研究人員在市售的 390 款 Axis IP 網路攝影機的韌體當中發現了 7 個漏洞,這些漏洞可能讓駭客掌控裝置的拍攝畫面及軟體、讓裝置完全失效、透過裝置來入侵網路,或者利用裝置來發動分散式阻斷服務攻擊 (DDoS)之類的網路攻擊。該裝置製造商在接獲通報之後已迅速釋出修補更新,所有受影響的型號皆應盡速更新裝置韌體。
[延伸閱讀:2017 年最值得注意的家庭網路威脅]
研究人員已將上述漏洞通報給 Axis Communications 公司,這些漏洞是研究人員在追查某些消費型及商用物聯網 (IoT) 裝置漏洞時所發現,其中還包括了零時差漏洞。駭客可搭配運用其中的 3 個漏洞來取得裝置的系統管理權限進而從遠端下達指令來進行下列操作 (研究人員甚至提供了概念驗證示範):
本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
媒體資安新聞精選:
台灣成資安高危險群 4月造訪惡意連結次數排全球第三 經濟日報網
Google Home、Chromecast漏洞恐洩露用戶位置 iThome
簡訊網路釣魚 (稱為 SMS phishing 或 SMiShing) 同樣也是一種 網路釣魚攻擊 ,它會利用社交工程誘餌來誘騙簡訊接收者點選會下載惡意程式的連結。趨勢科技 發現有一波惡意攻擊利用”SMiShing簡訊釣魚”詐騙手法散播,一隻名為 FakeSpy(ANDROIDOS_FAKESPY.HRX)的 Android簡訊釣魚病毒,不但會竊取中毒手機的簡訊,帳號資料、聯絡人和通話記錄,還會置換手機內的銀行應用程式藉以竊取資料,另外也會檢查虛擬貨幣交易和電子商務應用程式。
受害者先收到一則偽裝成合法訊息的簡訊,比如一家物流公司誘使收件者點入簡訊內的惡意連結。目前該簡訊病毒,會偽裝成運輸、物流、快遞、電子商務、行動電信服務和服裝賣場或是消費金融服務公司的應用程式。
除了竊取資料外,FakeSpy 還會檢查手機內安裝的銀行相關應用程式。如果找到目標應用程式,就會置換成模仿合法應用程式介面的山寨版本。發出假警告通知,要使用者輸入帳號密碼來更新應用程式,以免資料外洩。除此之外,它還會檢查虛擬貨幣交易和電子商務應用程式。
雖然該惡意軟體目前的僅限於日語和韓語使用者,但是因為FakeSpy相當積極地發展各項功能,其他語系的使用者也該提高警覺。
趨勢科技呼籲企業應把關資安脆弱環節 確保達成 GDPR 所需的防禦
全球網路使用環境的威脅越來越惡劣,那些誘導使用者點擊瀏覽惡意網頁,進而下載惡意程式至上網裝置進行如盜取個人資訊等不法行為更是每天發生在你我的身邊。根據全球網路資安解決方案領導品牌趨勢科技 TREND LABS全球技術支援與研發中心研究指出,今年四月份台灣用戶造訪惡意連結的次數累計超過800萬次,躍上全球第三的排名,僅次於日本及美國。研究報告也同步指出,全球四月份所監測到惡意程式最多的國家分別是美國、日本、澳洲、巴西和台灣,其中台灣單月也有超過500萬個惡意程式到處肆虐,駭客攻擊方興未艾仍然為資安隱憂!
上述的研究數據顯示台灣在資訊安全的管理上仍是『高危險群』,今年四月份台灣上網族群造訪惡意連結的次數,相較於一月份成長1.5倍之多。事實上,隨著越來越多人會透過各種行動裝置在辦公室以外的環境工作,如:咖啡廳、機場、飯店或家中等,當駭客透過惡意連結進而駭入使用者的裝置時,遭受感染的裝置恐成為不法之徒入侵企業內部網路的跳板,進而對企業內部網路安全造成威脅。
近年來新興科技如物聯網的廣泛應用,數據及資料的流動與安全儼然已是一個複雜且日趨重要的課題,趨勢科技呼籲,台灣企業必須更積極重視網路安全的管理及資料保護,特別是上月25日歐盟通用資料保護法 (GDPR-General Data Protection Regulation)正式上路之後,全球經營者皆應重新檢視企業內部對於資料保護的對應做法,除了提高員工的資安意識及加強組織內部對資安與資料隱私的要求。趨勢科技建議企業可採用具備進階能力、完善偵測引擎的資安產品來協助企業集中控管並防禦最新威脅。像是趨勢科技XGen™防護能提供跨世代融合的威脅防禦技巧,保護資料中心、雲端環境、網路及端點,協助企業在高風險的網路使用環境下,能夠獲得最佳的保護。
網路犯罪者使用巧妙的手段騙取手機用戶安裝惡意軟體。例如,最常見的手段就是偽裝成正規版的人氣遊戲,趁機散播假的惡意軟體。近來也發現佯稱再生影像、音樂、影片時需要特殊播放軟體,進而誘使手機用戶安裝惡意軟體的手法。智慧型手機感染上病毒的原因不外乎是,手機用戶全然不知自己下載的竟然是惡意軟體。 繼續閱讀