第四十三期 全球一周安全情报

纵观全球态势，感知安全天下。悬镜安全精心筛选过全球一周安全大事，带你聚焦安全热点。

1

黑客成功越狱当前版本的iOS 12.4

数以百万计的iPhone用户容易被黑客攻击

在最近的一次iOS 12.4系统更新中，苹果公司无意中恢复了在先前版本中修复过的一个漏洞，从而使得当前 iOS 12.4 版本系统遭到了黑客的破解，继而为众多 iPhone 用户带来了多年以来唯一一次最新系统的公开越狱机会，而这也将为苹果公司带来一系列的安全风险。

上周末，苹果公司安全研究人员 Jonathan Levin 发现最新的 iOS 12.4 操作系统恢复了该公司在 iOS 12.3 中修复过的一个严重漏洞，这意味着目前运行着 iOS 12.4 的所有设备都是可以越狱的，同时这些设备也会更容易遭受恶意攻击。

Levin 还表示，该漏洞可能还会影响到目前正运行 iOS 11.x 或 iOS 12.x 版本的设备，因为这些设备目前都可以通过官方更新升级到最新的 iOS 12.4 版本。苹果在7月底就发布了iOS 12.4，但直到最近，越狱手段才刚刚出现。周一，安全研究员 Pwn20wnd 发布了适用于当前所有 iPhone 设备的 iOS 12.4 公共越狱软件。

这意味着 iOS 12.4 的越狱情况的出现其实已经有一段时间了。通常情况下，黑客和安全研究人员会避免对具体漏洞的详细描述，因为苹果公司会迅速对该漏洞进行修补。谷歌精英黑客团队 Project Zero 的 Ned Williamson 说：“一开始肯定是有一位用户在 iOS 12.4 上测试了越狱操作，然后才意外发现这个漏洞的存在。”

部分用户会特意地利用这个漏洞将他们的设备进行越狱，但即使对未越狱设备来说这个漏洞的存在也会降低设备的安全性。一位匿名的 iPhone 安全研究员称，目前具有 iOS 领域专业知识的黑客，可以使用 Safari 漏洞破解任何最新的 iPhone 设备。

当然，即使有了漏洞，想要破解 iPhone 也并不是这么容易，但新闻媒体也表示，目前破解的难度要比以往低得多。Ned Williamson 表示，在此次事件中，也许有黑客会利用该漏洞制作出无法破解的间谍软件。

例如，恶意代码可以利用该漏洞逃脱 iOS 沙箱保护系统来窃取用户数据，网页以及浏览器的漏洞也可能会遭到利用。而 iOS 越狱专家 Pwn20wnd 表示，很可能已经有人对该漏洞进行了恶意利用。

专家建议，在苹果修复漏洞并发布下一更新版本之前，请各位用户谨慎下载运行非来源于苹果的第三方应用。

同时 iPhone 安全专家警告说，任何非经验证的第三方应用程序都可能会利用 iOS 12.4 越狱漏洞进行恶意攻击。因此，请用户确保下载的第三方应用程序是绝对安全的应用程序。

参考链接地址：http://t.cn/AiQxC2vX

2

腾讯QQ升级程序存在漏洞 被利用植入后门病毒

近日，火绒安全团队根据用户反馈，发现一起利用腾讯QQ升级漏洞植入后门病毒的攻击事件，攻击者可利用该漏洞下发任意恶意代码。截止到目前，最新版QQ（包括TIM、QQ、QQ轻聊版、QQ国际版等等）都存在该漏洞。

经分析，该事件中被利用的升级漏洞曾在2015年就被公开披露过（https://www.secpulse.com/archives/29912.html），之后腾讯对该漏洞进行修复并增加了校验逻辑。但从目前来看，QQ此处升级逻辑仍存在逻辑漏洞。

另外，在排除本地劫持的可能后（LSP、驱动劫持等等），火绒工程师推测可能是运营商劫持或路由器劫持。通过和用户沟通，得知用户曾刷过第三方路由器固件，所以不排除路由器被劫持的可能性，具体劫持的技术分析仍有待后续跟进，火绒安全团队会持续对此次攻击事件进行跟踪分析。

