原帖地址:https://program-think.blogspot.com/2020/07/Security-News.html
又到了每季度的“安全动态汇总”。
★隐私保护
◇微信
加拿大多伦多大学公民实验室发表报告称,微信监视所有用户的内容,无论是中国用户还是非中国用户,他们发送的内容都受到监视。微信是中国最流行的社交媒体平台,截至 2019 年底有 11.5 亿月活用户。
微信曾被认为主要审查中国用户的账号,但公民实验室发现非中国国籍或者使用非中国手机注册的账号同样受到监视,这些用户发送的文件和图像都面临内容监视和审查。
《中国科学报》报道了某社交 App(aka 微信)被曝监听用户聊天记录。腾讯微信回应称,“聊天内容属于用户的通信秘密和个人隐私,微信不会监测用户的聊天记录,腾讯更不会通过监测用户聊天记录来推送广告。”微信上的广告投放基于用户的合法授权和腾讯的数据技术支持诞生的,可以保护用户隐私的安全。
但据《消费者报道》统计,要想关闭朋友圈的个性化广告,至少需要经过13个步骤、点击16次,并且只能关闭六个月的时间,不少用户甚至根本不知道可以自由选择关闭朋友圈广告。
对于个性化广告,中科院自动所模式识别国家重点实验室研究员宗成庆称,“这些个性化广告通常基于推荐算法,其目的是满足用户的个性化需求,实现信息精准服务,极具商业价值。目前,几乎所有 App、网站等都嵌入了该技术。”推荐算法就是对网络用户所积累的数据进行挖掘、归类,刻画用户的行为特征和倾向。一般只需三次人与物的关联,就能完成兴趣发现,实现个性化推荐。
宗成庆表示,推荐算法的最初目的是为了通过数据分析,优化用户体验,方便用户使用 App 等,但也有不少数据被用作商业用途。这一过程中,用户并不了解个人信息的去向,进而引发用户“我是不是被窃听了”的恐慌。
编程随想注:
在这篇博文中,俺写了如下这段:
用户群很大的那几个 App,都很流氓
这个道理,俺也聊过多次了。像“微信/支付宝/百度/京东”这些 App,装机量都是以【亿】计。这么大的安装量,朝廷的有关部门,难道会不动心吗?假如有关部门找到这几家公司的老板,要他们稍微配合一下,在 app 里面玩点猫腻,像"菊花疼、马淫、李阉红、刘强奸"这些老板,他们有胆量拒绝朝廷提的要求吗?答案显然是【否定】滴!
◇小米
《小米被指记录用户的 Web 和手机使用数据 @ Solidot》
安全研究员 Gabi Cirlig 半开玩笑的说小米手机是带手机功能的后门。他发现小米公司在该公司生产的手机上收集了惊人的数据,这些数据被发送到小米在世界各地租用的服务器上。小米手机默认的小米浏览器会记录用户访问的所有网站,通过 Google 或 DuckDuckGo 的所有搜索查询词,在新闻源浏览的所有条目,即使使用隐身模式小米仍然会跟踪用户。手机还会记录用户打开的文件夹,切换的屏幕,包括状态栏和设置页。
另一位网络安全专家 Andrew Tierney 展开了更进一步的调查,发现小米通过 Google 官方应用商店发布的浏览器 Mi Browser Pro 和 Mint Browser 会收集相同的数据。Cirlig 认为这是一起严重的隐私事件,有数以百万计的用户受到影响。小米的设备以低价但高配置著称,但用户付出的代价是隐私。对于这一发现,小米公司回应声称不真实。该公司发言人承认浏览器会收集数据,但表示数据是匿名收集的。
◇TikTok(字节跳动)
《TikTok 等 iOS 应用被指监视剪贴板内容 @ Solidot》
今年3月,研究员 Talal Haj Bakry 和 Tommy Mysk 发现,数十个 iOS 应用存在获取用户隐私数据的严重问题,其中之一就是大受欢迎的短视频应用 TikTok。虽然遭到曝光,但至今这些应用都没有改变其做法。
