Log for 網路攻防戰~資安閒聊群組
主題:QRLJacking:劫持採用 QR code 的登入手法,並應用在微信 & Whatsapp 壞取帳號權限
摘要:
SQRL(Secure Quick Response Login),這是一種基於 QR code 的驗證系統,特點就是可以讓使用者快速地登陸網站,不需要輸入用戶名密碼。
何謂 QRLJacking 攻擊手法:(在 OWASP 上的說明)
https://www.owasp.org/index.php/Qrljacking
研究員把攻擊方法命名為QRLJacking,這種方法簡單,但影響卻很惡劣,能夠影響到所有那些使用了 QR code 登錄的網站。攻擊者需要做的是讓受害者掃描一個 QR code。
影片示範:
WhatsApp QRLJacking Vulnerability Demo
https://www.youtube.com/watch?v=4QwyBXiZhG0
參考文章:
QRLJacking:如何劫持快速登陸時使用的二維碼
http://www.freebuf.com/articles/web/110510.html
摘要:
SQRL(Secure Quick Response Login),這是一種基於 QR code 的驗證系統,特點就是可以讓使用者快速地登陸網站,不需要輸入用戶名密碼。
何謂 QRLJacking 攻擊手法:(在 OWASP 上的說明)
https://www.owasp.org/index.php/Qrljacking
研究員把攻擊方法命名為QRLJacking,這種方法簡單,但影響卻很惡劣,能夠影響到所有那些使用了 QR code 登錄的網站。攻擊者需要做的是讓受害者掃描一個 QR code。
影片示範:
WhatsApp QRLJacking Vulnerability Demo
https://www.youtube.com/watch?v=4QwyBXiZhG0
參考文章:
QRLJacking:如何劫持快速登陸時使用的二維碼
http://www.freebuf.com/articles/web/110510.html
衍伸應用 1:
微信Netting-QRLJacking分析利用-掃我二維碼獲取你的賬號權限
http://www.freebuf.com/column/144276.html
Netting-QRLJacking的原理如下:
1.攻擊者首先精心製作一個網絡釣魚頁面,釣魚頁面獲取真實頁面的二維碼。
2.攻擊者將釣魚頁面發送給受害者。
3.受害者使用特定目標移動應用掃描QR碼。
4.攻擊者後台獲得受害者帳戶的認證鏈接。
5.攻擊者打開認證鏈接後直接控制受害者的微信權限。
微信Netting-QRLJacking分析利用-掃我二維碼獲取你的賬號權限
http://www.freebuf.com/column/144276.html
Netting-QRLJacking的原理如下:
1.攻擊者首先精心製作一個網絡釣魚頁面,釣魚頁面獲取真實頁面的二維碼。
2.攻擊者將釣魚頁面發送給受害者。
3.受害者使用特定目標移動應用掃描QR碼。
4.攻擊者後台獲得受害者帳戶的認證鏈接。
5.攻擊者打開認證鏈接後直接控制受害者的微信權限。
衍伸應用 2:
利用QRLJacking工具獲取Whatsapp帳號權限
http://www.freebuf.com/sectool/166282.html
如何用QRLJacking 去獲取別人Whatsapp 帳號的權限,這種攻擊是交互式,需要受害者去掃描你搭建好的釣魚網站裡面的惡意二維碼,或者你通過釣魚郵件等社會工程學手段讓誘導受害者去掃描你的惡意二維碼。
利用QRLJacking工具獲取Whatsapp帳號權限
http://www.freebuf.com/sectool/166282.html
如何用QRLJacking 去獲取別人Whatsapp 帳號的權限,這種攻擊是交互式,需要受害者去掃描你搭建好的釣魚網站裡面的惡意二維碼,或者你通過釣魚郵件等社會工程學手段讓誘導受害者去掃描你的惡意二維碼。
標題:臉書承認掃瞄Messenger用戶相片、連結及通訊內容
寫在前面:
獨立的 Facebook Messenger 的 APP,可以移除。但內建在 FB 的 Messenger 就無法改變了!
摘要:
雖然Messenger提供用戶私密通話,但臉書仍然可以加以掃瞄,並使用和臉書社交平台同樣的工具防止濫用,以確保所有內容遵守同樣的社群標準。在接獲用戶檢舉後,臉書的社群運作小組會啟動審查決定是否將之撤下。此外臉書還有自動化工具來掃瞄用戶通訊內容。
臉書發言人舉例,用戶傳送相片時,Messenger的自動化系統會利用相片比對技術以偵測是否有兒童剝削的圖片,或掃瞄用戶傳送的連結是否帶有惡意程式或病毒。這些自動化工具讓臉書可以快速阻止平台上的濫用行為。
原始資料:
https://www.bloomberg.com/news/articles/2018-04-04/facebook-scans-what-you-send-to-other-people-on-messenger-app
引用來源:
https://www.ithome.com.tw/news/122277
寫在前面:
獨立的 Facebook Messenger 的 APP,可以移除。但內建在 FB 的 Messenger 就無法改變了!
