BUF早餐鋪 | UbuntuSnap軟體包存在漏洞,允許攻擊者獲得系統Root許可權;聯想Watch X智慧手錶存在安...
各位 Buffer 早上好,今天是 2019 年 02 月 15 日星期五。今天的早餐鋪內容有:Ubuntu Snap軟體包存在漏洞,允許攻擊者獲得系統Root許可權;聯想Watch X智慧手錶存在安全隱患;美國炸彈威脅惡作劇導致數百所學校撤離,兩名涉事黑客遭指控;沙特通過App監控女性出境,蘋果CEO庫克承諾要調查;谷歌亞馬遜收集資料無所不用其極:智慧燈每天報告你何時睡覺;郵件服務商VFEmail遭黑客攻擊,客戶所有資料被刪除。
Ubuntu Snap軟體包存在漏洞,允許攻擊者獲得系統Root許可權
安全研究員Chris Moberly在Canonical的REST API中發現了一個漏洞,snapd守護程式可允許攻擊者獲取Linux系統的root訪問許可權。Canonical是Ubuntu Linux的軟體包提供商之一,一直以來都在推廣他們的“Snap”軟體包,將所有應用程式依賴項轉換為單個二進位制檔案(類似於Windows應用程式)。
Snap環境包括一個“應用程式商店”,開發人員可以在其中貢獻和維護現成的軟體包,其中一個名為snapd服務用於本地安裝管理和線上商店通訊。漏洞就來自這個服務,名為為’Dirty_Sock’的漏洞會影響安裝了Ubuntu Linux的伺服器,專家在Ubuntu上成功測試併發布概念驗證,展示如何提升許可權。[來源: securityaffairs ]
聯想Watch X智慧手錶存在安全隱患
售價為50美元上下的聯想Watch X智慧手錶於2018年6月推出,最初因其設計、功能和高性價比而受到廣泛的好評。但在推出數月之後,有研究人員發現這款產品存在很多安全問題,申請過多不必要的許可權和未經許可上傳使用者資訊的問題最為嚴重。
研究人員釋出了一份報告,羅列了6個隱私和安全問題,包括精確定位電話位置、嗅探/ MiTM、帳戶接管、Magic BLE、欺騙呼叫和設定警報。加密Watch X、Android應用程式和Web伺服器之間的通訊將有助於降低這些問題的影響,該研究人員已經與聯想取得聯絡並報告了問題。[來源: checkmarx ]
美國炸彈威脅惡作劇導致數百所學校撤離,兩名涉事黑客遭指控
Timothy Dalton Vaughn和George Duke-Cohan,他們各自的黑客別名“wantbyfeds”和“DigitalCrimes” ,在2月8日因黑客犯罪、陰謀和“涉及爆炸物的州際威脅” 被指控,指的是他們將眾多炸彈威脅傳送到不同的學校。
法院檔案聲稱,Vaughn和Duke-Cohan在一個名為Apophis Squad的黑客組織內行動,協調了一系列“炸彈和學校射擊威脅,旨在引起對迫在眉睫的危險的恐懼,並導致兩大洲數百所學校在很多場合關閉。“關於Vaughn和Duke-Cohan的行動的報道於2018年3月首次出現。他們向學校傳送電子郵件,迫使撤離,但英國諾桑比亞警方的一份宣告證實這是一個可追溯到美國的惡作劇。[來源: cnbeta ]
沙特通過App監控女性出境,蘋果CEO庫克承諾要調查
針對近日曝光的一款可以實時追蹤女性出境情況的App,蘋果公司(以下簡稱“蘋果”)CEO蒂姆·庫克(Tim Cook)表示,如果訊息屬實,蘋果將對此展開調查。
近日有報道稱,沙特政府出臺的一款名為“Absher”的手機App可以實時追蹤該國女性的出境情況,並在對方離境時向男性監護人傳送簡訊警告。根據沙特的法律,每名女性必須有一位男性監護人,且未經同意不得隨意旅遊出境。雖然該軟體已存在7年,但直至最近才吸引了媒體的關注。原因是:上月初一名18歲的沙特少女自稱受家人虐待逃至泰國,而她的父親隨後趕到希望接回女兒,但被拒絕。[來源: 新浪科技 ]
谷歌亞馬遜收集資料無所不用其極:智慧燈每天報告你何時睡覺
據外媒報道,隨著亞馬遜和谷歌努力將它們的智慧音箱置於聯網家庭的中心,兩家科技巨頭正擴大對其智慧語音助理使用者的資料收集。幾年來,每當有人使用智慧音箱開燈或鎖門時,亞馬遜和谷歌都會收集資料。現在,他們正要求羅技和Hunter Fan等智慧家居裝置製造商向他們持續傳送資料。
換句話說,在你將照明裝置連線到亞馬遜的智慧語音助理Alexa之後,無論你是否要求Alexa關閉開關,亞馬遜都希望知道你每次開燈或關燈的時間。電視機則必須報告使用者設定的頻道。智慧鎖必須隨時通知公司,使用者是否插上了門栓。[來源: 安全內參 ]
郵件服務商VFEmail遭黑客攻擊,客戶所有資料被刪除
據外媒報道,美國電子郵件商VFEmail發現有黑客系統性破壞了公司的服務硬碟,其中包括備份和冗餘。該公司的員工目前正在努力恢復使用者的電子郵件,但就目前的情況來看,美國客戶的所有資料似乎都被永久刪除。VFEmail的擁有者Romero在推文中表示:“是的,@VFEmail已經徹底消失了。我從未想過有人會如此關心我心愛的產品,以至於他們想要徹底摧毀它。”[來源: 安全內參 ]