印度海德拉巴國際資訊科技研究所(International Institute of Information Technology, IIIT )的資安研究人員,近日發現一種新式攻擊方式,命名為 AutoSpill;駭侵者可以透過這種方式,在 Android 手機密碼管理員自動填寫密碼時進行竊取。
研究人員指出,許多 Android 平台上的 app,經常使用 WebView 控制項來顯示網頁內容,例如 app 的登入頁面,而非將用戶導向到系統瀏覽器;這樣雖然可以提高使用者體驗的順暢度,讓使用者不必頻繁切換前景應用程式,但這也給 AutoSpill 帶來可趁之機。
研究人員說,Android 平台上的各種密碼管理工具,在各個 App 出現登入畫面時,也多會使用 WebView 架構來自動輸入使用者儲存下來的帳號與密碼;由於 Android 平台本身對於自動輸入的資料,在架構上就缺少明確的責任歸屬定義,因此這些資料可能被 host 應用程式所攔截。
IIIT 的研究人員指出,據該單位的測試,多數 Android 平台上的密碼管理工具,都無法避免遭到 AutoSpill 竊取密碼;即使沒有任何 JavaScript 指令注入,也無法倖免。包括多種極受歡迎的密碼管理工具如 LastPass 5.11.0.9519、1Password 7.9.4、Enpass 6.8.2.666、Keeper 16.4.3.1048、Keypass2Android 1.90c-r0 都在各種測試中遭到 AutiSpill 成功取得自動填寫的使用者名稱或密碼。
相對的,研究人員也指出,Google Smart Lock 13.30.8.26 和 DashLane 6.2221.3 由於採用了不同方式來自動填寫登入資訊,因此在未有 JavaScript 注入的情形下,不會洩露自動填寫的帳號與密碼。
在各密碼管理工具推出修復 AutoSpill 攻擊的新版本前,Android 使用者應提高警覺,避免自非正常管理下載安裝任何軟體或 APK 檔案,以免登入資訊遭竊。twcert 發表在 痞客邦 留言(0) 人氣(1)
Google 日前發表 Android 2023 年 12 月資安更新修補包,一共修復多達 85 個漏洞,其中有一個嚴重漏洞 CVE-2023-40088,可在無需使用者互動的情形下遠端執行任意程式碼。
CVE-2023-40088 這個漏洞係存於 Android 系統元件之內,為一個免點按 RCE 漏洞,無需任何額外權限即可執行,是這批 85 個已修復漏洞中最嚴重的一個。Google 雖然沒有在資安通報中透露是否已有駭侵者利用該漏洞發動攻擊,但因為本漏洞可在無需使用者互動的情形下進行濫用,因此相當危險。
在這次修復的 85 個漏洞中,另有三個嚴重漏洞 CVE-2023-40077、CVE-2023-40076、CVE-2023-45866,是存於 Android Framework 與系統元件中的權限提升與資訊洩露漏洞。還有一個嚴重漏洞 CVE-2022-40507 則是存於 Qualcomm 閉源元件中。
和過去的 Android 資安修補推出方式類似,Google 也是分為兩波來推出其 12 月份 Android 資安更新;第二波更新除了包括前一波更新的所有修復之外,還外加第三方閉源元件與 Android 核心元件的修復更新;並非所有 Android 裝置都會需要第二波更新中的新增修補內容。
資安專家指出,由於 Android 生態系的複雜性,加上各品牌裝置原廠未必會在第一時間推出包含最新資安更新的韌體更新服務,甚至一些較小的品牌很少推出更新,因此使用者除了應在有更新可升級時立即更新外,也應加強對裝置的資安防護。
除 Google 自行推出與少數品牌 Android 裝置可立即更新外,建議其他品牌裝置應在原廠推出新版韌體後立即更新。twcert 發表在 痞客邦 留言(0) 人氣(1)
Apple 近日推出緊急資安更新,修復 2 個存於 iPhone、Pad 與 Mac 設備中新發現的 2 個 0-day 漏洞 CVE-2023-42916 與 CVE-2023-42917,使用者應立即套用更新。
CVE-2023-42916 與 CVE-2023-42917 都是存於 WebKit 瀏覽器引擎,屬於越界讀取漏洞;駭侵者可利用特製的網頁來誘發記憶體崩潰,藉以竊取使用者的機敏資訊,甚至執行任意程式碼。
Apple 也在對外發表的資安更新通報中指出,該公司已獲悉這兩個漏洞已遭駭侵者用於駭侵攻擊之中的情報;遭到攻擊的是執行 iOS 16.7.1 先前版本的 iOS 設備。
Apple 也列出受到影響的各種設備型號,受影響裝置範圍相當廣泛:twcert 發表在 痞客邦 留言(0) 人氣(0)
美國聯邦通訊委員會(Federal Communication Commission, FCC)日前推出新規定,強制要求各家電信業者強化 SIM 卡補發或攜碼轉換電信業者作業申請的安全驗證流程,以保護消費者免於日益嚴重的 SIM-swap 攻擊。
