資安一周第24期：美媒體集團遭感染惡意程式影響發行、歐盟將針對15個開源專案提供抓漏獎勵

1227-0102 一定要看的資安新聞

＃勒索軟體  ＃特別產業APT

美媒體集團遭感染惡意程式影響發行

美國報業集團Tribune Publishing網路遭惡意程式感染，導致旗下洛杉磯時報等紙本周末版刊物，發行及出刊延宕。

最早發現異常現象的人，是該集團旗下的聖地牙哥聯合論壇報體育版編輯，他因為無法登入系統，導致不能將報紙的數位檔案，傳送到印刷系統。

Tribune Publishing研判，惡意程式來自美國境外，但並未說明確切來源，也無法判定是否為國家資助的駭客攻擊，還是一般駭客。知情人士指出，惡意程式疑似是專門攻擊關鍵系統的勒索軟體Ryuk。不過，該集團表示，訂閱戶、網路用戶，以及廣告客戶的個資，都沒有遭到外洩。詳全文

＃抓漏獎勵  ＃開源軟體  ＃歐盟

歐盟2019年起將針對15個開源專案提供抓漏獎勵

自2019年1月起，歐盟針對15個重要的開源專案提供抓漏獎勵，包括Notepad++、7-zip、Drupal，以及PuTTY等，並且針對不同的專案提供各異的抓漏獎勵金額，從2.8萬歐元（約新臺幣100萬元）到9萬歐元（約新臺幣320萬元）不等。

這項抓漏機制，是開放與開源軟體稽核（FOSSA）專案的延伸。該專案最初只有針對Apache網路伺服器，以及KeePass密碼管理器等2款軟體，進行定期稽核，而現在，歐盟將透過HackerOne與Intigriti平臺，提供漏洞通報的管道，並適用於14款開源軟體，另規畫於3月再增加身分管理平臺midPoint。詳全文

（翻攝自Julia Reda網站）

＃Windows 10 

獨立研究員再度揭露Windows 10漏洞

推特帳號為SandboxEscaper的獨立研究員，自8月底接連揭露了多起Windows漏洞，而在2018年接近尾聲時，她公布了第4個漏洞，駭客可利用Windows錯誤報告（WER）收集的內容，覆蓋任意的系統檔案，造成服務阻斷攻擊。

雖然，漏洞分析師Will Dormann取得概念性驗證程式後，發現這個漏洞並非每次都能重現，SandboxEscaper自己也表示認同，但同時指出，只要稍加修改她的概念性驗證程式，就能用來關閉防毒軟體。詳全文

＃Microsoft Edge

鎖定Edge漏洞CVE-2018-8629的攻擊程式曝光

在微軟提供Microsoft Edge漏洞的修補軟體後，最近軟體開發商Phoenix Technologies也公布概念性驗證攻擊程式。

微軟表示，當Microsoft Edge的Chakra渲染引擎不當處理記憶體中的物件時，即會觸發編號為CVE-2018-8629的漏洞。駭客可架設一個惡意網站，然後誘導Edge用戶造訪，成功開採即允許駭客取得使用者權限，進而掌控被駭電腦。

在概念性攻擊程式現身之後，資安專家呼籲，還沒套用修補的使用者或企業，應儘速部署相關的安全更新。詳全文

＃臉書  ＃Android App

20款Android應用程式暗中傳送用戶資料給臉書

隱私國際（Privacy International）在2018年的8月至12月之間，針對34款知名的Android應用程式進行分析，發現其中20款經由臉書的SDK，將資料傳送到臉書，包含了Spotify、MyFitnessPal、Skyscanner、TripAdvisor、Kayak、Shazam等，而且，無論用戶有無臉書帳號，這些App都將資料悉數提供給臉書。

上述資料若是再搭配Google與蘋果的廣告ID，可讓廣告商統整App裡的用戶行為，進而產生更完整的個人資訊，導致曝露使用者的性別、宗教、就業狀態，以及親屬關係等。在去年GDPR上路時，便有應用程式開發業者指控，臉書的SDK在未經用戶同意就收集相關資料，雖然6月時臉書有所調整，但只有4.34版以後的SDK才提供。詳全文

