美國食品藥物管理局 (FDA) 最近針對 465,000 個據報含有安全漏洞的植入式心律調節器發出一項公告。廠商召回這些採用無線射頻 (RF) 通訊技術的裝置以更新韌體,藉此修補安全漏洞。
根據美國工業控制系統網路緊急應變小組 (ICS-CERT) 指出,這些漏洞「可能讓附近的網路駭客連上心律調節器並下達操作指令、變更設定,或者干擾心律調節器的功能。」駭客可利用這些漏洞來突破或繞過心律調節器的安全認證機制,進而經由無線射頻下達操作指令,或者將未經加密的病患資訊傳送給程式設計師或家用監視器。此外,經由這些漏洞,駭客還可修改心律調節器的設定,或者將裝置電池耗盡等等。
隨著連網醫療裝置日益普及,類似這樣的案例將越來越多。9 月 7 日,ICS-CERT 也發出了一份類似的公告,這一次,受影響的是某全球品牌的無線輸液幫浦,其幫浦廣泛應用在加護病房 (如:新生嬰兒及兒童加護病房)。藉由裝置的漏洞,「遠端駭客就能連線進入裝置,然後干擾幫浦的運作。」這些漏洞的發生原因不外乎:緩衝區溢位、韌體中寫死的無線通訊密碼,以及憑證驗證與存取控管機制不良。 繼續閱讀
2015 上半年行動威脅情勢的焦點在於作業系統、應用程式以及裝置本身的漏洞。過去幾個月來所發生的幾起重大事件和案例顯示這些漏洞已成為歹徒的攻擊管道。此外,越權廣告程式和可能有害的程式 (PUA) 仍是極為普遍的威脅,數以百萬計的使用者因而暴露在惡意廣告與個資蒐集程式的危險當中。
以下是 2015 上半年幾起最重大的行動威脅案例。
內含 MDash 軟體開發套件 (SDK) 的應用程式突顯出線上廣告的危險
一些可能有害的線上廣告不光只是煩人而已,還會在行動裝置上植入惡意程式。
今年二月,Google Play 下架了一些據報由廣告程式偽裝的應用程式,這些內含 MDash 廣告 SDK 的應用程式讓數百萬台裝置感染了越權廣告程式,這就是趨勢科技所偵測到的 ANDROIDOS_ADMDASH.HRX。內含此 SDK 的惡意程式家族可在使用者背後偷打電話並偷偷蒐集資訊,並將資訊傳送至遠端伺服器。此外,還會在已感染的裝置上再安裝其他更惡劣的廣告。
內含 MDash SDK 的 App 程式
根據我們的調查,截至去年 3 月 11 日為止,Google Play 商店上就發現 2,377 個這類 App 程式的 SHA-256 雜湊碼。Google 在接獲研究人員通知之後,立刻展開了調查。
Pawn Storm 攻擊行動使用惡意的 iOS App 繼續閱讀