值班編輯：袁鈺涵

溫馨提示：本文包含大量外部鏈接，強(qiáng)烈建議小伙伴們點(diǎn)擊“閱讀原文”進(jìn)行閱讀。:)

1、TikTok 被曝安全漏洞，發(fā)起賞金計(jì)劃最高可得近 10 萬(wàn)元獎(jiǎng)金

網(wǎng)絡(luò)安全研究人員披露了 TikTok 中一個(gè)現(xiàn)在已經(jīng)修補(bǔ)好的安全漏洞，這個(gè)漏洞可能會(huì)讓攻擊者建立一個(gè)應(yīng)用程序用戶及其相關(guān)電話號(hào)碼的數(shù)據(jù)庫(kù)，以備未來惡意活動(dòng)之需。

根據(jù) Check Point 研究人員披露，TikTok 已經(jīng)部署了一個(gè)補(bǔ)丁來解決這個(gè)漏洞。

TikTok“查找好友”功能存在漏洞

這個(gè)新發(fā)現(xiàn)的漏洞存在于 TikTok 的“查找好友”功能中，該功能允許用戶將他們的聯(lián)系人與服務(wù)同步，以識(shí)別潛在的關(guān)注對(duì)象。

聯(lián)系人通過 HTTP 請(qǐng)求以列表的形式上傳到 TikTok，該列表由聯(lián)系人姓名和相應(yīng)的電話號(hào)碼組成。

下一步，應(yīng)用程序發(fā)出第二個(gè) HTTP 請(qǐng)求，檢索連接到前一個(gè)請(qǐng)求中發(fā)送的電話號(hào)碼的 TikTok 配置文件。這個(gè)響應(yīng)包括個(gè)人資料名稱、電話號(hào)碼、照片和其他與個(gè)人資料相關(guān)的信息。

雖然上傳和同步聯(lián)系人請(qǐng)求被限制在，每天每位用戶和每臺(tái)設(shè)備的聯(lián)系人為 500 人，但 Check Point 研究人員找到了一種方法來解決此限制，通過獲取設(shè)備標(biāo)識(shí)符，服務(wù)器設(shè)置的會(huì)話 Cookie，唯一使用 SMS 登錄到帳戶并在運(yùn)行 Android 6.0.1 的模擬器中模擬整個(gè)過程時(shí)設(shè)置的稱為“ X-Tt-Token”的令牌。

值得注意的是，為了從 TikTok 應(yīng)用程序服務(wù)器請(qǐng)求數(shù)據(jù)，HTTP 請(qǐng)求必須包含 X-Gorgon 和 X-Khronos 標(biāo)頭以進(jìn)行服務(wù)器驗(yàn)證，以確保消息不被篡改。

但是，通過修改 HTTP 請(qǐng)求（攻擊者希望同步的聯(lián)系人數(shù)量），并用更新的消息簽名重新簽名，該漏洞使大規(guī)模上傳和同步聯(lián)系人的過程自動(dòng)化成為可能，并創(chuàng)建了一個(gè)關(guān)聯(lián)賬戶及其連接電話號(hào)碼的數(shù)據(jù)庫(kù)。

---

2、警惕！一個(gè)針對(duì)安全研究人員進(jìn)行攻擊的組織出現(xiàn)了

谷歌威脅分析小組發(fā)現(xiàn)了一個(gè)攻擊活動(dòng)組織，經(jīng)過幾個(gè)月的努力，確認(rèn)該活動(dòng)組織是針對(duì)在不同的公司和組織中從事漏洞研究和開發(fā)的安全研究人員進(jìn)行攻擊。

為了與安全研究人員獲得聯(lián)系并騙取他們信任，該組織建立了一個(gè)研究博客以及多個(gè) Twitter 賬號(hào)，借用以上兩者與潛在目標(biāo)進(jìn)行互動(dòng)。

他們用這些 Twitter 賬號(hào)發(fā)布指向博客的鏈接，同時(shí)聲稱博客中有人發(fā)現(xiàn)了漏洞并對(duì)漏洞以利用，發(fā)布了漏洞利用的視頻，用賬號(hào)之間互相轉(zhuǎn)發(fā)視頻擴(kuò)大其影響力，還在其他用戶的帖子下發(fā)布這類內(nèi)容。

這個(gè)組織所擁有的 Twitter 賬號(hào)

