圖片來源: 

iThome

6/13~6/19一定要看的資安新聞

 

iThome臺灣資安市場地圖出爐!

《臺灣資安市場地圖》首發Alpha版,首先整理自iThome 2018臺灣資安大會CyberEXPO百大資安展,未來我們將持續更新,以完整涵蓋臺灣資安市場全貌。由於資安市場龐大、技術發展快速、廠商併購頻繁,我們將盡可能以最快的速度保持更新,歡迎大家與我們交流討論。更多內容

 

瘋世足賽!? 小心網路上免費賽事串流服務包藏禍心

2018年的世足賽(FIFA World Cup)於6月14日開打,資安業者ESET旋即偵測到有不少以提供世足賽事免費串流服務為名的網站暗藏惡意程式,並警告觀眾要小心防範。

ESET指出,除了那些盜版的非法網站之外,還有不少網站受到駭客的操縱,他們利用觀眾急於觀賞世足賽的心情,無暇顧及自己是否曝露於安全風險中,藉以散布各種惡意活動。更多內容

 

微軟發表產品安全承諾,對外公開漏洞修補標準

微軟最近公布了一份攸關安全承諾的草案,載明了微軟用來評估是否修補漏洞、提供安全更新的標準,以供安全社群在提交漏洞或期待微軟回應時參考。

決定微軟是否修補漏洞的兩個關鍵問題分別是該漏洞是否危及微軟承諾要維護的安全邊界或安全功能,以及漏洞的嚴重性是否符合維護條件,倘若兩個答案都是肯定的,那麼微軟即會進行安全更新,若為否定,微軟則會考慮於該產品的新版中修補它。更多內容

 

是行銷還是詐騙?別被取名為10億次下載的行動程式給騙了

資安業者ESET最近發現了Android開發人員用來誘導使用者下載程式的新手法,這些開發人員將自己的名稱取名為逾10億次下載(Installs 1,000,000,000+)或1億次下載(100 Million Downloads),甚至是50億以上(5,000,000,000+),由於開發者名稱就出現在程式名稱的下方,不察的用戶很可能會把它們誤以為是程式下載數量,然後就跟風般地下載了。

這也算是開發人員的巧思之一,因為當Android用戶在Google Play瀏覽行動程式時,除了看到程式圖示與名稱之外,另一個就是開發者名稱,於是有些開發人員直接把開發者名稱設為大量的下載次數,以吸引或誘導使用者下載。更多內容

 

惡意程式MysteryBot直指Android而來,不只是金融木馬,還能側錄鍵盤、勒索

資安業者Threat Fabric近日揭露一新款Android惡意程式MysteryBot,它同時具備了金融木馬、鍵盤側錄與勒索軟體的功能,而且它的覆蓋攻擊(overlay attack)手法已能攻陷Android 7與Android 8平台。

所謂的覆蓋攻擊是於Android裝置上的功能介面或應用程式介面上覆蓋一個惡意視窗,但使用者卻以為是在與合法視窗互動,以誘騙使用者賦予重要功能,例如將安裝Android安全更新的「Contiune」按鍵換成允許惡意程式取得裝置管理權限的「Activate」按鍵。更多內容

 

Adblock Plus開發商找來MetaCert合作,要以群眾外包結合區塊鏈打擊假新聞

著名廣告阻擋擴充套件Adblock Plus的開發商Eyeo GmbH推出了新的專案Trusted News,目前提供Google Chrome瀏覽器的擴充套件,來幫助使用者在瀏覽網頁時,識別新聞的可信度,分為可信、不可信、諷刺網站、惡意、標題黨等各種等級。

資訊快速傳播的同時,假新聞也猖狂流竄,臉書甚至坦承,社交平臺有害民主的原因之一,便是假新聞當道,臉書除了一直致力研究打擊假新聞的方法外,各大科技公司,包括臉書、Google、推特及微軟Bing也在去年加入信賴專案,期望以技術標準量化媒體倫理、記者背景以及其作業方式,試圖產生足以評估新聞品質的指標。更多內容

 

Docker移除17個暗藏挖礦程式的惡意容器

Docker近日自Docker Hub移除了17個含有挖擴程式或Reverse Shell後門的惡意容器映像檔,這些映像檔在Docker Hub上已存在一年,估計已有超過500萬次的下載。

德國資安業者Kromtech Security Center指出,在這一年來,有不少開發人員於GitHub、Twitter或部落格上抱怨此事,駭客利用可公開存取的容器調度系統建立自動化的挖礦工具,這17個惡意容器全都來自於docker123321帳號,下載次數超過500萬,其中一個替駭客挖掘了544個門羅幣(Monero),約價值9萬美元。更多內容

 

容器映像檔掃描工具Aqua MicroScanner整合Jenkins,讓映像檔建置前先通過漏洞掃描

日前容器資安新創Aqua釋出了一款免費的映像檔掃描工具MicroScanner,相比付費版本,MicroScanner的應用情境較為陽春,僅能在Dockerfile執行建置階段時進行掃描工作。而在近日,Aqua也補強此款漏洞掃描工具的功能,推出免費映像檔掃描套件支援Jenkins。Aqua目前已經把該Jenkins套件,公開在GitHub頁面。Aqua表示,使用此功能前,必須滿足兩個條件。首先,必須將Docker與Jenkins,安裝在同一臺主機上。第二個條件,Jenkins使用者必須被加入Docker群組,擁有執行Docker的權限。

完成安裝MicroScanner與Jenkins套件後,就能將容器映像檔掃描服務整合至持續整合流程,當容器映像檔經過建置流程時,會透過MicroScanner掃描,如果發現該映像檔存在漏洞,映像檔建置工作就會失敗。藉此,確保部署至正式環境中的映像檔,都有一定安全性。此外,使用者也可以整合Jenkins與HTML,漏洞掃描工作完成後,相關報告輸出成HTML頁面。更多內容

 

降低被破解風險,蘋果將限制iOS裝置的USB存取功能

蘋果近期表示,將變更iOS中的USB外接裝置管理功能,使iOS裝置無法再被歹徒(或警方)破解取得資料。

蘋果對 Apple Insider及路透社等媒體指出,蘋果將客戶置於一切產品的中心,戮力強化蘋果所有產品安全防護,以確保客戶免於駭客、身份竊盜者及資料入侵。更多內容

 

小心隔牆有眼!MIT成功以無線訊號隔牆畫出人體動作

現在不只要小心隔牆有耳,現在還要注意隔牆有眼,MIT研究出能穿牆精準估測人體2D骨架的技術。研究團隊以深度學習分析射頻(Radio Frequency)訊號,並以先進的視覺模型來提供跨模態的監督訓練,與一般基於電腦視覺的技術不同,由於無線電訊號可以穿牆,因此即使人體位於障礙物後方,姿勢仍然可以被感知出來。

估量人體姿勢是電腦視覺在監控、活動辨識以及遊戲重要的任務,電腦被期望可以分辨出人的頭部、軀幹與四肢等重要部位,而這個技術在過去也的確有長足的發展。不過,視覺遮蔽是其中一個根本性的障礙,過去會以可見的部位推測不可見部位的動作,但由於人的肢體靈活性很大,因此光靠推測難以取得準確的結果。更多內容

熱門新聞

Advertisement