苹果刚释出了 iOS 14 Beta 版本,其中一项功能是每次有应用读取剪贴板内容它会警告用户,TikTok 等应用监视剪贴板的做法被发现并引发了广泛关注(YouTube 视频)。通过持续监视剪贴板,应用可以获得非常敏感的用户信息如密码、数字钱包地址、账号重置链接,以及私密信息。苹果系统的剪贴板内容会在关联设备之间共享,这项功能被称为通用剪贴板,允许一台设备复制的内容可以在另一台设备上使用。剪贴板很有可能会分享非常敏感的数据,如密码、比特币地址等。
◇Edge 浏览器
《Microsoft Edge 被指悄悄导入了 Firefox 数据 @ Solidot》
微软正通过 Windows Update 将它基于 Chromium 的新 Microsoft Edge 浏览器推送给 Windows 10 用户。部分 Firefox 用户报告 Microsoft Edge 未经允许就导入了 Firefox 数据。部分 Firefox 用户报告他们尝试杀死新 Microsoft Edge 的初始设置进程,结果虽然安装向导关闭,但 Firefox 数据仍然被拷贝了。部分用户在 reddit 上报告同样的行为也在他们的计算机上发生了。微软尚未就此发表评论。
★新冷战与网络战
编程随想注:
在前不久(2020年5月)的博文中《聊聊“核战略的博弈模型”与“中美新冷战”》,俺已经提到了:
“新冷战”这个概念是有争议滴。有些人认为目前的中美对抗还没到这种地步,也有一些人认为目前的对抗已经达到“新冷战”的程度。俺的观点倾向于【后者】。
从近期的一些动态来看,“新冷战”的迹象越来越明显(参见本章节后续的新闻)。
“冷战”区别于“热战”的关键之处——敌对各方【不】进行显式的军事冲突。在这种状态下,【网络战】成为一种很有效的手段。因为“网络战”的特点恰恰是【隐式】滴。
◇中国 VS 美国
《中国电信等四家中国国企(运营商)可能会被赶出美国市场 @ VOA/美国之音》
美国联邦通讯委员会周五表示,它可能会吊销中国四家国有电信运营商在美国的运营许可证。该机构提供的原因是国家安全风险。
联邦通讯委员会(FCC)已经向中国电信美国、中国联通美国、太平洋网络公司和 ComNet(USA)下达了命令,要求它们就对 FCC 提出的问题做出回应。
太平洋网络公司和 ComNet(USA)都是中国政府的投资公司中信集团的全资控股公司。
......
《路透社:美国将华为海康等20家顶尖中企列入受军方支持名单 @ RFI/法广》
据路透社周三(6月24号)根据看到的一份文件独家报道,特朗普政府已经决定将包括电信设备巨头华为和视频监控公司海康威视在内的20家中国顶尖企业列为中国军方拥有或控制的名单。白宫未说明是否会制裁名单上的企业,但评论认为这为美国实施新的金融制裁奠定了基础。
除了华为,海康,美国政府声称得到中国人民解放军支持的20家公司包括中国移动通信集团、中国电信集团以及飞机制造商中国航空工业集团公司等,从名单上看,20家企业涵盖通讯移动,航天,船舶重工,电子科技,核工业等多个领域。报道称,名单是由美国国防部起草,一位不愿透露姓名的美国国防部官员证实了这份文件的真实性,并表示文件已经递交给国会。
......
《美国 FCC 正式将华为、中兴列为“国家安全威胁” @ 网易财经》
当地时间6月30日,美国联邦通信委员会(FCC)发布官方声明,正式将我国电信设备制造商华为和中兴通讯认定为“国家安全威胁”。
FCC 主席阿吉特·帕伊声称,他们综合考虑了来自国会、行政部门、情报机构、通讯商和盟友们的意见,有“压倒性的证据”显示,华为和中兴对美国的5G未来构成了威胁。
......
《谷歌前总裁作客 BBC 节目,纵论华为“威胁”和中美科技脱钩的是非 @ BBC/英国广播公司》
美国高科技巨头谷歌前总裁、现任五角大楼国防创新委员会主任的埃里克·施密特(Eric Schmidt)在接受BBC广播四台专题节目《新科技冷战》访问时指称,华为从事了“令人无法接受的行为”,对西方国家构成“国家安全挑战”。
不过,施密特在作出以上表述同时也明确指出,西方国家应该与中国在科技领域展开竞争,而不是简单化地脱钩或脱离关系。
......
