BUF早餐鋪 | 谷歌違規收集使用者資料;iCloud曾出現隱私洩露漏洞,但被蘋果隱瞞;Ubuntu 18.04 修復...
各位Buffer早上好,今天是2019年2月1日星期五。今天的早餐鋪內容有: 與Facebook犯同樣的錯,谷歌也違規收集使用者資料; iCloud曾出現隱私洩露漏洞,但被蘋果公司隱瞞; 阿聯酋使用間諜工具入侵反對者的 iPhone; 安裝量達數百萬的安卓應用收集使用者自拍並推送色情廣告; Ubuntu 18.04 修復 Linux 核心的 11 個漏洞。
與Facebook犯同樣的錯 谷歌也違規收集使用者資料
“企業證書”的目標是在一家企業內部使用,不面向公眾,但在蘋果撤回Facebook使用的證書後,谷歌被發現也存在同樣的問題,涉及它釋出的一款被稱作“Screenwise Meter”的應用。TechCrunch刊文稱,與目前已經遭到封殺的Facebook Research應用非常相似的是,Screenwise Meter也使使用者通過安裝一款VPN應用,監視使用者的上網資料,向用戶贈送禮品券。與Facebook的應用一樣的是,Screenwise Meter也不是通過正規途徑安裝到安裝有企業證書的iOS裝置上的。蘋果內部訊息人士向AppleInsider報料:公司高管在討論與Screenwise Meter有關的問題。[來源: cnbeta ]
iCloud曾出現隱私洩露漏洞,但被蘋果公司隱瞞
上週,土耳其安全研究員向外媒報料稱其發現蘋果服務中存在漏洞。利用這個漏洞,可以看到隨機iCloud賬戶的部分資料,尤其是一些備忘錄內容;此外,如果知道特定iCloud賬戶的關聯手機號,還能獲取更多資訊。事實上,該研究員早在2018年10月就發現了這個漏洞並上報給蘋果安全團隊,而蘋果則在11月悄悄修復了漏洞並反饋稱早就解決了這個問題。當然,蘋果並沒有對外公開該漏洞資訊。在近期的媒體質詢中,也沒有給出詳細回覆。[來源: thehackernews ]
阿聯酋使用間諜工具入侵反對者的 iPhone
為阿聯酋工作的前美國情報工作人員使用名為 Karma 的間諜工具入侵活動人士、外交官和敵對國家領導人的 iPhone。這種先進的間諜工具讓阿聯酋能從 2016 年起監視數以百計的目標,從卡達王公到土耳其高階官員,到葉門獲得諾貝爾和平獎的人權活動人士。從事入侵的阿聯酋間諜機構代號為 Project Raven,前 Raven 成員稱 Karma 通過上傳手機號碼或電子郵件賬號到一個自動目標系統,就能獲得對 iPhone 的遠端訪問。該工具的限制是不能在 Android 裝置上執行,也不能監聽電話呼叫。但其優點是無需目標點擊發送到 iPhone 上的連結。目前不清楚阿聯酋是否還在使用 Karma,前情報工作人員稱蘋果在 2017 年底釋出的安全更新讓 Karma 不再有效。Karma 是阿聯酋從第三方購買到的,開發者身份未知,它可能利用了蘋果的 iMessage 中的一個漏洞。[來源: solidot ]
安裝量達數百萬的安卓應用收集使用者自拍並推送色情廣告
研究人員發現,Google Play Store中數十款安卓相機應用暗中收集使用者資料,並推送惡意/色情廣告和虛假更新資訊,同時還通過隱藏目錄來避免被解除安裝。其中,某些應用的下載量超過100萬次。來自Trend Micro的安全專家將這些應用分為兩類,一類是美化圖片的相機;一類是給快照加濾鏡的相機。目前,這些APP已經從Google Play商店中移除。[來源: bleepingcomputer ]
Ubuntu 18.04 修復 Linux 核心的 11 個漏洞
Canonical 修復 Ubuntu 18.4 LTS Linux 核心的安全性問題,漏洞影響 Ubuntu 和其所有的衍生版本,例如:Kubuntu、Lubuntu、Ubuntu GNOME、Ubuntu Budgie、Ubuntu Kylin和Ubuntu Studio,以及其他以 Ubuntu 作為底層的第三方系統。在這次更新中共解決 11 個安全性問題,其中包括 7 個漏洞,這些漏洞包括緩衝區溢位和越界寫入等問題,攻擊者利用惡意構建的 EXT4 映象執行任意程式碼,或通過拒絕服務的方式導致系統崩潰。 該版本還解決了在 linux 核心的 vsock 地址實現中發現的競爭條件(CVE-2018-14625),這將導致其地址可以被免費使用,從而可以在虛擬機器中本地攻擊者的獲取本地主機的敏感資訊。[來源: cnbeta ]