趨勢科技發現一個會影響版本1.1.1以下的Spotify Android應用程式中的漏洞。一旦被利用,該漏洞可以讓壞人控制顯示在應用程式介面的內容。該漏洞可能被網路犯罪份子用來發動釣魚攻擊而導致資料遺失或被竊。
Spotify快速地回應了趨勢科技的發現,修復了其在1.1.1版本應用程式的漏洞。我們建議使用者確保自己所使用的是最新版本的Spotify
受影響的活動
該漏洞影響一特定活動(com.spotify.mobile.android.ui.activity.TosTextActivity),其被設計來取得和顯示Spotify網頁在應用程式上。該漏洞導致這些輸出網頁的內容可以被安裝在手機上的其他應用程式看到。此外,該漏洞可以讓其他應用程式、程序或執行緒在無須額外權限下觸發活動。
使用一個惡意應用程式,攻擊者可以利用此一活動來改變該應用程式呈現給使用者的內容。例如,在Spotify應用程式上顯示Google首頁。更加惡意的網頁也可以在應用程式內出現。
圖1、官方 Spotify應用程式顯示 Google首頁
四家企業當中就有三家過去 12 個月內曾經發生資訊安全事件。一家典型的企業在過去一年平均遭遇 135 次資安事件,造成大約 415,000 美元的金錢損失。
今日網路安全環境最大的威脅和第一要務為何?
美國企業已逐漸感受到資料外洩的影響。不論他們是否曾為駭客入侵的受害者,或是在電視上看到其他同業受害,網路犯罪在今日的影響力似乎不容小覷。
然而,PwC 與 CSO Magazine 所做的 2014 年美國網路犯罪現況調查 (2014 U.S. State of Cybercrime Survey) 發現,隨著各領域的資料外洩事件數量持續攀升,企業所採取的資訊防護策略卻各不相同。
Continuity Central 引述該報告指出:「儘管網路犯罪事件的數量與相關的財務損失持續升高,大多數的美國企業在網路安全防護上依舊比不上網路駭客的毅力與技巧」。
網路犯罪概觀
該調查發現了多項驚人數據,描繪出今日網路犯罪駭人的一面: 四家企業當中就有三家過去 12 個月內曾經發生資訊安全事件。一家典型的企業在過去一年平均遭遇 135 次資安事件,造成大約 415,000 美元的金錢損失。
該調查發現,14% 的受訪者表示過去一年曾因攻擊和入侵而發生財務損失。但是,經過研究人員估計,這些事件的成本可能遠高於此,因為曾經遭遇資安事件的企業有 67% 並無法估算相關的費用。
當前的網路犯罪環境已提高了企業的安全意識,知道自己需要一種防護措施來保障敏感資訊及企業資源。在過去一年曾經成為網路犯罪受害者的 77% 企業當中,有 34% 表示這類事件在過去幾個月來更加普遍。整體而言,現在已有超過半數的企業 (59%) 比以往更擔心網路威脅。 繼續閱讀
趨勢科技之前討論過一個可能導致使用者資料被截取或用來發動攻擊的Android漏洞。我們發現相當普及的Evernote Android應用程式包含了此漏洞。趨勢科技披露了細節給Evernote,他們也採取了行動,釋出他們Android應用程式的更新版本。Evernote在Evernote for Android 5.8.5中增加額外的控制來保護使用者資料。使用版本低於5.8.5的Android使用者應該要更新到最新版本。
內容提供者(Content Provider)漏洞
被修補的漏洞跟儲存應用程式資料的Android元件有關。該元件有一屬性(android:exported)可以讓其他應用程式對受影響應用程式讀取或寫入特定的資料。
之前版本的Evernote定義了兩個權限來保護用來儲存幾乎所有使用者資料的內容提供者。然而,這兩個權限的保護層級被設為「正常」,意味著設備上的其他應用程式也可以被授予這兩個權限。
