資安一周第8期：英國航空38萬名乘客個資遭駭。Mac版Adware Doctor、趨勢科技二款軟體遭爆會竊取個資

0906-0912一定要看的資安新聞

#英國航空　#資料外洩

英國航空遭駭，38萬名乘客個資外洩

知名的英國航空（British Airways）九月六日宣布，該公司的官網與行動程式遭到駭客入侵，估計有38萬名乘客的付款資訊與個人資料遭盜，但未危及乘客的護照或旅遊資訊。

英國航空表示，只要是在今年8月21日至9月5日間，透過ba.com或該公司的行動程式預訂或變更機票的客戶都受到影響，他們已直接通知這些客戶，並建議他們聯繫銀行或信用卡公司。英國航空並未揭露被駭細節，只說已通知執法機構，且官網的運作也已恢復正常。更多內容

#Mac　#Adware Doctor　#趨勢科技　#個資蒐集

打破Mac安全迷思，廣告過濾工具Adware Doctor、兩款趨勢科技軟體被爆會竊取個資

近日有多款Mac版軟體被發現會蒐集用戶個資，包括廣告過濾工具Adware Doctor、趨勢科技的Dr. Antivirus、Dr. Cleaner等。前者還將資料傳給中國，現已被蘋果下架。趨勢科技回應，這是為了確認用戶是否瀏覽惡意網站，才蒐集程式安裝前24小時的行為，也已於資料蒐集中告知，非竊取行為。

安全研究人員Patrick Wardle發現Adware Doctor會暗中蒐集Chrome、Firefox、Safari瀏覽器的上網記錄、電腦中所有執行中的應用程序清單、以及用戶下載的軟體清單和下載來源，甚至用戶在App Store中的所有App搜尋紀錄。

另一名研究人員Privacy 1st及安全公司Malwarebytes則發現，趨勢科技Dr. Antivirus及硬碟清理工具Dr. Cleaner，會暗中收集用戶資料。這二款軟體和另一款解壓縮工具Open Any File類似，都是收集Safari、Chrome、Firefox的上網及搜尋紀錄、以及完整的App Store瀏覽紀錄後，將資訊以file.zip壓縮檔形式上傳趨勢科技的伺服器。更多內容

#美國　#惡意網域代管

Palo Alto Networks：美國所代管的惡意網域居全球之冠

網路安全業者Palo Alto Networks公布今年第二季的網路風險分析報告，顯示出美國在惡意網域的代管上居全球之冠，而微軟在兩年前就修補的CVE-2016-0189漏洞在該季最受駭客青睞，今年5月才修補的CVE-2018-8174則快速成為第二大熱門漏洞。

Palo Alto Networks的研究是基於「通用漏洞披露」（CVE），顯示今年第二季有6個漏洞遭到駭客開採，總計有440個惡意網域（Malicious Domains）可開採這6個漏洞，這些惡意網域延伸出更多的惡意網址（Malicious URLs）與攻擊套件（Exploit Kits，EKs），最大的來源地皆為美國。

根據該組織的統計，Q2所發現的440個惡意網域中，有248個位於美國，31個位於荷蘭，9個位於香港。在上一季以106個位居第二名的中國於Q2只剩下2個，排行掉至第七。

不過，惡意網域並不全然代表惡意網址或攻擊套件的數量。在惡意網址的數量上，除了美國仍以495個領先全球之外，俄羅斯擁有147個惡意網址，中國擁有66個，香港則有41個。更多內容

#美國　#網路威懾與應對法案　#國家級駭客　#APT

美國國會通過法案，將對威脅國家安全的全球駭客造冊列管

美國眾議院通過《網路威懾與應對法案》（Cyber Deterrence and Response Act of 2018），將替威脅美國的國家級駭客或組織編列成冊，以方便識別，同時建立一個框架來阻止與回應這些對抗美國的駭客。

提出這項法案的美國國會議員Ted Yoho指出，這些國家級駭客能夠破壞美國的網路、關鍵基礎設施、經濟，或是危及美國的選舉，從中國、北韓、伊朗與俄羅斯而來的國家級駭客持續成長，美國必須採取積極的措施來打擊所面臨的網路威脅。

該法案要求白宮應建立與維護一個有關先進持續性威脅（Advanced Persistent Threats，APT）的駭客資料庫，並統一這些國家級駭客組織的名稱。之後再打造一個強大且透明的政策來對付這些駭客，包括根據駭客的行為制定程度不一的制裁行動。更多內容

#iOS　#位置服務權限

安全程式團隊踢爆：多款iOS程式會將位置資訊悄悄傳給第三方

GuardianApp團隊指出，有愈來愈多的iOS程式嵌入了可將位置資訊傳送給第三方的套件，這些程式通常提供了需要位置服務權限的正當理由，卻鮮少或根本沒有提及將把這些位置資訊與第三方分享。

該團隊總計列出了24款與第三方分享位置資訊的iOS程式，以及12家第三方業者，這些業者蒐集了iOS裝置用戶的準確資訊，並利用這些資訊獲利。另有近100個新聞程式將位置資訊與行銷業者RevealMobile分享。

GuardianApp研究人員表示，這些程式或多或少都與第三方分享了某些使用者的精準位置資訊，包括低功耗藍牙（BLE）的Beacon，GPS的經緯度，或者是Wi-Fi的網路名稱與網路的MAC位址。有時第三方也存取了加速計資訊、電池狀態、行動網路名稱、GPS的高度或速度，以及抵達或離開某處的時間戳。更多內容