3

谷歌工程师发现家用摄像头（Nest Cam IQ）8个漏洞

据外媒报道，近日，技术人员在谷歌的Nest Cam IQ室内联网摄像头（4620002版本）中发现了八个漏洞，包括三个拒绝服务（denial-of-service，简称DoS）漏洞、两个代码执行漏洞以及三个可被用于窃取信息的漏洞。据了解，CVE-2019-5035和CVE-2019-5040是最严重的两个漏洞。两者都可被黑客发送的特制数据包所触发，前者将允许黑客扩大Weave访问及控制设备，后者则可帮助黑客读取加密数据。

文中还提及的漏洞包括Weave遗留配对漏洞（Weavelegacy pairing vulnerability）（CVE-2019-5034）、WeaveTCP连接中的DoS漏洞（CVE-2019-5043）、Weave错误报告功能组件中的WeaveKeyError DoS漏洞（CVE-2019-5036）、Weave证书加载功能组件中的DoS漏洞（CVE-2019-5037）、Weave工具的print-tlv命令漏洞（CVE-2019-5038），以及Openweave-core（4.0.2版）的ASN1证书编写功能组件漏洞（CVE-2019-5039）。

目前，设备厂商已推出了相关安全补丁，并建议用户尽快进行更新。

4

数以万计的MoviePass客户的信用卡号码在网上曝光

来自网络安全公司（SpiderSilk）的安全专家Mossab Hussein声称，发现了流行的电影票订阅服务MoviePass已经暴露了数以千计的客户卡号和个人信用卡，该档案包含1.61亿条记录，数据量还在继续实时增长。

研究人员发现数据库中的记录未加密。数据库包括数据日志和敏感用户数据，例如客户卡号。“我们审查了1,000条记录的样本并删除了重复记录。有一半多一点是独一无二的MoviePass借记卡号码。每张客户卡记录都有MoviePass借记卡号及其到期日，卡的余额和激活时间。“ Techcrunch报道。

该档案包含超过58,000个记录包括卡数据，据专家介绍，它随着时间的推移而增长。

不安全的数据库还包含客户的个人信用卡号码及其到期日期，以及账单信息（姓名和邮政地址）。在某些情况下，可用数据可能会使所有者面临欺诈行为。记录数据包括电子邮件地址和错误输入的密码。

Hussein试图向MoviePass报告他的发现，但目前没有收到任何回复。TechCrunch向公司报告此问题后，该服务已脱机。

5

免受IP攻击的5种方式

IP或Internet协议地址是人们在互联网上的数字身份。它允许用户的设备与其他在线网络进行连接。对于大多数人来说，IP地址只是一个数字身份，他们并不关心它的安全性。

实际上，IP地址与其他信息一样容易被盗。黑客虽不能访问您的设备或者账户，但可能会造成更大的伤害。网络犯罪分子有兴趣以各种原因用户的IP地址。被黑和被盗的IP通常用于进行非法活动。

它可以用于下载未经授权的东西，或者可以用于在互联网上上传有争议的内容。

无论攻击你的IP地址背后的网络犯罪分子的意图是什么，这对于普通的用户来说都不是一件好事。下面是一些预防措施避免自己IP地址遭到攻击。

1

更改隐私设置

您设备上安装的大多数应用，黑客攻击是通过应用的IP地址进行攻击。特别是呼叫和即时消息应用程序允许黑客查看您的连接详细信息从而容易使您成为受害者。建议您将所有应用的隐私设置保持为“私密”，并避免接收来自未知ID的呼叫。这将创建一个安全屏障，黑客将无法轻松访问您的IP地址。

2

选择动态IP地址

大多数游戏玩家和网站所有者选择静态IP地址而不是动态IP地址。动态IP地址一直在不断变化，对黑客来说是一个艰难的目标。然而，静态IP地址在几天内保持不变，并且允许黑客有足够的时间对其进行解码。因此，最好选择动态IP地址以减少黑客攻击的可能性。

