資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

< 資安新聞周報 >駭客能把汽車引擎熄火! /會竊聽電話的 Hacking Team RCSAndroid 間諜工具

2015 年 07 月 27 日2021 年 12 月 23 日趨勢科技 TrendMicro

歡迎來到資安新聞週報，本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

隨著之前關於iOS設備面臨Hacking Team間諜軟體風險的消息，現在繼續延伸到Android的領域。RCSAndroid（遠端控制系統Android）程式碼被認為是到目前為止已知的Android惡意軟體中開發最專業且成熟的一個。

汽車也遭駭，飛雅特克萊斯勒召修140萬輛車
飛雅特克萊斯勒（Fiat Chrysler）上周五宣布召修140萬輛配備某些觸控面板無線電的汽車，將進行軟體升級以防範可能的網路攻擊，因為先前電腦安全專家公開證明他們成功駭入車用無線通訊系統，而控制住一輛行進中的Jeep休旅車。這是美國首例因駭客入侵疑慮的車輛召修，並且顯示汽車業積極推進萬物聯網（IoE ,Internet of Everything）所面臨的風險。

駭客入侵你的車！不只控制音響還能把引擎熄火
美國一對資深網路安全專家示範，他們可利用網路讓行駛中的車輛熄火。美國網路媒體《Wired》的編輯駕駛了一部配備有 UConnect 通訊娛樂系統的 Jeep Cherokee，並開上了高速公路，兩名駭客利用手邊的筆記型電腦，控制了車輛的空調、音響及雨刷，最後甚至直接將車輛熄火。

繼續閱讀

如何保護你的家用路由器?

2015 年 07 月 27 日2020 年 07 月 21 日趨勢科技 TrendMicro

現在許多人的家裡都有了智慧化的聯網設備來幫助生活過得更加輕鬆。但無論是安全攝影機、智慧型燈泡或其它智慧化系統，嵌入式設備並非沒有風險，它們也可能會危及你的隱私。許多使用者都想知道為何家用網路設備常常出現安全問題，也因為有著這些安全漏洞，除了屋主之外，網路犯罪分子也有可能去存取系統。在許多情況下，缺乏適當的安全機制讓惡意分子能夠更加輕易地暴力破解使用者認證並存取網頁和行動介面。在2014年時，Shellshock影響了許多設備，包括了電腦、路由器甚或是運Linux作業系統的智慧型燈泡。

網路犯罪分子如何攻擊家用網路？

路由器是防禦駭客的第一線，也是惡意分子想要侵入網路的理想目標。一旦被取得路由器的控制權，他們就能夠監視和影響你的設備與線上活動。但可悲的是，只有少數使用者知道路由器其實很脆弱，因為它們是住家暴露在網際網路上的點。它也可以作為防火牆來防護其他設備防止未經授權的對內連線。

在某些情況下，路由器可能會出現一些看似不起眼或次要的韌體臭蟲。但駭客已經可以藉由這些臭蟲來攻擊系統和取得存取權限。

保護家用路由器的五個建議

為了防止或盡量減少攻擊，加強家用路由器安全。以下是你可以遵循的基本建議：繼續閱讀

會竊聽電話的 Hacking Team RCSAndroid 間諜工具

2015 年 07 月 24 日2015 年 09 月 15 日趨勢科技 TrendMicro

RCSAndroid 程式碼的外洩已讓它成為一項公開的商業間諜利器。行動使用者最好隨時掌握這項新聞的最新發展，並且隨時留意裝置是否有遭到監聽的跡象。可疑的跡象包括系統出現異常行為，例如：不正常重新開機、裝置上出現一些莫名其妙的應用程式、即時通訊軟體突然當掉等等。

一旦裝置遭到感染，這個後門程式必須有系統管理員 (root) 權限才能移除，使用者可能需要送回原廠來請他們重刷韌體才行。

繼新聞報導指出 iOS 裝置可能遭到 Hacking Team 間諜程式監聽之後，現在 Android 裝置也將遭殃。趨勢科技在 Hacking Team 資料外洩的檔案當中發現其開放原始碼惡意程式套件 RCSAndroid (Android 遠端遙控系統) 的程式碼，這是該公司所販賣的一項間諜工具。

RCSAndroid 工具的程式碼是至今曝光的所有 Android 惡意程式當中寫得最專業、最複雜工具之一。其程式碼的曝光，讓網路犯罪集團又多了一項新的利器可強化其間諜行動。

