网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者的2000人超级QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】研究人员:去年平均每个ICO都有五个安全漏洞

2018-06-27 08:26 推荐: 浏览: 38 views 字号:

摘要: Fredi的无线婴儿监控存在漏洞可被用作间谍摄像机SEC Consult的安全研究人员发现,Fredi Wi-Fi婴儿监视器中的漏洞可能被未经身份验证的远程攻击者利用来控制它并监视家庭。许多商业监控产品利用默认启用的“P2P云”功能。每个设备都连接到云服务器基...

Fredi的无线婴儿监控存在漏洞可被用作间谍摄像机SEC Consult的安全研究人员发现,Fredi Wi-Fi婴儿监视器中的漏洞可能被未经身份验证的远程攻击者利用来控制它并监视家庭。许多商业监控产品利用默认启用的“P2P云”功能。每个设备都连接到云服务器基础架构并保持此连接。移动设备和桌面应用程序可以通过云连接到相机。这种架构使用户能够更轻松地与摄像机进行交互,路由器上不需要防火墙规则,端口转发规则或DDNS设置。但研究人员强调这种方法存在许多安全缺陷,不安全的Fredi Wi-Fi婴儿监视器也可能被黑客用作家庭网络的入口。

参考来源:

https://www.cesafe.com/5803.html

微软强制 Azure AD 管理员账户启用多因素认证机制微软上周五表示,不久微软将强制所有高权限 Azure AD 账户启用多因素认证机制。多因素认证机制将成为微软 Azure AD 的“基准策略”,即微账户启用的支持最少安全措施的一系列安全功能。这种“管理员账户默认多因素认证”基准策略目前正处于公开预览阶段,任何 Azure AD 客户均可通过所述步骤启用该功能。

微软表示,一旦该功能经过“公众预览”并进入“一般可用性”阶段,如下的 Azure AD 账户类型将被提示配置多因素认证设置以访问账户。

参考来源:

http://codesafe.cn/index.php?r=news/detail&id=4253

研究人员:去年平均每个ICO都有五个安全漏洞安全研究人员发现,去年出现的每个加密货币ICO项目平均存在五个安全漏洞,大多数漏洞都是在ICO本身的智能合约中发现的,2017年仅有一家ICO不存在任何严重缺陷。71% 漏洞存在于 ICO 核心的智能合同中。一旦 ICO 上线,智能合同将不能被修改,这意味着任何人都能查看和寻找漏洞。漏洞主要为与 ERC20 标准(数字钱包和数字货币交换的令牌接口)不一致,不正确的随机数生成,以及不正确的范围等有关,出现这些漏洞主要是因为缺乏编程经验和没有充分的测试。研究人员还指出,所有 ICO 移动应用都包含漏洞,而移动应用发现的漏洞 比 ICO Web 应用更多。

参考来源:

http://www.freebuf.com/

研究显示:智能手机电池也能泄露用户活动数据根据外媒The Register的报道,一组研究人员最近有一个发现:通过功耗分析,智能手机电池也可以“泄露”用户的操作数据,并为旁路攻击留下了可趁之机。

当然读者们大可不必恐惧,这项研究目前至多是一则经过严格测试的理论,而且执行起来非常困难。但是未雨绸缪,随着技术的发展,这也存在着被攻击者利用的潜在风险。研究人员还表示,通过读取CPU和屏幕的电源果冻痕迹都能显示用户访问的网站信息。他们的做法是,通过1KHz的采样频率功耗、再根据网页的特定API,就可以成功再现用户的活动。

参考来源:

https://www.ithome.com/html/discovery/366821.htm

公安部“网络脆弱性扫描产品、网络入侵检测系统”产品质量检查:5 家不合格公安部最近发布《关于2017年度社会公共安全产品质量行业监督抽查结果的通报》,目的是为提高公安装备器材和社会公共安全产品质量,更好地为公安业务工作服务,经报国家质量监督检验检疫总局(现为国家市场监督管理总局)批准,依据国家发布的相关国家标准和公安部发布的相关公共安全行业标准,公安部于2017年底至2018年3月对部分社会公共安全产品质量实施了行业监督抽查。其中网络脆弱性扫描产品2家不合格,合格的有14家,网络入侵检测系统3家不合格,合格的有 7 家。

参考来源:

https://www.secrss.com/

AT&T被曝协助NSA:监控网络流量美国调查新闻网站The Intercept的最新报道揭示了美国国家安全局(NSA)与AT&T之间的密切关系。The Intercept在美国找到了8处设施,这些地方都充当了AT&T与NSA的合作中心。这些设施不仅可以帮助NSA监控美国国内的流量,还能帮助其处理大量的国际流量——这也可以解释NSA为何如此重视AT&T这些设施的价值。该报道发现,AT&T可以使NSA直接获取电子邮件、网络浏览、社交媒体和其它网络活动的未加密原始数据。NSA使用这8个AT&T的设施来推进代号为FAIRVIEW的监控项目——《纽约时报》之前也曾报道过该项目。

参考来源:

https://tech.sina.com.cn/

未来 Firefox 将引入安全审查工具:确认个人账号是否已被泄露Mozilla宣布未来Firefox版本将引入建议安全审查工具,使用Troy Hunt的“Have I Been Pwned”(HIBP)数据库对已知泄露的数据库进行扫描,确认用户账号是否出现在其中。Mozilla正将HIBP的完整服务整合到辅助网站– Firefox Monitor上。双方的合作允许用户通过输入邮箱地址来查看自己的账号是否已经在已知的数据泄露中曝光。如果出现在数据库中,那么 Firefox Monitor就会知道已经掌握的暴露程度,并提供相关建议。目前该系统还处于规划和测试阶段,Firefox Monitor预计将于下周开始率先在美国地区开放,首批大约为25万用户。如果取得成功,将会进一步向所有Firefox用户开放。

参考来源:

http://hackernews.cc/archives/23390

关于安全帮

安全帮,是中国电信北京研究院旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。

联系站长租广告位!

中国首席信息安全官


关闭


关闭