文章來源:iThome 文/李建興 | 2018-05-01發表

駭客能在使用者未發現的情況下,在使用者啟用Alexa後,偷偷記錄其收到的語音。資安公司Checkmarx在一款計算機App中加入了惡意程式碼,只要使用這款App就能完成竊聽的任務。

資安公司Checkmarx揭露,Amazon的語音助理Alexa存在隱私洩漏的漏洞,可讓駭客在用戶不知不覺的情況下監聽使用者的日常對話,不過所幸的是,Amazon已經與Checkmarx合作,Alexa應用程式認證程序現在已經可以偵測並阻擋惡意竊聽程式。

研究人員在Alexa上實現,監聽並記錄使用者的對話功能。Checkmarx提到,其實Alexa啟動並完成任務的流程,遵循了一套嚴謹的腳本,不只動作有限,連收音的時機以及預期收到回應的句子,都需要符合預先定義的結構,但是仍然有些空隙讓駭客有機可乘。

駭客能在使用者未發現的情況下,於使用者啟用Alexa後,偷偷記錄其收到的語音。而駭客要進入這個流程,需從Alexa被喚醒開始,Checkmarx在一款計算機App中加入了惡意程式碼,只要使用這款App就能完成竊聽的任務。

Alexa會在聽到使用者呼叫Alexa後啟動,但隨即會在完成使用者命令後關閉,但是當Alexa預期還會收到來自使用者的指令,則會繼續開啟麥克風。這個情況發生在類似使用者設定鬧鐘的時候,當使用者告知Alexa在9點的時候設定鬧鐘,Alexa則會繼續反問是早上還是下午,但是當使用者給予明確指令,在早上9點設定鬧鐘,Alexa則會在設置完成後關閉。

因此駭客可以讓惡意App於第一次回覆完預期回應後,繼續維持Alexa啟用,因為這屬於正常的程序中,假裝還要繼續接受使用者的指令,但是Alexa的提示功能會要求App開發者,提供一字串變數,告訴使用者還有命令需要完成,不過駭客只要給一個空字串,Alexa便不會發出聲音,而此時系統仍會處於啟動狀態。

而這個方法應用在Checkmarx的計算機App,當該App回答完使用者的數學計算答案後,便能靠著假裝等待使用者的回應,並讓Alexa的語音提示保持靜音,達成讓Alexa竊聽的目的。不過,駭客還需要解決一個問題,Alexa的應用程式所接受的命令都是預先定義好的,過長無法理解的句子無法作為應用程式的輸入。

在設定鬧鐘的例子,設定鬧鐘的插槽語句可能被配置成「{時間}設定鬧鐘」,{時間}便是能接受使用者輸入的插槽,但鬧鐘的應用程式就只能接受數字做為時間命令,當Alexa收到的句子不符合預先定義的結構,就不會被接受。而Checkmarx建立了一個插槽語句列表,其包含的格式能夠符合任何單詞以及任何長度句子。

駭客克服了以上這些困難後,便能讓Alexa開始竊聽使用者的對話,但是有一項功能是駭客無法控制的,那就是Amazon Echo裝置上的指示燈,當使用者查覺到指示燈一直亮著,便能知道有問題發生。Checkmarx提到,現在有不少裝置都有安裝Alexa,但卻不能保證都有明顯的提示燈。

Amazon則在Checkmarx通報此漏洞後,互相合作並修補了該問題,現在應用程式認證程序會適當的處理空提示以及非典型的長對話。

 

文章來源:iThome

駭客可透過遠端或USB取得汽車的IVI系統的管理權限,以掌握喇叭、麥克風與導航系統,可監聽車上的談話、存取通訊錄,還能追蹤車子的位置。

荷蘭Computest的兩名資安研究人員Daan Keuper與Thijs Alkemade日前公布了一項研究報告,指出福斯汽車(Volkswagen)旗下的Golf GTE與Audi A3 Sportback e-tron所使用的車載資訊系統(In-Vehicle Infotainment,IVI)含有安全漏洞,將允許駭客取得車上喇叭、麥克風,甚至是導航系統的控制權。

