资安一周第100期：台厂指纹扫描与监控设备出现重大漏洞。高科技产业再传网络攻击事件。

0625-0701 一定要看的资安新闻

 

＃漏洞揭露

奇偶科技遭爆装置含有安全漏洞，用户指纹可被盗走

随着连网装置的安全逐渐受到重视，厂商处理漏洞的能力也引起关注。例如，瑞士备份厂商Acronis揭露，他们去年执行例行性网络安全稽核的过程中，发现台湾指纹扫描与视讯监控设备制造商奇偶科技（GeoVision）生产的装置，含有4个重大漏洞，将允许骇客窃取用户指纹，至少有6款设备受到波及，Acronis先于8月通报奇偶，12月也通知了台湾电脑网络危机处理暨协调中心（TWCERT/CC）。

但直到今年6月26日为止，从TWCERT/CC的公告来看，奇偶已发布新版固件修补3个漏洞，相关固件资讯却并未出现在该公司网站上，而且仍有1个漏洞修补状态不明。Acronis表示，通报至今他们没有收到奇偶的回应。详全文

图片来源：台湾电脑网络危机处理暨协调中心

 

＃高科技产业

台湾电子产业又传资安事件，PCB大厂欣兴公告部分系统遭病毒感染

最近两个月内，台湾电子产业频频传出资安事件，在力成、盟立之后，PCB大厂欣兴电子也于6月29日，在台湾证券交易所发布即时重大讯息，证实有部分资通讯系统在当日凌晨遭病毒感染，至今仍未清楚影响范围。详全文

 

＃应用程序安全  ＃隐私侵犯  ＃iOS 14

53款iOS应用程序任意读取剪贴簿内容，3个月后依然故我

随着新版操作系统加入的安全机制，也将应用程序滥用存取权限的情况摊在阳光下，让用户更直接得知有关的异常情形。例如，今年3月，研究人员Talal Haj Bakry与Tommy Mysk，揭露有53款知名的iOS应用程序，会存取剪贴簿的文字内容。而到了苹果在6月WWDC大会发表的iOS 14测试版，也加入相关行为的侦测功能，一名开发者Ryan Jones升级iOS后进行测试，发现事隔3个月，不少上述的应用程序开发者尚未处理相关问题。

这些应用程序包含了中国影音软件抖音（TikTok）、即时通讯软件微博（Weibo），也不乏美国媒体的新闻App，像是华尔街日报、纽约时报、经济学人（Economist）、Fox News，以及美国公共电视（NPR）等。详全文

影片来源：Ryan Jones

 

＃国家安全

以国家安全为由，印度宣布封锁抖音与微信等59款中国程式

随着最近印度与中国在边界不断爆发冲突，印度软件开发商推出Remove China Apps，广泛得到了当地民众响应，纷纷移除中国软件，最近印度当局也以国家安全为由出面封锁，例如，印度资讯技术部在6月29日宣布封锁59款应用程序，原因为这些程式危及印度主权与完整性，而且影响该国国防。尽管新闻稿通篇未提“中国”，但被封锁的59款程式全都来自于中国开发者，包括抖音（TikTok）、微信（WeChat）、百度地图、小米社区，以及多个QQ产品等。详全文

图片来源：印度资讯技术部

 

＃国家级攻击

澳洲总理警告当地正遭受国家级骇客的攻击

在6月26日，澳洲总理Scott Morrison出面警告，当地的官方与民营组织正被国家级骇客锁定，由于骇客的目标相当广泛，涵盖-部门、工业、政治组织、教育，以及医疗单位，他希望各大组织要加强戒备。当地媒体The Australian与ABC News也引述官员的说法，认为攻击者应该是由中国-资助的骇客。详全文

 

＃资料外泄  ＃供应链攻击

全美200所警局机密资料在网络上曝光

随着佛洛依德事件在美国持续发酵，因执法过程及方式不当，警方也成为各界攻击的目标。例如，最近Distributed Denial of Secrets（DDOS）组织公布近300GB资料，宣称来自于全美逾200所警局，以及警方的情资整合中心，内容包含了各种执法报告、安全公告，以及执法指南等，DDOS将这批资料命名为BlueLeaks。资安部落客Brian Krebs向美国国家情资整合中心协会（NFCA）求证，取得内部分析结果，证实这些资料的确是来自当地警方。NFCA推测，资料外泄的来源可能是网页维护业者Netsential，因为美国许多执法单位都是他们的客户。详全文

图片来源：Distributed Denial of Secrets

 

＃漏洞揭露

嵌入式TCP/IP函式库爆Ripple20漏洞，影响数十亿连网装置

以色列资安顾问公司JSOF揭露Ripple20漏洞，这些漏洞存在于Treck所开发的嵌入式TCP/IP函式库，由于该公司产品受到广泛采用，从HP、Schneider Electric、Intel、Rockwell Automation、Caterpillar，以及Baxter等都是Treck的客户，再加上工业、医疗，以及能源产业等许多领域的装置，普遍采用该公司的函式库，因此估计全球至少有数十亿的连网装置受到波及。

Ripple20包含了19个漏洞，其中有4个是重大漏洞，允许骇客执行远端程式攻击。详全文

 

＃武汉肺炎  ＃勒索软件攻击

勒索软件冒充武汉肺炎接触追踪App诱骗用户上钩

恶意程式作者又来趁火打劫。在武汉肺炎疫情稍微趋缓，各国相继解除封锁并释出患者接触追踪App之际，竟有勒索软件冒充这类App诱骗用户下载。加拿大当局最近宣布，武汉肺炎患者追踪应用程序即将开发完成，预计最快于下个月在安大略省试行，但资安厂商ESET发现，有人抢先一步，冒用加拿大卫生主管机关Health Canada的名义，发布这种疫情追踪的App，但这其实是锁定Android装置的勒索软件CryCryptor。

研究人员推测，CryCryptor能够成功发动攻击，是经由Android系统上的一个元件汇出不当漏洞，不知情的用户一旦安装上述的软件后，装置上常见档案就会被加密。对此，ESET也提供解密工具并通知加拿大当局。详全文

 

＃物联网装置安全

8万台打印机连接埠曝露在公开网络，台湾曝险数量全球第三

近期打印机被骇事件时有所闻，对此，非营利安全促进基金会Shadowserver进行研究发现，打印机的互联网打印协定连接埠（IPP），全球至少有8万台曝露于公开网络上，而可能被远端骇入，韩国、美国，以及台湾是曝险打印机数量最多的国家，分别有3.6万台、7,900台，以及6,700台。

该基金会指出，这些打印机有很大的比例，在他们查询呼叫的过程里，回传了额外的打印机资讯，包括打印机名称、地点、型号、固件版本，以及所属组织单位，甚至还有的会提供打印机无线网络SSID名称等。研究人员提醒用户，最好加装防火墙并且启动存取验证机制，以免打印机成为骇客下手的目标。详全文

 

 

更多资安动态

●骇客锁定Exchange服务器已知漏洞发动攻击
●Bitdefender防毒软件遭爆含有远端程式攻击漏洞
●结合DDoS与挖矿能力的恶意程式锁定多项软件漏洞
●微软新版Edge疑似偷取其他浏览器的用户设定惹议