組織建立的博客中包含了已公開披露的漏洞文章和分析，還會(huì)包含某位研究人員研究漏洞后對(duì)博客的投稿，而這些被網(wǎng)站寫出“投稿的研究人員”本人對(duì)此卻完全不知情，組織如此做可能是為了在安全研究人員中獲得更高的信任度。

這個(gè)組織對(duì)安全研究人員建立最初的聯(lián)系后，他們會(huì)詢問研究人員是否希望在漏洞研究方面進(jìn)行合作，然后為研究人員提供 Visual Studio 項(xiàng)目。

Visual Studio 項(xiàng)目中包含利用此漏洞的源代碼，但是在編譯該Visual Studio項(xiàng)目的時(shí)候會(huì)自動(dòng)生成存在惡意代碼的DLL。

DLL 是一個(gè)惡意軟件，它會(huì)與組織控制的 C2 域進(jìn)行通信，下圖顯示了 VS Build Event 的示例。

生成 VS Project 文件時(shí)執(zhí)行的 Visual Studio 命令

除了通過騙取信任獲得合作等一系列行動(dòng)鎖定攻擊目標(biāo)，有時(shí)該組織會(huì)直接在安全研究人員訪問其博客后馬上攻擊。

研究人員通過 Twitter 訪問 blog.br0vvnn [.] io 的文章不久后，會(huì)發(fā)現(xiàn)系統(tǒng)被安裝了惡意服務(wù)，內(nèi)存后門將開始連接到攻擊者擁有的命令和控制服務(wù)器。

---

3、特斯拉起訴前員工竊取商業(yè)機(jī)密，將公司文件移至個(gè)人 Dropbox 中

特斯拉起訴前員工竊取公司信息，稱其從特斯拉內(nèi)部網(wǎng)絡(luò)竊取了與 Warp Drive 軟件相關(guān)的文件，該文件用于使公司的許多業(yè)務(wù)流程自動(dòng)化。

該員工稱，他是無意中將文件轉(zhuǎn)移到個(gè)人 Dropbox 上的，并表示在媒體報(bào)道前并不知道特斯拉起訴了他。

特斯拉起訴前員工 Alex Khatilov，指控其盜竊商業(yè)機(jī)密和違法合同。在起訴文書中，特斯拉方面稱，Alex Khatilov 從特斯拉開發(fā)的一種后端軟件系統(tǒng) Warp Drive 中私自獲取了代碼和文件，并在安全小組審查時(shí)刪除了證據(jù)。

據(jù)了解，Alex Khatilov 是在 2020 年 12 月 28 日加入特斯拉的，他被聘請(qǐng)來幫助特斯拉的質(zhì)量保證團(tuán)隊(duì)創(chuàng)建可以自動(dòng)執(zhí)行與環(huán)境，健康和安全相關(guān)的任務(wù)或業(yè)務(wù)流程的軟件。

特斯拉表示，Alex Khatilov 加入公司后，幾乎立即開始將文件和腳本上載到他的 Dropbox 帳戶。特斯拉擔(dān)心 Alex Khatilov 會(huì)將代碼透露給競(jìng)爭(zhēng)對(duì)手，因?yàn)檫@些代碼對(duì)系統(tǒng)自動(dòng)化具有非常重要的價(jià)值。

---

4、數(shù)據(jù)安全思考：數(shù)據(jù)安全取決于安全的軟件開發(fā)供應(yīng)鏈

黑客利用 SolarWinds 漏洞大面積攻擊政府和私人網(wǎng)絡(luò)的事件已經(jīng)發(fā)生了幾個(gè)月，雖然這次攻擊事件的廣泛影響早已引起了重視，但一直缺乏關(guān)于實(shí)施的攻擊類型的討論。

最近，谷歌軟件工程師 Dan Lorenc 在一篇文章中詳細(xì)地描述了此類攻擊的性質(zhì)，并提出了一些關(guān)于供應(yīng)鏈安全的最佳實(shí)踐。

此外，Dan Lorenc 還就開源社區(qū)是否能夠提供一些指導(dǎo)，使用更好的安全方法來開發(fā)具有安全優(yōu)先思想的軟件問題進(jìn)行了深入探討。

