Jump to...

redirecting...

Log for 網路攻防戰~資安閒聊群組

呂守箴(OpenBlue)

Zeroday 8/20~8/22 漏洞公開：

國立台灣大學社會學系 SQL 注入
https://zeroday.hitcon.org/vulnerability/ZD-2017-00507

國立海洋大學學生事務處網站，存在XSS漏洞
https://zeroday.hitcon.org/vulnerability/ZD-2017-00506

國家教育研究院訊息洩漏以及XSS的可能性
https://zeroday.hitcon.org/vulnerability/ZD-2017-00510

呂守箴(OpenBlue)

Linux/x86_64 - Fork Bomb Shellcode
漏洞程式公告：https://www.exploit-db.com/exploits/42523/
下載處：https://github.com/touhidshaikh/shellcode/tree/master/Linux

Linux/x86_64 - kill All Processes Shellcode
漏洞程式公告：https://www.exploit-db.com/exploits/42522/
下載處：https://github.com/touhidshaikh

呂守箴(OpenBlue)

標題：透過維修手機過程置換惡意晶片的攻擊手法(含影片示範)

摘要：
在 USENIX W00T '17 安全會議上，來自一所以色列大學的研究人員示範了他們的新研究，他們可以通過更換零件來對智慧型手機或者其它設備進行攻擊。

研究人員把這種攻擊取名為" chip-in-the-middle "，這種攻擊方法的前提是攻擊者能夠大量生產內建額外晶片的手機零件備品，而晶片可以對設備的內部訊息進行劫持，也可以執行惡意代碼。

研究人員在兩台 Android 手機上進行了實驗：華為Nexus 6P和LG G Pad 7.0平板，前者使用了Synaptics的螢幕控制器，後者使用了Atmel。

研究人員認為還有很多其它裝置也存在這類問題，包括蘋果的裝置。

研究報告下載處：
https://www.usenix.org/system/files/conference/woot17/woot17-paper-shwartz.pdf

示範影片：
安裝惡意軟件：https://youtu.be/rRvsFiCJwDA
拍照並發送郵件：https://youtu.be/16SGrrMWYYU
把URL替換成釣魚網址：https://youtu.be/1EjxU6XXs7I
記錄屏幕解鎖圖案：https://youtu.be/Vo13LKjpvS4
徹底攻陷手機：https://youtu.be/Z_esD1Z78Ms

而實驗表明徹底攻陷手機只需要65秒，而其他諸如替換網址的攻擊則是即時的。

內文引用來源：
http://www.freebuf.com/articles/terminal/144923.html

原始資料：
https://www.bleepingcomputer.com/news/security/secret-chips-can-be-hidden-in-replacement-parts-to-spy-and-take-over-smartphones/

created by mmis1000 and release under MIT License
GitHub Repo