Log for 網路攻防戰~資安閒聊群組

一名白帽駭客的告白：我拿同事、鄰居做實驗

台灣駭客年會（HITCON）共同創辦人、現任趨勢科技資深協理，目前任務是帶領分布在台、美、法、捷克的16人團隊，進行駭客威脅分析。

另外，為進行各種測試，張裕敏申請了兩百多個 Gmail 帳號；為研究臉書對使用者行為的運算學習方式，他曾數次更改自己的使用模式，玩到被官方鎖帳號。「資安必須不斷進修，不是比官大，是比誰玩得兇啦！」張裕敏搔搔頭說。

由於知道任何資訊連結點都可能被駭，張裕敏一拿到裝置，第一件事就是改密碼。手冊上有預設密碼的，全改；沒載明密碼、實際上卻暗藏預設密碼的，一旦被他發現，將通報全球資安單位，提醒風險。

這麼多密碼，怎麼記？張裕敏自己數百個帳號的密碼全都不一樣。他說，「撇步」就是唱歌。用歌詞拼音當密碼，想要記住幾組密碼，就能牢記幾組！

https://theinitium.com/article/20170406-taiwan-white-hat-hacker/

標題：三星自家 Tizen 作業系統被發現40多個安全漏洞，被轟為史上最爛

摘要：
三星的 Tizen 作業系統近日被發現存在 40 多個安全漏洞，三星在一系列三星智慧電視、智慧手錶和 Z 系列手機上使用該系統，這些漏洞可能會讓駭客更加容易遠程攻擊和控制裝置。以色列安全研究人員Amihai Neiderman 表示，這些漏洞會讓數以百萬計的電子裝置面臨風險。

該系統其中一個漏洞存在於 Tizen 軟體商店中，駭客可以在軟體工具更新時利用漏洞，在用戶手機中植入流氓軟體工具。儘管三星 Tizen 軟體工具商店的軟體工具要經過認證才能進行更新，但是這個利用這個漏洞就可以繞過三星的限制體系。

在傳輸重要資料的過程中， Tizen 作業系統甚至沒有採取加密措施，其在加密需求方面做了很多錯誤的假設。

三星裝置的安全漏洞最近頻頻被曝光，就在前幾天，瑞士安全顧問 Rafael Scheel 還示範了如何透過空中傳播的電視信號對三星智慧電視機的攻擊，他使用廉價的發射機將惡意命令嵌入數位影片廣播（DVB-T）信號中完成了攻擊。 Rafael Scheel 稱這種攻擊可以讓駭客獲得 Root 控制權，透過三星智慧電視的鏡頭和麥克風窺探和監控用戶。

引用來源：
http://www.techbang.com/posts/50296-samsung-home-tizen-was-discovered-more-than-40-multiple-security-vulnerabilities-of-the-operating-system-was-thrown-to-the-worst

標題：Android 史上最複雜的惡意軟體，就算你的手機沒 Root 它也會幫你 Root

摘要：
一旦使用者不小心裝了這個惡意軟體，等同替駭客開啟了一道大門，駭客便可以監控你的電話、簡訊、email、相機甚至是你行動裝置的密碼等等。

不過 iOS 與 Android 裝置上的此款惡意軟體有著極大的差別，iOS 上的 Pagasus 一開始是設計用在「越獄過」的裝置，並透過三個零時差漏洞攻擊受害者的裝置，受攻擊的裝置會使韌體中的漏洞暴露在光天化日之下，也因為這樣，導致手機更容易受到駭客的入侵。不過果迷們也不用太緊張，因為蘋果早已經發現這個問題並將相關的漏洞修補起來。

而在 Android 裝置上，Chrysaor 會強制讓你的手機 Root，直接取得最高權限。若 Root 不成功，該軟體還是會透過漏洞讓駭客竊取你手機中的資料。此外，Chrysaor 厲害的地方在於它一旦被發現，就會自動解除安裝，使用者可能永遠都不會知道自己的裝置遭駭。

引用來源：
http://www.techbang.com/posts/50292-android-malware