資安趨勢部落格 – 第 713 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

《物聯網（IoT）安全趨勢》物聯網管理員（AoT） – 智慧化的副作用

2014 年 09 月 26 日2016 年 01 月 25 日趨勢科技 TrendMicro

在一篇之前的文章裡，我們談論到住家持續地智慧化–住家會隨著時間過去而累積更多智慧型設備是很自然的演變。雖然這有其好處，智慧型住家的居民也需要投入時間和精力來維護這些設備。隨著越來越多設備加入到一般消費者的家中，這樣的需求只會更增加。

管理一個充滿智慧型設備的家庭需要同時具備多使用者IT管理者和技工的能力。讓我們稱這角色為物聯網管理員（AoT）。一般使用者被要求擔任這樣的角色，儘管並沒有證據顯示他們已經準備好了。

這新的角色值得去探討，因為人們能否扮演好這角色會大大地影響其日常生活，這包括了他們的住家安全。這角色所需要做到的程度跟許多因素有關，包括了：

家中智慧型設備的數目
這些設備是否能夠自行運作
這些設備有多安全
這些設備有無使用消耗品，像是電池
有多少家庭成員使用這些設備
廠商多久會進行更新
它們多常會遭受攻擊–實體或虛擬

圖1、第二代Nest恆溫控制器的電池（圖片來源：iFixit.com）

想起家庭運算以前的主力：個人電腦。它是個令人印象深刻功能強大的機器，但同時也非常複雜。有多少人有親戚朋友有台裝滿老舊而不安全軟體的電腦？我敢說我們都認識這樣的人。

想想你最後一次解決家中智慧型設備的時候 –像是你的路由器或網路攝影機。試想一下：你是怎麼發現問題跟解決方法的，花了多久去修好。如果我們把這當作一份工作，它的描述會像是這樣子：

工作簡介

實作和維護住家內智慧型設備（物聯網設備）的持續部署和操作。需要每天24小時，每禮拜七天的待命。

能力期望

具備智慧型設備和家電的管理知識，包括：

o 安全和監控設備 –保全和嬰兒監控攝影機，智慧型門鎖

o 智慧型集線器 –包括智慧型集線器和連接的周邊

o 家電 –包括智慧型冰箱/洗衣機/乾衣機

o 穿戴式裝置 –包括運動偵測器和智慧型眼鏡

o 安全感測器 –包括煙霧探測器/二氧化碳感測器/溫度控制器

o 智慧型影音設備 –包括環繞立體聲接收器，遊戲機，智慧型電視，智慧型音響，智慧型收音機繼續閱讀

趨勢科技榮獲「最佳軟體即服務-資訊安全大獎」

2014 年 09 月 25 日2014 年 09 月 25 日趨勢科技 TrendMicro

【台北訊】趨勢科技(TSE: 4704)今天宣佈榮獲 2014 Asia Cloud Awards 中的「最佳軟體即服務—資訊安全大獎」(Best Software-as-a-Service – Security Award)。該獎項對趨勢科技Deep Security給予肯定，肯定趨勢科技在雲端資安領域內的努力及領導地位。

趨勢科技香港及台灣區總經理洪偉淦表示：「能夠獲頒此雲端運算服務的獎項我們感到十分榮幸。我們竭誠協助客戶在雲端及虛擬環境中對抗瞬息萬變的威脅，務求保護其機構安全，這個獎項正是對我們這份努力的認同，實在令人鼓舞。」

第二屆Asia Cloud Awards 2014致力於表揚亞太區內領先的雲端技術供應商，專家評審團成員包括企業資訊長、研究分析家及業界協會。Deep Security在以下四個範疇表現卓越，為趨勢科技贏得「最佳軟體即服務—資訊安全大獎」的殊榮。

服務獨特性及創新
服務穩健性及資訊安全
服務能力及綜合特性
市場接受度及競爭力

許多企業兼具實體及虛擬環境，並日益依賴私有雲及公共雲來提升效率。Deep Security 保護實體、虛擬與雲端伺服器免受惡意攻擊，防護機密資料與重要應用程式，協助預防資料竄改，並且讓企業遵循重要的標準與法規，例如：PCI、FISMA 與 HIPAA。此外協助企業發掘可疑的活動和行為，主動採取預防措施來確保資料中心安全。

查詢更多關於趨勢科技Deep Security平台的資訊，請瀏覽

https://www.trendmicro.tw/tw/enterprise/cloud-solutions/deep-security/index.html

《 IoT 物聯網安全趨勢》防範萬物聯網遭到監視與攻擊

2014 年 09 月 25 日2016 年 01 月 25 日趨勢科技 TrendMicro

物聯網（IoT ,Internet of Things）的興起勢必加重裝置軟、硬體廠商以及許許多多仰賴連網智慧型裝置來營運及服務客戶的企業在安全方面的負擔。雖然消費及商用領域目前是平板與智慧型手機當道，但健康手環、連網恆溫系統以及連網汽車等等，卻也開拓出全新的科技疆土。

