資安一周25期：FilesLocker作者釋出勒索軟體解密金鑰、美國國安局將首度公開逆向工程工具GHIDRA

0103-0109 一定要看的資安新聞

＃勒索軟體  ＃解密金鑰公開

FilesLocker作者釋出勒索軟體解密金鑰

甫於去年10月問世的勒索軟體FilesLocker，作者在聖誕節版的FilesLocker中附上了解密金鑰，研究人員Michael Gillespie則以此建立了解密機制，並與資安新聞網站Bleeping Computer合作，協助受害者解開遭到FilesLocker加密的檔案。

過去也曾發生勒索軟體開發者主動釋出解密金鑰的情況，當中有些是終止開發，有些則是因為版本更新。但FilesLocker作者在公布解密金鑰時，文字檔內附上「結束是另一個開始」的句子，專家認為，這透露出作者可能會開發其他專案。詳全文

（圖片來源）Bleeping Computer

＃個資外洩  ＃Android

知名氣象預報App驚傳暗中蒐集用戶資料

根據華爾街日報報導，知名的Weather Forecast - World Weather Accurate Radar氣象預報App，在未經用戶同意下，蒐集電子郵件、居住地點、及手機裝置辨識碼（IMEI）等詳盡資訊，並且傳到中國。

這款App由中國TCL通訊科技控股公司開發，號稱可提供用戶今、明兩天，以及未來2周至3周期間內的精準氣象預報。自2016年12月在Google Play上架以來，Weather Forecast下載次數超過千萬，在美國是前20名的App，同時也在30個國家中，名列前五大氣象App。

對於該氣象預報App暗中蒐集用戶資訊，TCL曾表示Weather Forecast已擁有多項安全防護機制，不過後來又向媒體改口，他們正在評估委由安全顧問，為該公司App安全性提供檢驗。詳全文

＃間諜軟體  ＃Android 

MobSTSPY間諜軟體偽裝成合法App，196個國家受害

趨勢科技在1月3日發布消息，指出2018年上架Google Play的App裡面，有6款是由間諜軟體MobSTSPY偽裝而成，同時具備間諜及網釣能力，不只能蒐集裝置上的機密資料，還會以網路釣魚手法，竊取使用者的Google與臉書憑證，受害者遍及全球196個國家。

這6款Android程式分別是Flappy Bird、Flappy Birr Dog、FlashLight、HZPermis Pro Arabe、Win7imulator，以及Win7Launcher，雖然上架的時間不到一年，但其中的Win7imulator全球下載數量超過了10萬次之多。這些軟體已經全數下架。詳全文

＃硬體裝置安全  ＃物聯網裝置漏洞

駭客挾持眾多連網裝置播放特定YouTube影片

代號為Hacker Giraffe與J3ws3r的兩名駭客，針對Chromecast、Google Home，以及智慧電視等連網裝置，發動攻擊，迄今已挾持逾6萬臺裝置，並用來播放全球最知名的YouTuber：PewDiePie的影片。

除了播放影片之外，駭客也在電視上顯示警告訊息，指出使用者的Chromecast及智慧電視已曝露於公開網路上，並且外洩了機密資料。這兩名駭客表示，他們想要呼籲大家重視這種物聯網裝置的漏洞威脅，並且表明相關緩解措施，包含關閉路由器上的UPnP，以及停用8008、8443、8009等連接埠。而上個月曾挾持5萬臺印表機，並印出請大家支持PewDiePie的內容，正是Hacker Giraffe的傑作。詳全文

＃使用者驗證  ＃CAPTCHA

unCAPTCHA再度攻破升級版語音reCAPTCHA

美國馬里蘭大學研究團隊從去年打造unCAPTCHA，並宣稱能破解Google語音版reCAPTCHA，近日再釋出了unCAPTCHA 2.0新版，強化解析reCAPTCHA的準確度，從85.15%提高到90%。

語音版本reCAPTCHA專為視障人士設計，可在吵雜的背景環境中以不同的速度、音調或口音唸出數字，並要求使用者填入聽見的內容，在去年首度遭到研究人員破解之後，Google修正了reCAPTCHA，將語音挑戰的內容，從數字改為短句。然而，馬里蘭大學因應Google的改變，釋出了unCAPTCHA 2.0，同時進一步提升了準確率。詳全文

