資安一周(0516-0522):小心駭客用GDPR設下網釣活動!Chrome將不再標示HTTPS網頁為「安全」

5/16~5/22一定要看的資安新聞

GDPR上路倒數,小心相關網釣活動激增!

歐盟於5月25日實施的《歐盟通用資料保護規則》(GDPR)除了讓眾多業者戰戰兢兢之外,也成為駭客的利器,趨勢科技於近期指出,駭客在GDRP的前夕發動大規模的網釣活動,透過電子郵件竊取使用者的個資與憑證。迄今已知的受害者包括蘋果用戶與Airbnb用戶。

GDPR嚴格要求企業蒐集、處理或使用個資時都必須徵求使用者的同意,並規定不管企業規模大小都必須設置資料保護長,也應允許用戶有自由搬動個資的權利,也有權反對自己的個資被剖析或處理,並針對違反規定的企業祭出高額罰款,這讓不少企業都在GDPR上路之前變更隱私或使用條款,並以郵件通知用戶,也成為駭客的最佳媒介。更多內容

HTTPS成主流,Chrome將不再標示HTTPS網頁為「安全」

Google 力推HTTPS網頁成主流, Google近日宣佈,從9月起將移除HTTPS網頁網址上的「安全」標示,而之後用戶在HTTP網頁輸入資料時,Chrome就會顯示「不安全」的標示。

Google表示,近年Chrome陸續推動網頁安全標示後,HTTPS網頁所佔比例已經大幅上升。但對使用者來說,網際網路的安全性應該是預設值,有危險時再提出警告才對。因此繼今年稍早宣佈將從7月推出的Chrome 68將所有採用HTTP協定傳輸的網頁標示為「不安全」後,Google將再進一步,移除網頁上正面的安全標示。第一步是從今年9月釋出的Chrome 69開始,所有HTTPS網頁將不再標示為「安全」。更多內容

駭客攻陷居易路由器漏洞以竄改DNS設定,影響逾20款路由器型號

近來居易科技(DrayTek)的路由器用戶傳出遭到駭客竄改了DNS設定,原本以為駭客是利用路由器的預設憑證入侵,之後才證實是韌體含有安全漏洞,也讓居易科技展開韌體更新,準備修補逾20款的路由器型號。

居易為台灣的網通設備製造商,主要生產路由器與無線基地台等產品,有7成的營收來自於歐洲市場,此一被駭事件亦率先於歐洲傳出。更多內容

北韓駭客偷渡惡意程式至Google Play,用以追蹤、情蒐叛逃者

資安業者McAfee近日指出,北韓駭客集團Sun Team偷渡了3款惡意程式到Google Play上,用以監控及追蹤北韓的叛逃者。

這3款惡意程式分別是提供食品成份資訊的음식궁합,以及兩個安全程式AppLock與AppLockFree,且都屬於尚未正式發行的「搶先版」(unreleased)。其中的AppLockFree作為探勘所用,而음식궁합與AppLock則是用來竊取裝置資訊,還可接收雲端伺服器的命令與執行檔案,由於這3款程式在早期就被McAfee識破,很快就被Google移除,因此所感染的Android裝置數量大約只有100台。更多內容

惡意的PDF樣本同時開採Adobe Reader與Windows漏洞

資安業者ESET最近在公開網路上發現一惡意的PDF樣本,它同時開採了Adobe Reader與舊版Windows的安全漏洞,雖然該樣本並未完成,但足已顯示駭客發現漏洞與撰寫攻擊程式的技術高超。

駭客若要利用PDF檔案展開攻擊,必須於PDF讀取軟體中找到可開採的安全漏洞,在該樣本中,駭客發現了Adobe Reader中的記憶體重複釋放漏洞,並藉由嵌入式的JavaScript程式碼展開攻擊,取得記憶體的讀寫權限,並執行惡意程式。更多內容