圖1、Evernote內容樣本
圖2、利用內容提供者漏洞所顯示的內容
網路犯罪分子可能會建立惡意應用程式用來截取儲存在Evernote應用程式的資料。對於使用Evernote儲存敏感資料(使用者帳號和密碼)的使用者來說,這可能會導致資料被竊或身份詐騙等後果。
外露、未加密的資料
除了上面所介紹的漏洞外,我們也發現另一漏洞可能會讓惡意應用程式看到儲存記事的受影響設備上的所有記事。
Evernote應用程式將所有使用者的記事儲存在外部儲存裝置的/sdcard/Android/data/con.evernote/files/資料夾內。不幸的是,儲存在該資料夾的檔案並沒有加密,而且可以被其他應用程式讀取。
圖3、記事樣本
圖4、利用SD卡漏洞來存取記事
受影響設備的Android作業系統版本也會影響應用程式所能存取的數量。在Android 4.3及更早版本中,應用程式甚至不需要特殊權限就可以存取該資料夾。在Android 4.4及更高版本中,需要READ_EXTERNAL_STORAGE權限。不過該權限對於一般應用程式來說很常見,所以惡意應用程式請求該權限不會引起懷疑。
惡意使用者可以寫一段簡單的程式碼用來讀/寫上述應用程式所儲存的檔案,然後注入具有READ_EXTERNAL_STORAGE權限的重新包裝應用程式。然後,攻擊者可以利用這重新包裝的應用程式來誘騙使用者給予所要的權限。
我們揭露此一資訊好讓可能同樣不正確使用外部儲存裝置的開發者可以修改他們的應用程式。開發者也要將他們的權限設定在簽章層級以保護其重要元件。我們也建議開發者對於應用程式所建立、處理和傳輸的任何內容都進行加密。可以的話,任何敏感資料都不該儲存在外部儲存裝置。
趨勢科技已經通知Evernote此一新漏洞。我們目前還沒有看到針對此漏洞的攻擊出現。
@原文出處:Evernote Patches Vulnerability in Android App作者:Weichao Sun(行動威脅分析師)
國家等級的駭客,如伊朗已經對美國軍方官員進行了長達一年的活動。網路釣魚(Phishing)會成功,通常就是因為目標無法從正常的郵件中區分出詐騙的信件。
社交工程(social engineering )手法會收集敏感資料 – 地址、生日等,讓他們可以用來精心製作攻擊。比方說,eBay外洩事件, 數以百萬的使用者個人資料被外洩 – 不單單只是電子郵件地址和使用者名稱。那些擁有eBay資料的人現在手上握著出生日期、地址甚至是電話號碼,利用這些資料可以讓他們製作非常具有說服力的釣魚網站。從你的所在地區,加上根據你的年齡會吸引你的事物等等作法,網路犯罪分子可以大大地增加你會回應網路釣魚郵件的機率。
如果Target是2013年最知名的入侵外洩受害者 – 出現網路安全事件而讓數以百萬購物者資料被侵害 – 那2014年也出現了一名領先者,eBay在年初遭受到網路攻擊,攻擊者取走某些服務內1.28億註冊用戶的敏感資料。被入侵的資料庫可能包含這些人的電子郵件地址和住家地址、加密過密碼、出生日期和電話號碼。
根據事件的時間點,有可能是因為OpenSSL加密程式庫的Heartbleed漏洞 – 公開但尚未被發現時 – 被用來躲過eBay的防禦。無論如何,eBay公司PayPal的資產,包括支付卡和銀行帳戶的大量資料躲過這一劫,因為它們被放在獨立的網路。
社交工程在eBay入侵外洩事件中扮演重要角色
如果不知道是否有任何密碼漏洞,攻擊者會更加需要利用社交工程(social engineering ),這已經成為網路犯罪戰略的一部分:
