黑客组织Fancy Bear正试图利用物联网设备漏洞

一周安全热点

NEW

﹀

﹀

﹀

StockX遭黑客攻击，数百万用户数据被泄露

据报道，运动鞋交易平台StockX发布声明称遭黑客攻击，数百万用户数据被泄露，泄露数据包括用户姓名、电子邮件地址、哈希密码及其他个人信息。据悉，此前曾有匿名黑客在暗网出售该网站680多万条用户数据，数据售价300美元，该卖家还提供了1000条数据样本以供验证，经证实这些数据均为真实数据。截至目前，StockX已通知受影响用户，并要求其重置密码以保护账户安全。

微软警告黑客组织Fancy Bear正试图

利用物联网设备漏洞

微软威胁情报中心报道称，俄罗斯黑客组织 Fancy Bear 一直试图利用 VoIP 电话和打印机等物联网设备，对企业网络展开渗透。外界普遍猜测，该组织拥有俄罗斯官方背景，又名 Strontium Group 或 APT 28 。该组织已成功地在 50 多个不同的国家 / 地区，感染了超过 50 万台消费级路由器。

发送一条短信，黑客就能成功入侵你 iPhone

正在拉斯维加斯举办的黑帽安全峰会上，来自Google Project Zero团队的安全专家Natalie Silvanovich展示了存在于Apple iOS iMessage客户端中的无交互漏洞，只需要一条短信就可通过这些漏洞来控制用户的设备。目前苹果已经发布了这些BUG的部分安全补丁，但是并没有完全进行修复。

Qualcomm芯片存在QualPwn漏洞

允许黑客通过无线网络破解安卓内核

据外媒报道，研究人员发现，高通Qualcomm芯片Snapdragon SoC WLAN固件存在2个缓冲区溢出漏洞QualPwn，允许黑客通过无线网络破解安卓内核。其中第一个漏洞被追踪为CVE-2019-10538，允许黑客以内核权限运行任意代码；另一个漏洞被追踪为CVE-2019-10540，影响Qualcomm WLAN和调制解调器固件。截至目前，这些漏洞已被修复，专家建议用户及时更新以保护设备。

IBM X-Force Red 发现新型网络风险

用邮寄方式入侵 WiFi 网络

IBM X-Force Red是隶属于IBM Security的一个资深安全团队，主要目的是发现和防范网络中存在的潜在漏洞。近日该团队发现黑客可以利用网络安全的潜在漏洞渗透网络，实现访问设备以及窃取设备上的数据。这项新技术被X-Force Red称为“Warshipping”，黑客会在包裹内部署一个名为“战舰”（WarShip）的巴掌大小计算机，并通过快递方式将其运输到指定机构，随后入侵这些机构的WiFi内部网络。

错误 JIRA 配置导致数百家财富

500 强公司数据泄露

来自国外的开发者 Avinash Jain 在近日发表了一篇文章，揭露全球范围内使用非常广泛的问题跟踪软件 JIRA 由于错误的配置导致成千上万的公司泄露了内部的员工以及项目数据的问题。Jain 同时提供了如何去找出这些存在漏洞的 JIRA 系统的方法。

微软允许供应商获取用户

Skype和Cortana音频信息

据外媒报道，微软某合同工匿名向科技媒体Motherboard爆料称，微软供应商可手动审查Skype自动翻译功能与Cortana语音助手收集的录音，录音内容包括夫妻间亲密对话等用户私人对话信息。据悉，所有对话内容均由微软发送给供应商，其员工可在家手动翻译并将信息发送回微软。对此，微软回应称，收集和使用用户语音数据前均会征求用户许可，并隐去身份识别信息，要求供应商及其员工签署保密协议以确保合规性。

KDE存在一个很容易利用的 0day 漏洞

影响广泛

安全研究员 Dominik Penner 披露了 Linux KDE 桌面环境上存在的一个 0day 漏洞。根据 Dominik 的说法，此漏洞存在于 KDE v4 与 v5 版本中，该漏洞使得嵌入在 .desktop和 .directory 文件中的命令在打开文件夹或者将压缩文件夹提取到桌面时即可执行，目前几乎所有 Linux 发行版都在使用易受攻击的 KDE 版本。

WPA3 WiFi标准存在Dragonblood漏洞

可能泄露机密信息和WiFi密码

据外媒报道，研究人员发现WPA3 WiFi安全和认证标准存在2个新的Dragonblood漏洞，允许黑客从WPA3加密操作中获取机密信息和WiFi网络密码。其中一个漏洞被追踪为CVE-2019-13377，可在用户使用Brainpool曲线时影响WPA3 Dragonfly；另一个漏洞被追踪为CVE-2019-13456，可能影响FreeRADIUS框架中的EAP-pwd实现。