Log for 網路攻防戰~資安閒聊群組
標題:iOS 讀取 QR Code 功能有問題,可被誘導至釣魚網站
摘要:
德國資訊安全公司 Infosec 發現,只要加工網址,用戶確認畫面時看到的網域,會與實際瀏覽網址的網域不同。
Infosec 首先使用一個網址「https://infosec.rm-it.de/」製作 QR 條碼,iOS 能正常讀取該條碼,並彈出「Open “infosec.rm-it.de” in Safari」的正常確認視窗。
但如果把網址更改成「https://xxx\@facebook.com:443@infosec.rm-it.de/」,iOS 的「相機」App 卻會錯誤判斷 QR 條碼網址的網域,顯示出「Facebook.com」的確認畫面。
有心人可利用這種方式,製作誤導手機用戶的 QR 條碼,誘導用戶進入一些不安全網站或釣魚網站,呼籲蘋果盡快修復錯誤。
原始資料:
https://infosec.rm-it.de/2018/03/24/ios-camera-qr-code-url-parser-bug/
引用來源:
https://technews.tw/2018/03/28/ios-camera-qr-code-url-parser-bug/
摘要:
德國資訊安全公司 Infosec 發現,只要加工網址,用戶確認畫面時看到的網域,會與實際瀏覽網址的網域不同。
Infosec 首先使用一個網址「https://infosec.rm-it.de/」製作 QR 條碼,iOS 能正常讀取該條碼,並彈出「Open “infosec.rm-it.de” in Safari」的正常確認視窗。
但如果把網址更改成「https://xxx\@facebook.com:443@infosec.rm-it.de/」,iOS 的「相機」App 卻會錯誤判斷 QR 條碼網址的網域,顯示出「Facebook.com」的確認畫面。
有心人可利用這種方式,製作誤導手機用戶的 QR 條碼,誘導用戶進入一些不安全網站或釣魚網站,呼籲蘋果盡快修復錯誤。
原始資料:
https://infosec.rm-it.de/2018/03/24/ios-camera-qr-code-url-parser-bug/
引用來源:
https://technews.tw/2018/03/28/ios-camera-qr-code-url-parser-bug/
標題:資安產業發展行動計畫
摘要:
1.建立需求導向之資安人才培訓體系
短期以成立資安研訓院,媒合人才就業為重點工作,中程期望能發展特色資安系所,長期則以打造世界級資安研訓機構為目標。
2.聚焦利基市場並橋接國際夥伴
短期透過政策工具(如共同供應契約)引導,媒合國內供需市場以提高國內資安廠商之營收,中程則可媒介具競爭優勢之產品或服務,提供整合型解決方案;長期則期望打造台灣資安品牌,競逐國際資安市場。
3.建置產品淬煉場域,提供產業進軍國際所需實績
導入國際標準發展為國家標準產業規範,短中程透過資安實證場域之建置,實測並淬煉我國資安產品之安全性,中長程則建構可持續性營運的實驗場域,擴大民生相關產品之檢測服務。
4.活絡資安投資市場並全力拓銷國際
短中程引導公私募基金投資我國優質之資安新創公司,或促成國際資安大廠來台投資,並活用各類拓銷管道,以刺激國內資安產業轉型與升級。中長程則積極整合國內資源,協助廠商完成全球市場佈局。
引用來源:
https://www.ey.gov.tw/News_Content.aspx?n=4E506D8D07B5A38D&s=25626DA37B0F05A7
摘要:
1.建立需求導向之資安人才培訓體系
短期以成立資安研訓院,媒合人才就業為重點工作,中程期望能發展特色資安系所,長期則以打造世界級資安研訓機構為目標。
2.聚焦利基市場並橋接國際夥伴
短期透過政策工具(如共同供應契約)引導,媒合國內供需市場以提高國內資安廠商之營收,中程則可媒介具競爭優勢之產品或服務,提供整合型解決方案;長期則期望打造台灣資安品牌,競逐國際資安市場。
3.建置產品淬煉場域,提供產業進軍國際所需實績
導入國際標準發展為國家標準產業規範,短中程透過資安實證場域之建置,實測並淬煉我國資安產品之安全性,中長程則建構可持續性營運的實驗場域,擴大民生相關產品之檢測服務。
4.活絡資安投資市場並全力拓銷國際
短中程引導公私募基金投資我國優質之資安新創公司,或促成國際資安大廠來台投資,並活用各類拓銷管道,以刺激國內資安產業轉型與升級。中長程則積極整合國內資源,協助廠商完成全球市場佈局。
引用來源:
https://www.ey.gov.tw/News_Content.aspx?n=4E506D8D07B5A38D&s=25626DA37B0F05A7
標題:火狐瀏覽器「主控密碼」保護機制安全性太弱,卻就這麼用了九年
摘要:
AdBlock Plus 擴充套件的作者 Wladimir Palant 最近在檢視sftkdb_passwordToKey() 這個函式的原始碼,這個函式是用來將使用者輸入的密碼轉換成加密金鑰的函式。
但是他在檢視的時候發現,這個函式用來加密的方法是SHA1加密雜湊演算法。但是他發現這個函式中用到的疊代次數僅為1,而一般業界認為這個疊代次數應該要為一萬才是安全的。
在這種情況下,攻擊者可以用暴力破解法來攻破密鑰,然後就可以解密存放在Firefox或是Thunderbird 中的密碼。而且,依照現在GPU顯卡的性能,攻擊者大約在不到一分鐘以內的時間,就可以暴力破解大多數的密碼。
原始資料:
https://www.bleepingcomputer.com/news/security/firefox-master-password-system-has-been-poorly-secured-for-the-past-9-years/
