谷歌發(fā)布以安全為主題的Android更新

谷歌近日推出了一個(gè)以安全為主題的Android更新，修復(fù)了30多個(gè)安全漏洞，這些漏洞會(huì)導(dǎo)致移動(dòng)用戶面臨一系列惡意攻擊。其中最嚴(yán)重的是媒體框架中的一個(gè)漏洞，該漏洞可能導(dǎo)致Android 8.1和9設(shè)備上的特權(quán)提升，或Android 10和11上的信息泄露。該漏洞被跟蹤為 CVE-2021-0519。這些問題中最嚴(yán)重的是媒體框架組件中的一個(gè)高危安全漏洞，它可以使本地惡意應(yīng)用程序繞過將應(yīng)用程序數(shù)據(jù)與其他應(yīng)用程序隔離的操作系統(tǒng)保護(hù)。谷歌8月1日發(fā)布的安全更新包括了對(duì)Framework中三個(gè)高嚴(yán)重性提權(quán)漏洞的修復(fù)，以及安卓系統(tǒng)中兩個(gè)提權(quán)漏洞和三個(gè)信息泄漏漏洞的修復(fù)。后五個(gè)漏洞均被評(píng)為高嚴(yán)重性漏洞;谷歌8月5日發(fā)布的安全更新的第二部分，修復(fù)了總共24個(gè)影響內(nèi)核組件、聯(lián)發(fā)科組件、Widevine DRM、高通組件和高通閉源組件的漏洞。這些問題中最嚴(yán)重的是釋放后重用漏洞，它可能允許攻擊者以內(nèi)核權(quán)限執(zhí)行任意代碼。攻擊者利用該漏洞可以在特權(quán)進(jìn)程的上下文中遠(yuǎn)程執(zhí)行代碼，并根據(jù)與此應(yīng)用程序關(guān)聯(lián)的權(quán)限，來安裝程序，查看、更改或刪除數(shù)據(jù)，或創(chuàng)建具有完全用戶權(quán)限的新帳戶。除了上述針對(duì)Android安全公告解決的漏洞外，谷歌還修復(fù)了三個(gè)特定于Pixel設(shè)備的中等嚴(yán)重性漏洞。其中包括Pixel組件中的特權(quán)提升，以及Qualcomm閉源組件中的另外兩個(gè)未指明的漏洞。

普普點(diǎn)評(píng)

保持智能手機(jī)系統(tǒng)更新非常有必要，在安裝Android安全更新時(shí)，你可能不會(huì)注意到任何精美的新功能，但是它們非常重要，因?yàn)樗鼈兛梢孕迯?fù)錯(cuò)誤和補(bǔ)丁漏洞。將它們想像成裝滿水的桶中的孔，幾個(gè)小孔可能不會(huì)使水位下跌太多，但是如果你打了足夠的孔，整個(gè)桶就可能壞掉。如有你的手機(jī)有較小的系統(tǒng)更新，請(qǐng)務(wù)必盡快下載這些更新。

