研究团队披露Telegram的加密协议中的4个安全漏洞;ZecOps披露iPhone WiFi服务中的释放后使用漏洞
发布时间 2021-07-20
研究团队披露了Telegram的加密协议中的4个安全漏洞。Telegram依赖于自己的MTProto加密协议,而不使用像Transport Layer Security这样更广泛的协议。研究人员将发现的最严重的漏洞称之为“crime pizza”,攻击者利用该漏洞可以轻易地修改从客户端到云服务器的消息序列。此外,研究人员还演示了攻击者如何对客户端和服务器之间的初始密钥协议发起中间人攻击。
原文链接:
https://ethz.ch/en/news-and-events/eth-news/news/2021/07/four-cryptographic-vulnerabilities-in-telegram.html
2.ZecOps披露iPhone WiFi服务中的释放后使用漏洞
ZecOps披露了iPhone WiFi服务中的释放后使用漏洞。上个月,研究人员Carl Schou发现当iPhone加入SSID为“%p%s%s%s%s%n”的网络后,设备会失去WiFi连接能力。之后,ZecOps对该漏洞进行了调查,发现该漏洞比想象的严重得多。当在SSID中添加“%@”符号后,攻击者可以利用WiFi服务中的崩溃模式循环来执行自定义代码,这可以被归类为释放后使用漏洞。ZecOps称,该漏洞可以用于零点击攻击中,只需创建一个恶意WiFi名称,然后等待附近的用户连接到它。
原文链接:
https://therecord.media/that-iphone-wifi-crash-bug-is-far-worse-than-initially-thought/
3.科技公司BackNine云服务器配置错误泄露70多万文件
保险技术初创公司BackNine云服务器配置错误泄露了711000个文件。该公司主要开发后台办公软件,为大型保险公司服务。此次泄露了保险申请人及其家人的的个人和医疗信息,包括姓名、地址和电话号码、社会安全号码、医疗诊断、服用的药物以及健康状况的详细情况等。这些泄露的文件最早可以追溯到2015年,最近的是本月的。研究人员于6月初发现了该存储桶,但报告给该公司后没有收到进一步回复,而存储桶也一直保持开放状态,直到近期才关闭。
原文链接:
https://techcrunch.com/2021/07/16/backnine-insurance-applications-exposed/
4.意大利网络托管公司Aruba.it称其客户个人信息泄露
意大利网络托管公司Aruba.it承认近期发生了数据泄露事件,但一些客户抱怨称,该公司未能及时向他们通报该问题。在上周该公司通知其客户称,在4月23日的数据泄露事件泄露了客户的账单和个人数据,包括姓名、税务代码、物理地址、电话号码和电子邮件地址,以及客户的网站密码。Aruba表示,其在检测到入侵后立即阻止了该操作,并在调查后确定攻击是由于管理客户产品内容和服务于用户指南的第三方CMS软件中的漏洞导致的。
原文链接:
https://portswigger.net/daily-swig/italian-hosting-firm-aruba-it-defends-data-breach-notification-delay
5.Check Point发布2021年Q2品牌网络钓鱼分析报告
Check Point发布了2021年Q2品牌网络钓鱼分析报告。报告指出,与2020年Q4和2021年Q1一样,Microsoft再次成为网络犯罪分子最常针对的品牌,45%的品牌网络钓鱼尝试都与Microsoft有关,比Q1增加了6%。航运公司DHL为第二大目标,占比为26%。其次为亚马逊(11%)、Bestbuy(4%)、谷歌(3%)、领英(3%)、Dropbox(1%)、Chase(1%)、苹果(%)和Paypal(0.5%)。此外,科技仍然是品牌网络钓鱼攻击最主要的目标行业,其次是运输和零售行业。
原文链接:
https://blog.checkpoint.com/2021/07/15/brand-phishing-report-q2-2021-microsoft-continues-reign/
6.Zscaler发布有关企业物联网安全的分析报告
网络安全公司Zscaler发布了有关企业物联网安全的分析报告。该报告指出,针对物联网设备的网络攻击比去年同比增加了700%。研究人员在18000台主机上发现了900个不同的payload,在70多个不同制造商的设备上发现了恶意软件。其中Mirai(占比34.1%)和Gafgyt(63.1%)为主要的payload,Gafgyt仅占所有攻击的5%,而Mirai占76%。此外,只有24%的物联网设备以加密方式传输数据。
原文链接:
https://info.zscaler.com/resources-reports-threatlabz-iot-2021
京公网安备11010802024551号