施密特告诉 BBC 说:“华为毫无疑问从事了一些在(西方)国家安全方面令人无法接受的行为。”他认为可以把华为与英国的 GCHQ 和美国的 NSA 等“讯息情报部门”等同看待。
施密特还指称:“毫无疑问流经华为路由器的数据最终被显然是(中国)国家的部门所掌握。”“不管这种情况是如何发生的,我们确认它发生了。”
......
◇中国 VS 欧盟
《英国政策急转,今年或将逐步淘汰华为 5G 设备 @ 德国之声》
据英国媒体报道,英国首相约翰逊计划在今年内将华为设备从英国的5G建设计划中淘汰。英国《每日电讯报》7月4日报道称,目前英国正在拟定计划,在六个月内停止在英国5G系统中安装华为技术,并且加速移除已经安装的华为设备。据报道,英国政府通信总部(GCHQ)对使用华为技术的安全性表达了疑虑。
......
今年一月,约翰逊决定允许华为“有限”参与5G网络建设,该决定使得英美关系一度陷入紧绷。
《每日电讯报》指出,英国正在草拟将华为排除在其5G建设外的计划,这意味着英国首相约翰逊的政策将出现大转弯。
......
法国国家资讯系统安全局7月5日宣布将限制电信业者使用华为的授权许可。中国外交部7月6日呼吁法国提供各国企业公平且非歧视的环境,对此法国回覆,“这是风险管理,问题在于主权”。
法国国家资讯系统安全局(ANSSI)局长普帕尔(Guillaume Poupard)5日接受法国《回声报》(Les Echos)访问时宣布,将限制采用中国华为的法国电信业者的授权许可年限,以作为让华为进入法国市场的交换条件。
......
这个决定不仅来自于产业考量,更受到华盛顿与北京长期外交紧张关係的影响。美国向其盟友施压, 希望他们以安全为由禁止疑似与中国政府关系密切的华为。
......
◇中国 VS 印度
《印度宣布禁用59款中国应用,包括 TikTok 和微信等 @ 网易新闻》
(编程随想注:被印度查禁的天朝 app 清单)
《印度命令 ISP 屏蔽被禁止的中国应用 @ Solidot》
印度周一(6月29日)以“威胁主权和完整为由”宣布封杀59个中国应用,周二公布了具体的封锁措施,命令 ISP 屏蔽这些应用的访问。其方法应该与中国对外国社交服务和应用的封锁类似。
据报道,印度电信部表示,互联网运营商应“立即阻止”访问这些应用程序及其网站,并警告称,如果不这样做,将采取法律行动。两位消息人士称,印度政府已分别与谷歌和苹果进行了接触,正式要求他们从应用程序商店中删除这些应用程序,以阻止新的下载。
三位业内人士称,对于已经下载到印度手机上的应用程序,未来几天电信公司将设法使其无法使用。在被禁的应用中,最受欢迎的是字节跳动的视频应用 TikTok,印度是其最大的增长市场,在其全球20亿下载量中占 30%。
......
《印度限制中国电力设备进口,称可能存在特洛伊木马 @ 网易新闻》
从突然终止商业合作到设置通关壁垒,再到抵制中国商品、封禁中国公司研发的手机应用程序,印度针对中国的“全方位报复”行动还在继续。据路透社3日消息,印度电力部今天出台新规,要求印度企业从中国进口电力设备和部件将需要得到政府许可。
......
不仅出台针对中企的新规,印度电力部长辛格3日在会见各邦的能源官员时还更为强硬地宣称,“我们已经决定不允许从中国和巴基斯坦进口任何(电力)设备。”
“其中(电力设备)可能存在恶意软件或特洛伊木马,它们可以被远程激活(瘫痪我们的电力系统)。我们将不允许你们(各邦)从中国及巴基斯坦进口任何东西(电力设备)。”辛格还如此宣称道。
......
