安全研究人員axi0mX發現了 checkm8可以利用漏洞讓數百萬支iOS裝置進行越獄。所利用的漏洞位在開機記憶體(bootrom),一個唯獨記憶體晶片。這使得漏洞無法被修補,讓手機可永久越獄。
利用此漏洞能夠讓程式碼在受影響iPhone和iPad上以bootrom層級執行。Bootrom越獄手法在iPhone 3G和iPhone 4時很常見,但最近的越獄作法都是在作業系統層級進行。利用bootrom層級的漏洞很獨特,因為它位在手機內的晶片裡,無法被更改或更新。基本上,此漏洞會永遠存在。
這次越獄適用於11個世代的iPhone,從4S到iPhone X。這代表了數以億計的裝置,不管其iOS版本為何,不過最新的iPhone並不受影響。根據報導,Axi0mX可以用此方法成功越獄安裝最新iOS 13.1.1版本的iPhoneX。
繼續閱讀資安專家和安全團隊如何利用社群媒體收集可用來保護其組織的威脅情報?
本文重點:
社群媒體平台可以讓使用者和組織進行通訊和分享資訊。而對資安專家來說,它可能不僅僅是個網路工具。還是個能夠提供從漏洞、漏洞攻擊碼和惡意軟體到惡意份子及異常網路活動等有價值資訊的來源。事實上,有44%的受訪組織提到社群媒體情報(SOCMINT)對其數位風險保護解決方案的重要性。
我們開發了用來檢查 Twitter上資料和案例研究的工具,以了解如何利用社群媒體來收集可供行動的威脅情報。好的一面:社群媒體可以成為另一個資訊來源,只要經過驗證就可以用來保護組織對抗威脅。壞的一面:社群媒體可能被利用來破壞公眾人物或組織的聲譽。
從社群媒體管道收集威脅情報需要可被處理、分析、驗證和能夠提供脈絡的資料。
有多種方法可以取得原始資料。有開放原始碼的情報工具(如TWINT)能夠抓取資料,或用公開的Twitter串流API來收集樣本資料進行分析。另一種作法是對現有資料集進行更深入的研究,例如被美國政治數據分析網站FiveThirtyEight用來分析酸民推文的資料集。而我們的研究使用了Twitter公開API,因為它符合Twitter的服務條款和使用政策。我們還將本研究所有得到的入侵指標(IoC)回報給Twitter。
繼續閱讀
到處和家人遊山玩水,手機相簿裡裝著滿滿的回憶,但每當要整理照片的時候,這邊刪刪,那邊刪刪,常常一不小心就隨手刪了一些很重要的照片,這時候要怎麼做才能把那些照片找回來呢?今天好麻吉就來教教大家怎麼找回手機誤刪照片。
本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
一周精選媒體資安新聞
愛瘋傳災情!iOS 13「開藍牙」 恐外洩個資、定位 三立新聞網
iOS 13爆個資洩露 信用卡資料被陌生人看光光 ETtoday新聞雲
iOS 13有漏洞!不解鎖也可「偷看通訊錄」 蘋果證實:iOS 13.1會修正 ETtoday新聞雲
微軟例外修補IE、Windows Defender兩重大漏洞,IE零時差漏洞已有攻擊程式 iThome
獨立研究機構確認趨勢科技為「用戶端防護領導者」 經濟日報網
開放銀行下階段「消費者資訊查詢」 個資隱私仍有外洩疑慮 經濟日報網
開發人員集訓中心Thinkful遭駭,重設所有用戶密碼 iThome
繼勒索病毒和挖礦程式 釣魚詐騙已成消費端最大資安風險 電子時報
2019上半年 全球惡意網址威脅高達4.9億次 經濟日報網
繼續閱讀她的 iPhone 被偷後,收到一則看似正常的簡訊,裡面提供了一個看似指向「尋找我的 iPhone」(Find My iPhone) 連結。沒過多久歹徒就進入了她的 iPhone 並且將資料徹底清除。
傳統犯罪與網路犯罪的結合,已使得傳統犯罪的受害者陷入更悲慘的境遇。最近的一個案例就是,一位女子在參加芝加哥一年一度的 Lollapalooza 音樂節時不慎 iPhone被偷。結果在她經由網路尋找 iPhone 時卻不小心誤觸盜賊的網路釣魚網站,導致 Apple ID 和密碼也被騙走。
這名受害者向當地的新聞媒體 CWBChicago 分享了這段經歷,希望不要再有其他人受害。如同一般的網路釣魚詐騙一樣,這名女子收到一則看似正常的簡訊,裡面提供了一個看似指向「尋找我的 iPhone」(Find My iPhone) 網頁的連結。但她直到自己的登入憑證被盜了之後才意識到這則簡訊以及剛剛登入的網頁很可能是假的,因為,沒過多久歹徒就進入了她的 iPhone 並且將資料徹底清除。
顯然,要是這名女子能一開始就識破那則網路釣魚訊息,這一切的悲劇就不會發生。這話說來容易,但歹徒就是有能力偽造出幾可亂真的網路釣魚頁面,就連最謹慎的用戶也可能被騙。