資安一周第66期：Adobe洩露用戶個資事件再添一樁，資料庫門戶大開

1024-1030 一定要看的資安新聞

＃資料外洩  ＃隱私疑慮

Adobe資料庫未設防為期一周，逾750萬Creative Cloud用戶個資被看光！

Adobe洩露用戶隱私的事件再添一樁！最近Comparitech記者Paul Bischoff與資安研究員Bob Diachenko合作，發現Adobe未設定密碼保護的ElasticSearch資料庫。他們估計，資料庫門戶大開約一周，曝露近750萬名Creative Cloud用戶個資，但無法確定是否有人曾未經授權存取這個資料。

曝露於網路上的內容，包括電子郵件、帳號建立時間、會員號碼、國籍、採用的Adobe產品項目、上次登錄時間、付款狀態，以及是否為Adobe員工等。值得慶幸的是，這批資料並未包括信用卡號或密碼等敏感資料。不過，Paul Bischoff表示，有心人士仍然可以透過上述資料，冒充Adobe發送精準網釣郵件，或是進行詐騙。

Bob Diachenko在10月19日發現後隨即通報Adobe，該公司也在同日採取防護措施。詳全文

＃身分驗證機制漏洞

三星修復因搭配螢幕保護貼造成的Galaxy S10指紋辨識異常，首波提供韓國用戶修補韌體

先前三星旗艦手機Galaxy S10與Note10系列機種，驚傳在使用了坊間的螢幕保護貼之後，任何人都能透過螢幕上的指紋識別器解鎖手機，該廠商開始於24日發送含有修補程式的韌體，唯第一波範圍僅涵蓋韓國使用者。

這個問題被發現的經過，是一名英國消費者從eBay購買了非原廠推薦的螢幕保護貼，並貼上她的Galaxy S10之後，無意間發現尚未登錄指紋的手指竟能解鎖，再測試丈夫和妹妹的指紋，也同樣能通過驗證。

三星表示，這是因為有些非原廠螢幕保護貼上的紋路，在用戶登錄指紋時，一併被手機記錄所致。使用者可透過韌體更新修復這個問題，但也必須刪除先前登記的指紋再重新註冊。詳全文

＃防毒軟體相容性

賽門鐵克企業版防毒軟體更新再出包！新版Chrome無法上網

不到兩周前，賽門鐵克旗下的企業級防毒軟體Symantec Endpoint Protection（SEP），才因為防入侵偵測（IPS）的特徵碼出現問題，導致許多用戶電腦當機，如今傳出無法讓Chrome無法正常載入網頁。

許多使用者將Chrome升級到78版之後，開啟瀏覽器便只會出現顯示異常的錯誤訊息，賽門鐵克指出，問題發生的原因，是該版本Chrome導入Windows內建的程式碼完整性（Code Integrity）機制，與SEP的應用程式控管功能衝突。他們預計在11月12日提供相關特徵碼的更新，在此之前，用戶可停用Chrome的前述新功能，來排除異常。詳全文

＃隱私疑慮  ＃系統漏洞

日本連鎖飯店的陪伴機器人可被用來偷窺房客

日本H. I. S.集團旗下的連鎖飯店Henn na Hotel，置於床邊的蛋型機器人Tapia噱頭十足，卻被資安人員發現潛藏漏洞，使得有心人士能透過機器人的攝影機，遠端偷窺入住房客。

Tapia的功能類似語音助理Google Home，具有對話能力、報氣象、行程，並支援臉部辨識、視訊會議，以及連結物聯網裝置等功能。

揭露此事的Lance R. Vick先於9月通報該飯店相關漏洞，卻一直沒有得到回應，於是發動攻擊並昭告天下，直到10月中旬，H. I. S.集團才證實此事，並表示完成漏洞的修補作業。詳全文

圖片來源：MJI

＃隱私疑慮

美國會議員聲稱抖音危害國家安全

美國兩名參議員Chuck Schumer與Tom Cotton去函美國國家情報局，要求評估抖音（TikTok）與其他源自中國的內容平臺，是否會對美國的國家安全帶來威脅。

抖音是由北京字節跳動公司（ByteDance）所開發的短片應用程式，讓使用者可建立15秒的對嘴音樂影片，再利用不同的特效打造個人風格，這款軟體在美國下載次數超過1.1億。

兩名參議員表示，抖音的服務條款指出，他們會蒐集使用者及裝置上的資料，儘管字節跳動宣稱並未在中國經營抖音，也把用戶的資料存放在美國，但字節跳動是中國公司，依然需要配合中國的法規。兩名參議員也指出，抖音審查中國所認定的政治敏感內容，包含了近期香港民主運動、天安門事件，以及西藏與維吾爾族的遭遇等。詳全文

＃隱私疑慮  ＃應用程式市集亂象

蘋果App Store驚傳17款應用程式暗藏木馬

行動資安業者Wandera揭露，他們在App Store發現17款程式被植入「點擊木馬模組」（Clicker Trojan Module），可於背景執行廣告詐騙活動，還可連結駭客所掌控的C&C伺服器，傳送受害裝置的資訊。蘋果在收到通知之後，已將相關程式全數下架。

上述應用程式全來自印度公司AppAspect Technologies，它們在未經使用者的互動下，於背景持續開啟網頁或點擊連結，可能是為了創造廣告收益，或是用來消耗競爭對手的廣告預算。

根據另一家資安業者Dr. Web的分析，該臺C&C伺服器不但能指使受害裝置暗中載入網頁，還能遠端變更裝置的配置。例如，有名受害者因此便訂閱了昂貴的內容服務。詳全文

＃應用程式市集亂象

行動裝置應用程式遇到Google網域會自動迴避，長達一年才被發現惡意行為

資安業者ESET揭露Google Play上有42款程式，涉及大型的廣告軟體活動，它們會持續透過程式遞送廣告，但只要察覺到受害裝置的IP位址可能隸屬於Google，就不會觸動廣告機制。此外，ESET也肉搜了相關程式的開發者，發現他是越南的大學生。

這些程式的廣告活動大約維持了一年，總下載量超過800萬次，它們都具備程式所宣稱的各種功能，不過也都植入了Ashas廣告程式，在啟用後會先與遠端的C&C伺服器通訊，並傳送裝置型號、作業系統版本、語言、程式安裝數量、剩餘儲存空間、電池狀態、是否已被破解，以及是否安裝臉書或Messenger等。詳全文

圖片來源：ESET（WeLiveSecurity）

＃勒索軟體攻擊  ＃特定目標攻擊

南非最大城約翰尼斯堡再度遭勒索軟體入侵

繼今年7月遭到勒索軟體攻擊，癱瘓電廠運作之後，南非第一大城約翰尼斯堡（Johannesburg）於10月24日，再度傳出該市的資訊系統受到攻擊，迄今當地市政府官網尚未恢復正常。

當地政府在Twitter貼出公告，表示IT系統遭受破壞。根據當地媒體報導，駭客集團Shadow Kill Hackers承認是他們發動的攻擊，並要求該市支付4個比特幣（約3.2萬美元），以作為換取解密金鑰的贖金。詳全文

圖片來源：約翰尼斯堡市政府

更多資安動態

●macOS Catalina應用程式公證機制異常，識別LibreOffice不安全
●防跨站請求偽造攻擊，Google預告Chrome將導入新Cookie模型
●FBI警告中小企業與政府組織要小心線上側錄攻擊