编程随想注:
“电力设备”已经成为“网络战”关注的重点。对于攻击者而言,可以通过“破坏电力基础设施”(比如变电站的软件系统)来瘫痪某个城市。这可不是俺的臆想,已经有先例。参见《近期安全动态和点评(2019年3季度)》一文的如下章节:
◇对2016年一次未遂网络战的事后分析
◇Zoom 视频软件
编程随想注:
上半年的全球疫情,导致很多企业和政府机构只能采用【远程视频】的方式开会。有一款名叫 Zoom 的远程视频软件很受欢迎。
虽然该公司的总部在美国,但其技术团队在天朝,公司老板也是华人,因此引发了很多国家的担忧。
《US Senate Tells Members To Stop Using Zoom @ Slashdot @ Slashdot》
《台湾政府禁止使用 Zoom 视频软件 @ VOA/美国之音》
《印度称 Zoom 不是视频会议的安全平台 @ Solidot》
《肺炎疫情——Zoom 远程会议软件到底有多安全 @ BBC/英国广播公司》
......
中国背景
可能很多人都是在肺炎疫情爆发封城隔离之后才开始听到 Zoom 这个远程会议软件,但事实上 Zoom 已经发展成长了好几年,去年其股票首次公开上市时市值达到150亿美元,现在更上涨到385亿美元。
Zoom是由移民到美国的中国软件工程师袁征在2011年创办的,袁征出生于山东,在中国完成硕士学位后于1997年到美国就职于 WebEx 公司,期间发展视频会议软件,后来该公司被思科(Cisco)收购。
袁征2011年创办了 Zoom 远程会议软件公司,因为 Zoom 的一些简单容易使用的功能,包括变换会议背景的设置,其市场逐渐超越对手 Skype 和 Microsoft Teams。
使用 Zoom 不需付费,但基本款限制三人以上参加的会议最长只能有40分钟,但现在在肺炎疫情下,该公司已经暂时取消这个时间限制,好让学校能够让在家学习的学生进行线上教学。
隐私隐忧?
Zoom 远程会议软件收集大量资料用于分析其服务,并提供企业可用参考。
电子前线基金(Electronic Frontier Foundation)对其安全问题进行研究,得出以下几点结论:
1. 在屏幕分享情况下,会议的主持人能够监看参与者的活动,能够得知 Zoom 视窗是否活跃或待机中。
2. 管理员能够掌握使用者的详细活动资料,包括会议时间的排名顺序。
3. 如果有使用者录音或录影会议过程,管理员也能读取其会议内容。
4. 在会议进行期间,管理员能够看到每个会议参与者的操作系统,IP地址,关于地点的信息和装置的信息。
......
◇国内银行要求外企安装的财务软件,内置了安全后门
《Chinese Bank Required Two Western Companies to Use Tax Software With a Hidden Backdoor @ Slashdot》
两家最近在中国开设办事处的英国公司被当地银行要求安装了航天信息股份有限公司的智慧税务软件,安全公司 Trustwave 称该税务软件包含了恶意程序。Trustwave 为英国公司提供了网络安全服务,它观察到客户网络的可疑请求,它随后对税务软件进行了分析,发现它除了提供纳税功能外还包含了一个隐藏的后门,该后门被称为 GoldenSpy,具有系统级运行权限,允许远程攻击者连上被感染的系统,执行命令或上传和安装其它软件。
很多此类的软件都有远程访问功能以调试服务,但 Trustwave 称它发现的功能在恶意程序中更常见。GoldenSpy 安装了两个相同的版本作为持久性的自启服务;税务软件的卸载功能不卸载 GoldenSpy;GoldenSpy 是在税务软件安装两个小时后下载安装的,之后会悄悄运行;GoldenSpy 不连税务软件的网络基础设施,而是访问域名 ningzhidata.com
编程随想注:
请注意:上述新闻中提及的税务软件,是应天朝国内银行的要求,强制安装滴;结果被老外查出有【安全后门】。
在新冷战的大环境下,各国都对天朝充满怀疑(敌意),这类新闻会进一步增加各国对天朝的猜忌。
★高危漏洞
◇Windows 漏洞
《微软修补了三个正被利用的 0day 漏洞 @ Solidot》
在本周二(4月14日)释出的例行更新中,微软修补了三个正被利用执行恶意代码或提权的 0day 漏洞。其中两个 CVE-2020-1020 和 CVE-2020-0938 存在于 Adobe Type Manager Library 中,在非 Windows 10 系统中,成功利用漏洞的攻击者能远程执行代码;在 Windows 10 中,攻击者能在 AppContainer 沙盒中运行代码,虽然权限有限制,但仍然能创建账号,使用完整的用户权限安装程序,浏览、修改或删除数据。
另一个 0day 漏洞 CVE-2020-1027,利用了 Windows 内核处理内存对象的漏洞进行提权。微软未提供利用漏洞进行攻击的细节。
编程随想注:
关于“Adobe Type Manager Library”的高危漏洞,3月下旬已经曝光。这个漏洞非常危险!在上一期的《近期安全动态和点评(2020年1季度)》,俺介绍过该漏洞的原理和危险性。
◇iOS 漏洞
《Researchers Say They Caught an iPhone Zero-Day Hack in the Wild @ Slashdot》
......
