企業安全解決方案供應商Positive表示,美國與歐洲市場的mPOS熱門品牌,包括Square、SumUp、 iZettle與PayPal,都存有安全漏洞,這些漏洞允許駭客執行中間人攻擊,透過藍牙或行動程式傳遞任意程式,或者是變更磁條交易的支付款項,也能遠端執行程式。(圖片來源/square)
0808-0815一定要看的資安新聞
行動收銀機 mPOS
小心mPOS讀卡機內含安全漏洞,竄改消費金額讓你荷包大失血
企業安全解決方案供應商Positive Technologies在今年黑帽(Black Hat)駭客大會上指出,行動收銀機(mPOS)裝置含有眾多漏洞,將允許不良商家竄改螢幕上所顯示的金額,或是讓駭客取得消費者的支付卡資訊。
mPOS可藉由智慧型手機、平板電腦或無線裝置來執行支付卡的收銀功能,它藉由藍牙連至裝置上的行動程式,再將資料傳送至支付供應商的伺服器上。根據電子交易協會(ETA)的預測,到了2019年,全球的收銀終端將有接近半數採用mPOS。而Positive評估的是在美國與歐洲市場的熱門品牌,包括Square、SumUp、 iZettle與PayPal。
Positive表示,這4個品牌的mPOS裝置或多或少都存有安全漏洞,這些漏洞允許駭客執行中間人攻擊,透過藍牙或行動程式傳遞任意程式,或者是變更磁條交易的支付款項,也能遠端執行程式。更多內容
Android手機
25款Android手機的韌體或預載程式含有安全漏洞
行動資安業者Kryptowire在近期DEFCON駭客大會上揭露,有25款Android手機在出廠時的韌體或預設程式就含有安全漏洞,在這些裝置上總計找到大大小小的35個漏洞,有些輕微的漏洞只會造成裝置當掉,嚴重的漏洞則會讓駭客取得裝置的最高權限。
當初Kryptowire主要鎖定由6家美國電信營運商負責銷售的高、低階Android手機進行分析,以探索這些手機在出售給消費者時所預載的程式或韌體的安全性,但事實上該研究結果影響了全球的裝置,這些漏洞全都超出了Android平臺既有的許可,包括執行任意程式、取得數據機與程序(logcat)日誌、移除裝置上的使用者資料、讀取或變更裝置用戶簡訊、傳送任意簡訊,或是取得裝置通訊錄等。
Kryptowire表示,現身於韌體或預載程式上的漏洞,意謂著消費者在安裝其它程式或進行無線通訊之前就已曝露在安全風險中,更嚴重的是,針對韌體的攻擊程式得以繞過Android上的各種防禦機制,因為這些安全程式無法偵測應用程式層背後的漏洞。更多內容
多功能印表機
Check Point:駭客只要有電話線跟傳真號碼就能攻陷企業印表機
你的印表機是具備傳真能力的多功能印表機嗎?Check Point展示了導入傳真協定的多個安全漏洞,相關漏洞將允許駭客透過一條電話線與傳真號碼來攻陷遠端的傳真機或多功能印表機,取得裝置的控制權,進而攻擊同一網路上的其它電腦。
在Check Point的示範影片中,駭客在電腦上針對目標傳真機傳送了攻擊程式,並成功地在傳真機的螢幕上秀出被駭訊息,在掌控了傳真機之後,進而搜尋與傳真機位於同一網路中的電腦,再透過NSA所打造的攻擊工具EternalBlue發動攻擊。
EternalBlue開採的是微軟在2017年3月所修補的CVE-2017-0144漏洞,這是一個攸關共享檔案與印表機資源的SMB協定漏洞,也是惡名昭彰的WannaCry及Petya勒索蠕蟲所利用的漏洞。
自此,駭客就能在企業網路中的個人電腦安裝惡意程式,竊取個人電腦中的機密資訊,再傳真給駭客。更多內容
智慧城市
智慧城市牢不可破?IBM揭露智慧城市系統的17個安全漏洞
隨著全球各大城市皆已悄悄地展開智慧城市(Smart City)部署,IBM X-Force Red團隊與資安業者Threatca攜手檢視智慧城市所使用的主要系統,發現了17個安全漏洞,將允許駭客操縱警報系統、竄改感應器數據,造成民眾的恐慌或城市的混亂,並於今年黑帽(Black Hat)駭客大會上公布。
IBM X-Force Red研究總監Daniel Crowley表示,他們是在今年初開始測試智慧城市所使用的Libelium、Echelon與Battelle系統,當中的Libelium是個無線感應器網路的硬體製造商,Echelon則專門銷售工業物聯網裝置與嵌入式應用,也生產連網照明控制器,Battelle則為專門開發與商業化各種技術的非營利單位。
