设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20181218)
返回列表 发新帖

每日安全简讯(20181218)

[复制链接]
发表于 2018-12-17 21:48 | 显示全部楼层 |阅读模式
1 远程控制的电动车家用充电器存在安全风险

卡巴斯基研究人员表示可对电动车提供远程控制充电的家用充电器存在安全风险,为了证明这一点,对由ChargePoint制造的ChargePoint Home充电器进行了深入的安全研究。ChargePoint Home支持Wi-Fi和蓝牙无线技术,适用于iOS和Android平台,用户仅需要在应用程序中注册一个新帐户,通过蓝牙将智能手机连接到设备,设置Wi-Fi网络的参数完成网络连接,将创建的用户ID和智能手机的GPS坐标从设备发送到后端,就可完成注册过程。研究人员发现通过设备端的光电二极管和智能手机端的闪光灯实现无线通信的信道,利用在闪光灯上播放特殊的闪烁模式,可在重启后擦除Wi-Fi设置和注册的用户信息。设备中存在启用CGI的web服务,其CGI二进制文件中存在一系列漏洞(堆栈缓冲区溢出漏洞等),攻击者可以利用它们来控制设备,蓝牙堆栈中也存在漏洞。利用以上漏洞,攻击者可以调整充电过程中可消耗的最大电流和随时停止汽车的充电过程,造成火灾、经济损失等严重后果。目前该公司已经将存在漏洞修复。
 181212-remotely-controlled-ev-home-chargers-the-threats-and-vulnerabilities-1.jpg

https://securelist.com/remotely- ... nerabilities/89251/
ChargePoint-Home-security-research_final.pdf (1.49 MB, 下载次数: 39)

2 美国弹道导弹防御系统未通过网络安全审计

美国国防部监察长表示美国弹道导弹防御系统(BMDS)因未能达到国家标准与技术研究院(NIST)规定的安全标准,以至于未通过网络安全审计。国防部发布报告概述了网络安全措施不足,使其有可能成为攻击目标。BMDS是美国国防基础设施的重要组成部分,旨在保护该国免受短程,中程,远程弹道导弹的攻击。报告中证明了BMDS设施未能利用所需的安全控制进行常规评估,如多因素身份验证、漏洞评估和缓解、服务器机架安全、保护存储在可移动媒体上的机密数据、加密传输的技术信息、物理设施的安全性,如摄像机和传感器等。攻击者利用以上漏洞可以将获得对系统的控制,破坏系统或窃取机密信息和源代码。
 bmds-overview.jpg

https://www.bleepingcomputer.com ... ybersecurity-audit/

3 约10万打印机再次遭黑客攻击以宣传频道订阅

在“最多YouTube订阅者之争”的活动中,黑客曾在12月初劫持了5万台打印机,打出传单,要求订阅PewDiePie频道。最近黑客又展开了新的攻击活动,再次敦促用户支持黑客最喜爱的PewDiePie,并在网上匿名呼吁受害关注和提高打印机安全,可以利用打印机固件中的漏洞,连续循环重新向芯片写入数据,最终导致机器损坏。黑客还表示不仅可以打印,还可以捕获敏感文档,甚至在打印时修改文档。新攻击已影响英国,美国,阿根廷,西班牙,澳大利亚和智利等国家在内的超过100,000台机器。
 _104767061_02946712-0aed-4276-9af3-7acd80754f52.jpg

https://www.bbc.com/news/technology-46552339
PewDiePie printer hackers strike again - BBC News.pdf (129.85 KB, 下载次数: 47)

4 网络钓鱼攻击伪装成未送达的邮件以窃取凭证

研究人员Xavier Mertens发现了新的网络钓鱼活动,伪装成未送达的Office 365邮件通知,窃取用户登录凭据。页面提示用户单击“再次发送”链接以尝试再次发送电子邮件,然后将被重定向到仿冒合法Office 365登录的网络钓鱼站点。链接以#号加电子邮件地址结尾,这将导致电子邮件地址在页面中自动填充。用户输入密码时,名为sendmails()的JavaScript函数会将电子邮件地址和输入的密码发送到sendx.php脚本,然后将用户重定向到合法的Office 365登录URL。
 1.jpg

https://www.bleepingcomputer.com ... non-delivery-email/[/url]

5 疑似FBI数万名特工及多国情报机构信息被曝光

12月17日,疑似2万名FBI特工信息在网上泄露,英美法多国情报机构均受影响。ID为“Anonymous Unity”的Twitter用户发布几条暗网链接,透露其中包含FBI以及法国警方的成员清单。进入链接可以看到包含2万多名FBI警员信息,包含姓名、职务、电话、邮箱等信息。还包含有大量法国警察成员信息、法国对外安全局(DGSE)、美国FBI、CIA以及英国军情六处各级网站域名及其对应的IP地址,还有大量子域名及其IP地址。页面展示“圣战宣言”,表明黑客的一种反击手段。目前尚不清楚该数据是否真实。
 15450360689150.png

https://www.freebuf.com/news/192180.html

6 安全机构发布2018年用户使用最差密码报告

SplashData发布2018年用户使用最差密码报告,该报告是基于500多万泄露的密码的分析。其中“123456”为用户最常用的密码,也是连续第5年使用最多的密码。其次为“password”、“ 123456789”。报告中表示用户继续使用相同的、可预测的、容易被猜到的密码,而使用这些密码会使用户面临被黑客入侵和身份被盗的巨大风险。而且可以看出即使安全专家继续开展提高安全认识活动,这种坏习惯很难改正。
 Password-window-on-comput-001.jpg

https://securityaffairs.co/wordp ... passwords-2018.html

回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 05:28

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表