摘要:
雖然Messenger提供用戶私密通話,但臉書仍然可以加以掃瞄,並使用和臉書社交平台同樣的工具防止濫用,以確保所有內容遵守同樣的社群標準。在接獲用戶檢舉後,臉書的社群運作小組會啟動審查決定是否將之撤下。此外臉書還有自動化工具來掃瞄用戶通訊內容。
臉書發言人舉例,用戶傳送相片時,Messenger的自動化系統會利用相片比對技術以偵測是否有兒童剝削的圖片,或掃瞄用戶傳送的連結是否帶有惡意程式或病毒。這些自動化工具讓臉書可以快速阻止平台上的濫用行為。
原始資料:
https://www.bloomberg.com/news/articles/2018-04-04/facebook-scans-what-you-send-to-other-people-on-messenger-app
引用來源:
https://www.ithome.com.tw/news/122277
請問哪一部電影跟影集,也有攻擊腦波的劇情?
思科安全研究機構Talos Intelligence指出,知名腦波儀Natus NeuroWorks爆軟體漏洞,可能讓駭客存取裝置上的資訊及攻擊醫院網路、發動阻斷攻擊(DoS)。
https://www.ithome.com.tw/news/122278
思科安全研究機構Talos Intelligence指出,知名腦波儀Natus NeuroWorks爆軟體漏洞,可能讓駭客存取裝置上的資訊及攻擊醫院網路、發動阻斷攻擊(DoS)。
https://www.ithome.com.tw/news/122278
Ledger Nano S加密錢包再爆嚴重漏洞,看怎麼榨乾你的錢包
Saleem Rashid發現當Ledger Nano S硬件錢包跟目標設備完成物理連接之後,他竟然可以獲取到Ledger設備中的私鑰。
研究人員表示,攻擊者可以利用惡意軟件來更新Ledger設備,當惡意軟件竊取到交易私鑰之後,攻擊者就可以“榨乾”目標用戶的加密貨幣賬號了。
引用來源:
https://thenextweb.com/hardfork/2018/03/20/ledger-nano-s-hack-cryptocurrency
http://securityaffairs.co/wordpress/70516/hacking/ledger-wallet-flaw.html
Saleem Rashid發現當Ledger Nano S硬件錢包跟目標設備完成物理連接之後,他竟然可以獲取到Ledger設備中的私鑰。
研究人員表示,攻擊者可以利用惡意軟件來更新Ledger設備,當惡意軟件竊取到交易私鑰之後,攻擊者就可以“榨乾”目標用戶的加密貨幣賬號了。
引用來源:
https://thenextweb.com/hardfork/2018/03/20/ledger-nano-s-hack-cryptocurrency
http://securityaffairs.co/wordpress/70516/hacking/ledger-wallet-flaw.html
標題:Google VirusTotal推出Android沙箱服務
摘要:
VirusTotal為病毒、木馬和各種惡意軟體分析服務,為Google 2012年收購,旨在提升Google自身網際網路服務的防護。Droidy將用於取代VirusTotal 2013年並沿用至今的Android沙箱環境的升級版。
Google表示,Droidy沙箱服務現在可提供詳盡的app行為分析,包括網路通訊及簡訊相關活動、Java映射(Java Reflection)呼叫、檔案系統互動行為、SQLite資料庫使用情形、啟動或終止的服務,檢查app權限、註冊的接受者、加密活動等等。
原始資料:
http://blog.virustotal.com/2018/04/meet-virustotal-droidy-our-new-android.html
引用來源:
https://www.ithome.com.tw/news/122280
摘要:
VirusTotal為病毒、木馬和各種惡意軟體分析服務,為Google 2012年收購,旨在提升Google自身網際網路服務的防護。Droidy將用於取代VirusTotal 2013年並沿用至今的Android沙箱環境的升級版。
Google表示,Droidy沙箱服務現在可提供詳盡的app行為分析,包括網路通訊及簡訊相關活動、Java映射(Java Reflection)呼叫、檔案系統互動行為、SQLite資料庫使用情形、啟動或終止的服務,檢查app權限、註冊的接受者、加密活動等等。
原始資料:
http://blog.virustotal.com/2018/04/meet-virustotal-droidy-our-new-android.html
引用來源:
https://www.ithome.com.tw/news/122280
差點引發第三次世界大戰的高中生駭客 Wargames 的由來。
https://www.youtube.com/watch?v=wr6SimVEw7s
https://www.youtube.com/watch?v=wr6SimVEw7s