在容器上發現漏洞,趨勢科技將扮演防堵的角色,而Snyk則負責加以修正,兩者合作無間,進而簡化矯正程序並降低風險。       

<回到新聞條列重點>

撐大雲端資安傘,趨勢科技21億元併購澳洲新創Cloud Conformity     數位時代

對趨勢科技來說,這項併購解決雲端基礎架構經常被忽略的組態設定錯誤所衍生的資安問題,進一步擴大趨勢科技的雲端資安服務的完整性。       

<回到新聞條列重點>

FTC出手禁售3款跟蹤程式        iThome

FCC以危及個人隱私以及安全度不足容易導致裝置越獄為由,對跟蹤程式MobileSpy、PhoneSheriff與TeenShield下禁售令,為了與FCC達成和解,被點名的開發商承諾會聽從建議改善產品安全性,以確保程式不被有心人士濫用。       

<回到新聞條列重點>

三星Galaxy S10指紋辨識爆漏洞 多家銀行暫停指紋登入功能       新頭殼

三星(Samsung)旗艦機Galaxy S10及Galaxy Note 10系列,主打超聲波螢幕指紋感測技術,但近期官方證實,用戶裝置如使用非官方保護貼,即使沒有註冊過的也能輕易解鎖。目前多家銀行已宣布暫停S10、Note 10指紋登入功能。   

<回到新聞條列重點>

反送中》「香港解密」曝台人個資 台灣基進籲政府反制港府        自由時報電子報

台灣基進今與台北市議員苗博雅、林亮君共同召開記者會,直指「香港解密」網站揭露的不只港人個資,就連台灣人的個人資訊也在網路上被暴露。台北市議員苗博雅說,香港解密上的資訊非常詳盡,顯示此網站絕非一般駭客所為,應有官方介入,呼籲台灣政府應盡速向港府提出交涉,以維護在港台人權益。       

<回到新聞條列重點>

中國國家級駭客再升級 專攻少數族群及其海外親友手機      中央廣播電臺

中國的網路戰爭行動開始出現升級趨勢,《紐約時報》報導指出,近期安全研究人員發現,中國政府所支持的駭客行動已經轉變成用選擇性的攻擊取代了過去漫無目的策略,研究人員發現,在香港反送中、維吾爾族監控上都可看到與過去不同的駭客攻擊行動,專家透露,中國駭客利用iPhone和安卓手機漏洞,監控到手機使用者瀏覽的反對意見網站,甚至連手機裡的通訊錄名單也會受到威脅,並認為打擊目標正是衝著海外維族甚至藏族等少數族群而來。   

<回到新聞條列重點>

俄羅斯駭客駭進伊朗駭客的攻擊架構與工具,借刀殺人        iThome

英美國安單位指稱俄羅斯駭客集團Turla不僅盜用伊朗駭客集團OilRig(APT34)的攻擊工具,來收穫被OilRig攻陷的系統,連OilRig的攻擊架構與命令暨控制伺服器也被Turla盜走。 

<回到新聞條列重點>

孟加拉掀宗教流血事件 起因網路暴力      台灣醒報

孟加拉人民上街抗議,事件起因為駭客入侵印度教徒電腦張貼反伊斯蘭言論,使得印度教與伊斯蘭教的摩擦再起。總理哈西娜20日發聲呼籲人民冷靜。然而警方已朝示威遊行隊伍開槍,已有至少4位民眾身亡,孟加拉警方表示,開槍是因為民眾已失控。       

<回到新聞條列重點>

2018政府機關資安通報現況大公開,6起3級事件最嚴重    iThome

以國家資安通報的體制而言,基本上,可以分為針對政府機關的國家資通安全會報技術服務中心,以及針對民間業者的TWCERT,最近,行政院資通安全處處長簡宏偉在一場研討會上,特別揭露了去年全年度政府機關的資安事件通報狀況,並說明現今法規要求以建立完善制度。       

