网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】0元就能买买买 微信支付官方SDK被曝严重漏洞

2018-07-04 08:07 推荐: 浏览: 160 views 字号:

摘要: iOS 12“验证码自动填充”功能存在隐患 用户或受网银欺诈之害外媒报道称,尽管苹果在 iOS 12 中引入了大量增强的安全特性,但是“安全码自动填充”功能还是将用户暴露于银行欺诈的巨大危险面前。在今年 6 月的全球开发者大会(WWDC 2018)上,苹果宣布...

iOS 12“验证码自动填充”功能存在隐患 用户或受网银欺诈之害外媒报道称,尽管苹果在 iOS 12 中引入了大量增强的安全特性,但是“安全码自动填充”功能还是将用户暴露于银行欺诈的巨大危险面前。在今年 6 月的全球开发者大会(WWDC 2018)上,苹果宣布了这项新特性。其旨在通过自动读取短信中的验证码,节省在 Safari 等应用中手动输入表单的麻烦,从而为用户带来无缝的注册流程体验。乍一看,这是一项能够显著提升可用性的功能,但安全专家警告称这样的实现,最终更可能会对建议签名和交易身份验证码(TANs)产生影响。

参考来源:

http://hackernews.cc/archives/23448

伊朗老牌APT组织被发现伪造别国安全公司官网实施钓鱼一个试图伪装成网络安全公司的伊朗 APT 组织不慎暴露了此前的钓鱼攻击活动。这个伊朗 APT 组织即 Charming Kitten(或称 Newscaster 或 Newsbeef)。以色列安全公司 ClearSky Security 指出,该 APT 组织复制了其官方网站并托管在 clearskysecurity.net 上,这个域名类似于位于 ClearSky.com 上的官方 ClearSky 网站。ClearSky 指出,“Charming Kitten 构建了一个模仿我们公司的钓鱼网站。他们从公共网站上复制了网页并将其中一个网页更改为含有多个服务‘登录’选项的网页。”该公司表示,这些登录选项都是钓鱼网站,能将受害者的凭证发送给攻击者;而合法的官方网站并没有登录选项。

参考来源:

https://www.secrss.com/articles/3686

Axis 大量摄像头现连环漏洞,黑客:你的隐私是我的Axis 摄像头被报存在一系列安全漏洞。该漏洞可使攻击者在连环利用多个漏洞后获取 root 权限 shell 进行远程命令执行或直接进行拒绝服务或获取敏感信息。该漏洞影响Axis从1.x 到8.x 众多系列390 多个型号。Axis 产品专注于安全监视和远程监控应用领域,在全球的20个国家和地区开设有分支机构,并与超过 70个国家和地区的合作伙伴展开合作。据华顺信安 FOFA 系统数据显示,目前全网共有 25908 个系统对外开放。Axis 的使用受众数量庞大,该漏洞将影响众多的企业单位使用者,相关企业、使用者需要高度重视。

参考来源:

http://www.sohu.com/a/239060011_114877

0元就能买买买 微信支付官方SDK被曝严重漏洞7月3日,据白帽汇安全研究院的消息,有网友在国外的安全社区公布了微信支付官方SDK(软件工具开发包)存在的严重漏洞,此漏洞可导致商家服务器被入侵,一旦攻击者获得商家的关键安全密钥(md5-key和merchant-Id等),他就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。在使用微信支付时,商家需要提供通知网址以接受异步支付结果。问题是微信在JAVA版本SDK中的实现存在一个xxe漏洞。攻击者可以向通知URL构建恶意payload,根据需要窃取商家服务器的任何信息。

参考来源:

http://news.mydrivers.com/1/583/583131.htm

Zerodium公司悬赏50万美元征集Linux零日漏洞收购和出售零日漏洞可以说一个高产的业务,但往往被很多人所忽视。为了更好地了解它的演变,让我们一起来分析一下国外热门的漏洞交易平台Zerodium的最新报价。当然,想要具体了解该公司的运营模式和经营理念,我们可以直接访问他们的网站。

“ZERODIUM向安全研究人员支付了丰厚的奖金和酬劳,以获取他们原有的和以前未报告的影响主要操作系统、软件和设备的零日漏洞研究。” 该公司的网站上写道,“虽然大多数现有的漏洞赏金计划接受几乎任何类型的漏洞和PoC,但报酬通常非常低,但在ZERODIUM,我们专注于具有全面功能的高风险漏洞,我们支付了最高的市场报酬。”

参考来源:

https://www.mozhe.cn/news/detail/379

新的RAMpage漏洞使Rowhammer可攻击安卓根设备在2016年底,谷歌的安全团队争先恐后地修复了一个允许攻击者通过使用一种相对较新的漏洞来获取对Android设备的不受限制的root访问权限的可以操纵存储在内存芯片中的数据的关键漏洞。现在,21个月后,许多同样的研究人员说大量的Android手机和平板电脑仍然容易受到root攻击,因为谷歌部署的补丁并不足够。Drammer和新公开的RAMpage攻击都利用了Rowhammer漏洞,这是一种通过重复访问存储单元的内部行来改变存储在芯片中的数据的漏洞。通过每秒“撞击”行数千次,该技术使位翻转,这意味着会将存储在其中的单个位中的0变为1,反之亦然。

参考来源:

https://cloud.tencent.com/developer/news/263640

批评人士称:印度的数字通用身份证计划存在严重缺陷当印度政府开始计划发布强制性的全国通用身份识别和相应的数字支付系统时,他们想法是,技术将成为提供服务的有效工具,同时也是遏制猖獗腐败的灵丹妙药。印度政府希望将提供粮食和其他资源,包括支付转移的任务交由一个高效的系统来完成,试图在减轻大量贫困农村人口所面临的压力方面取得更大进展。然而,批评人士认为,Aadhar系统不仅没有在提供福利或遏制腐败起到帮助作用,而且还将大量的个人数据暴露给了不法商家,并导致了大规模的安全隐患。

参考来源:

http://www.sohu.com/a/238982678_100066938

关于安全帮

安全帮,是中国电信北京研究院旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。

联系站长租广告位!

中国首席信息安全官


关闭


关闭