稻花香里说丰年,听取蛙声一片。
各位 Buffer 早上好,今天是 2018 年 7 月 26 日星期四,农历六月十四。今天份的 BUF早餐内容有:加密漏洞影响大量蓝牙实现,主流厂商设备都受影响;电子邮件网络攻击急剧上升,邮件安全风险增大; 谷歌引入物理密钥后,8.5 万雇员都没有再被成功钓鱼;黑客在虚假 HTTP 错误页面中隐藏登陆页面,获取 webshell 用于攻击;APP 注销难引官媒关注,人民日报点评称要保障信息安全。
安全资讯早知道,两分钟听完最新安全快讯~
以下请看详细内容:
加密漏洞影响大量蓝牙实现,主流厂商设备都受影响
近日,大量蓝牙设备和系统被曝存在严重加密漏洞 CVE-2018-5383,漏洞主要是因为支持蓝牙的设备无法充分验证“安全”蓝牙连接期间使用的加密参数。这会导致配对减弱并导致远程攻击者获取设备使用的加密密钥,并恢复“安全”蓝牙连接中的两个设备之间发送的数据。
目前,苹果、博通、英特尔、高通等多家硬件厂商都确认其蓝牙实现和操作系统驱动都受到影响,苹果、博通和英特尔已经发布了修复补丁。[来源:bleepingcomputer]
电子邮件网络攻击急剧上升,邮件安全风险增大
网络安全公司 Mimecast 近期发布了《2018 邮件安全现状》报告,报告显示,攻击者持续针对终端用户发起邮件攻击,邮件攻击数量急剧上升。在报告的受访者中,将近 40% 的 C 端用户都认为自己所在公司的 CEO 是公司安全的薄弱环节;31% 的 C 端用户都曾通过邮件不慎将敏感数据发送给无关人员。
此外,2017 年有 92% 的勒索软件都是通过邮件分发,造成了较大危害。90% 的组织都表示邮件钓鱼攻击数量有所增长。但是,只有 11% 的企业不断培训员工识别网络攻击,而52% 的企业每年只组织一次培训。Mimecast CEO 表示,电子邮件攻击持续增长,除了常规的防御之外,企业还需要采取其他应对措施来确保安全。[来源:infosecurity]
谷歌引入物理密钥后,8.5 万雇员都没有再被成功钓鱼
安全博客 KrebsOnSecurity 报道,Google 从 2017 年初开始要求所有雇员使用物理密钥替代密码,此后该公司 8.5 万名雇员没有一位的工作相关帐户被成功钓鱼。物理安全密钥是廉价的 USB 设备,可作为双重认证(2FA)的替代。当用户登录时,既需要提供密码,还需要提供移动设备等物理安全密钥。
Google 发言人称,物理安全密钥是访问 Google 所有帐户的基础,自推行物理安全密钥以来,公司内雇员没有再报告过账号被接管的问题。[来源:krebsonsecurity】
黑客在虚假 HTTP 错误页面中隐藏登陆页面,获取 webshell 用于攻击
安全研究人员发现,黑客在伪造的 HTTP 错误页面中隐藏登录表单、获取 webshell 访问权限用于攻击的行为近期有所增加。这些页面假装出现 HTTP 错误,例如 404 Not Found 或 Forbidden,但实际上却是登录页面,允许攻击者访问 webshell 以在服务器上发出命令。
#p#分页标题#e#
利用 webshell,黑客可以上传恶意软件、网络钓鱼脚本或其他软件。如果不慎点击到页面,就可能中招。这并非是一种新的攻击技术,但近来越来越频繁,容易让不熟悉的人上当。[来源:bleepingcomputer]
APP
注销难引官媒关注,人民日报点评称要保障信息安全
近日,中国青年报社社会调查中心联合问卷网,对 2002 名受访者进行的一项调查显示,75.9% 的受访者遇到过 APP 账号难注销的情况,62.9% 的受访者担心 APP 账号注销难会导致账号被盗用。目前,很多应用软件商通过 APP 注册的形式获取用户数据,然后将数据卖出来获取收益,给用户造成种种困扰。
对于应用软件商而言,设置简单的注销通道在技术层面并不难,但业内人士透露,这些软件商并不愿意让用户注销,这样他们就能保证自己掌握越来越多的用户数据,用于将来变现。人民日报海外版认为,APP 账号注销难的行为其实是对用户隐私的侵犯。对于拒绝注销账户的行为,《电信和互联网用户个人信息保护规定》和网络安全法都明确了惩戒举措,但从现状来看,惩罚力度明显不够大。未来需要更严厉的应对举措。[来源:人民网]