FCC 旗下的「隱私與資料保護工作小組」(Privacy and Data Protection Task Force)在 2023 年 7 月研擬推出新規定,以強化消費者與電信業者對 SIM-swap 攻擊的防護能力。所謂 SIM-swap 攻擊是指駭侵者假冒消費者要求補發手機 SIM 卡或申請攜碼至其他電信業者以取得新 SIM 卡,藉以竊取消費者的手機門號控制權。
駭侵者取得新 SIM 卡後,即可以該門號來進行進一步的攻擊活動,例如配合竊得的用戶登入資訊,以該門號接收二階段登入驗證簡訊,取得消費者各種社群與金融服務帳號的控制權,或是假冒消費者身分使用或申請各種服務,以散布惡意連結或惡意軟體等,為害甚大。
FCC 本次新規定修改了與「消費者專屬網路資訊」(Customer Proprietary Network Information,CPNI)與「本地門號可攜性」(Local Number Portability)的相關規定,強制要求電信業者在接獲消費者進行新 SIM 補發或攜碼至其他電信業者服務時,必須進行額外的使用者身分驗證,並且明確通知用戶。
FCC 表示,新規定強化了電信業者對消費者的安全保護責任,期可大幅提高 SIM-swap 的攻擊難度,減少這類攻擊的得逞。
由於在台灣申請這類電信服務均需出示雙證件,因此國內的 SIM-swap 攻擊較為少見;但消費者如果擁有國外電信門號,務必提防這類攻擊。twcert 發表在 痞客邦 留言(0) 人氣(3)
Google Play 日前開始在上架到該平台的 VPN(虛擬私人網路) App 欄位中,新增一個資安稽核標章,可顯示該 App 與其服務平台是否通過第三方的獨立資安認證。
Google 指出,要能在 Google Play 的 App 說明欄位中獲得此標示,App 與其服務平台必須符合 Mobile App Security Assessment (MASA) 的標準;而 MASA 則是由 App Defense Alliance (ADA) 制訂出的行動 App 資安認證標準。
MASA 的標準要求 App 與其服務平台,在資料儲存、資料隱私、加密、存取認證和工作階段管理 (session management)、網路通訊、平台互動與程式碼品質方面,都有相當嚴格的要求。
Google 會選擇 VPN App 作為首度導入 App 資安稽核標章的先導應用程式類型,主要原因是 VPN 應用程式對於使用者的資安與隱私保護深度相關,且會涉及使用者機敏資訊存取;在 Google Play 中顯示該標章的 App,即表示通過獨立第三方以 MASA 標準進行的資安認證,可為使用者提供多一層的保護與信任。
第三方資安認證廠商,會以 MASA 標準來對 App 的源碼、伺服器設定與配置進行稽核,並且試圖發現 App 中的資安錯誤與弱點,來判斷該 App 是否符合 MASA 標準,可以獲頒認證合格標章。
由於 Google Play 是屬於 Android 系統的官方 App Store,因此這個標章的推廣,對於強化 Android 平台的安全性,可以帶來正面的影響。
Google 目前要求所有在 Google Play 上架的 VPN App,都必須通過該認證;目前已通過第三方 MASA 認證且獲得認證標章的 VPN app,包括 Nord VPN、Google One、ExpressVPN 等。
未來 Android 使用者在 Google Play 下載各類 App 時,建議可以選擇具有該資安認證標章的 App,以提升安全性。twcert 發表在 痞客邦 留言(0) 人氣(16)
資安廠商 F-Secure 近日發現一個名為 SpyNote 的 Android 木馬軟體捲土重來,再度展開大規模攻擊,竊取使用者通訊內容中的金融資訊,以竊取受害者帳戶中的資金。
這個名為 SpyNote 的 Android 木馬惡意軟體,首次發現是在 2022 年;據資安廠商的報告指出,這次 SpyNote 仍透過「Smishing」方式感染,即透過惡意釣魚簡訊發送含有惡意軟體 apk 檔下載連結的簡訊給潛在受害在,使用者如果點按該連結,並在自己的 Android 手機上安裝該 apk 檔案,就會遭到該惡意軟體的感染。
接下來 SpyNote 會要求使用者給予各種權限,甚至會自己產生點按動作,代替使用者授予全部系統服務存取權限,接著就會在使用者的 Android 手機中建立背景服務,開始將使用者手機中的各項資訊,包括盜錄用戶的通話內容錄音、擅自進行畫面截圖或錄影、記錄使用者的輸入按鍵與通聯對象記錄、各種服務的登入資訊、手機所在地的地理座標資訊等等,並將這些資訊傳送到駭侵者設立的控制伺服器。
此外,如同多種 Android 惡意軟體,SpyNote 也有多種設計以防遭使用者移除;除了隱藏該 App 的 icon,讓使用者難以發現之外,也會利用 Android 的內部系統服務來混淆其存在,使得 SpyNote 極難移除;如想完全移除,使用者只能將 Android 手機重置為出廠狀態。
建議 Android 使用者應避免自來路不明處下載安裝任何 apk 檔案,例如即時通訊、網路討論區、不明人士傳來的簡訊等,以避免遭惡意軟體潛入裝置。twcert 發表在 痞客邦 留言(0) 人氣(1)