數(shù)百萬臺(tái)操作技術(shù)設(shè)備受影響? 研究人員披露INFRA：HALT漏洞

近日，F(xiàn)orescout和 JFrog安全團(tuán)隊(duì)的安全研究人員披露了 14 個(gè)漏洞（統(tǒng)稱為INFRA：HALT），這些漏洞影響到了200 多家供應(yīng)商制造的數(shù)百萬臺(tái)操作技術(shù)（OT）設(shè)備中常用的名為NicheStack的TCP/IP 堆棧，攻擊者利用這些漏洞能夠?qū)崿F(xiàn)遠(yuǎn)程代碼執(zhí)行、拒絕服務(wù)、信息竊取、TCP 欺騙，甚至是DNS緩存投毒。黑客一旦成功訪問某個(gè)使用NicheStack系統(tǒng)機(jī)構(gòu)的OT網(wǎng)絡(luò)就能夠利用這些漏洞進(jìn)行攻擊。NicheStack是一個(gè)閉源的TCP/IP堆棧的嵌入式系統(tǒng)，最初由InterNiche開發(fā)，2016年被HCC Embedded公司收購。該系統(tǒng)旨在幫助工業(yè)設(shè)備連接互聯(lián)網(wǎng)，被主要的工業(yè)自動(dòng)化供應(yīng)商（如：西門子，艾默生，霍尼韋爾，三菱電機(jī)，羅克韋爾自動(dòng)化和施耐德電氣）使用在他們的可編程邏輯控制器（PLCs）和其他產(chǎn)品中。據(jù)悉，有超過 6400臺(tái)運(yùn)行NiccheStack的OT設(shè)備連接到互聯(lián)網(wǎng)。據(jù)了解，4.3版本之前的所有 NicheStack 版本都容易受到 INFRA：HALT 的影響，雖然HCC Embedded已發(fā)布補(bǔ)丁以解決這些漏洞，但使用NicheStack的易受攻擊版本的設(shè)備供應(yīng)商可能需要相當(dāng)長的時(shí)間才能將更新的固件運(yùn)送給客戶。

普普點(diǎn)評(píng)

如果您的企業(yè)有在用的上述嵌入式系統(tǒng)，可訪問 Amnesia 項(xiàng)目掃描器，查看自己是否使用了在 NicheStack TCP/IP 棧上運(yùn)行的設(shè)備，或者是否在受此前漏洞影響的 TCP/IP 棧上運(yùn)行。項(xiàng)目地址：https://github.com/Forescout/project-memoria-detector。

勒索病毒成為工業(yè)環(huán)境中的典型攻擊手段

近日，研究機(jī)構(gòu)Forrester Research發(fā)布了《Now Tech Industrial Control Systems(ICS) Security Solutions Q2 2021》研究報(bào)告，該報(bào)告調(diào)研了全球28家工控安全解決方案供應(yīng)商。研究發(fā)現(xiàn)：通過加密檔案系統(tǒng)或文件的勒索軟件攻擊已經(jīng)對(duì)ICS安全造成了嚴(yán)重的威脅。工業(yè)控制系統(tǒng)(ICS)是許多關(guān)鍵基礎(chǔ)設(shè)施部門運(yùn)營技術(shù) (OT) 的重要組成部分。ICS和OT環(huán)境因其在企業(yè)中所占據(jù)的重要地位而成為吸引網(wǎng)絡(luò)攻擊者的重點(diǎn)目標(biāo)，若攻擊者對(duì)ICS和OT攻擊成功，會(huì)導(dǎo)致現(xiàn)實(shí)企業(yè)業(yè)務(wù)中斷的嚴(yán)重后果。例如美國最大燃油輸送公司Colonial Pipeline的勒索軟件攻擊事件。報(bào)告指出，過去一年中，勒索軟件是OT環(huán)境中常見的攻擊手段。針對(duì)工業(yè)系統(tǒng)的網(wǎng)絡(luò)威脅大多數(shù)與有國家背景支持的攻擊組織有關(guān)，關(guān)鍵基礎(chǔ)設(shè)施和工業(yè)企業(yè)所面臨的網(wǎng)絡(luò)威脅正在逐年增加。除了勒索軟件，許多工業(yè)控制系統(tǒng)還容易受到漏洞攻擊。以Stuxnet為例，它是一種針對(duì)SCADA系統(tǒng)的惡意蠕蟲，之所以引人注目，是因?yàn)樗悄壳皹I(yè)內(nèi)已知的第一個(gè)針對(duì)核能設(shè)施的惡意蠕蟲，它透過感染核能設(shè)備的控制系統(tǒng)(ICS)，從而對(duì)核離心機(jī)造成物理損壞。便攜式媒體(例如U盤)是ICS的主要風(fēng)險(xiǎn)來源。粗心的員工可能會(huì)在不知不覺中將受感染的文件或媒體引入這些系統(tǒng)。