這兩款車都是Computest員工自己的座車,皆於2015年出廠,也都使用了三星旗下Harman所開發的模組化車載資訊平台(Modular Infotainment Platform,MIP),Computest在數月前已向福斯通報相關漏洞,並已獲得修補。

根據研究人員的分析,駭客可以利用遠端或USB方式取得IVI系統的管理權限,因而得以控制車上的喇叭、麥克風與導航系統,可竊聽駕駛人的談話,存取通訊錄或談話紀錄,還能知道駕駛人所去過的地方或是追蹤駕駛人的所在位置。

Keuper則說,連網能力為現代化汽車的熱門功能,但最大的問題在於這些深植於系統上的系統可能已經問世許多年,且鮮少被更新,若以一輛車18年的平均年限來看,駭客有好幾年的開採機會。

上述漏洞聽起來似乎不嚴重,最多只是侵犯了駕駛人的隱私,然而,Computest創辦人Hartger Ruijs表示,研究人員所存取的IVI系統可間接連結到車上控制系統,例如煞車或加速系統,只是他們沒有繼續深究。

Ruijs指出,若他們測試這些重要功能的安全漏洞,很可能是違法且侵犯了智慧財產權,他認為一個正當的駭客應該維持合理原則。

 

文章來源:iThome 文/陳曉莉 | 2018-02-19發表

駭客利用Jenkins上的CVE-2017-1000353安全漏洞進行JenkinsMiner挖礦攻擊,這是一個反序列化漏洞,影響Altoros Jenkins for PCF 10.2以前的版本,這幾個月以來駭客已開始利用遠端存取木馬(RAT)及XMRig挖礦程式開採該漏洞,波及全球Jenkins用戶。

資安業者 Check Point上周指出,源自中國的挖礦駭客把攻擊目標從Windows平台轉移到Jenkins伺服器,可望成為全球最大的惡意挖礦行動之一。

根據Check Point的追蹤分析,這名駭客從一年半以前就在不同版本的Windows上執行XMRig挖礦程式,估計迄今已獲利價值逾300萬美元的門羅幣(Monero),不過,駭客顯然未因此而感到滿足,因為他現在將攻擊範圍擴大到全球最受歡迎的持續整合(Continuous Integration,CI)開源碼工具Jenkins上。

駭客利用存在於Jenkins上的CVE-2017-1000353安全漏洞進行所謂的JenkinsMiner攻擊,這是一個反序列化漏洞,影響Altoros Jenkins for PCF 10.2以前的版本,這幾個月以來駭客已開始利用遠端存取木馬(RAT)及XMRig挖礦程式開採該漏洞,波及全球Jenkins用戶。

Check Point指出,JenkinsMiner將造成Jenkins伺服器載入變慢,強烈的攻擊還可能阻斷服務。

根據估計,目前約有2.5萬台Jenkins伺服器曝露於網路上,且不僅是Jenkins,Oracle WebLogic、Ruby on Rails、PHP與IIS等伺服器也都因為具備更強大的運算資源,而成為駭客執行挖礦綁架的攻擊目標。

新聞來源:Yahoo奇摩

中華郵政今天上午一度全台大當機!有民眾今早上郵局領錢,發現ATM貼上故障字樣,無法使用,儲匯、兌換票據或是兌領發票等須郵政系統業務也都停擺。對此,中華郵政主秘簡良璘召開記者會說明,主要是儲匯交易控管程式改版,逢大量交易湧入,導致連線系統資源耗竭才會當機。


中華郵政3日上午發生系統大當機,儲匯、兌換票據或是兌領發票等須郵政系統業務停擺,ATM也貼上故障字樣,無法使用。(中央社)
更多
簡良璘指出,今天上午9時9分系統突然發生異常,全區的儲匯業務,包括存提款、轉帳、ATM和線上交易都受影響,一直到上午10時20分才恢復運作,她也在今天召開記者會對外說明,向大眾致歉。