研究人員主要查訪的是有關智慧交通系統、災難管理,以及工業物聯網的裝置,這些裝置是透過Wi-Fi、4G、ZigBee或其它通訊協定連網。
在找到這些裝置或服務的漏洞之後,研究人員還在公開網路上發現數百個含有漏洞的裝置,有些歐洲國家利用這些裝置來偵測輻射,美國城市則使用它們來監控交通。
這17個安全漏洞涉及採用預設密碼、可繞過身分驗證機制,以及資料隱碼等,當中有8個被列為重大(Critical)漏洞,透露出就算是最為現代化的智慧城市,卻仍舊曝露在老派的安全威脅中。更多內容
Win10 企業版 可拋棄式沙箱 InPrivate Desktop
Windows 10 Enterprise可能正在測試可拋棄式沙箱InPrivate Desktop
根據Bleeping Computer報導,為了進一步防範不安全軟體在桌機上執行,微軟Windows企業版可能將加入名為InPrivate Desktop的安全功能。
這項功能是張貼於Windows 10開發人員測試計畫Insider Feedback Hub中,根據文字描述,InPrivate Desktop(Preview)旨在讓管理員啟動可拋棄式沙箱,作為不信任軟體一次性執行的安全環境。它基本上是一個快速啟動的VM,當App關閉時就被回收。微軟原本提供連結可由Microsoft Store下載InPrivate Desktop,不過後來被移除。
雖然使用者已經可以手動建立VM來跑可疑的軟體,不過InPrivate Desktop可以省去這些麻煩作業,就能確保惡意程式不會安裝到作業系統,也能更深度整合主機作業系統,以執行例如剪貼簿來傳輸資料。更多內容
假新聞充斥惹議,WhatsApp再被爆含有可竄改通訊內容的安全漏洞
就在WhatsApp因假新聞事件被印度政府盯上的時候,以色列資安業者Check Point在近期又踢爆WhatsApp含有可竄改通訊內容的安全漏洞。
WhatsApp為一跨平臺且強調端對端加密的免費通訊程式,在2014年被臉書收購,目前在全球擁有超過15億的用戶。
Check Point研究人員以逆向工程探索WhatsApp的演算法,於本地端解密了WhatsApp的網路請求以判斷該程式的運作方式,發現WhatsApp傳遞訊息時所使用的參數,並藉由變更這些參數來試探可能的攻擊行為,顯示出他們得以在群組中使用「引用」(quote)功能時變更寄送者的身分,也能竄改別人所回覆的文字,或者傳送一個看起來像是公開訊息的私人訊息予群組用戶。不過,上述攻擊都必須要在駭客身處對話或群組中才能執行。更多內容
WPA2
研究人員發現速度更快的新WPA2密碼破解手法
繼去年底爆發WPA2協定漏洞及KRACK攻擊工具後,如今又有駭入WPA2的新手法。研究人員Jens Steube以atom為名在論壇網站Hashcat上發表其發現,只要駭客驗證登入Wi-Fi網路,從路由器上取得單一EAPOL 框架的RSN IE協定資訊,再以封包抓取工具取得PMKID,這部份可能只需10分鐘。這時駭客還未取得PSK密碼,但若用戶設定的密碼太過簡單,則他可以配合暴力破解工具取得密碼。現有大部分駭入Wi-Fi網路的行為需要等使用者連上Wi-Fi,啟動四向交握時取得這部份資訊以暴力破解出密碼,這也是去年KRACK攻擊的手法之一。而新型攻擊手法則不需要完整的EAPOL四路交握,速度也快得多。
研究人員指出,目前還不知道有多少路由器遭受影響,但相信新手法可用於啟動漫遊功能的所有802.11i/p/r網路,即大部分現代路由器產品。更多內容
GDPR 歐盟
GDPR效應:仍有至少千個新聞網站封鎖歐盟讀者
一名網站開發人員Joseph O'Connor指出,自從歐盟在今年5月實施GDPR迄今,仍有超過一千個新聞網站封鎖歐盟用戶存取,無獨有偶地,哈佛大學尼曼基金會(Nieman Foundation)旗下實驗室也發現,美國前一百大新聞網站中,有三分之一網站封鎖歐盟讀者,包括洛杉磯時報、聖地牙哥聯合論壇報、芝加哥論壇報及紐約每日新聞等。
GDPR為《歐盟通用資料保護規則》的簡稱,它闡明所有歐洲民眾都有權檢視企業所握有的個資,而且還能要求企業刪除這些個資,企業除了必須取得蒐集與使用個資的明確同意之外,也必須在發生資料外洩事件的72小時內通知使用者與主管機關,否則將面臨巨額罰款,也讓擔心自己不符GDPR要求的企業選擇規避。更多內容
更多資安新聞
熱門新聞
2024-04-17
2024-04-17
2024-04-15
2024-04-15
2024-04-15
2024-04-15