普普點(diǎn)評(píng)

制造業(yè)進(jìn)入“工業(yè)4.0”時(shí)代，信息安全工作將需要面對(duì)由無處不在的傳感器、嵌入式系統(tǒng)、智能控制系統(tǒng)和產(chǎn)品數(shù)據(jù)、設(shè)備數(shù)據(jù)、研發(fā)數(shù)據(jù)、運(yùn)營管理數(shù)據(jù)等緊密互聯(lián)形成的一個(gè)智能網(wǎng)絡(luò)，對(duì)制造業(yè)的信息安全防護(hù)能力提出了更高的要求。

搞癱美國最大燃油管道的黑客軟件卷土重來

在今年5月，黑客團(tuán)隊(duì)“黑暗面”(DarkSide ransomware group)導(dǎo)致美國“輸油大動(dòng)脈”一度癱瘓，甚至讓美國宣布進(jìn)入國家緊急狀態(tài)，也因此聲名大噪。在成功獲得了贖金后，迫于多方壓力最終DarkSide宣布解散。據(jù)外媒報(bào)道，日前，網(wǎng)絡(luò)安全公司聲稱一個(gè)新的危險(xiǎn)黑客組織已經(jīng)成立，該組織融合了DarkSide和另外兩種著名勒索軟件的功能。根據(jù)網(wǎng)絡(luò)安全公司Recorded Future的說法，新成立的黑客團(tuán)隊(duì)名為黑物質(zhì)集團(tuán)(BlackMatter group)，該組織聲稱其已經(jīng)成功融合了DarkSide和勒索軟件“REvil”和“Lockbit”的最佳功能。目前，BlackMatter正在活躍在各大黑客論壇上，但是它并不是為了出售自己的軟件，而是在搜集那些已經(jīng)被其他黑客攻擊的企業(yè)。Recorded Future指出，BlackMatter的目標(biāo)主要是已經(jīng)被黑客入侵的澳大利亞、加拿大、英國和美國的公司網(wǎng)絡(luò)，并要求這些公司的收入至少1億美元以上。此外，網(wǎng)絡(luò)安全公司Malwarebytes表示，BlackMatter在其網(wǎng)站發(fā)表聲明稱，并不會(huì)針對(duì)醫(yī)院、關(guān)鍵基礎(chǔ)設(shè)施、國防工業(yè)和政府部門等特定行業(yè)發(fā)動(dòng)攻擊。而這一聲明與之前黑客組織DarkSide的聲明頗為相似，該組織在今年5月曾表示，其目的是為了賺錢，而不是制造社會(huì)混亂。

普普點(diǎn)評(píng)

DarkSide與其附屬就在過去9個(gè)月中，從47名受害者那里獲得了至少價(jià)值9000萬美元的比特幣贖金。對(duì)于像DarkSide這樣的勒索團(tuán)隊(duì)而言解散是非常普遍的操作，只不過是未來再換個(gè)名字重出江湖罷了，該團(tuán)隊(duì)的活動(dòng)態(tài)勢(shì)，值得國際社會(huì)重點(diǎn)關(guān)注。

技嘉遭勒索軟件攻擊 黑客威脅稱不支付贖金就公開內(nèi)部數(shù)據(jù)

