Log for 網路攻防戰~資安閒聊群組
標題:OWASP釋出新十大資安風險,API風險是新威脅
摘要:
今年4月下旬,OWASP釋出2017年OWASP前十大資安風險候選版(Release Candidate)並對外公開徵詢意見,預計在今年七月或八月,將會釋出正式版。
面對2017年版的OWASP前十大資安風險,兩個新上榜的資安風險都與API的安全性相關。
目前有許多企業開發時,經常使用各種開發框架(Framework),或者是讓前後端分離、加速團隊研發速度,甚至是許多手機App也都是呼叫各種API的情況下,都大量使用各種API,但API相關的安全措施卻沒有因為使用量大而作的更好、有更多關注,反而讓這些沒有受到完善保護的API成為駭客攻擊的目標。
原始資料:
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
OWASP Top 10 - 2017 Release Candidate 檔案下載:
https://github.com/OWASP/Top10/raw/master/2017/OWASP%20Top%2010%20-%202017%20RC1-English.pdf
引用來源:
http://www.ithome.com.tw/news/113873
摘要:
今年4月下旬,OWASP釋出2017年OWASP前十大資安風險候選版(Release Candidate)並對外公開徵詢意見,預計在今年七月或八月,將會釋出正式版。
面對2017年版的OWASP前十大資安風險,兩個新上榜的資安風險都與API的安全性相關。
目前有許多企業開發時,經常使用各種開發框架(Framework),或者是讓前後端分離、加速團隊研發速度,甚至是許多手機App也都是呼叫各種API的情況下,都大量使用各種API,但API相關的安全措施卻沒有因為使用量大而作的更好、有更多關注,反而讓這些沒有受到完善保護的API成為駭客攻擊的目標。
原始資料:
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
OWASP Top 10 - 2017 Release Candidate 檔案下載:
https://github.com/OWASP/Top10/raw/master/2017/OWASP%20Top%2010%20-%202017%20RC1-English.pdf
引用來源:
http://www.ithome.com.tw/news/113873
標題:英國科學家用陀螺儀數據,竟成功破譯了手機 PIN 碼
摘要:
英國新堡大學(Newcastle University )的研究人員在《國際資訊安全雜誌》( International Journal of Information security)發表了論文,其中示範了手機的陀螺儀──追蹤手腕旋轉和方向的感測器,可以用來精準地猜出一組四位數的 PIN 碼。在一次測試中,該團隊以 70% 的準確率破解了密碼,連續測到第 5 次時,準確率高達 100%。
論文的主作者 Maryam Mehrenzhad 博士,是新堡大學電腦科學學院研究員,他表示說:「大多數智慧型手機、平板電腦與其他穿戴裝置現在都配備大量的感測器,但由於 App 和網站不需要徵詢使用者的許可,就可以取用這些感測器的數據,惡意程式有可能隱藏其『監聽』感測器數據的企圖。」
該團隊確定了共 25 款不同的智慧手機,其感測器可能會因此洩露使用者操作手機時的感測器數據。更糟糕的是,只有少數感測器的使用行為(例如相機和 GPS),會在安裝 App 時徵詢使用者的許可。
原始資料:
https://www.eurekalert.org/pub_releases/2017-04/nu-ays040617.php
引用來源:
https://technews.tw/2017/05/03/are-your-sensors-spying-on-you/
摘要:
英國新堡大學(Newcastle University )的研究人員在《國際資訊安全雜誌》( International Journal of Information security)發表了論文,其中示範了手機的陀螺儀──追蹤手腕旋轉和方向的感測器,可以用來精準地猜出一組四位數的 PIN 碼。在一次測試中,該團隊以 70% 的準確率破解了密碼,連續測到第 5 次時,準確率高達 100%。
論文的主作者 Maryam Mehrenzhad 博士,是新堡大學電腦科學學院研究員,他表示說:「大多數智慧型手機、平板電腦與其他穿戴裝置現在都配備大量的感測器,但由於 App 和網站不需要徵詢使用者的許可,就可以取用這些感測器的數據,惡意程式有可能隱藏其『監聽』感測器數據的企圖。」
該團隊確定了共 25 款不同的智慧手機,其感測器可能會因此洩露使用者操作手機時的感測器數據。更糟糕的是,只有少數感測器的使用行為(例如相機和 GPS),會在安裝 App 時徵詢使用者的許可。
原始資料:
https://www.eurekalert.org/pub_releases/2017-04/nu-ays040617.php
引用來源:
https://technews.tw/2017/05/03/are-your-sensors-spying-on-you/
標題:小心! 別被 Google Docs 網釣郵件騙了
摘要:
根據用戶在Reddit分享的經驗,受害者會接到看似友人傳來Google Docs要求編輯文件的Gmail電子郵件,仔細一看,這封信同時還BCC其他人。等用戶按下郵件中「在Docs中開啟文件」的連結, 就跳出真實的Google登入對話框,要求用戶在數個Google帳號中選擇以其中一個帳號進入Docs,同時有另一個Google OAuth核准頁面,要求用戶授權「Google Docs」存取Gmail帳號,包括寄發、刪改電子郵件, 以及讀取他聯絡人資料的權利。
用戶按下「允許」後, 才會發現有個不知名的電子郵件擁用者(而非Google)已經獲得了受害者的Docs存取權。而且這封網釣郵件,也同樣經由受害者Gmail帳號發送給其他聯絡人。
