每日安全简讯(20170717)
1.研究者发现多起嵌入式设备攻击ATM事件安全专家Brian Krebs发现多起涉及ATM的网络攻击中使用了嵌入式设备,指的是薄的、欺诈性的、可隐藏在ATM卡槽内的插入式分离器。攻击者可利用该设备通过红外线无线传输银行卡数据。
http://securityaffairs.co/wordpress/61058/cyber-crime/infrared-insert-skimmers-attacks.html
2.网络钓鱼即服务平台使网络钓鱼更容易
Netskope威胁研究实验室最近发现了一个名为Hackshit的网络钓鱼即服务(PhaaS)平台,为初学者提供低成本的自动化解决方案,允许骗子轻松的发起网络钓鱼活动。
http://securityaffairs.co/wordpress/61047/cyber-crime/hackshit-phaas-platform.html
3.研究者从PC电磁辐射中恢复AES256密钥
来自Fox-IT和Riscure的一组研究人员使用天线、外部放大器、带通滤波器和软件定义的无线电接收器U盘组装了一个离线电子设备,可根据附件计算机的电磁辐射来推断AES256加密密钥。
https://www.bleepingcomputer.com/news/security/experts-recover-aes256-encryption-key-from-a-pcs-electromagnetic-emissions/
4.美国DHS为国际航班引入了面部识别系统
美国国土安全部(DHS)与Delta和JetBlue两家航空公司合作,为国际航班引入面部识别系统。旅行者需要被面部扫描与护照进行比较,同时将这些照片发送至海关和边境保护系统,用于检测护照伪造或签证逾期的情况。DHS表示,扫描面孔的照片在14天后会自动从系统中删除。面部扫描系统计划将在2018年与更多的航空公司合作。
https://www.bleepingcomputer.com/news/government/dhs-ramps-up-program-to-scan-peoples-faces-when-they-leave-the-us/
5.研究者发布App信息窃取恶意软件的分析
近日,Palo Alto Networks公司研究人员发现了一种高级Android平台木马恶意软件 SpyDealer,它能从40多个流行APP中收集个人隐私信息,并可通过滥用安卓辅助功能实现对多种通信APP敏感信息窃取。此外,SpyDealer会利用一款商业root软件获取手机root权限,以此进行更深入的隐私数据窃取。目前,该恶意软件针对大量中国手机端流行APP开发了信息窃取功能。
http://www.freebuf.com/news/140059.html
6.Google二步认证将用手机提示取代短信
Google准备修改它的二步认证方案,用移动设备上的提示取代一次性的短信代码。原因是SS7协议攻击允许攻击者控制用户的手机号码获取一次性短信代码。新的功能预计将从下周开始测试,Google 将邀请用户使用,用户可以选择拒绝继续用旧的认证方案。使用这项功能需要有一部联网的智能手机,苹果用户的手机需要安装Google搜索应用。每次用户尝试登录时,手机将会弹出提示要求用户批准,用户只需要点击一个按钮批准即可。
http://www.solidot.org/story?sid=53104
页:
[1]