"These vulnerabilities," ZecOps researchers wrote in a report they published Wednesday, "are widely exploited in the wild in targeted attacks by an advanced threat operator(s) to target VIPs, executive management across multiple industries, individuals from Fortune 2000 companies, as well as smaller organizations such as MSSPs." One of the two vulnerabilities, according to Avraham, is what's known as a remote zero-click. This kind of attack is dangerous because it can be used by an attacker against anyone on the internet, and the target gets infected without any interaction -- hence the zero-click definition.
......
《iPhone 曝出“惊天漏洞”,波及全球超 5 亿部苹果手机 @ InfoQ》
近日(4月下旬),网络安全公司 ZecOps 发布了一份研究报告,报告称,ZecOps 公司在调查一起客户网络攻击事件中发现 iPhone 和 iPad 存在两个零日漏洞,其中,漏洞可能影响全球超 5 亿部苹果手机,危害极大。
据悉,这两个零日漏洞主要与 iPhone 和 iPad 中内置的苹果官方邮件应用 Mail App 有关。利用上述漏洞,攻击者可以通过发送空白电子邮件的方式,强制在目标手机上执行任意代码,从而为攻击者窃取设备上的数据打开“方便之门”,比如偷取照片和获取联系方式等。
ZecOps 还表示,即使运行着最近的 iOS 版本(编程随想注:iOS 6 至 iOS 13.4.1),漏洞仍然允许攻击者远程窃取 iPhone 数据。“只要是 Mail App 可以访问的,漏洞都能访问,包括设备中的机密信息”。
加拿大学术安全研究组织 Citizen Lab 的安全研究者 Bill Marczak 形容上述漏洞“很可怕”。
据路透社报道,一名苹果公司发言人承认 iPhone 和 iPad 中默认的邮件应用程序 Apple Mail 存在漏洞。苹果公司计划开发一个修复程序,并将很快准备发布一个安全更新。
编程随想注:
这2个 iOS 漏洞都是“zero-day”漏洞(经常看俺博客的,应该都晓得“zero-day”为何意)。值得一提的是:其中一个漏洞是【zero-click】漏洞(具体参见刚才那段洋文)。
看不懂洋文的,俺稍微解释一下:
大部分安全漏洞,都需要受害者执行某个操作——
比如攻击者要利用“浏览器漏洞”,通常需要先诱使受害者访问某个挂马的网站;
比如攻击者要利用“Word 的漏洞”,通常需要先诱使受害者打开某个嵌入恶意代码的 doc 文档;
(以此类推)
【zero-click】漏洞是指——【不】需要受害者进行任何操作,就可以直接触发攻击代码。这也就意味着——
其一,攻击者可以悄无声息地执行入侵(受害者根本没啥感觉);
其二,因为【不】需要受害者参与互动,(相比那些需要互动的漏洞而言)用【zero-click】漏洞进行入侵的成功率非常高。
正是因为上述特点,【zero-click】漏洞非常值钱。比如说:如果两个漏洞都能够进行“本地提权”,各方面差不多,但一个是【zero-click】另一个不是。那么两者在黑市上的价格可能会相差一个数量级(或更多)。
◇macOS 上的 Adobe 产品漏洞
《Adobe Acrobat Reader 安全漏洞允许恶意程序悄悄获得 macOS 的 root 权限 @ Solidot》
macOS 版本的 Adobe Acrobat Reader 释出了补丁,修复了三个高危漏洞(CVE-2020-9615,CVE-2020-9614 和 CVE-2020-9613)。这些漏洞是腾讯安全玄武实验室的研究人员发现和报告的,漏洞允许普通用户从本地进行提权,在不被注意的情况下获得 root 权限。腾讯安全研究人员通过 GitHub 博客披露了漏洞细节。