Dan Lorenc 是谷歌的一名軟件工程師，專注于開源云技術(shù)。他領(lǐng)導(dǎo)的一個(gè)工程團(tuán)隊(duì)致力于簡(jiǎn)化為 Kubernetes 構(gòu)建和交付系統(tǒng)的過程。他創(chuàng)建了 Minikube、Skaffold 和 Tekton 開源項(xiàng)目，并且是持續(xù)交付基金會(huì)技術(shù)監(jiān)督委員會(huì)的成員。

---

5、間諜軟件盯上 iPhone 用戶，數(shù)月內(nèi)或遭受大規(guī)模攻擊

以色列間諜軟件公司 NSO 集團(tuán)銷售的 Pegasus 間諜軟件據(jù)稱可以追蹤位置和訪問密碼。

這個(gè)間諜軟件已經(jīng)被使用了將近一年的時(shí)間，利用了 iPhone 在 iOS 14 更新前的一個(gè)明顯漏洞，配備了一種計(jì)算機(jī)安全超級(jí)武器，零足跡、零點(diǎn)擊、零日漏洞，利用 iMessage 中的一個(gè)漏洞，只需按下一個(gè)按鈕，就能控制一部 iPhone。

間諜軟件可跟蹤用戶位置、訪問密碼，還不會(huì)留下任何痕跡

Pegasus 不會(huì)在目標(biāo)手機(jī)上留下任何可見的痕跡，只需發(fā)送一條受害者根本不需要點(diǎn)擊的信息就可以安裝，甚至可以在運(yùn)行當(dāng)時(shí)最新版本的 iOS 的手機(jī)上運(yùn)行。

多倫多大學(xué)公民實(shí)驗(yàn)室的研究人員說，他們發(fā)現(xiàn)了所謂的黑客工具，被稱為“ Kismet”。如果 Kismet 可以被認(rèn)為是用來繞過 iPhone 的安全性的特洛伊木馬，那么 NSO 集團(tuán)銷售的另一個(gè)被稱為 Pegasus 的軟件就是內(nèi)部的士兵。根據(jù)研究人員的說法，Pegasus 有著驚人的強(qiáng)大功能。

Pegasus 間諜軟件有能力跟蹤位置、訪問密碼和存儲(chǔ)手機(jī)上的證書，通過麥克風(fēng)記錄音頻，包括加密電話的錄音，它還能控制手機(jī)的攝像頭拍照。

公民實(shí)驗(yàn)室表示，他們已經(jīng)發(fā)現(xiàn)了 37 個(gè)已知的 Kismet 被 NSO 客戶用來攻擊的例子。但研究人員表示，“鑒于 NSO 集團(tuán)客戶群的全球影響力，以及幾乎所有 iPhone 設(shè)備在 iOS 14 升級(jí)之前都有明顯的漏洞。我們懷疑，我們觀察到的感染只是此次攻擊所使用的全部攻擊中的極小一部分?！?/span>

---

6、OpenWRT論壇數(shù)據(jù)泄露，大量用戶數(shù)據(jù)被盜

OpenWRT論壇是一個(gè)由熱愛路由器替代開源操作系統(tǒng)的人組成的大型社區(qū)，該平臺(tái)現(xiàn)在宣布了一起數(shù)據(jù)泄露事件。

OpenWRT論壇管理員在一份聲明中，解釋了發(fā)生了什么，以及暴露用戶數(shù)據(jù)會(huì)給用戶帶來的風(fēng)險(xiǎn)。

攻擊發(fā)生在美國(guó)當(dāng)?shù)貢r(shí)間周六凌晨4點(diǎn)左右，一個(gè)未經(jīng)授權(quán)的第三方獲得了管理權(quán)限，并復(fù)制了一個(gè)包含論壇用戶詳細(xì)信息和相關(guān)統(tǒng)計(jì)信息的列表。

據(jù)稱，入侵者使用了OpenWRT管理員的帳戶，論壇用戶的電子郵件地址和帳號(hào)被盜。OpenWRT方面還補(bǔ)充說，他們認(rèn)為攻擊者無法下載論壇數(shù)據(jù)庫(kù)，這意味著密碼應(yīng)該是安全的。

然而，為了安全起見，他們重置了論壇上的所有密碼，并使項(xiàng)目開發(fā)過程中所有使用的API密鑰失效。

用戶必須從登錄菜單中手動(dòng)設(shè)置新密碼，方法是提供他們的用戶名并按照“獲取新密碼”的說明進(jìn)行操作。建議那些使用GitHub憑據(jù)登錄的人重置或刷新它。