能關閉防毒軟體、被發現就當機! 惡劣挖礦軟體3天內感染50萬台PC

安全廠商發現一款挖礦軟體,會在用戶發現並試圖移除時將整台電腦搞到當機。

安全廠商Qihoo 360 TotalSecurity實驗至近日攔截到一隻名為WinstarNssmMiner的Monero幣挖礦軟體,散佈速度十分快速,三天內就感染50萬台PC。WinstarNssmMiner以開原碼專案XMRIG實作而成的挖礦軟體,迄今已經挖到133個、價值2.8萬美元的Monero幣。但是它最麻煩的一點是具有偵測並對抗防毒軟體的能力。更多內容

Signal漏洞連環爆! 桌面版應用程式一周內被爆兩個程式碼注入漏洞

由於EFAIL漏洞影響E-mail加密郵件安全性,EFF則建議可以暫時使用加密通訊軟體Signal做替代,不過,Signal這邊似乎也不太平靜,除了不久前被爆出Mac版Signal留存該消失的過期訊息外,在一周內被爆出兩個桌面版應用程式的程式碼注入攻擊漏洞,皆能讓駭客從遠端發送惡意程式碼,而且過程無須用戶參與。

第一個漏洞是被阿根廷的白帽駭客在無意間發現的,資訊安全研究員Iván Ariel Barrera Oro、Alfredo Ortega以及Juliano Rizzo三人使用Signal聊天,其中一人貼了跨站腳本攻擊(cross-site scripting,XSS)負載的鏈結,而這個XSS負載卻被Signal桌面應用程式意外的執行了。更多內容

LocationSmart網站漏洞可能洩露北美2億手機用戶位置

卡內基梅隆大學人機互動學院的研究人員Robert Xiao最近揭露LocationSmart網站服務的一個安全漏洞,駭客藉由此一名不見經傳的網站上可能取得美國與加拿大近2億名手機用戶的位置。

LocationSmart提供了手機位置追蹤服務,與美國的Verizon、AT&T、T-Mobile、Sprint與加拿大的Canadian carriers Bell、Rogers及Telus等電信業者合作,透過基地台三角定位取得精確度在數百呎內的行動手機用戶位置,再將這些資料出售給其它業者以協助定位或作為行銷之用。更多內容

跟隨美、英腳步,荷蘭政府也將漸次淘汰卡巴斯基軟體

荷蘭政府近期宣布將逐步淘汰來自卡巴斯基實驗室(Kaspersky Labs)的產品,同時也要求參與國防任務的企業遵循此一規定,成為繼美國與英國之後,第三個棄用卡巴斯基產品的國家。

美國政府在去年指控俄羅斯情報份子透過美國政府官員電腦上所安裝的卡巴斯基軟體竊取重要的美國機密,懷疑卡巴斯基與俄羅斯政府有所掛勾,先是在去年7月限制採購卡巴斯基產品,再於9月要求政府機關全數移除卡巴斯基產品,美國總統川普(Donald Trump)還在去年12月所簽署的《美國國防授權法案》(National Defense Authorization Act,NDAA)中明文禁止政府機關使用任何來自卡巴斯基的產品。更多內容

為重新贏得市場信任,卡巴斯基把核心架構從俄羅斯移到瑞士

卡巴斯基實驗室(Kaspersky Lab)5月15日宣布,將把原本位於俄羅斯的核心架構移至瑞士,包括軟體組裝生產線,以及儲存與處理Kaspersky Security Network資料的伺服器,並將在瑞士建立卡巴斯基的首個透明化中心。

源自於俄羅斯的卡巴斯基在去年遭到各界質疑已成為俄羅斯政府監控其它國家的跳板,在經多次否認與澄清都不被採信之後,該公司在去年10月底發起了全球透明度倡議,將提供產品的原始碼供第三方分析與稽核,也準備於歐洲、亞洲及美國分別成立透明化中心,企圖重新贏得市場的信任。更多內容

原文來自 iThome Online