<回到新聞條列重點>

行動身分識別跨大步 用手機也能查繳地價稅  工商時報電子報

為提升服務效率,內政部資訊中心特別於108年度規劃建置「TAIWAN FidO臺灣行動身分識別機制」,一般國民只需要以自然人憑登錄系統、綁定手機,日後透過網路或是手機辦理事務時,即可藉由綁定的手機進行身分識別。第一階段將以「108年度地價稅查詢繳納」為試辦應用。    

<回到新聞條列重點>

資安一周第65期:臺灣連日發生多起服務中斷事件,包括民生金融LINE Pay電子支付、ATM跨行提款等        iThome

行動支付服務LINE Pay一卡通在10月16日下午,傳出系統故障,造成部分民眾在店家結帳櫃臺前使用LINE Pay電子支付時,不斷嘗試卻無法成功交易,只能改用其他方式付款

<回到新聞條列重點>

第一證券遭駭?分析師曝真相…分享2檔資安ETF,年化報酬率逾10%      商業周刊

今年9月14日~9月15日週末期間,很多Firstrade的用戶陸續發現一個奇怪現象:電子郵件遭到不尋常竄改,被改為「stefanofinding@wearehackerone.com」而筆者本身也是Firstrade用戶之一,電子郵件同樣遭竄改,發現後立刻改回正確電郵地址,而心裡第一個念頭就是:「券商系統遭到入侵?」。       

<回到新聞條列重點>

微軟聯合PC業者防止韌體惡意程式  iThome

針對Secure Boot技術無法防範的韌體攻擊路徑,微軟與AMD、Intel及高通合作設計更進階的硬體安全計畫,讓Windows 10 PC開機多一道系統防護程序,透過減少對韌體的信任,來有效防堵入侵韌體的網路威脅。       

<回到新聞條列重點>

金融業系統頻頻出包 金管會八大措施強化控管      自由時報電子報

對金融業資安強化措施,金管會明(23日)將赴立院財委會進行專案報告。金管會今天表示,為強化國內金融數位監理與風險控管,提出八大強化措施,包括:設置資安專責單位及主管、每年定期資安檢測、建構金融資安聯防體系等。       

<回到新聞條列重點>

NordVPN、TorGuard與VikingVPN三大VPN業者的金鑰外流  iThome

VPN產業在本周很熱鬧,爆出NordVPN、TorGuard與VikingVPN等三大VPN業者的金鑰外流,其實金鑰外流是在去年發生的事,而之所以在本周發酵只是因為NordVPN在官方Twitter貼出了一則廣告,同時激怒了安全研究人員與駭客,駭客直接張貼了一個公布NordVPN金鑰的連結,之後再傳出連TorGuard與VikingVPN都受害。 

<回到新聞條列重點>

德國政府掛保證:Firefox是最安全的瀏覽器    iThome

報告是依據德國聯邦政府頒佈的現代安全瀏覽器指南,所列出的能力要求,對市面瀏覽器進行測試評分。BSI今年夏天釋出最新版指南,將一些進階安全功能加入,包括HTTP強制安全傳輸技術(HTTP Strict Transport Security,HSTS)、子資源完整性(Subresource Integrity,SRI)及內容安全政策(Content Security Policy,CSP)2.0、遙測資料(telemetry)處理及憑證處理機制等。   

<回到新聞條列重點>

調查局查獲大陸人士散布蔡總統賣台假訊息    中央通訊社

調查局今天說,發現臉書有二則假訊息,指稱總統蔡英文賣台等不實訊息,溯源調查發布者為大陸人士,呼籲民眾未經查證勿任意轉傳訊息。調查局將發函臉書在台分公司要求下架。       

<回到新聞條列重點>

總統:感謝美國「共和黨國際事務協會」來台分享對抗假訊息經驗    中時電子報

蔡英文總統今接見美國「共和黨國際事務協會」(IRI)訪問團時表示,假訊息不僅造成民眾對政府的誤解,更撕裂社會和諧、傷害民主。她感謝「共和黨國際事務協會」派專家來台與台灣分享對抗假訊息的經驗,一起為捍衛民主來努力。   