＃推特  ＃簡訊漏洞

推特宣稱修補完成的漏洞遭研究人員打臉

資安業者Insinia Security自2018年3月起，多次揭露推特的一個漏洞，能讓攻擊者利用簡訊挾持用戶的帳號，最近推特終於表示已經修補完成，然而該公司的研究人員以實際的攻擊，證明推特並未如宣稱的確實解決臭蟲。

推特於12月28日宣布，他們修復了上述的簡訊挾持漏洞，之後，Insinia Security的研究人員，便直接朝多名英國電視名人的推特帳號下手，挾持這些人的帳號發文、轉推，或是按讚等。雖然這樣的做法有所爭議，不過該公司執行長表示，他們早在2個月前就通知上述名人，而且，該公司的目的主要在於突顯問題，呼籲用戶從帳號裡移除電話號碼，推特站方也應該停止使用簡訊驗證的機制。詳全文

＃北韓  ＃資料外洩  ＃國家級攻擊

南韓安置中心遭駭，近千名北韓逃亡者個資外洩

南韓統一部於12月28日表示，尚慶北道安置中心的一臺電腦遭到駭客入侵，當中所存放的997名北韓流亡者的個資外洩。統一部僅表示，他們已與警方展開調查，但無法確認本次攻擊是否來自北韓的駭客組織。

不少媒體懷疑，這起攻擊事件由北韓主導，因為北韓當局其實並不清楚那些人逃亡到南韓，其中，有些人只被視為失蹤人口，或是被記錄已經死亡。詳全文

（截取自Korea.net）

＃中國  ＃隱私監控

中國部分地區用智慧制服監控國小與國中學生

中國已有無所不在的人臉攝影機、步態分析等黑科技，西南部的中小學，開始採用具有物聯網科技的智慧制服，用來監控學生的行蹤。根據環球時報的報導，貴州及廣西自治區已有十多間學校採用這套嵌有晶片的制服，它能追蹤學生位置，並配合校門口的臉部辨識系統，每天學生進出學校時，自動記錄時間，同時錄製約20秒的影片，再經由App寄給老師及家長。

在定位的功能之外，這套制服還結合RFID系統、指紋、指靜脈及人臉識別等身分驗證機制，在校園內應用於消費支付與圖書館借還書上。家長也能透過手機，隨時查看孩子每天在校的消費，飲食是否符合營養均衡，並可限制孩童消費。詳全文

＃雙因素驗證 ＃特定人士APT

中東與北非人權人士電子信箱雙因素驗證遭到破解

國際特赦組織在12月底，公布了2起電子郵件釣魚攻擊事件，其中駭客突破了雙因素驗證防護機制，許多北非與中東的人權鬥士、記者，因此遭駭。

駭客先針對上述人士常用的電子郵件加密服務下手，包含了Tutanota與ProtonMail等，以幾可亂真的釣魚網站騙取帳號與密碼，接著，這些駭客更進一步，竊取了人權鬥士的Gmail、Yahoo信箱雙因素驗證碼，之後便能持續存取這些電子郵件信箱。詳全文

更多資安動態

●ACLU控告FBI等美國7大聯邦機構，要求政府「合法駭客行動」更透明
●金融機構當心! 卡巴斯基：明年將出現盜用生物辨識資料的網路攻擊
●去年襲捲全球的勒索蠕蟲WannaCry仍潛伏在全球電腦上
●臉書也開始試驗加密DNS，表示實測不會導致延遲
●AdGuard正式釋出隱私DNS服務，同時支援DNS-over-TLS與DNS-over-HTTPS
●新HTTP協定反成資安漏洞，後脅迫命令控制工具Merlin能以HTTP/2規避偵測
●小心！App Store上的Setup for Amazon Alexa程式是假的
●負荷太大？Amazon Alexa伺服器在聖誕節當機
●川普可能發布行政命令禁止採購華為與中興產品
●你願意為了多少錢停用臉書一年？研究：至少1,000美元
●北京打算在公共住宅專案採用人臉辨識智慧鎖以杜絕轉租行為
●疑封鎖反對黨競選，孟加拉關閉3G、4G網路長達37小時