她表示,事後追究原因,發現是儲匯交易控管程式改版,又逢月初湧入大量交易,導致連線系統資源耗竭,系統出現大量錯誤訊息,人員在重啟並擴充空間後即恢復作業,已經規劃未來將擴充空間,也排除駭客入侵的可能性。

她補充,去年6月13日凌晨也曾發生連線不穩定的狀況,不過這次是首次大當機造成所有儲匯作業停擺。

為期五天的府會資安週展示各部會過去一年來,落實「資安即國安」的政策成果,但在現場展示的綿羊牆展示區中,卻有相關工作人員因為連上不安全的無線網路,個人使用的帳號密碼以部分馬賽克的方式,顯示在現場綿羊牆螢幕上。

iThome 文/黃彥棻 | 2017-12-11發表

總統蔡英文表示,臺灣應該要釋放這股資安創新與創業的能量。臺灣駭客協會HITCON已經在臺灣連續舉辦13年的資安會議,總統也特別肯定這些人過往在資安推廣與教育訓練的努力。

 

美國前總統歐巴馬上任一年後,首度舉辦資安月的活動,強化全民的資安意識,總統府也借鏡美國,於今年12月11日~15日,首度舉辦為期五天的「府會資安週」活動,希望可以提升民眾與企業的資安意識。

總統蔡英文指出,數位科技帶來便利性也帶來新挑戰,當網路攻擊、勒索和詐騙成為數位生活中常見的資安威脅時,小英政府從去年就任以來,就率先確立「資安等於國安」的政策層級,並透過各個相關部會在資安週的展示,讓更多人理解過去一年的政策成果。

政府從三面向,落實資安即國安政策

蔡英文表示,為了落實「資安等於國安」,政府除了打造國家級的資安機制,並建立國家級的資安團隊以確保數位國土的安全外,更希望可以做到推動國防資安技術的自主研發,進而落實資安產業的發展。

她進一步說明,政府相對應的政策因應措施則包括行政院制訂四年期的資通安全發展方案,結合國防戰力的整備,成立資通電軍指揮部;並藉由資安旗艦計畫和前瞻計畫,強化關鍵基礎設施資安能力,並且將地方政府納入國家的資安防護網,讓臺灣各個城市邁向智慧城市的過程中,能夠培養出相應的能力進而面對資安的挑戰。「政府的責任就是不斷調整過時的法規,釋放充滿創新和創意的能力,精進法規政策,」蔡英文說道。

點開一封惡意郵件,就足以外洩個人重要隱私

由臺灣駭客協會展示的是常見的惡意文件的攻擊手法,臺灣駭客協會發言人李倫銓表示,駭客很常利用與個人工作或生活相關的電子郵件標題,甚至利用相關節日慶典的標題等,就是為了吸引使用者點開郵件的附加檔案,一個內容夾帶圖檔的Word文件,一般人點開看一看笑一笑不會覺得有害,但事實上,當使用者點開郵件附檔文件的同時,駭客就已經遠端啟動使用者電腦的網路攝影機,在使用者不知情的情況下被拍照。

蔡英文在參觀展覽的同時,也打開該封惡意郵件的附加檔案,筆記型電腦的攝影機就順利拍下總統參觀時的容貌。駭客可以遠端操控使用者電腦的攝影機的同時,使用者的隱私也在無預期的情況下遭到駭客外洩。

連上不安全的無線網路,工作人員帳密部分馬賽克顯示在螢幕上

除此之外,許多人在使用無線網路時候,經常沒有任何戒心,往往不會意識到,「使用沒有加密的網路上網是不安全的,」不論是任何提供的無線網路服務沒有做好加密,或者是沒有連上HTTPS的網站瀏覽,現場就會將監聽到的帳號和密碼以部分馬賽克的方式,投射到現場的電腦螢幕上或牆面上,這就是所謂的綿羊牆。