多家國際媒體報導,這透過社交工程的網釣郵件攻擊,昨日已經迅速在網路快速蔓延。所幸Google立即採取處置。
原始資料:
https://www.reddit.com/r/google/comments/692cr4/new_google_docs_phishing_scam_almost_undetectable/
引用來源:
http://www.ithome.com.tw/news/113878
摘要:
根據用戶在Reddit分享的經驗,受害者會接到看似友人傳來Google Docs要求編輯文件的Gmail電子郵件,仔細一看,這封信同時還BCC其他人。等用戶按下郵件中「在Docs中開啟文件」的連結, 就跳出真實的Google登入對話框,要求用戶在數個Google帳號中選擇以其中一個帳號進入Docs,同時有另一個Google OAuth核准頁面,要求用戶授權「Google Docs」存取Gmail帳號,包括寄發、刪改電子郵件, 以及讀取他聯絡人資料的權利。
用戶按下「允許」後, 才會發現有個不知名的電子郵件擁用者(而非Google)已經獲得了受害者的Docs存取權。而且這封網釣郵件,也同樣經由受害者Gmail帳號發送給其他聯絡人。
多家國際媒體報導,這透過社交工程的網釣郵件攻擊,昨日已經迅速在網路快速蔓延。所幸Google立即採取處置。
原始資料:
https://www.reddit.com/r/google/comments/692cr4/new_google_docs_phishing_scam_almost_undetectable/
引用來源:
http://www.ithome.com.tw/news/113878
標題:200 個 Android 應用程式夾帶影響企業的 MilkyDoor後門程式,包含下載次數達50萬到100萬的應用程式
摘要:
MilkyDoor會對企業帶來較大的威脅,因為它被設計來攻擊企業的內部網路,私人伺服器,最終是企業資產和資料。MilkyDoor建立SSH通道的作法對組織網路帶來安全上的挑戰,特別是整合BYOD設備的網路。
當木馬化應用程式安裝時,MilkyDoor連上一個第三方伺服器(我們一直在追踪的freegeoip[.]net)來取得設備的本地IP地址,包括國家、城市和它的座標(經緯度)。接著它會上傳資料到命令和控制(C&C)伺服器,伺服器會用JSON格式回傳資料,包含了SSH伺服器的使用者名稱、密碼和主機位置。
使用了端口轉發功能,MilkyDoor可以用來避免網路監控或嗅探(sniffer),甚至繞過了網路防火牆。
引用來源:
https://blog.trendmicro.com.tw/?p=49395
摘要:
MilkyDoor會對企業帶來較大的威脅,因為它被設計來攻擊企業的內部網路,私人伺服器,最終是企業資產和資料。MilkyDoor建立SSH通道的作法對組織網路帶來安全上的挑戰,特別是整合BYOD設備的網路。
當木馬化應用程式安裝時,MilkyDoor連上一個第三方伺服器(我們一直在追踪的freegeoip[.]net)來取得設備的本地IP地址,包括國家、城市和它的座標(經緯度)。接著它會上傳資料到命令和控制(C&C)伺服器,伺服器會用JSON格式回傳資料,包含了SSH伺服器的使用者名稱、密碼和主機位置。
使用了端口轉發功能,MilkyDoor可以用來避免網路監控或嗅探(sniffer),甚至繞過了網路防火牆。
引用來源:
https://blog.trendmicro.com.tw/?p=49395
標題:德國研究:新手法!234款安卓App用手機麥克風監聽環境超音波,暗中追蹤用戶行動
摘要:
德國布倫瑞克工業大學(Brunswick Technical University)系統安全研究團隊於近期發現,目前有234個Android 應用程式在用戶不知情的情況下,利用行動裝置的麥克風接收用戶周圍環境的超音波訊號(範圍在18千赫到20千赫之間),來追蹤用戶的行動,分析用戶收看電視的習慣和使用電子產品的情形,幫助廣告商或產品製造商推播適合該用戶的產品訊息。
研究人員指出,用戶一旦安裝了暗中接收超音波訊號的Android 應用程式,有4種方式會造成用戶的隱私威脅,包含媒介追蹤(Media Tracking)、跨設備追蹤(Cross-Device Tracking)、位置追蹤(Location Tracking)和去匿名化(De-Anonymization)。
研究人員解釋,目前許多知名企業App採用這項技術,來追蹤用戶的媒體使用行為,例如麥當勞和Krispy Kreme Doughnuts。
原始資料:
http://christian.wressnegger.info/content/projects/sidechannels/2017-eurosp.pdf
引用來源:
http://www.ithome.com.tw/news/113889
摘要:
德國布倫瑞克工業大學(Brunswick Technical University)系統安全研究團隊於近期發現,目前有234個Android 應用程式在用戶不知情的情況下,利用行動裝置的麥克風接收用戶周圍環境的超音波訊號(範圍在18千赫到20千赫之間),來追蹤用戶的行動,分析用戶收看電視的習慣和使用電子產品的情形,幫助廣告商或產品製造商推播適合該用戶的產品訊息。
研究人員指出,用戶一旦安裝了暗中接收超音波訊號的Android 應用程式,有4種方式會造成用戶的隱私威脅,包含媒介追蹤(Media Tracking)、跨設備追蹤(Cross-Device Tracking)、位置追蹤(Location Tracking)和去匿名化(De-Anonymization)。
研究人員解釋,目前許多知名企業App採用這項技術,來追蹤用戶的媒體使用行為,例如麥當勞和Krispy Kreme Doughnuts。
原始資料:
http://christian.wressnegger.info/content/projects/sidechannels/2017-eurosp.pdf
引用來源:
http://www.ithome.com.tw/news/113889