连续6年不跑路的安全速度最适合国人VPN
在日本,一家飯店連鎖幾乎完全依賴機器人進行服務。從辦理入住、房間訪問到床邊服務,機器人無處不在。然而,將嵌入式Android設備(配備麥克風和相機)放在每個飯店房間中,可能會出現什麼問題呢?儘管我可以想像床邊機器人可能帶來的種種麻煩,今天我們要探討的是,前一位客人是否可能安裝了可以監視房間的應用程式。
機器人模式的漏洞
這些設備所使用的「亭子模式」存在諸多不足之處。每個機器人都配備NFC讀取器,只需透過該讀取器讀取一個URL,便可以逃出「亭子監禁」。從那時起,用戶便可以完全存取底層的Android系統,並安裝任何他們想要的軟體。
[Lance Vick] 在七月發現了這個潛在問題,經過90天的無動於衷後發布了這一漏洞。隨著2020年奧運會的臨近,越來越多的此類酒店正在推出,這種漏洞肯定會在其他類似的亭子設備中存在。
VPN被破壞的風險
2018年3月,芬蘭一家資料中心的伺服器透過遠端管理系統被攻破。這可能是一個基板管理控制器(BMC),它既危險又實用。大多數BMC都有自己的乙太網路轉接器,不受主機電腦的控制,允許遠端使用者像連接顯示器和鍵盤一樣存取機器。這個特定的伺服器是NordVPN租用的,他們顯然沒有被通知資料中心的洩漏事件。
資料外洩的後果
那麼,這台伺服器捕獲了什麼數據呢?顯然是儲存在該伺服器上的OpenVPN憑證以及有效的TLS金鑰(透過TechCrunch的文件鏡像)。需要注意的是,這個密鑰現在已經過期,這意味著它並沒有被積極利用。然而,從伺服器被攻破到憑證過期之間大約有7個月的時間,在此期間它可能已被用於中間人攻擊。
NordVPN確認了此次洩露,並試圖淡化潛在的影響。此報告似乎與洩漏的憑證並不完全匹配。擁有這些資料和伺服器的根存取權限的攻擊者,很可能能夠即時解密VPN流量。
Graboid惡意軟體的威脅
以某種科幻蟲子命名的Graboid,是針對Docker實例的不尋常惡意軟體。它是真正的蠕蟲,受損的主機被用來對其他脆弱的機器發動攻擊。 Graboid並不是針對Docker漏洞,而是在尋找暴露在網路上的無安全保護的Docker守護程式。該惡意軟體下載了惡意的Docker映像,其中一個用於加密貨幣挖礦,而另一個則試圖攻陷其他伺服器。
Graboid的獨特特性
Graboid有一個不尋常的特性——它不會持續挖礦或試圖傳播,而是在活動間隔超過一分鐘。這可能是為了掩蓋挖礦惡意軟體的存在。值得注意的是,在被發現之前,這些惡意Docker映像託管在Docker Hub上。用戶在選擇鏡像時需謹慎,尋找「Docker官方映像」標籤。
伊朗和誤導的網路攻擊
幾週前,我們討論了攻擊歸屬的困難。美國國家安全局(NSA)和英國網路安全中心(NCSC)透露,他們現在懷疑俄羅斯駭客入侵了伊朗的基礎設施,並部署了由伊朗編碼者開發的惡意軟體。其目的似乎是誤導——攻擊目標並將責任歸咎於伊朗。到目前為止,還不確定這種策略是否成功,但這可能不是唯一的這種努力。
Android生物辨識技術的漏洞
新的Android手機最近經歷了一週的麻煩。首先,三星Galaxy S10出現了螢幕保護貼幹擾螢幕下指紋辨識器的問題。這個問題似乎只影響在應用螢幕保護貼後註冊的指紋。在保護膜仍在的情況下,任何人的指紋都能解鎖裝置。這裡發生的事情似乎很明顯。超音波指紋掃描器無法穿透螢幕保護膜,因此記錄了一個本質上是空白的指紋。針對這些空白指紋的補丁已經在三星的本土韓國推出,全球其他地區也將很快跟進。
GooglePixel 4臉部解鎖的隱患
第二款新手機是Google的Pixel 4,其中包括新的臉部解鎖功能。儘管許多人讚揚這一功能,但仍然存在問題。 Pixel的臉部解鎖即使在使用者睡著或靜止不動時也能運作。值得一提的是,蘋果的Face ID也檢查用戶的警覺性,試圖避免在用戶沒有主動解鎖的情況下解鎖。
幽默的場景是,孩子或配偶在你睡覺時解鎖你的手機,但更嚴峻的可能性是,你的臉在不願意的情況下被使用,甚至在失去意識或死亡時。根據洩漏的信息,可能原本計劃有一個“睜眼”模式,但在發布前被取消。希望這個功能的漏洞能夠修復,並在未來的更新中重新加入。在此之前,最好不要在Pixel 4裝置上使用Google的臉部解鎖功能。