https://www.securityweek.com/firefox-fails-keeping-passwords-secure-developer-claims
引用來源:
https://www.techbang.com/posts/57528-developer-surprised-firefox-password-protection-mechanism-is-too-weak-but-it-has-been-used-for-nine-years
摘要:
AdBlock Plus 擴充套件的作者 Wladimir Palant 最近在檢視sftkdb_passwordToKey() 這個函式的原始碼,這個函式是用來將使用者輸入的密碼轉換成加密金鑰的函式。
但是他在檢視的時候發現,這個函式用來加密的方法是SHA1加密雜湊演算法。但是他發現這個函式中用到的疊代次數僅為1,而一般業界認為這個疊代次數應該要為一萬才是安全的。
在這種情況下,攻擊者可以用暴力破解法來攻破密鑰,然後就可以解密存放在Firefox或是Thunderbird 中的密碼。而且,依照現在GPU顯卡的性能,攻擊者大約在不到一分鐘以內的時間,就可以暴力破解大多數的密碼。
原始資料:
https://www.bleepingcomputer.com/news/security/firefox-master-password-system-has-been-poorly-secured-for-the-past-9-years/
https://www.securityweek.com/firefox-fails-keeping-passwords-secure-developer-claims
引用來源:
https://www.techbang.com/posts/57528-developer-surprised-firefox-password-protection-mechanism-is-too-weak-but-it-has-been-used-for-nine-years
標題:NCC 呼籲所有手機廠商應自主辦理內建軟體資通安全檢測認證,並要求台灣小米不得以手機經NCC型式認證混稱手機內建軟體亦取得資安認證。
摘要:
以色列科技公司資安團隊Check Point近日發布發現一款名為「RottenSys」惡意程式,會跳出廣告視窗引誘用戶點擊,估有近500萬手機在被消費者購買前就被感染,包含華為、小米、OPPO等中國廠牌手機都中鏢。
華為在台總代理訊崴技術表示,原廠已表示發現到該狀況,並表示第一時間已展開深入調查,並和防毒廠商保持密切構通。
台灣OPPO則暫未對此說明。
台灣小米則對此發出聲明稱「這是部分國外手機防毒軟體業者的不實論述」,並指小米手機皆是取得主管機關NCC認證後合格上市產品,安全無虞,也呼籲消費者勿至不明通路或賣家購買產品。
但是......
NCC嚴正表示,NCC依電信法第42條第1項規定,針對手機之電信介面、電磁相容及電氣安全進行型式認證檢測,檢測範圍並不含手機內建軟體之資安檢測,NCC已要求台灣小米不得以手機經NCC型式認證混稱手機內建軟體亦取得資安認證。
鑒於資安事件層出不窮及攻擊手法日新月異,內建軟體潛在漏洞亦可能後續才被發現,爰NCC將定期檢討修正技術規範。
媒體報導:
手機出廠暗藏病毒嗎?小米說話了
https://tw.appledaily.com/new/realtime/20180320/1318374/
中國手機有惡意軟體 業者:內建防毒軟體可除
https://tw.appledaily.com/new/realtime/20180320/1318526/
國家通訊傳播委員會:
https://www.ey.gov.tw/news_Content4.aspx?n=E7E343F6009EC241&sms=E452EBB48FCCFD71&s=50EA1106F1B85552
摘要:
以色列科技公司資安團隊Check Point近日發布發現一款名為「RottenSys」惡意程式,會跳出廣告視窗引誘用戶點擊,估有近500萬手機在被消費者購買前就被感染,包含華為、小米、OPPO等中國廠牌手機都中鏢。
華為在台總代理訊崴技術表示,原廠已表示發現到該狀況,並表示第一時間已展開深入調查,並和防毒廠商保持密切構通。
台灣OPPO則暫未對此說明。
台灣小米則對此發出聲明稱「這是部分國外手機防毒軟體業者的不實論述」,並指小米手機皆是取得主管機關NCC認證後合格上市產品,安全無虞,也呼籲消費者勿至不明通路或賣家購買產品。
但是......
NCC嚴正表示,NCC依電信法第42條第1項規定,針對手機之電信介面、電磁相容及電氣安全進行型式認證檢測,檢測範圍並不含手機內建軟體之資安檢測,NCC已要求台灣小米不得以手機經NCC型式認證混稱手機內建軟體亦取得資安認證。
鑒於資安事件層出不窮及攻擊手法日新月異,內建軟體潛在漏洞亦可能後續才被發現,爰NCC將定期檢討修正技術規範。
媒體報導:
手機出廠暗藏病毒嗎?小米說話了
https://tw.appledaily.com/new/realtime/20180320/1318374/
中國手機有惡意軟體 業者:內建防毒軟體可除
https://tw.appledaily.com/new/realtime/20180320/1318526/
國家通訊傳播委員會:
https://www.ey.gov.tw/news_Content4.aspx?n=E7E343F6009EC241&sms=E452EBB48FCCFD71&s=50EA1106F1B85552