趨勢科技在免費跨平臺檔案分享程式 SHAREit (「茄子快傳」)應用程式發現了漏洞。這些漏洞可以被惡意用來取得使用者的敏感資料,執行任意程式碼並可能導致遠端程式碼執行。此應用程式有超過10億次的下載量。
在名為SHAREit的應用程式中發現的這些漏洞可以被惡意用來取得使用者的敏感資料,並讓惡意程式碼或應用程式能夠用SHAREit的權限來執行任意程式碼。它們還可能導致遠端程式碼執行(RCE)。在過去,可用來從使用者裝置下載和竊取檔案的漏洞往往與應用程式相關聯。當應用程式允許傳輸和下載如Android Package(APK)等各式類型的檔案,非預期的程式缺陷就可能導致這些功能出現漏洞。
SHAREit在Google Play上有超過10億次的下載量,並被評為2019年下載次數最多的應用程式之一。這些漏洞已經通報給了Google。
為了進一步了解臉部辨識裝置的資安問題,趨勢科技分析了四款不同裝置,結果發現這些裝置都有可能遭駭客用於不法用途。
生物辨識保全設備,如指紋掃描機、虹膜掃描機、臉部辨識攝影機等等,已廣泛應用於各種場所的出入管制。但這些生物辨識驗證設備通常需仰賴大量的電腦運算,例如,傳統臉部辨識保安設備會透過外部服務來進行電腦運算,以辨識使用者。安裝在現場的攝影機只負責擷取影像,然後將影像傳送至雲端服務來進行運算。當部署在大規模環境時,使用者的身分驗證過程就可能發生延遲,此外,當有大量的影像資料必須傳送到驗證中心時,網路頻寬的消耗也會是個問題。
為了解決這些問題,保全業者開始在臉部辨識門禁裝置中導入邊緣運算能力。在此一架構下,裝置本身就是一個邊緣運算節點,具備完整的運算能力直接可以對使用者的影像進行驗證。這些具備邊緣運算能力的裝置只有在一些協調和維護工作時才會需要用到外部服務。
這樣的架構既可降低延遲,又不必占用網路頻寬,因為不需在網路上傳輸使用者的影像。然而,讓這些低功耗的「非智慧」裝置具備更強大的運算能力並承擔更多的認證責任,卻可能引起資安上的疑慮。
為了進一步深入了解臉部辨識裝置的資安問題,趨勢科技分析了四款不同裝置的安全性:ZKTeco FaceDepot-7B、Hikvision DS-K1T606MF、Telpo TPS980 與 Megvii Koala。
這些裝置與後端伺服器 (若有的話) 都安裝在一個隔離的測試網路內。我們將模擬這些裝置在一般企業環境內的正常運作方式。如圖 1 所示,此環境包含三大元素:
• 作者:趨勢科技CISA 基礎架構策略副總裁:William “Bill” Malik
在 Black Hat USA 2020 駭客大會上,趨勢科技發表了兩場關於工業物聯網 (IIoT)漏洞的演講。第一場討論的是某些工業機器人專用程式語言的弱點,第二場則是探討通訊協定閘道的漏洞。任何正在採用工業機器人的企業,以及任何採用多重廠牌設備的 OT 環境,都應該認識這些攻擊威脅。
以下是兩場演講的重點摘要。
今日的工業機器人大多內含功能強大完整的電腦,但工業機器人不如今日絕大多數電腦的地方是,它們連最基本的資安措施都沒有。首先,在架構層次上,工業機器人缺乏任何指令限制或記憶體隔離機制。換句話說,任何程式都能修改任何部份的記憶體或執行任何指令。在傳統的大型主機裡,沒有任何一個應用程式可以存取、修改或執行另一個應用程式或作業系統內部的指令。就連智慧型手機作業系統也有權限管制,例如,應用程式若要存取智慧型手機的相機,必須先取得相機的權限才行。但工業機器人卻允許任何程式碼讀取、存取、修改或操作任何與該系統連接的裝置,包括時鐘。如此一來就無法確保工業機器人的資料一致性,也無法檢查故障,除錯將變得異常困難。
繼續閱讀
最近趨勢科技發現一種罕見的感染手法,專門感染 Xcode 開發專案。經過進一步調查之後,我們在某開發人員的 Xcode 專案中發現了原始惡意程式,深入追查之後更找到其他惡意檔案。在這調查過程當中,最值得注意的是我們發現了兩個零時差漏洞攻擊手法:其中一個是利用 Data Vault 的某個缺陷來竊取瀏覽器的 Cookie;另一個則是用來操控開發版本的 Safari 瀏覽器執行惡意行為。
此威脅比尋常,因為其惡意程式碼是注入於本地端 Xcode 專案當中,因此當該專案在產生應用程式時就會執行惡意程式碼,這對 Xcode 開發人員來說尤其特別危險。當我們發現受害的開發人員將其專案分享到 GitHub 之後,此威脅也隨之升高,使用者若將此專用應用到自己的開發專案當中,會造成類似供應鏈攻擊的效果。此外,我們也從 VirusTotal 之類的來源發現到此威脅,表示這項威脅已經擴散開來。
以下摘要說明我們對此威脅的分析結果,詳細攻擊細節請參閱相關技術摘要。首先,我們將此惡意程式命名為「TrojanSpy.MacOS.XCSSET.A」其幕後操縱 (C&C) 相關檔案命名為「 Backdoor.MacOS.XCSSET.A」。
此惡意程式主要經由 Xcode 專案以及從此惡意程式所衍生的應用程式散布。目前還不清楚惡意程式一開始是如何進入被感染的系統,因為照理講這些系統主要開發人員在使用。這些 Xcode 專案已遭修改,因此當專案在產生應用程式時就會執行惡意程式碼,進而使得 XCSSET 的主要惡意程式被植入到受害系統上執行。此外,受害使用者的登入憑證、帳號以及其他重要資料也可能遭竊。
XCSSET 進入受害系統之後可能出現以下行為:
繼續閱讀在一項深入研究當中,我們實際分析了一個真實的智慧製造環境,探討各種可能被駭客用來入侵智慧製造系統的非傳統管道。
下載「針對智慧製造系統的攻擊:一項前瞻性資安分析」(Attacks on Smart Manufacturing Systems:A Forward-looking Security Analysis)
邁入 工業 4.0 的時代,越來越多的企業紛紛開始導入智慧製造,希望藉此提高生產效率。雖然這確實帶來了不少效益,例如更高的生產力與更低的成本,但卻也開啟了新的攻擊管道,讓駭客有機會入侵智慧製造環境並且在內部遊走。
智慧製造系統在設計上原本就應該與企業網路及外部世界隔離。但儘管如此,駭客仍有可能利用一些有異於傳統的方式來入侵系統。駭客經由這類方式發動攻擊的可能性,以及這類攻擊對受害企業可能造成的後果,就是這份研究所要尋找的答案。
由於智慧製造環境可能無比複雜,並且涉及各式各樣的技術和專業領域,因此我們決定聚焦某些資安環節,也就是駭客的攻擊模式,探討當駭客已經入侵系統的某些單元時,如何利用這些入侵點和受害者來進一步擴大勢力範圍。
為了達到這項研究目的,我們需要能近距離觀察一個實際的智慧製造環境。這樣不僅可以了解生產流程的實際運作,還可以模擬模擬產品的生產流程來看看是否有什麼脆弱環節。因此,我們與義大利最具規模的科技大學「米蘭理工大學」(Politecnico di Milano) 合作並使用他們的 工業 4.0 實驗室,這是一個採用與完整生產線相同基本原理來生產手機玩具的研究實驗室。
繼續閱讀