Log for 網路攻防戰~資安閒聊群組

BT下載軟體 utorrent 遠端執行漏洞與程式

utorrent: various JSON-RPC issues resulting in remote code execution, information disclosure, etc.
https://bugs.chromium.org/p/project-zero/issues/detail?id=1524

具有 MacOS 系統權限的鍵盤側錄程式 Coldroot RAT 與影片示範

原始資料：
https://www.hackread.com/coldroot-mac-malware-silently-performs-system-wide-keylogging/

技術資料：
https://digitasecurity.com/blog/2018/02/19/coldroot/

示範影片下載：
https://digitasecurity.com/img/blog/coldroot/coldroot.mp4

中國國產App的隱私，由百度"監聽電話"引發的事件

2017年7月4日，中國江蘇省消保委就北京百度網訊科技有限公司旗下的“手機百度”、“百度瀏覽器”等兩款手機APP存在的相關問題，發送相關《調查函》以及要求百度派員前來接受約談。

與國外廠商不同的是，中國國內很多手機廠商在獲取IMEI號碼時往往採取強製手段。例如微信會在程序啟動時申請IMEI及本地存儲權限，如果用戶拒絕權限就會自動退出，這種“不給信息就不服務”的做法在中國國內的應用中非常普遍，也飽受中國網民詬病。

http://www.freebuf.com/articles/neopoints/162711.html

商機無限，資安也無限！

台灣人更黏手機了！近8成民眾每天使用手機逾2小時 資策會：掌握娛樂市場需求成下一波商機
https://www.iii.org.tw/Press/NewsDtl.aspx?nsp_sqno=2081&fm_sqno=14

日本虛擬貨幣交易所再出包！上個月日本才驚傳價值 5.3 億美元的虛幣失竊，現在另一交易所又爆出系統故障，一度免費奉送價值 20 兆美元的比特幣，儘管錯誤交易已經全部遭到取消，但虛幣的安全性再次受到質疑。
https://technews.tw/2018/02/22/japan-zaif-exchange-reports-glitch-20-trillion-in-btc-temporarily-purchased-for-0-yen/

標題：港商家用監視器 Mi-Cam 安全漏洞多，5.2萬名用戶家中嬰兒或寵物影片容易遭攔截(含影片示範)

摘要：
資安業者SEC Consult本周指出，他們發現由香港業者miSafes所生產的Mi-Cam家用監視器含有許多重大的安全漏洞，將可存取Mi-Cam拍攝的影片，甚至是操控Mi-Cam來偷拍室內情況，還能挾持Mi-Cam用戶的帳號，估計影響5.2萬名Mi-Cam用戶。

SEC Consult調查了Mi-Cam行動程式、Mi-Cam監視器與Mi-Cam雲端架構之間的通訊模式，發現了6個安全漏洞，包括薄弱的4位數預設密碼、有瑕疵的期間管理及不安全的直接物件參考、不安全的密碼重設功能、可用的序列介面、舊版軟體，以及使用者帳號的曝露等。

原始資料：
https://www.sec-consult.com/en/blog/2018/02/internet-of-babies-when-baby-monitors-fail-to-be-smart/index.html

引用來源：
https://www.ithome.com.tw/news/121426

影片示範：
Hijacking of arbitrary miSafes Mi-Cam video baby monitors
https://www.youtube.com/watch?v=SsYnXRUhpL0