<回到新聞條列重點>

駭客用WAV檔散佈惡意程式      iThome

過去駭客經常將惡意程式藏在.JPEG或.PNG檔,現在研究人員發現有攻擊行動開始將惡意檔案混在Wav檔案中或將其編碼成.WAV檔案型態,以避免防毒軟體的偵測,對受害電腦植入後門或挖礦軟體。               

<回到新聞條列重點>

AIoT Taiwan及電子展完美落幕 打造跨產業智慧生態系  台灣新論

由中華民國對外貿易發展協會(TAITRA)及台灣區電機電子工業同業公會(TEEMA)共同主辦,2019年「台北國際電子產業科技展(TAITRONICS)」及「台灣國際人工智慧暨物聯網展(AIoT Taiwan)」於今(18)日完美落幕。兩展共有來自臺灣、波蘭、日、韓、星、泰、香港及中國大陸等310家廠商參展,3天展期共吸引全球68個國家、逾1萬3,000名買主及業者進行參觀採購。      

<回到新聞條列重點>

Android 版 Chrome 瀏覽器獲得防禦 Spectre 攻擊的更新    Engadget中文版

去年 Google 為桌面版的 Chrome 67 瀏覽器加入了 Site Isolation 的功能,防止駭客會從別的網頁盜取到其他網站的數據,包括密碼。如此的功能也在今天正式引入到 Android 版本裡,只要更新到 Chrome 77 就可以擁有這保護了。   

<回到新聞條列重點>

世上運算最強電腦,將孕育另一個半導體業 台積電點名的重磅科技 量子電腦到底是什麼?      商業周刊(台灣)

「假如有一天,每一個人的口袋都有一個量子電腦,我想TSMC(台積電)一定不會缺席。」台積電董事長劉德音在9月的國際半導體展中表示。       

<回到新聞條列重點>

無視美國禁令?華為獲得 32 個歐洲 5G 合約        鉅亨網

儘管因為資安威脅,而遭到美國川普政府封殺,華為週二 (15 日) 在蘇黎世大會上仍然表示,在公司已簽署的 65 項 5G 商業交易中,有一半是來自於和歐洲客戶合作建造的第五代高速網路 (5G),打破外界預期華為應在歐洲受到更嚴格的官方審核和抵制的預期。       

<回到新聞條列重點>

不只要發現漏洞,還必須驗證會被濫用的可行性 戴夫寇爾剖析網頁郵件系統漏洞  iThome電腦報周刊

專精於找尋漏洞的戴夫寇爾,今年舉辦的資安大會中,有2場他們在臺灣發現的資安漏洞演講,它們的共通之處,就是在許多民眾習以為常的資訊設備或系統上,發現可被濫用的弱點。   

<回到新聞條列重點>

開源軟體漏洞 macOS終端模擬器iTerm2存在重大漏洞        iThome電腦報周刊

由Mozilla資助的安全審核,發現了一個在MacOS終端模擬器iTerm2存在7年的漏洞CVE-2019-9535,這個漏洞可以讓攻擊者在使用者電腦上執行命令。iTerm2開發者現在已經發布最新的3.3.6版本,Mozilla提醒使用者應該要盡快更新。      

<回到新聞條列重點>

中國駭客以後門程式入侵MS SQL Server   iThome

最新發現的Skip-2.0讓攻擊者獲得一組萬能密碼,讓他們可以暗中連上任何SQL Server帳號,藉此拷貝、變更、刪除資料。當它進入系統後,會注入惡意程式碼來鈎取(hook)並修改多個與登入、驗證有關的功能,藉此繞過SQL Server內建的驗證機制,使攻擊者不論輸入的密碼和合法用戶密碼是否相符,都能成功連線回到新聞條列重點>