在eBay案例中,社交工程(social engineering )做了一般會用複雜網路攻擊和進階惡意軟體來進行的工作。eBay在一份關於外洩事件的報告裡提到,「少數員工的登錄資料外洩。」有多達100個帳戶可能被劫持,eBay相信其安全團隊大約90天就發現異常的網路活動,遠比2014年Mandiant報告中的224天平均值要低。
攻擊者如何獲得eBay員工的認證資料?BH顧問公司執行長Brian Honan對Help Net Security說道,認為他們是用魚叉式網路釣魚來騙過eBay員工。如果這是真的,這種戰術可以成功似乎表示eBay的安全措施缺乏足夠的存取控制和雙因子認證機制,任何一個都可以阻止網路犯罪份子只用一個使用者名稱和密碼就闖過大門。
eBay外洩事件的長期影響:更多社交工程
社交工程(social engineering )會自我延續。如果攻擊成功,不僅會讓受害者出糗,讓客戶陷入風險,同時也提供了下一次攻擊的養分。網路釣魚(Phishing)會成功,通常就是因為目標無法從正常的郵件中區分出詐騙的信件。
的確有大量的日常電子郵件和社交媒體文章是使用者可以立刻發現有問題的。拼寫錯誤、超長網址和致富計劃都是常見而容易發現的警訊。網路犯罪會使用這些作法是因為還不夠瞭解特定目標,所以將網做的越大越好,希望可以網到一些東西。
但社交工程(social engineering )會收集敏感資料 – 地址、生日等,讓他們可以用來精心製作攻擊。
「你看,比方說,eBay外洩事件,」Tripwire技術長Dwayne Melancon告訴PC World。「數以百萬的使用者個人資料被外洩 – 不單單只是電子郵件地址和使用者名稱。那些擁有eBay資料的人現在手上握著出生日期、地址甚至是電話號碼,利用這些資料可以讓他們製作非常具有說服力的釣魚網站。從你的所在地區,加上根據你的年齡會吸引你的事物等等作法,網路犯罪分子可以大大地增加你會回應網路釣魚郵件的機率。」
魚叉式網路釣魚會在eBay和Target攻擊後變得更加複雜。企業需要用現代化網路安全措施和雙因子認證來加以防範,以避免代價高昂的資料外洩事件。
企業可以做些什麼來避免像eBay這樣的事件?
eBay處理這起外洩事件很有啟發性。它有幾件事情做的不錯(如早期發現網路入侵)和一些比較不理想的地方,最顯著的是延遲給公眾的報告。這裡有一些重點給想要更好應對此類事件的企業:
經驗告訴我們跟Apple有關的詐騙往往會隨著Apple新品上市謠言的出現而成長(請參考:網路釣客也愛啃蘋果!成千上百釣魚網站伺機竊取Apple ID)。隨著 iPhone 6 預期推出時間點愈來愈靠近,一些謠言也助長了騙局順水推舟。
一些負責Apple的記者回報說,他們收到偽造的「the wait is over(等待已經結束)」iPhone 6上市通知郵件。趨勢科技也收到了幾封,以下是樣本 之一:
圖一、垃圾郵件樣本
沒有追蹤 Apple 謠言或 iPhone 發表時程的使用者可能會被這電子郵件所騙,因為它的內文並不會跟真正的 Apple 通知有太多差別。然而,有兩個值得注意的地方:一個是七月並不符合最近幾次的 Apple 發表日程(iPhone5 和 5S 都是在九月發表),而且電子郵件中的設計也跟最近 Apple 謠言網站所發表的樣本機不符。
隨著 iPhone6(或許還有 iWatch)發表日期的接近,我們預期會看到更多的詐騙和利用這些(謠言中)Apple 產品為誘餌的攻擊。呼籲使用者要小心這些「通知」電子郵件,因為它們充斥著網路釣魚(Phishing)或其他威脅。
趨勢科技已經封鎖這起攻擊所用的垃圾郵件,也封鎖對所有相關威脅網站的存取。
@原文出處:iPhone 6 Rumors Spur Scams作者:Johnliz Ortiz(垃圾郵件研究工程師)
趨勢科技PC-cillin 2014雲端版 獨家【Facebook隱私權監測】,手機、平板、電腦全方衛!即刻免費下載