另外，OpenWRT論壇的憑證與維基是分開的。目前，沒有人懷疑維基證書已經(jīng)被以任何方式泄露。

OpenWRT論壇管理員警告說，由于這次入侵暴露了電子郵件地址，用戶可能會(huì)成為網(wǎng)絡(luò)釣魚攻擊者的目標(biāo)。

這意味著用戶能會(huì)收到包含名字的網(wǎng)絡(luò)釣魚郵件。公告建議“不要點(diǎn)擊鏈接，而是手動(dòng)輸入論壇的URL”。（來源：站長(zhǎng)之家）

---

---

7、日本程序員為評(píng)估年收入泄露公司代碼

有一位 45 歲且從事 20 年開發(fā)工作的《艦隊(duì)collection》玩家，因年收入僅300萬(wàn)日元（約合18萬(wàn)人民幣）想跳槽，但不知從哪兒看到“在 Github 上上傳代碼可以評(píng)估年收入”，信以為真。于是他將他負(fù)責(zé)的包含三井住友銀行，日本最大電信事業(yè)集團(tuán) NTT 以及警察廳等大企業(yè)的代碼悉數(shù)上傳至了 GitHub 導(dǎo)致代碼泄露。這一事件被發(fā)現(xiàn)是該玩家在推特上因《艦隊(duì)collection》與人對(duì)罵后被人肉，遂代碼泄露事件被發(fā)現(xiàn)。

---

8、微軟、思科源代碼被泄露！黑客公開售賣，最低5萬(wàn)美元

據(jù)外媒 bleepingcomputer 報(bào)道，一個(gè)名為“SolarLeaks”的網(wǎng)站正在出售微軟、思科、FireEye 和 SolarWinds 的源代碼以及相關(guān)數(shù)據(jù)。

報(bào)道稱，被曝光時(shí)研究人員發(fā)現(xiàn) solarleaks.net 域名僅僅成立一天，其背后的域名注冊(cè)商是 NJALLA。NJALLA 曾被俄羅斯黑客組織 Fancy Bear 和 Cozy Bear 使用過。

因此，研究人員認(rèn)為這極有可能是證明俄羅斯黑客攻擊的證據(jù)之一。

網(wǎng)絡(luò)安全公司 Rendition Infosec 的總裁杰克·威廉姆斯 （Jake Williams） 也表示，此次交易傾向于具有商業(yè)價(jià)值的數(shù)據(jù)，而不是從政府機(jī)構(gòu)竊取的情報(bào)，可能表明這是一個(gè)真實(shí)的黑客組織。

至于黑客為什么能獲得這些企業(yè)的源代碼及其相關(guān)數(shù)據(jù)，這還要從 2020 年底發(fā)生的一件嚴(yán)重的安全事故說起。

2020 年底，美國(guó)政府各大部門遭到黑客攻擊，經(jīng)調(diào)查，入侵方式是借由信息科技公司 SolarWinds 的網(wǎng)絡(luò)管理軟件 Orion 更新文件中夾帶后門。

部分受害者包括：美國(guó)的財(cái)政部、商務(wù)部、國(guó)土安全部、能源部的國(guó)家實(shí)驗(yàn)室，以及國(guó)家核安全管理局。

除此之外，安全公司 FireEye 、微軟、思科均在受害者之列。

根據(jù)此前的報(bào)道，在 SolarWinds 攻擊事件中，微軟表示，黑客設(shè)法提升了微軟內(nèi)部網(wǎng)絡(luò)里的訪問權(quán)限，因而可以訪問少量?jī)?nèi)部帳戶，并利用這些帳戶訪問了微軟的源代碼庫(kù)。微軟還強(qiáng)調(diào)被訪問的帳戶只有查看權(quán)限，聲稱黑客沒有對(duì)代碼或工程系統(tǒng)進(jìn)行任何更改。

但在 SolarLeaks 網(wǎng)站上，黑客卻聲稱將以 60 萬(wàn)美元的價(jià)格出售微軟 2.6G 大小的源代碼和存儲(chǔ)庫(kù)。（來源：雷鋒網(wǎng)）

---

-?END -