資安廠商 Doctor Web 旗下的資安研究人員,近來發現有多個惡意 Android 應用軟體成功上架到官方應用程式商店 Google Play Store 內,假扮成各種遊戲來誤導使用者下載安裝;其總下載安裝次數突破 200 萬次。
研究人員指出,這些 App 內含的多半是 FakeApp、Joker、HiddenAds 的惡意軟體,其中 FakeApp 會將使用者導向投資詐騙網站或是網路賭場、Joker 會擅自訂閱高價服務,騙取訂閱費用分潤,而 HiddenAds 則是廣告惡意軟體,會不斷在使用者手機上顯示大量廣告。
據 Doctor Web 的報告指出,含有 FakeWeb 的惡意 Android 應用軟體,下載次數最多的如下:Eternal Maze (50,000 次)、Jungle Jewels (10,000 次)、Stellar Secrets (10,000 次)、Fire Fruits (10,000 次)、Cowboy’s Frontier (10,000 次)、Enchanted Elixir (10,000 次)。
內含 Joker 的惡意 Android App,下載次數較多的則有:Love Emoji Messenger (50,000 次)、Beauty WallPaper HD (1,000 次)。
內含 HiddenAds 惡意軟體的 Android App 下載次數則遠多於上述二者,包括 Super Skibydi Killer (1,000,000 次)、Agent Shooter (500,000 次)、Rainbow Stretch (50,000 次)、Rubber Punch 3D (500,000 次)。
建議 Android 使用者即使在官方 Google Play Store 中下載安裝軟體前,都應提高警覺,仔細閱讀其他使用者評價,再決定是否下載安裝。twcert 發表在 痞客邦 留言(0) 人氣(5)
Google 日前宣布在其 Android 應用程式商店 Google Play Store 的 Google Play Protect 保護機制中推出全新惡意軟體即時掃瞄功能,以強化該平台對於 Android 平台上日益猖獗惡意軟體的防護能力。
Google Play Protect 是 Google Play Store 中內建的主要防護機制,可在裝置上進行惡意軟體掃瞄,每日總掃瞄次數可達 1,250 億次。該工具不只可掃瞄下載自 Google Play Store 的應用軟體,也可以掃瞄自第三方 App Store 或網路上不明來源處下載的 APK 檔案。
過往駭侵者常會利用「安裝後載入」的手法來規避 App 上架到 Google Play Store 時的惡意軟體掃瞄措施,方法是在上架 Google Play Store 時先上架無害的版本,待使用者下載安裝到其裝置後,再從外部伺服器載入惡意軟體酬載。
為防止駭侵者繼續以這種方式植入惡意軟體,強化版的 Google Play Protect 會在裝置上進行掃瞄,並將掃瞄結果傳送到 Google Play Protect 的後端架構進行程式碼分析,同時以機器學習來累積掃瞄經驗;,一旦發現惡意軟體訊號時,即會通知使用者。
Google 目前已在印度和部分指定國家推出 Google Play Protect 新機制,且會陸續在全球其他國家推出。
資安專家指出,Google 這套新系統雖然無法防杜所有 Android 平台上的惡意軟體,但應能有效降低該平台上過去未能偵測出的惡意軟體數量。
專家也表示,惡意軟體開發者當然也會試圖找出這套系統的弱點,因此加強使用者自我保護的觀念與使用習慣,仍然十分重要。
建議 Android 平台使用者在此系統可使用時下載安裝,且仍應維持良好習慣,絕不安裝來路不明的 APK 檔案。twcert 發表在 痞客邦 留言(0) 人氣(5)
Google 近期推出 2023 年 10 月份 Android 軟體更新,適用於 Android 11 到 Android 13,一共修復多達 54 個資安漏洞,其中已有 2 個漏洞已遭駭侵者用於攻擊活動。
遭到駭侵者用於攻擊的資安漏洞,分別是 CVE-2023-4863 與 CVE-2023-4211;Google 在資安通報中指出這兩個漏洞已用於有限度的目標針對攻擊之中。
CVE-2023-4863 是一種存於泛用型開源程式庫 libwebp 的緩衝區溢位(buffer overflow)錯誤,許多大型知名軟體如 Chrome、Firefox、iOS、Microsoft Teams 等都受此漏洞衝擊而成為駭侵者的攻擊目標。
由於這個漏洞的影響範圍甚廣,不同受影響的公司都分別提出了漏洞通報;後來都歸納在 CVE-2023-4863 這個 CVE 編號之下。
而 CVE-2023-4211 是個存於 ARM 處理器中 Mali GPU 驅動程式的記憶體釋放後使用(use-after-free)漏洞,駭侵者可藉以在本地端存取或操弄機敏資料。
總體來說,這次的 Android 2023 年 10 月份資安更新,解決的漏洞存在的部分分列如下:twcert 發表在 痞客邦 留言(0) 人氣(2)
twcert 發表在 痞客邦 留言(0) 人氣(5)
資安宣導 (2)