Pwn2Own首日AMAZONEcho及SAMSUNGSONY电视被攻破;2019年秋季钓鱼攻击活动增长至三年来最高记录

发布时间 2019-11-08
1、Pwn2Own首日AMAZONEcho及SAMSUNGSONY电视均被攻破



在Pwn2Own Tokyo 2019黑客大赛的第一天,AMAZONEcho智能音箱、SAMSUNG和SONY的智能电视、小米9手机以及Netgear和TP-Link路由器均被参赛者攻破。本次大赛是由Zero Day Initiative组织的,目标设备包括17款,共承诺提供超过75万美金的现金和奖品。这也是首次Pwn2Own将脸书的Portal智能显示器和Oculus Quest VR头盔列入目标。在大赛首日参赛者已经获得了19.5万美金的奖励,收获最多的是Fluoroacetate团队,该团队分别攻破了SONYX800G电视、AMAZONEcho、SAMSUNGQ60电视、小米9和Galaxy S10。


原文链接:

https://www.zdnet.com/article/脸书-portal-survives-pwn2own-hacking-contest-amazon-echo-got-hacked/

2、美国网络司令部在VirusTotal上分享7个恶意样本



美国网络司令部在VirusTotal上发布了7个新的恶意App样本,网络安全和基础设施安全局(CISA)鼓励用户查看这些样本并访问CISA的恶意代码防护实践。有研究人员在Twitter上回复称这些样本可能与APT28有关。该机构上一次共享恶意样本是在两个月前,当时网络司令部发布了11个与朝鲜APT组织Lazarus有关的样本。


原文链接:

https://www.us-cert.gov/ncas/current-activity/2019/11/06/us-cyber-command-shares-seven-new-malware-samples

3、Magento 1.x将停止更新,20多万个网站面临风险


Magento 1.x分支将在2020年6月到达生命周期(EOL),届时基于该平台的在线商店将无法收到安全更新,这意味着它们将面临网站被黑客入侵或感染恶意代码(如Magecart)的风险。据统计目前受影响的在线商店数量在20万到24万之间,这些商店需要在未来9个月内对其后端平台进行升级,比如迁移到Magento 2.x分支。


原文链接:

https://www.zdnet.com/article/between-200000-and-240000-magento-online-stores-will-reach-eol-next-year/

4、加利福尼亚州DMV泄露驾驶员数据长达四年时间



美国加利福尼亚州汽车管理部门(DMV)泄露数千名驾驶员的数据长达4年的时间。共有3200名驾驶员被涉及,他们的信息被违规分享给7个机构,包括San Diego和Santa Clara县的地区检察官、小型企业管理局、国税局等部门。据《洛杉矶时报报道》,这些机构可在犯罪活动调查或税法调查中违规访问DMV暴露的数据,但数据没有暴露给个人。在8月2日发现违规行为后不久DMV即限制了对数据的访问。

原文链接:
https://www.infosecurity-magazine.com/news/california-dmv-exposes-drivers/

5、2019年秋季钓鱼攻击活动增长至三年来最高记录



根据APWG的统计数据,2019年秋季网络钓鱼攻击增长至三年来的最高记录。在2019年7月至9月期间检测到的钓鱼网站总数为266387,比2019年第二季度的182465增长了46%,几乎是2018年第四季度的138328的两倍。除了钓鱼网站数量的增加之外,2019年第三季度受钓鱼攻击的品牌数量也明显增长,平均每月有400多个品牌受到攻击,而第二季度为313个。

原文链接:
https://www.helpnetsecurity.com/2019/11/07/phishing-attacks-levels-rise/

6、AMAZON安防门铃Ring Video Doorbell易遭Mitm攻击



Bitdefender安全研究人员发现AMAZON的Ring Video Doorbell Pro设备中存在高危漏洞,攻击者可利用该漏洞实施中间人攻击并窃取用户的Wi-Fi密码。Ring Video Doorbell是一个带摄像头的智能无线安防门铃,研究人员发现该设备与APP的通信为不安全的HTTP传输,攻击者可诱骗用户重新配置该设备并嗅探其密码,进而可以发起各种恶意活动,包括与家庭网络中的设备交互、访问本地NAS、入侵其它设备等。该企业在9月5日发布了修复补丁。


原文链接:

https://thehackernews.com/2019/11/ring-doorbell-wifi-password.html