中國軟體業者透過多層轉投資的空殼公司,意圖隱匿中國身分,於蘋果App Store、Google Play store市集上架免費的VPN應用程式,這樣的情況相當值得留意,因為一般使用者難以追溯源頭,而有可能成為中國政府跟蹤上網流量的對象。
揭露此事的非營利組織Tech Transparency Project(TTP)指出,他們在美國蘋果App Store前100名的免費VPN應用程式裡,發現有五分之一App來自中國,這樣的情況意味著使用者很容易下載到中國業者打造的應用程式。
【攻擊與威脅】
蘋果、Google近年來對上架於App Store及Play Store市集的應用程式,把關越來越嚴格,兩業者都禁止VPN應用程式在未經使用者同意下,收集或利用使用者的資料,然而,有中國公司推出的VPN服務刻意隱瞞來源,疑似打算暗中收集用戶的資料。
金融時報引述非營利組織Tech Transparency Project(TTP)的調查報告指出,上架於蘋果App Store美國的免費VPN應用程式當中,前100名的應用程式中,有五分之一實際上的擁有者是中國公司,很可能會依據中國法律被要求將使用者資料交予中國政府。其中有5款VPN程式更是與中國資安業者奇虎360有關,由於美國國防部指控這是中國軍方所屬的公司,這代表美國用戶很有可能面臨將上網行蹤曝露給中國軍方的資安風險。
TTP進一步指出,他們發現App Store許多VPN應用程式的開發廠商身分不透明,透過數家海外的空殼公司隱藏實際身分。經TTP彙整全球公司資料,確認20款VPN應用程式背後皆來自中國,這些App已被下載超過7千萬次,TTP強調,這些App未明確標示來自中國,美國用戶難以識別,因此可能安裝了這些應用程式而遭到監控。
其他攻擊與威脅
◆勒索軟體駭客組織Hunters International轉換攻擊策略,專注竊取資料並向企業勒索
◆北韓駭客透過NPM套件散布惡意軟體BeaverTail,意圖在受害電腦部署後門
◆駭客組織FIN7利用後門程式Anubis挾持Windows電腦
【漏洞與修補】
開源欄式儲存格式Apache Parquet含有可被執行任意程式碼的嚴重漏洞
Apache基金會在今年3月16日釋出了Apache Parquet Java 1.15.1,默默地修補了可用來執行任意程式碼、被列為最高嚴重等級的CVSS 10.0漏洞CVE-2025-30065,影響Apache Parquet 1.15.0及之前的所有版本,該漏洞於今年4月初被披露,4月3日便出現該漏洞的概念性驗證程式。
軟體供應鏈解決方案供應商Endor Labs指出,CVE-2025-30065被歸類為反序列化不受信任的資料(Deserialization of Untrusted Data)漏洞,這類的漏洞可能影響匯入Parquet檔案的資料處理流程與分析系統,特別是當這些檔案來自外部或不可靠的來源時,若遭駭客竄改,便可能觸發漏洞。
倘若駭客能夠誘導系統讀取惡意Parquet檔案,便有機會自遠端執行程式碼,得以完全掌控系統,竊取或竄改資料,也能植入惡意程式或中斷既有服務等。
日本電腦緊急應變團隊暨協調中心(JPCERT/CC)日前揭露位於WinRAR中的安全漏洞CVE-2025-31334,可繞過微軟內建於Windows平臺上的Mark of the Web(MoTW)安全機制,讓使用者無意間執行惡意程式。
此漏洞由日本資安業者Mitsui Bussan Secure Directions發現,攻擊者能引誘使用者開啟指向執行檔的符號連結(Symbolic Link)時,繞過MoTW的警告功能。不過,在Windows的初始配置中,只有管理員才具備建立符號連結的權限。
該漏洞波及WinRAR 7.10及之前的版本,RARLAB也已在3月24日釋出的WinRAR 7.11修補。
其他漏洞與修補
◆Verizon來電過濾App存在漏洞,攻擊者有機會存取其他用戶的事件記錄資料
◆思科發布Meraki、Enterprise Chat and Email設備更新,修補阻斷服務漏洞
【資安產業動態】
「資安即國安」這句耳熟能詳的口號,如今在政府包括數位發展部預算遭到大幅刪除與凍結的消息下,顯得格外沉重,許多政府部分重要機關的預算(包含資安預算)正面臨嚴峻的挑戰,許多規畫好的年度防禦預算遭到大幅度的削減,最高幅度甚至達到數十個百分比。
以數位發展部的預算為例,立法院就將預算刪除四成、凍結二成,直接影響了數位發展部的施政步調,更直接影響政府在資安領域的投入。顧問公司KPMG安侯建業顧問部營運長謝昀澤提出警示,「此舉無疑是為國家安全敞開大門,其後果可能不堪設想。」他坦言,這一決策除了可能令政府自身防護機制遭遇風險外,也對整個資安產業產生極大衝擊。
另有不具名資安業者表示,面對臺灣政府現有的資安人力不足,必須大量依賴各種資訊和資安委外人力輔助,此次的預算凍結,可能會影響到原先就已經不足的資安和資訊委外的預算和人力編制,甚至會出現「劣幣驅逐良幣」的後遺症。
4月4日Google發表針對資安的實驗性AI模型Sec-Gemini v1,該模型建立在Gemini模型之上,同時整合了Google威脅情報、OSV漏洞資料庫,以及Mandiant威脅情報,並免費提供給特定的組織、機構、專家,以及非政府組織以供研究之用,並已開放申請。
Google表示,有效地支援安全維運工作流程需要最先進的推理能力,以及廣泛的現代資安知識,Sec-Gemini v1藉由結合Gemini的高階功能、接近即時的網路安全知識,以及工具來實現此一目標,該組合可於關鍵網路安全工作流程上展現卓越的性能,包括事件根本原因分析、威脅分析,以及理解安全漏洞所帶來的影響。
