資安趨勢部落格 – 第 750 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

iOS再曝高危險漏洞,會置換你合法下載的應用程式

2014 年 11 月 27 日2014 年 11 月 27 日趨勢科技 TrendMicro

假面攻擊的另一面：iOS應用程式沒有加密資料

根據趨勢科技在10月所公布的iOS威脅「假面攻擊（Masque Attack）」所做的研究，趨勢科技研究人員發現惡意應用程式有新的方法在成功的假面攻擊後威脅到iOS設備：經由存取合法應用程式所使用的未加密資料。

根據報導，這種 iOS 威脅利用企業配置文件來攻擊未經越獄的 iOS 設備，就像是WireLurker。因為配置文件允許企業在 iOS 設備上安裝自製應用程式而無需經過 Apple 審查。它們可以透過 iTunes（通過USB介面）或無線傳輸來經由應用程式商店散播這些應用程式。

雖然 WireLurker 威脅已被發現會透過 USB介面安裝假或惡意的應用程式，假面攻擊還會造成更嚴重的後果。只要使用相同的簽章金鑰或Bundle ID，假面攻擊就可以將原本安裝的應用程式置換成惡意版本。而接下來，新置換（和惡意）的應用程式可以執行像竊取敏感資料的動作。

假面攻擊揭示應用程式漏洞

企業配置文件可以如何被惡意應用程式濫用已經被大肆的報導。但當惡意應用程式想辦法進入 iOS 設備後，會發生什麼事？

趨勢科技測試了幾個應用程式，發現一些受歡迎的iOS應用程式不會對它們的資料庫進行加密。在我們的分析中，我們只用檔案瀏覽器就可以存取這些檔案。此外，我們測試的是簡訊和通訊應用程式，這意味著它們會儲存大量敏感資料，像是姓名和連絡資訊。

圖1、即時通（IM）應用程式內未加密的資料庫 繼續閱讀

惡意 Android應用程式駭入RFID 支付卡

2014 年 11 月 27 日2014 年 11 月 26 日趨勢科技 TrendMicro

趨勢科技最近偵測 ANDROIDOS_STIP.A的高風險 Android 應用程式。這個應用程式透過論壇和部落格散播，可以用來駭入使用者的 RFID ( Radio Frequency IDentification -感應式電子晶片)公車卡加以儲值。這背後的機制是什麼，RFID 支付卡的一般安全風險是什麼？

如今透過 RFID 卡來進行支付變得越來越受歡迎，也有更多行動裝置加入NFC(Near Field Communication，近距離無線通訊）支援。銀行、商家或公共服務都會發行RFID卡給他們的客戶，並且可以儲值。

注意：下文中所討論的惡意軟體樣本不能從 Google Play 商店取得。

RFID卡的安全問題

由於它被廣泛的使用，所以RFID卡成為攻擊目標也就毫不奇怪。比方說最近智利的Tarjeta bip!卡被駭事件。這些卡是基於MIFARE的智慧卡；MIFARE指的是被廣泛用在非接觸式智慧卡和感應卡的晶片家族。

圖1、MIFARE設備

檢視 Android 應用程式的程式碼，趨勢科技發現如果它在配有 NFC 的設備上執行，它可以讀取和寫入這些卡片。惡意應用程式將預先定義好的資料寫入卡片，將使用者的餘額提高到一萬智利比索（約15美元）。此作法只對這一特定卡片有用，因為它依賴於有問題卡片的格式。

該工具作者如何去改寫卡片資料而無須正確的驗證金鑰？這是因為這些卡片是基於舊版的 MIFARE系列（MIFARE Classic），它已知有許多安全上的問題。攻擊者可以在10秒內複製或修改 MIFARE Classic 卡片，而使用設備（如 Proxmark3）及任何所需支援都可以在網路上買到。