連網端點裝置大量普及，意味著網路犯罪者將有許多全新的攻擊目標。抬頭顯示器、監視攝影機或冰箱等裝置遭到駭客入侵的事情，目前似乎仍只是科幻情節，但其最終卻比入侵一台 PC 更能造成立竿見影的效果，因為這類新式連網裝置更深入使用者的生活，而且通常安裝在家庭內部。

儘管如此，物聯網（IoT ,Internet of Things）裝置所蒐集、儲存的龐大個人資料反而潛藏著更大的風險，例如像 Jawbone Up 這類健康手環能追蹤您的睡眠、運動、飲食攝取等個人資訊，並同步到雲端。

隨著越來越多裝置循此模式發展，使用者 (以及資訊安全專家) 未來有必要清楚掌握網際網路涉入其生活的深度，並了解 IoE 將如何帶來一個截然不同卻更貼近使用者的運算體驗。那些原本只出現在大型主機、PC 及智慧型手機的威脅，未來將進一步演化並進入全新的連網世界，而資訊安全產業也必須準備協助使用者和企業思考如何面對這些威脅。

在 2020 年來臨之前，連網裝置數量將突破 500 億
IoE 的規模將有多大？截至 2012 年為止，連網裝置數量已經超越全球人口，但到了 2020 年，這數字將更加驚人。

Cisco 預估屆時連網裝置將突破 500 億，其中絕大部分都將是最後三年才新增的裝置。Morgan Stanley 對 IoE 的成長甚至還更樂觀，該機構預測 2020 年的連網裝置將達到 750 億台，等於屆時全球 80 億人口每個人平均擁有 9.4 台。繼續閱讀

iPhone 刪除的照片,竟還留在 iCloud ? 再談女星雲端裸照外流事件

2014 年 09 月 24 日2016 年 05 月 19 日趨勢科技 TrendMicro

從 iCloud 疑遭入侵,好萊塢 A 咖女星裸照外流事件,學到的五件事的文章中,提到刪除並不一定真的代表刪除，如同下圖受害者所發現的一樣。如果你還以為從自己的手機刪除照片就可以了，那麼推薦你看這一篇文章。

作者：Vic Hargrave (趨勢科技資料分析軟體架構師)

當我聽到有明星因 iCloud 帳號被駭客入侵而使得自己的裸照被上傳到匿名分享網站 AnonIB 時，我其實一點也不覺得意外。不過，雖然將這麼私密的資料儲存在雲端原本就是一項冒險行為，但對於這些明星的尷尬處境我也深表同情。畢竟，照片是因遭人竊取才會外流，並非個人意願。就我來看，行動運算與雲端儲存的便利性在這件事上也要負擔部分責任。你很容易就可能建立一個密碼強度不足的雲端儲存帳號。視你的行動 App 程式而異，有時照片、音樂、文件或任何其他資料會在背後自動上傳至雲端，而你並不會留意。

一旦你的檔案上傳到雲端，你手機上的相簿就不一定會和你雲端上的相簿同步。我覺得許多使用者並不了解他們的資料到了雲端會怎樣，甚至是資料怎麼上傳到雲端的。

單純只是另一個雲端破解案例

就目前看來，應該是有一名叫作「OriginalGuy」的駭客入侵了明星的 iCloud 帳號並竊取照片。駭客攻擊的第一步是利用蘋果「我的 Apple ID – 建立一個 Apple ID」這個用來建立新帳號的網頁，在網頁上輸入一些可能的電子郵件來猜測受害者 iCloud 帳號的電子郵件地址。

如果某個電子郵件地址已有人使用，該頁面就會請使用者輸入其他可用的電子郵件地址。如此一來，駭客就知道某個電子郵件地址是否有人使用。接著，他就試圖用這個電子郵件地址來登入，不論是用猜測的密碼或是使用密碼破解程式。假使帳號的密碼強度不足，歹徒就不難猜到。這項技巧不光只適用於 iCloud 服務，也適用於 Box.com、DropBox 以及其他任何在建立帳號時能讓駭客知道某個電子郵件是否有人使用的服務。

行動資料分享或許太過容易

我所見過的大多數行動雲端儲存 App 程式都能讓你將智慧型手機中的照片自動上傳到雲端儲存。若你有多個這類帳號，你就很容易不知道哪些相片在何時被上傳到哪個雲端儲存。

最近我發現，當我用 iPhone 拍照時，照片會透過 WiFi 連線或是在我手機接上筆電的 USB 連接埠時自動上傳到我的 DropBox 帳號。我不記得自己曾經在 DropBox App 上做過這樣的設定，這樣的現象似乎是某一天自己突然開始。有可能是我某一次更新 DropBox 之後才開始，也可能是我不小心開啟了這項功能。不過每當它發生時，不論是我的動作結果或是軟體的運作結果我都不曉得。