3

使用虚拟专用网络

VPN虚拟专用网络是与网络世界连接的最安全方式。它伪装用户的原始身份和位置，并允许用户从远程服务器访问Internet。当用户的身份被伪装时，黑客无法访问您的IP地址。VPN还为用户的所有在线活动提供加密隧道，并关闭间谍和网络犯罪分子的所有大门。无论用户使用安全的私人连接访问互联网还是使用公共Wi-Fi，VPN都可确保用户完全在线安全。唯一的缺点是许多免费的VPN并不像我们想象的那样安全。但是，凭借VPN获得的安全性和自由度，值得投入资金。

4

保护您的路由器

您的路由器需要以与设备需要安全性相同的方式进行保护。必须在路由器上安装防火墙和防病毒软件并使其保持最新状态。安全软件不仅可以保护您的IP地址免遭盗窃，还可以警告您设备上的任何网络钓鱼和间谍活动。通过这种方式，您可以随时了解并保护您的连接中的任何可疑活动。

5

使用强密码

大多数人都对他们的互联网连接设备的默认密码感到满意，并认为它是安全的。实际上，默认密码是最容易解码的，并且比自定义密码更容易被盗。建议不断更改设备密码。创建强大且唯一的密码也是必不可少的，而不是选择家庭成员的姓名和重要事件作为密码。强密码是字符，数字，大写和小写字母的混合，是最难破解的。

互联网世界充满了 网络罪犯”，只要上网就会存在风险，但并不能因为有安全威胁，就停止使用互联网。这需要用户时刻保持安全警惕，同时采取措施确保设备的安全性，防止被黑客攻击利用。

6

DEFCON 2019: 2018年Unix服务器的程序中存在后门是故意为之

在DEF CON 2019安全会议期间发现，研究人员偶然发现unix服务器中存在的恶意代码，后门是在2018年人为植入。

名为Webmin的Unix管理工具报告了一个关键的零日漏洞时，发现该漏洞并非偶然。根据研究人员的说法，该漏洞是一个秘密的后门，发现该漏洞一年前已被广泛使用。

任何知道该漏洞存在的人都能以root身份执行命令，也这意味着攻击者可以控制目标端点。根据Webmin的作者Jamie Cameron的说法，伪造的版本是1.890。发现两个附加版本具有几乎相同的后门代码，版本1.900和1.920。

Webmin 1.930和Usermin 1.780的更新版本解决了这些漏洞。

“这些都不是偶然的错误 - 相反，Webmin源代码被恶意修改以添加一个非显而易见的漏洞，”Cameron在一篇概述这些问题的帖子中写道。

根据Cameron的说法，Webmin开发构建服务器于2018年4月遭到入侵。他说这是在“password_change.cgi”脚本中添加漏洞，通过回溯该文件，它被恢复为Github“签入”版本的代码并逃脱了审查。该代码随附了1.890版本的Webmin版本。

然后在2018年7月，“password_change.cgi”脚本的易受攻击版本背后的恶意行为者再次更新了该文件。这次更改影响了Webmin1.900版本。“这次漏洞被添加到代码中，只有在启用了更改过期密码时才会执行，”作者写道。

无论哪种方式，该bug仅影响具有特定配置的系统。“要利用恶意代码，您的Webmin安装必须将Webmin>Webmin配置>身份验证>密码到期策略，设置为提示“密码过期，请重新输入密码”。默认情况下不设置此选项，但如果设置了该选项，则允许远程执行代码。

这个错误本身出现在DEF CON 2019上，当时一位研究人员发布了零日研究，说明利用该漏洞的一个错误（CVE-2019-15107）。正是这项研究揭示了2018年7月注入的恶意代码。“作为回应（对CVE-2019-15107），漏洞利用代码被删除，Webmin版本1.930创建并发布给所有用户，”Cameron写道。

为了应对植入的恶意代码，Webmin表示将采取新的缓解措施，例如：

更新构建过程仅使用来自Github的签入代码，而不是保持同步的本地目录。

旋转可从旧构建系统访问的所有密码和密钥。

审核过去一年中所有Github签到，以查找可能引入类似漏洞的提交。