硬件廠商技嘉(Gigabyte)本周遭到勒索軟件攻擊。黑客威脅稱如果公司不支付贖金，將公開 112GB 的公司內(nèi)部數(shù)據(jù)。技嘉在公告中表示，公司于本周二晚上遭到勒索軟件攻擊，但沒有對(duì)生產(chǎn)系統(tǒng)產(chǎn)生影響，因?yàn)楣舻哪繕?biāo)是位于總部的少量內(nèi)部服務(wù)器。技嘉表示由于安全團(tuán)隊(duì)的迅速行動(dòng)，服務(wù)器已從備份中恢復(fù)并重新上線，但事件遠(yuǎn)未結(jié)束。援引外媒 The Record 報(bào)道，勒索軟件團(tuán)伙 RansomExx 對(duì)本次攻擊負(fù)責(zé)，該團(tuán)伙聲稱擁有 112GB 的數(shù)據(jù)，其中包括技嘉和 Intel、AMD和 American Megatrends 的機(jī)密通信以及保密協(xié)議。該組織威脅要公開所有內(nèi)容，除非技嘉愿意支付贖金。目前技嘉仍在調(diào)查本次攻擊是如何發(fā)生的，不過初步猜測(cè)可能是網(wǎng)絡(luò)釣魚電子郵件活動(dòng)或者從在線來源購買的被盜憑據(jù)，這類攻擊通常來自于這些問題。這并不是 RansomExx 團(tuán)隊(duì)發(fā)起的首次攻擊，在 2018 年前該團(tuán)隊(duì)以“Defray”的名稱運(yùn)營，并攻擊了包括佳明、宏碁、仁寶、廣達(dá)和研華等公司。上個(gè)月，它還攻擊了意大利和厄瓜多爾國營電信公司 CNT 的 Covid-19 疫苗接種預(yù)訂系統(tǒng)。

普普點(diǎn)評(píng)

RansomEXX 是一種相對(duì)較新的勒索軟件，去年 6 月初首次被發(fā)現(xiàn)，隨后11月份，該勒索軟件發(fā)展出了Linux版本。針對(duì)這類入侵，公司可以采取的最佳策略是，通過向網(wǎng)關(guān)設(shè)備應(yīng)用安全補(bǔ)丁，并確保它們沒有被錯(cuò)誤配置為弱憑證或默認(rèn)憑證，來保護(hù)網(wǎng)絡(luò)邊界。

打破物理隔離！利用電源信號(hào)燈的輕微閃爍進(jìn)行竊聽

以色列研究人員發(fā)現(xiàn)了一種新的電子對(duì)話監(jiān)控方法，他們介紹了一種名為“螢火蟲”（Glowworm）的新型被動(dòng)TEMPEST（瞬態(tài)電磁脈沖發(fā)射監(jiān)控技術(shù)）攻擊形式，能夠?qū)P(yáng)聲器與USB集線器上電源LED當(dāng)中的微弱強(qiáng)度波動(dòng)，還原為導(dǎo)致波動(dòng)的音頻信號(hào)。該研究小組分析了目前市面上廣泛應(yīng)用的各類消費(fèi)級(jí)設(shè)備，包括智能揚(yáng)聲器、簡易PC揚(yáng)聲器以及USB集線器等，這些設(shè)備上的LED電源指示燈往往會(huì)受到揚(yáng)聲器輸入音頻信號(hào)的明顯影響。盡管LED信號(hào)的強(qiáng)度波動(dòng)無法被肉眼察覺，但其強(qiáng)度已經(jīng)足以被耦合至一個(gè)簡單光學(xué)望遠(yuǎn)鏡內(nèi)的光電二極管所捕捉。揚(yáng)聲器在消耗電流時(shí)引起的電壓變化必然引起功率波動(dòng)，也因此令LED產(chǎn)生輕微閃爍；以此為基礎(chǔ)，光電二極管能夠?qū)⑦@種閃爍轉(zhuǎn)換為電信號(hào)，再經(jīng)由簡單的模數(shù)轉(zhuǎn)換器（ADC）以音頻形式播放。“螢火蟲”攻擊的最大特點(diǎn)，一為新穎性、二為被動(dòng)性。由于這種方法不需要發(fā)出任何主動(dòng)信號(hào)，因此不會(huì)受到任何類型的電子對(duì)抗掃描的影響。真正令人擔(dān)心的是，它根本不需要接觸實(shí)際音頻，只要觀察音頻發(fā)生裝置上的光電副作用，它就能還原出傳輸內(nèi)容。這意味著如果使用“螢火蟲”監(jiān)控電話會(huì)議，那么攻擊一方并不需要前往會(huì)議室，只要在遠(yuǎn)處觀察會(huì)議室音頻播放系統(tǒng)的電源指示燈就能把對(duì)話內(nèi)容還原出來，因此大多數(shù)目標(biāo)根本意識(shí)不到這類監(jiān)控行為的存在。