#Tor瀏覽器　#Android版

匿名Tor瀏覽器也有Android平臺版本了

近期Tor官方除了推出Tor瀏覽器8.0，也推出Android平臺Tor行動瀏覽器，除了可以阻擋追蹤器之外，也能防止網站收集行動裝置特徵，並為網路流量進行加密。目前仍是測試版，官方預計在2019年初會推出正式版本，屆時之前的替代方案Guardian專案中的Orfox瀏覽器，預計將停止開發。至於iOS平臺的Tor瀏覽器，目前

尚無官方版本，推薦使用Mike Tigas開發的Onion瀏覽器。

使用者現在已經可以從Google Play上，下載Tor匿名瀏覽器Alpha測試版，當然也可以從Tor官方網站直接下載Apk進行安裝。

Android平臺Tor瀏覽器是一款具有高度隱私保護的行動裝置瀏覽器，與桌面版的Tor瀏覽器相同。其特色是能阻擋網站追蹤器，由於Tor瀏覽器會隔離使用者存取的每一個網站，因此第三方追蹤器和廣告無法跨站追蹤使用者，在瀏覽結束後，任何Cookie也都會被清除。更多內容

#Android裝置　#無線廣播

Android裝置的無線廣播暴露敏感資料，但Google只針對最新版作業系統修補

資安研究團隊Nightwatch Cybersecurity指出， Android裝置的無線網路廣播功能會洩露裝置取得的IP位址、DNS伺服器資訊，甚至是MAC位址等，該弱點影響範圍，遍及所有版本的Android作業系統，以該平臺為基礎開發的作業系統，像是Amazon為Kindle裝置量身訂做的Fire OS，也存在相同的漏洞。

該團隊表示，由於裝置上的MAC位址與硬體結合在一起，具有唯一性，不易變更等特點，便成為有心人士想要追蹤Android裝置的重要依據，就算受害者修改MAC位址，改用動態的MAC位址上網，駭客還是能利用硬體的MAC位址，鎖定受害的裝置。

這個漏洞雖然在3月底就通報Google，但根據Nightwatch Cybersecurity的追蹤，Google在上個月推出的Android Pie（9.0）中，終於修補相關弱點，不過，考量到會破壞系統中的API，Google不打算處理舊版作業系統的漏洞。不過，Amazon表示會自行修補Fire OS的漏洞。更多內容

#TLS協定　#臉書　#Google

研究：不靠Cookie，臉書、Google也能透過TLS協定追蹤你

過去網站包括臉書以及Google等公司，都會使用HTTP Cookie以及網頁瀏覽器特徵追蹤使用者，但隨著使用者隱私意識抬頭，越來越多人使用強化隱私的瀏覽器，以隱私模式或是擴充套件來限制網頁追蹤，這使得上述兩項技術幾乎失靈。另外，透過IP位置追蹤用戶也受到限制，因為使用者有可能以NAT共享公共IP位置，而且網站也無法跨不同的網路追蹤裝置。

網站開始把追蹤主意打到最新的TLS 1.3協定上，追蹤技術開始轉向使用TLS對話恢復機制。TLS對話恢復機制允許網站利用早前的TLS對話中交換的密鑰，來縮減TLS握手程序，而這也開啟了讓網站可以鏈結兩個對話的可能性。由於重新啟動瀏覽器會順便清空快取，所以這個方法僅在瀏覽器未重新啟動的情況下，網站才能透過TLS對話恢復進行連續用戶追蹤。但是這個使用習慣在行動裝置完全不同，行動裝置使用者鮮少重新開啟瀏覽器。

漢堡大學研究了48種熱門瀏覽器以及Alexa前百萬熱門網站的配置，以評估這些追蹤機制的實際配置以及用戶追蹤可持續時間。研究人員使用了延長攻擊（Prolongation Attack），延長追蹤周期超過TLS對話恢復的生命週期，接著根據額外的DNS資料集，分析延長攻擊對於追蹤時間的影響以及可永久追蹤的用戶比例，最終導出使用者瀏覽行為。

研究顯示，即便標準瀏覽器設定TLS對話恢復生命週期僅維持一天，但用戶可以被追蹤長達8天之久，TLS 1.3草稿版本建議TLS對話恢復生命週期上限為7天，研究人員透過Alexa資料集中至少一個網站，可以永久追蹤實驗中的65％使用者。更多內容

#Chrome 69　#漏洞修補

Chrome 69修補40個漏洞，發出近百萬元獎金

Google於九月四日釋出Chrome 69，除了新增各式功能之外，也修補了40個安全漏洞，總計發出了31,500美元（約97.8萬新臺幣）的抓漏獎金。

這40個安全漏洞有些是由Chrome團隊自行發現，有些則是來自外部研究人員的舉報，當中，獲得最高5,000美元獎金的，是由Brendon Tiszka所揭露的CVE-2018-16065，這是一個存在於V8 JavaScript引擎的越界寫入（out of bounds write）漏洞，成功的攻擊可執行任意程式碼。

其它6個同樣被列為高度嚴重的安全漏洞分別是CVE-2018-16066、CVE-2018-16067、CVE-2018-16068、CVE-2018-16069、CVE-2018-16070與CVE-2018-16071。

Google表示，他們計畫等到大多數的用戶都升級到Chrome 69之後再公布漏洞細節，此外，如果漏洞是存在於其它專案也仰賴的第三方函式庫，且還未被修補，Google也會限制相關漏洞資訊的存取權。

但非營利的網路安全組織CIS透露，此次Chrome 69所修補的漏洞中，除了將允許駭客執行任意程式之外，駭客也能獲得機密資訊，繞過安全限制，執行未被授權的行動，或是造成服務阻斷的狀況。因此，不管是為了體驗新功能或是安全性，部署Chrome 69方為上策。更多內容

 更多資安動態 

NordVPN與ProtonVPN含有權限擴張漏洞

匿名Tor瀏覽器推出8.0，改善橋接配置流程強化隱私安全、支援正體中文

資料來源：iThome整理，2018年9月