趨勢科技之前討論過一個可能導致使用者資料被截取或用來發動攻擊的Android漏洞。我們發現相當普及的Evernote Android應用程式包含了此漏洞。趨勢科技披露了細節給Evernote,他們也採取了行動,釋出他們Android應用程式的更新版本。Evernote在Evernote for Android 5.8.5中增加額外的控制來保護使用者資料。使用版本低於5.8.5的Android使用者應該要更新到最新版本。
攻擊者如何獲得eBay員工的認證資料?BH顧問公司執行長Brian Honan對Help Net Security說道,認為他們是用魚叉式網路釣魚來騙過eBay員工。如果這是真的,這種戰術可以成功似乎表示eBay的安全措施缺乏足夠的存取控制和雙因子認證機制,任何一個都可以阻止網路犯罪份子只用一個使用者名稱和密碼就闖過大門。
沒有追蹤 Apple 謠言或 iPhone 發表時程的使用者可能會被這電子郵件所騙,因為它的內文並不會跟真正的 Apple 通知有太多差別。然而,有兩個值得注意的地方:一個是七月並不符合最近幾次的 Apple 發表日程(iPhone5 和 5S 都是在九月發表),而且電子郵件中的設計也跟最近 Apple 謠言網站所發表的樣本機不符。
雪上加霜的是來自雲端和行動運算的額外風險。在同樣一份ISC2調查中,全球有超過12000名安全專業人士認為自帶裝置和雲端都是主要擔心的事情。在工作場所使用員工自有設備和雲端服務不僅會增加組織受攻擊的面向,也限制了資訊安全長發展深入防禦策略的能力。行動應用程式的風險尤其高。無論是公司內部購買或開發,往往都沒有經過小心的編寫,也沒有充分進行 OWASP Top 20 的測試來消除漏洞。