這才是重點：身為一個每天都要接觸電腦科技、行動裝置等等的軟體工程師，我自認是個相當熟悉科技的人。但我竟不曉得自己的智慧型手機是如何開啟這項照片自動上傳至 DropBox 的功能。

我必須自己到手機應用程式設定當中手動關閉這項「功能」，就連我們這種熟悉技術的人都還如此，也難怪那些生活忙碌的電影明星會不知到自己的照片被上傳到雲端。繼續閱讀

Facebook 流傳喝醉酒女孩影片連結,暗藏Chrome惡意瀏覽器擴充套件,會自動更新 FB 留言和啟用聊天功能

2014 年 09 月 24 日2014 年 09 月 24 日趨勢科技 TrendMicro

幾個月前，Google在部落格上發表了一篇文章，告知 Google Chrome 的使用者不能從第三方安裝瀏覽器擴充套件。原因是：安全性。透過只允許官方 Chrome 網路商店來的擴充套件，Google宣稱可以加以管制以防止惡意擴充套件。

不幸的是，這種做法不足以嚇阻不法份子。趨勢科技之前報導過有惡意軟體想辦法繞過此功能並安裝惡意的瀏覽器擴充套件。我們最近還發現惡意份子將惡意擴充套件放到官方的網路商店上。

Facebook垃圾訊息

此攻擊的第一步從社群媒體開始。垃圾訊息被散佈到 Facebook上，內含一個和醉酒女孩相關的影片連結。當收到訊息的人點下連結，就會被重新導向到一個假冒 YouTube 的網站。出現通知說明要安裝特定 Chrome擴充套件才能觀看影片。

圖1、假YouTube 網站要求安裝瀏覽器擴充套件

一旦使用者繼續進行，就會被導到官方Chrome網路商店去下載該擴充套件。安裝擴充套件之後，會將使用者導回真正的醉酒女孩YouTube影片。

圖2、瀏覽器擴充套件放在官方Chrome網路商店

圖3、使用者被導向正常的YouTube網站

一旦安裝，惡意擴充套件（被偵測為BREX_FEBIPOS.OKZ）會執行像在Facebook更新狀態和留言等動作。它還可以透過Facebook的聊天功能來發送訊息和連結，這或許也說明了惡意擴充套件一開始是怎麼去散播連結的。

以下是這個後門程式會在受害人facebook 啟動的惡意行為:

更新臉書動態
臉書留言
主動在朋友牆上留言
自動加入粉絲團
追蹤特定臉書帳號
利用臉書聊天功能發訊息和連結
標籤臉書朋友
加入臉書社團

擴充套件的幕後黑手

趨勢科技的調查顯示這惡意擴充套件背後的作者租用了俄羅斯的虛擬專用伺服器（VPS），也在那註冊了幾個網域：

meusvirais[.]info – 用來讓受感染使用者傳送偷來資料的C&C。偷來的資料指的是熱門網路服務的帳號登入憑證資料，如Google、Facebook和Twitter。
cbrup[.]info – 用來維護偷竊資料時破解CAPTCHA驗證碼用之軟體的網域。該伺服器也接收偷來的資料。
SuperFunVideos[.]info – 用來註冊Chrome商店的擴充套件。
brsupbr[.]info – 沒用在此攻擊

來自趨勢科技主動式雲端截毒服務 Smart Protection Network的資料顯示，大部分會連上這些網站的使用者來自巴西。其他受害者來自英國、美國和阿根廷等國家。

至少有另一個VPS代管了30個不同網域來推銷減肥產品、英文語言教學服務和在家工作機會。使用among.us作為線上計數器來計算受害者，和用 Dropbox 來放置詐欺網頁。

更多惡意擴充套件

不幸的是，這不是趨勢科技在網路商店中所發現的唯一惡意擴充套件。我們已經在那看到幾個可能的惡意擴充套件。這些擴充套件一看就很可疑。它們在最近發表，沒有敘述它們所謂的功能，或有重複的名稱。其中一些甚至和惡意擴充套件有相同的「作者」。再仔細地看，這些擴充套件帶有混淆JavaScript程式碼。更糟的是，這些擴充套件的下載次數達到數千次。

趨勢科技建議使用者避免點入來自訊息的連結，即使它們看似來自朋友或連絡人。這次攻擊顯示出訊息可能是來自淪陷的帳號。我們也建議使用者仔細檢查瀏覽器擴充套件。安裝任何擴充套件前先閱讀評論和檢查評等。這可以讓使用者知道這些擴充套件是否真是它們所宣稱的東西。

這攻擊中所用到的擴充套件已經不在Chrome網路商店上。我們已經向Google提報其他擴充套件。

惡意檔案的SHA1值是：