根據外洩的程式碼看來，RCSAndroid 應用程式具備下列10 個間諜能力：

透過「screencap」這個指令擷取螢幕抓圖，並可直接讀取螢幕緩衝區內容。
監看剪貼簿的內容。
蒐集 Wi-Fi 網路與各種網路帳號的密碼，如：Skype、Facebook、Twitter、Google、WhatsApp、Mail 及 LinkedIn。
利用麥克風錄音。
蒐集簡訊、多媒體簡訊與 Gmail 訊息。
蒐集定位資訊。
蒐集裝置資訊。
利用前、後鏡頭拍照。
蒐集聯絡人，解讀即時通訊訊息，如：Facebook Messenger、WhatsApp、Skype、Viber、Line、WeChat、Hangouts、Telegram 以及 BlackBerry Messenger。
攔截系統的 mediaserver 服務，即時錄下任何行動電話與 App 的語音通話。

繼續閱讀

駭客給偷情網站的警告:關閉網站，否則公布 3700萬男女風流帳

2015 年 07 月 23 日2015 年 08 月 22 日趨勢科技 TrendMicro

Impact Team給Ashley Madison的警告 – 關閉網站，不然的話….

全球最大偷情網站主打：「辦公室戀情太冒險了，你早該使用偷情網站的。」鼓吹已婚男女偷吃有理，向來擅長以驚世駭俗的廣告台詞吸引目光的Ashley Madison,廣告旁白以「人生苦短。及時行樂」（Life is short. Have an affair）為口號，日前驚傳遭駭，自稱是「The Impact Team」駭客宣稱已掌握超過3700萬已婚外遇男女的個資,揚言要公開取得的會員資料,除非達到他們的要求，否則將公布客戶的真實姓名、裸照、信用卡詳細資料與「性幻想內容」。由於Ashley Madison去年曾推出只要支付19美金就可以幫會員消除消費紀錄的「徹底刪除個人資料」服務，但駭客組織在入侵該網站後宣稱，該項服務是騙局，用戶的個人資料、信用卡資料、購買紀錄非但並未刪除, 更替網站創造了上億美元的利潤。

報導指出國會山莊精英風流帳恐曝光, 華盛頓郵報先前曾報導，Ashley Madison有5,9000名顧客住在華府，而其中有10.4%的用戶集中在國會山莊。該區住了全美最有權力的政界人士、記者、國會幕僚人員、政治活動分子和說客。之前Ashley Madison曾公布全美最會搞外遇的城市排名，華府連續第三年「榮膺」榜首。報導說只要一名高知名度的政治人物曝光，就可在全國造成轟動。

根據Brian Krebs的報導，知名的偷情網站Ashley Madison遭受駭客入侵。一個自稱為「Impact Team」的組織聲稱自己竊取了該網站3700萬使用者的重要資料。擁有Ashley Madison和其他成人網站（像是Established Men和Cougar Life）的Avid Life Media（ALM）已經確認這起駭客事件，但沒有提供資料被竊的範圍。繼續閱讀

分析 Pawn Storm 的 Java 零時差漏洞 – 故技重施

2015 年 07 月 22 日2015 年 10 月 14 日趨勢科技 TrendMicro

過去，Java 一向是網路犯罪集團最愛的漏洞攻擊目標，不過近年來，這樣的情況已經不在。最近已修正的 Pawn Storm 攻擊行動 Java 零時差漏洞事實上是 Java 近兩年來被發現的第一個零時差漏洞。

這有一部分的原因要歸功於 Java 安全措施的強化。正如 Oracle 在 Java 首頁上所言，現在的主流瀏覽器在遇到過時的 Java 外掛程式時都會自動將它停用。此外，2014 年 1 月發表的Java 7 Update 51即限縮了可執行的 Applet 類型。在預設情況下，自我簽署和未經簽署 (也就是駭客最可能使用) 的 Applet 將無法在瀏覽器上執行。此外，JRE 還對所有的 Applet (不論是否簽署) 提供了點按執行 (click-to-play) 的功能。這兩點加起來，大大得降低了 Java 平台對駭客的吸引力。

既然這個 Java 零時差漏洞 (CVE-2015-2590) 現在已經修正，我們就來說明一下它的相關技術細節。此漏洞由兩部分組成：第一部份是略過 Java 的點按執行保護機制。這部分我們不能討論，但我們可以談談另外一部分。如前面所說，這個漏洞在最新的 Java 版本 (Java 8 Update 51) 當中已經獲得修正。

Java 提供了一個叫做 ObjectInputStream 的類別來執行反序列化 (decentralize) 作業，以便將記憶體緩衝區內的資料轉成物件。這個反序列化緩衝區當中包含了物件的類別資訊和檔案化的資料。如需該類別的更多詳細資訊，請參閱Java 官方文件。繼續閱讀