普普點(diǎn)評(píng)

“螢火蟲”攻擊要求具備清晰的LED觀察視線，基于此，應(yīng)對(duì)此種攻擊最簡單方法就是把所有設(shè)備的LED指示燈全部朝室內(nèi)擺放，或者貼上不透明膠帶，或者拉上窗簾。對(duì)制造商來說，最低成本的解決方案就是在相對(duì)低功率的設(shè)備上為LED指示燈并聯(lián)上作為低通濾波器的電容，借此抑制電壓波動(dòng)。

殺毒軟件邁入寡頭時(shí)代！NortonLifeLock宣布并購Avast

消費(fèi)者網(wǎng)絡(luò)安全巨頭NortonLifeLock宣布，同意以現(xiàn)金加股票的方式并購殺毒軟件廠商Avast，借此擴(kuò)大自身在消費(fèi)級(jí)安全軟件業(yè)務(wù)領(lǐng)域的影響力。NortonLifeLock公司總部位于美國亞利桑那州坦佩市，其前身是賽門鐵克在2019年以107億美元將企業(yè)安全業(yè)務(wù)出售給博通公司后，剩下的消費(fèi)級(jí)業(yè)務(wù)。NortonLifeLock目前主要銷售諾頓（Norton）反病毒軟件與LifeLock消費(fèi)級(jí)身份盜竊保護(hù)產(chǎn)品。

Avast公司總部位于捷克布拉格，主要為消費(fèi)者提供免費(fèi)/付費(fèi)安全軟件，包括桌面安全以及服務(wù)器/移動(dòng)設(shè)備保護(hù)產(chǎn)品。通過這次合并，新公司將擁有超過5億用戶，加速推進(jìn)消費(fèi)者網(wǎng)絡(luò)安全轉(zhuǎn)型。結(jié)合Avast在隱私方面和NortonLifeLock在身份方面的優(yōu)勢(shì)，將創(chuàng)造一個(gè)廣泛且互補(bǔ)的產(chǎn)品組合，超越核心安全，向以信任為核心的解決方案邁進(jìn)。在今天宣布與Avast合并之前，2020年12月，NotonLifeLock 還以3.6億美元的現(xiàn)金交易收購了德國殺毒軟件廠商小紅傘（Avira）。經(jīng)過多年大浪淘沙，目前全球范圍內(nèi)的消費(fèi)者網(wǎng)絡(luò)安全巨頭已所剩不多，僅余NortonLifeLock（包括Norton、Avira、Avast、AVG）、McAfee、ESET、Bitdefender、趨勢(shì)科技、卡巴斯基、360等屈指可數(shù)的數(shù)家公司。

普普點(diǎn)評(píng)

最近兩年，黑客活動(dòng)越來越猖狂，網(wǎng)絡(luò)攻擊近來在新聞上成為了常態(tài)。大量的科技巨頭和政府機(jī)構(gòu)都在努力應(yīng)對(duì)一系列破壞性和廣泛的網(wǎng)絡(luò)攻擊，并專注于加強(qiáng)旗下產(chǎn)品和服務(wù)的安全性。在企業(yè)和機(jī)構(gòu)用戶面臨威脅的同時(shí)，個(gè)人用戶在網(wǎng)絡(luò)上的防護(hù)則更加不堪一擊，隨著當(dāng)前更多人開始遠(yuǎn)程辦公，用戶如何應(yīng)對(duì)網(wǎng)絡(luò)威脅成為至關(guān)重要的一環(huán)，也間接導(dǎo)致了市場對(duì)于網(wǎng)絡(luò)安全軟件的需求正變得越來越大，此次并購也應(yīng)勢(shì)而生。