com.adobe.ARMDC.SMJobBlessHelper 是 Adobe Acrobat Reader 负责更新的一个组件,它运行在 root 权限下,没有应用沙盒,三个漏洞 Bad Checking,绕过临时文件夹 root 保护,竞争条件与之相关。
◇华为陷“HKSP 门”丑闻——其“Linux 内核补丁”包含高危漏洞
编程随想注:以下是事情经过
5月10日,华为在“Linux 内核加固邮件列表”上提交了一个补丁,名为 HKSP,全称是【huawei kernel self protection】。
(在 Linux 社区颇有名气的)PaX/grsecurity 团队很快就发现:HKSP 补丁中包含了高危安全漏洞。
代码中出现安全漏洞,并【不】奇怪(很多牛逼产品都曾经曝光过“安全漏洞”,甚至是“高危安全漏洞”)。比较有趣的(诡异的)是如下几点:
第1点
这个补丁本身是【安全补丁】——是用来加固内核安全性滴!
照理说,其作者在写相关代码时,应该更加小心谨慎才对嘛。
第2点
因为是“内核补丁”,其代码运行在【内核态】。
略懂安全的同学应该都知道——【内核态】的代码一旦出现漏洞,其危险性大大【高于】“用户态”的代码。
第3点
这个补丁的作者,号称是华为内部的【高级】安全研究人员,员工级别【20级】。以下是“华为员工级别”的说明。
第4点
一方面,作者看起来很资深,并且已经在开源社区活跃了一段时间;
另一方面,爆出漏洞的那段代码,严重【缺乏】“防御性编程”的风格(具体的代码,俺在下一个小节贴出来)。
一个如此资深的程序员(同时还是“安全研究员”),为啥在编写内核补丁时,却没有采用最基本的“防御性编程风格”?让人百思不得其姐。
第5点
事件曝光后,华为官方立即撇清关系;HKSP 的维护者(华为员工)也立马修改了该项目的 README(强调该项目与华为无关)。
比较阴险的是——
HKSP 的维护者在修改 README 时,【伪造了】“修改时间”——使得该 README 的修改时间(看起来像是)在漏洞曝光【之前】(更详细的说明,参见“这条推文”)
为啥要【伪造】github 的 commit 时间捏?
这么干了之后,华为(及其水军)就可以反过来指责(诬陷)grsecurity 团队——你们这帮人明知道这个项目与华为无关,还要批评华为。
俺觉得吧:华为员工这种阴险的做法,反而给人留下【做贼心虚】的印象。
编程随想注:以下是国外网民的相关讨论
编程随想注:以下是“HKSP 补丁”的代码分析
整个 HKSP 补丁,被吐槽的重点是如下函数。比较懂 C 语言的同学,看了这段代码,应该能发现不止一个隐患(不需要很熟悉 Linux 内核,就能看出来)
如果你自己看不出破绽,可以去 grsecurity 官网,有简单的点评(链接在“这里”)。
static ssize_t ksg_state_write(struct file *file, const char __user *buf,
size_t len, loff_t *offset)
{
u64 value;
char tmp[32];
size_t n = 0;
if (copy_from_user(tmp, buf, len))
return -1;
value = simple_strtoul(tmp, '\0', 10);
switch (value) {
case 1:
ksg_check_keyboard();
break;
case 2:
ksg_check_nf();
break;
case 3:
ksg_check_pointer();
break;
case 4:
ksg_check_sct();
break;
default:
break;
}
*offset += len;
n += len;
return len;
}
编程随想注:
由于该补丁【没有】被批准,也就【没】合并到 Linux 内核的代码主线中,所以大伙儿不必担心。真正需要担心的是华为自己。
如今正值“新冷战”,西方各国对天朝公司(尤其是华为)疑虑重重。
在这个风口浪尖上,华为(涉及 Linux 内核的)开源项目出了这样的丑闻,岂不是砸自己招牌?
没有评论:
发表评论