據了解,臺灣駭客協會透過設置常見的無線網路的名稱,吸引使用者連上這些不安全的無線網路,從綿羊牆的資訊中也觀察到,有「府會資安週」的工作人員因為連上不安全的無線網路AP,個人的帳號密碼也以部分馬賽克的方式被投射在綿羊牆中,光是如何正確且安全使用無線網路,應該就是包括總統府在內所有府會資安週工作同仁,必須要修的第一門課。

 

 

iThome 最新新聞
  • Google搜尋20周年,靠AI讓使用者更快找到想要的資訊
    Google慶祝其搜尋服務滿20周年,在探索新的搜尋方式後,Google推出三大基礎功能更新,不只透過搜尋歷程,幫助使用者延伸搜尋,也強化視覺沉浸式體驗,提供使用者更多元的內容,所有改進的重點,就是要使用者搜尋上癮,越搜越多。
  • NASA黑客松二度來台舉辦,以開放資料鼓勵解決地球、太空相關難題
    美國太空總署(NASA)舉辦的全球性黑客松活動「NASA 黑客松」,今年二度來台舉行,邀請各路好手組隊報名參加,運用NASA的開放資料開發有益於生活、環境瞭解的創新應用。 美國太空總署在2012年首次舉辦「NASA 黑客松」,透過開放使用NASA的數據,集思廣益解決太空、地球任務相關的挑戰,一開始以美國地區為主,後來擴大到全球各地,去年黑客松首次來到台灣舉行,今年聯合美國在台協會、台北市政府、中華電信、台灣師大學、美國創新中心等夥伴,二度在台舉辦NASA 黑客松。
  • 微軟、SAP與Adobe共組Open Data Initiative,企圖釋放孤島資料價值
    微軟於本周一(9/24)展開的Microsoft Ignite全球開發者大會上與Adobe、SAP攜手發表了「開放資料倡議」(Open Data Initiative),將推動開放資料框架,以讓不同業者之間的資料能夠互通及移轉,並鼓勵其它業者加入。
  • Azure Functions釋出2.0,Runtime現在可於本機Windows、macOS和Linux上託管
    微軟釋出跨平臺Azure Functions Runtime 2.0正式版,現在將允許Functions應用程式跨平臺執行。Azure Functions Runtime經過重寫並以.NET Core 2.1運作後,效能大幅提升,開發者還可以在本機端的Windows、macOS和Linux電腦上,撰寫和託管Functions Runtime。
  • 多事之秋! 登入Google服務就會自動登入Chrome再挨轟
    Google趁著Chrome瀏覽器邁入十歲之際,在今年9月初釋出了大改版的Chrome 69,除了預設封鎖Flash內容,以及把HTTPS標示為「安全」的機制改為將HTTP標示為「不安全」等重大改變外,該版本移除網址列上的www及m兩個子網域惹來爭議,另有開發人員發現,只要利用Chrome登入各種Google服務,就會自動登入Chrome瀏覽器,再遭控訴漠視用戶意願及隱私。 Chrome 69的用戶指出,倘若他們並未登入Chrome,但利用Chrome造訪並登入了諸如Gmail或YouTube等Google服務,那麼就會自動登入Chrome,而且Google沒有秀出任何警告,也沒有提供任何選項,只會在Chrome右上方顯示登入狀態,等於是強迫用戶登入。
  • 資安業者踢爆微軟JET Database Engine含有遠端程式攻擊的零時差漏洞
    趨勢科技旗下的Zero Day Initiative(ZDI)周一(9/24)踢爆了一個隱藏在微軟JET Database Engine中的越界寫入(out of bounds write)漏洞,成功的開採將允許駭客自遠端執行任意程式,雖然微軟已在今年5月得知該漏洞,但在ZDI所提供的120天修補限期內並未修補,使它成為一個零時差漏洞。
Copyright (C) 2005 - 2016 Cyberhunter.com.tw. All rights reserved.