手機的便利,加上現在的人工作忙碌,讓交友軟體變成時下很多男女認識異性的熱門工具,像是手機上熱門Pairs、SweetRing、iPair、Paktor等.打開新聞上你會不時看到有男性網友被設計仙人跳的,但卻忽略掉女性在這樣的虛擬戀愛交友的世界裡是相對弱勢的,女性被害者受害時較沒有勇氣出面報警或者告知家人朋友,而這樣的弱點正好被這些網路男蟲利用著.所以女孩們小心了,本篇將揭發交友軟體上變態男的種種惡行!
琳琳是個剛從學校畢業不久的幼兒園老師,因為工作環境關係很難去認識新的異性.就在一次臉書的廣告上看到一個交友軟體的廣告,帶著一點好奇一點興奮的驅使下載並加入了手機交友app,展開了她的虛擬交友之旅.
「嗨你好,可以認識妳嗎?」
「我叫劉行濺,小劉,認識的人都叫我賤男或是流行哥」一個拿著衝浪板但突兀的戴著眼鏡長相平庸的男生私訊了她.
「劉行賤? 流行賤? 小劉你的名字真的聽起來真的很白痴啊,哈哈!」
Dirty COW(編號CVE-2016-5195)是在2016年10月首次被公開披露的Linux漏洞。這是個嚴重的提權漏洞,可以讓攻擊者在目標系統上取得root權限。它被Linus Torvalds描述為「古老的漏洞」,在披露後就迅速地被修補。多數Linux發行版本都已經盡快地將修補程式派送給使用者。
Android也同樣受到Dirty COW漏洞影響,雖然SELinux安全策略大大地限制住可攻擊範圍。趨勢科技發現了一種跟現有攻擊不同的新方法來利用Dirty COW漏洞。這個方法可以讓惡意程式碼直接寫入程序,讓攻擊者能夠對受影響設備取得很大的控制。目前所有的Android版本都受到此問題影響。
概念證明應用程式:即便手機設定成不接受來自Google Play以外的應用程式,也可以偷偷安裝應用程式
下面的影片顯示一個已經更新最新修補程式的Android手機安裝了我們所設計的概念證明應用程式且無須要求授予任何權限。一旦執行,就可以利用Dirty COW漏洞來竊取資訊和變更系統設定(在這展示中會取得手機位置,開啟藍牙和無線熱點)。它也可以偷偷安裝應用程式,即便手機設定成不接受來自Google Play以外的應用程式。
為什麼會這樣?當執行一個ELF檔案時,Linux核心會將可執行檔映射到記憶體。當你再次打開相同的ELF可執行檔時會重複使用這份映射。當利用Dirty COW漏洞來修改執行中的ELF可執行檔時,執行中程序的映像也會改變。讓我們想想這代表什麼:Dirty COW可以修改任何可讀的執行中程序。如果程序不可讀,則用cat /proc/{pid}/maps來找出是否有任何載入中的ELF模組可讀。
在Android上也可以應用相同的步驟。Android Runtime(ART)程序可以用相同的方式動態修改。這讓攻擊者可以在Android設備上執行應用程式來修改任何其他可讀程序。所以攻擊者可以注入程式碼並控制任何程序。
圖1、改進的Dirty COW攻擊
這種攻擊將攻擊能力延伸到不僅僅只是讀寫檔案,而是直接將程式碼寫入記憶體。可以取得root權限而無須重新啟動或造成系統崩潰。
在我們的概念證明影片中,動態修改libbinder.so讓我們的應用程式取得系統root權限。我們使用這能力繞過Android的權限控管來竊取資訊和控制系統功能。
解決方式和資訊披露
趨勢科技已經將此問題通報Google。Dirty COW最初是透過2016年11月的Android更新加以修補,但這直到2016年12月的更新才強制此項修補。使用者可以詢問行動設備廠商或電信業者來了解自己的設備何時可以取得更新。
我們現在正在監控使用此類攻擊的威脅。強烈建議使用者只安裝來自Google Play或可信賴第三方應用程式商店的應用程式,並使用行動安全解決方案(如趨勢科技的行動安全防護)來在惡意威脅進入設備或對資料造成危害前加以封鎖。
企業使用者應該要考慮如趨勢科技企業行動安全防護的解決方案。它涵蓋了設備管理、資料防護、應用程式管理、法規遵循管理、設定檔配置及其他功能,讓企業主可以在自帶設備(BYOD)計畫的隱私安全與靈活性、增加生產力之間取得平衡。
@原文出處:New Flavor of Dirty COW Attack Discovered, Patched 作者:Veo Zhang(行動威脅分析師)
新發表「XGen跨世代資安防護戰略」抵禦駭客淘金潮的致勝關鍵
【2016年12月13日,台北訊】全球網路資安解決方案領導品牌趨勢科技(東京證券交易所股票代碼:4704)今日發表2017年資安年度預測報告,指出隨著「駭客經濟高獲利」、「攻擊技術高準確」、「使用者高受害機率」等資安威脅三高環境越趨成熟,趨勢科技預測新一年度駭客淘金潮即將大舉來襲。因應全球駭客地下經濟蓬勃發展與威脅手法不斷演變,趨勢科技全新發表「XGen跨世代資安防護戰略」,率先將高準度機器學習技術整合於防護解決方案,協助企業加速提升資安防護能力,將成為有效抵禦駭客淘金潮的致勝關鍵。
【圖說一】趨勢科技資深技術顧問簡勝財說明2017年資安環境有「駭客經濟高獲利」、「攻擊技術高準確」、「使用者高受害機率」等三高威脅趨勢,駭客淘金熱潮將大舉入侵
【圖說二】趨勢科技台灣暨香港區總經理洪偉淦分享2017年趨勢科技將以「XGen跨世代資安防護戰略」防禦日趨多變且駭客手法更精確的資安威脅
趨勢科技 2017 年度資安大勢預測:資安威脅三高環境成熟、駭客淘金手法遂行 APT 任務!
2016 年已開啟了網路犯罪集團探索未知攻擊領域和攻擊面的大門,以影響企業營運及消費者資安甚鉅的網路勒索為例,趨勢科技團隊統計截至今年第三季為止,全球網路勒索總攻擊次數已超過 1.8 億次,台灣受害排名則高居全球第 16,受攻擊總數逼近 300 萬大關1 ,FBI 最新數據更指出光是單一勒索病毒變種每天就能入侵大約 100,000 台電腦2。
詐騙集團假冒警察、檢察官詐騙老年人退休金的案例時有所聞,警方也一直向民眾呼籲,提醒家中老年人小心此類詐騙手法,沒想到詐騙集團竟將魔手也伸向七年級生,有被害人因此被騙100餘萬元。
住在屏東縣70年次的李小姐,平常都在家中帶小孩,月初時接到未顯示號碼的電話,對方表示他是臺北地檢署人員,因為李小姐涉嫌老鼠會案件,但是發了2次傳票通知李小姐均未到案說明,且傳票寄到臺北的地址都有李小姐的親友簽收,如果李小姐仍然不到案說明,就要發布通緝。
李小姐連忙表示是真的沒收到通知,不是故意不去,對方便要求李小姐繳交保證金新臺幣(以下同)39萬元,並告訴李小姐因為偵查不公開,如果銀行人員詢問提領用途,便回答是因為公公中風所需的醫療費用。李小姐便依照對方指示,將提款卡連同39萬元帶到對方指定地點交付給自稱是地檢署人員的車手。
|
