每日安全简讯(20200225)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Raccoon恶意软件从近60个应用中窃取数据

大约一年前，首次发现Raccoon恶意软件被利用，并且由于其价格低廉和功能强大而迅速受到欢迎。该恶意软件也被称为Legion，Mohazo和Racealer，攻击者可以访问管理面板，使他们可以自定义恶意软件，访问被盗数据并下载恶意软件的构成组件。CyberArk的一项分析发现，它是用C ++编写的，它可以从近60个程序（浏览器，加密货币钱包，电子邮件和FTP客户端）中窃取敏感和机密信息。


https://www.bleepingcomputer.com ... rom-nearly-60-apps/

---

2 谷歌Chrome新功能可引发潜在的隐私问题

随着谷歌Chrome 80的发布，谷歌悄悄加入了一个新功能，该功能使用户可以直接创建指向页面上特定单词或短语的链接。乍一看，此功能非常有用，因为它使与他人共享网页上的特定位置变得容易。不过，浏览器安全研究员Peter Snyder认为，此功能带来了谷歌在启用该功能之前并未解决的隐私风险。此外，通过默认为所有站点启用此功能，而不是允许站点选择加入此功能，它会自动将此潜在的隐私风险强加于所有站点。


https://www.bleepingcomputer.com ... gle-chrome-feature/

---

3 FBI建议使用密码短语代替复杂度高的密码

美国联邦调查局（FBI）建议使用由多个单词组成的长密码，长度至少为15个字符，而不是包含特殊字符的短密码。美国国家标准技术研究院（NIST）的最新指南强调，密码长度比密码复杂度重要得多。美国联邦调查局(FBI)发布的这份报告称，与其使用简短、复杂、难以记住的密码，不如考虑使用更长的密码。这涉及到将多个单词组合成至少15个字符的长字符串。一个密码的额外长度让它更难破解，同时也让你更容易记住。


https://securityaffairs.co/wordp ... ases-passwords.html

---

4 iPhone和iPad应用监听用户复制到剪贴板的内容

Mysk的研究人员发布了一个新的安全演示，演示了应用程序如何使用它获取用户的详细信息。用户只需将内置相机应用程序拍摄的照片复制到通用剪贴板上，就可能在无意中将自己的精确位置暴露给应用程序。通过嵌入图像属性中包含的GPS坐标，用户在将照片复制到剪贴板后使用的任何应用程序都可以读取存储在图像属性中的位置信息，并准确推断用户的精确位置。这种情况完全透明，无需用户同意。


https://www.zdnet.com/article/ip ... y-to-the-clipboard/

---

5 研究人员发现LTE中的安全漏洞可能被利用

最新研究表明，LTE中的安全漏洞可被利用，以注册订阅或付费网站服务，费用由他人承担。据波鸿鲁尔大学（Ruhr University Bochum）的研究人员称，该漏洞存在于4G移动通信标准中，并且可以假冒智能手机用户，这可能使攻击者“以他人的名义开始订阅，或以他人的身份发布公司机密文件”。研究人员说：“问题在于缺乏完整性保护：数据包在手机和基站之间以加密方式传输，从而保护了数据免遭窃听。但是，可以修改交换的数据包。我们不知道数据包中的内容，但是我们可以通过将位从0更改为1或从1更改为0来触发错误。“


https://www.zdnet.com/article/lt ... ns-at-your-expense/

---

6 社交网络Rallyhood数据泄露暴露用户数据

这是个旨在帮助群体进行沟通和协调的社交网络，它的一个云存储桶被公开，其中包含用户数据。存储在Amazon Web Services (AWS)上的存储桶不受密码保护，从而使任何容易猜测到网址的人都可以访问有十年之久的用户文件。存储桶包含了2011年到上个月的数据。总的来说，这个存储桶包含4.1 TB的上传文件，约有数百万用户的文件。


https://techcrunch.com/2020/02/23/rallyhood-exposed-decade-data/

---