圖2、Proxmark3出售中

繼續閱讀

假 Viber 通知:”你有新語音留言!”點選後當心信用卡費暴增,電話通聯紀錄走光，還附贈成人網站

2014 年 11 月 26 日2014 年 11 月 26 日趨勢科技 TrendMicro

趨勢科技注意到偽裝成來自跨平台網路電話及即時通訊軟體 Viber 的垃圾郵件數量在急遽地增加。這個應用程式也有電腦版，讓使用者可以使用免費電話和訊息。這封電子郵件通知收件者他們的帳號內有一封語音留言。

圖1、垃圾訊息樣本

電腦和手機上的不同行為

在電腦上的感染行為非常簡單：點入內嵌的連結會導致下載被偵測為BKDR_KULUOZ.VLU的後門惡意軟體到系統內。

然而，在行動裝置上打開電子郵件的收件者經歷了不同的結果。它不會下載任何惡意軟體，而是將使用者重新導到不同的網站，像是一個隨機網址、搜尋引擎甚或是官方應用程式商店。

行動使用者有時會被重新導到一個串流媒體網站。調查顯示此網站已經跟可疑活動連結。比方說，該網站會秘密地去對使用者在註冊過程中必須提供的信用卡號碼收費。一些使用者會在點入「Flash Player」更新廣告時被導到該網站。

圖2、使用者有時會被重新導到一個串流媒體網站

基於行動作業系統的重新導向

更值得注意的是其重新導向結果也取決於設備的作業系統。Android 使用者被重新導到Google Play上的「GO桌面EX」應用程式。Apple 使用者被重新導到 iTunes 網站上的一個中國遊戲應用程式。要特別指出的是，這些應用程式都並非惡意程式。

圖3和4、使用者有時會被重新導到 Google Play和 iTunes

繼續閱讀

你的資料在萬物聯網當中安全嗎？

2014 年 11 月 25 日2016 年 01 月 25 日趨勢科技 TrendMicro

當我在討論許多人所稱的「物聯網」(Internet of Things) 時，我喜歡稱它為萬物聯網（IoE ,Internet of Everything）,因為從很多方面來看，物聯網(Internet of Things)一詞並不足以包括一切內涵。萬物聯網強大之處，在於其裝置所蒐集的各種與你、我相關的資料。

業者能看到您在裝置上所做的「一切」

想像一下這類裝置的實際運作情形，它們幾乎都必須和服務業者的中央伺服器連線。這表示業者能看到您在裝置上所做的「一切」。您必須信任這些業者會妥善保管您的資料，並且不會用於不當用途，也不能時間一久就將它們遺忘。

但很不幸的是，您的資料有各種遭到濫用或外洩的可能性。例如，這些裝置本身就可能不安全，任何駭客都能輕易入侵。而這些裝置所採用的模組，很可能來自一些開放原始碼計劃，因此長久下來很可能會被挖掘到一些漏洞，而且廠商很可能並未仔細想過該如何快速而輕鬆地更新這些裝置。此外，中央伺服器本身也可能遭到鎖定目標攻擊而發生駭客入侵和資料外洩的情況。

我們甚至還沒討論到服務業者可能拿您的資料來做些什麼。除非您仔細詳細閱讀過廠商的隱私權政策，否則您很可能並不清楚 IoE 裝置到底會蒐集哪些資料。但這些隱私權政策條文卻艱澀難懂，而且未來很可能隨時更改而不通知消費者。

隱私權政策雖然可以讓我們知道裝置將蒐集哪些資料，但卻不會完全揭露您的資料可能用於何種用途。例如，許多條款會說資料將用於提供其服務，但事實上，這一條廣泛的通則經常成了各種資料使用甚至濫用的法律基礎。

儲存在廠商伺服器上的個人資料，時間越久，對您的風險就越高

那麼使用者該怎麼辦？在購買任何連網裝置之前，您務必確實了解您所提供的任何資料很可能會存放在不安全的伺服器，並且位於其他國家的資料中心當中，而且一放就很久。您儲存在廠商伺服器上的個人資料，時間越久，對您的風險就越高。某些風險還包括資料外洩、資料遭到分享和販賣，以及因為企業出現安全漏洞、企業遭到併購等等事件的一般性資料遺失風險。繼續閱讀