（圖片來源）馬里蘭大學

＃硬體裝置安全  ＃USB Type-C

USB組織推出USB Type-C驗證方案

隨插即用的USB裝置雖然方便，卻也暗藏安全風險，可能成為竊密或植入惡意程式的媒介。最近，USB Implementers Forum（USB-IF）便公布了USB Type-C Authentication驗證方案，對於PC遭插入非法或惡意的USB Type-C裝置及充電器的風險，可望降低。

這項方案的目的，是想要提供USB Type-C充電器、裝置、USB線材，以及電源裝置的驗證標準，PC在準備插入USB裝置或充電器時，藉此判斷這些裝置是否經過認證、屬於合法的解密裝置。例如，在外旅行時，使用者若擔心公共USB充電器有安全疑慮，那麼手機可設定為僅允許經認證的USB充電器充電；再者，企業也可以在PC上，設定配置相關政策。

目前這項方案仍屬鼓勵性質，並非強制產品導入，但可望獲得製造相關裝置的業者支持。詳全文

＃逆向工程  ＃RSA大會

美國國安局將首度公開逆向工程工具GHIDRA

美國國安局計畫於3月舉行的全球資安大會：RSA安全會議上，首度公開名為GHIDRA反向工程工具，並以免費的方式於RSA會場提供。雖然，外界早已透過維基解密去年7月公布的Vault 7文件中，得知GHIDRA的存在，並且揭露了中央情報局（CIA）電子監控與網路戰的情況，而GHIDRA正是由美國國安局提供給美國情報單位的工具。

GHIDRA可在Windows、macOS及Linux等平臺上運作，並支援各種處理器的指令集，不僅含有與高階商用產品相當的功能，同時具備美國國安局特別開發的能力。詳全文

（截取自RSA網站）

＃國家級攻擊  ＃安全防護指南

美國反情報機構教企業如何防範國家級網路攻擊

美國國家反情報與安全中心（NCSC）在1月7日發表「了解風險，提高防禦」專案，釋出了各種影片、手冊、傳單，以及海報等，以協助境內企業抵抗來自境外的國家級網路攻擊。

NCSC主任William Evanina表示，美國企業向來是國家級駭客的目標，這些駭客經常入侵企業網路、竊取私有資料，還滲透企業的供應鏈，這類具備侵略性的持久攻擊，讓美國失去經濟優勢、工作機會，以及付出數千億美元的成本，使得NCSC決定提供企業各種防禦資訊。詳全文

＃網站憑證  ＃HTTPS

Mkcert讓本地開發環境也能使用HTTPS憑證

網頁應用程式於本地端開發環境測試時，多數仍使用HTTP，可能測試不出在HTTPS才會出現的臭蟲，為此，Google Go團隊工程師的Filippo Valsorda開發了Mkcert，期望解決上述現象。

當開發者安裝Mkcert後，本機電腦會自動被設定為可信任，當瀏覽器載入由Mkcert執行個體產生的憑證時，就會在網址列上顯示為安全。詳全文

更多資安動態

●消費者控告Google Photos的人臉辨識侵犯隱私，遭法官駁回
●新版Android Messages應用程式開始部署垃圾訊息自動防護功能
●Android版Skype漏洞允許未經授權的駭客存取裝置資料
●Zerodium出價200萬美元徵求iOS遠端越獄程式
●疑通報漏洞不回應，都柏林電車網站遭駭
●針對法規遵循與資安，微軟新添兩項Microsoft 365訂閱服務
●微軟Project Bali讓用戶刪除所有帳號資料
●Google公布2019年資安趨勢，駭客瞄準原生雲端架構
●Nextcloud創辦人預測：開源、結盟與自我託管技術將成2019年主流
●趨勢提2019資安預測七大重點：資料外洩通報與網路釣魚將大增
●廣告軟體冒充85款Android應用程式，900萬用戶恐陷蓋版廣告夢魘
●弱密碼惹的禍！德國20歲學生入侵近千名公眾人物帳號並公布個資
●Yubico發表首款支援蘋果Lightning介面的實體安全金鑰
●G Suite通知中心更新，可主動通知企業內釣魚郵件、資料匯出等安全事件
●微軟今年開春安全更新首發，修補49個安全漏洞，含7個重大漏洞
●研究人員揭露利用作業系統頁面快取的旁路攻擊