5月第3周業務風控關注 | 盤古實驗室對外披露ZipperDown漏洞

易盾業務風控週報每週呈報值得關注的安全技術和事件，包括但不限於內容安全、移動安全、業務安全和網路安全，幫助企業提高警惕，規避這些似小實大、影響業務健康發展的安全風險。

1．盤古實驗室對外披露ZipperDown漏洞

盤古實驗室在針對不同客戶的iOS應用安全審計過程中，發現了一類通用的安全漏洞ZipperDown，攻擊者可以通過該漏洞對應用程式進行破壞，讓應用功能和許可權受到影響，目前已經排查出約10%的iOS應用可能有此問題，這些大概有15979個應用，其中包括大量的主流APP。

2．墨西哥銀行支付清算系統遭攻擊，銀行被盜款項數額不明

近日，墨西哥央行企業支付和服務系統的局長Lorenza Martinez表示，央行的銀行間電子支付系統 (SPEI) 至少遭受了五次攻擊。多家銀行遭攻擊，被盜款項不明。

Martinez 指出，某些交易並未得到相關銀行的承認。在某些情況下，這些轉賬在目的地銀行得以完成，並被以現金形式提取。

3. 谷歌修復導致數百萬網頁遊戲崩潰的Chrome漏洞

Google最近釋出了一項Chrome更新，該更新修復一個導致數百萬網頁遊戲崩潰的漏洞，該漏洞會導致各種神奇的報錯，其中一些會使遊戲無法播放音訊檔案。這個漏洞是在4月中旬的Chrome 66版本被發現的。該版本的一大特點是它能夠阻止帶有自動播放音訊的網頁，雖然該功能是針對帶有廣告及自動播放視訊的頁面，但它顯然具有副作用，會意外導致HTML5和基於JS的網頁遊戲強制靜音。

4. PANDA Banker惡意軟體攻擊銀行機構、加密貨幣交易平臺及社交媒體

安全公司 F5 近日釋出報告，稱黑客利用 PANDA Banker 惡意軟體頻繁攻擊銀行機構、加密貨幣交易平臺以及社交媒體。PANDABanker 的主要特徵是竊取賬號和憑證，進而利用“man in the browser”攻擊竊取受害者財物。 F5 表示，PANDA Banker 持續針對日本公司發起攻擊，同時，美國、加拿大以及拉丁美洲的金融機構也沒能倖免。報告表明，PANDA Banker 最初只攻擊全球的金融服務，但隨著全球掀起加密貨幣熱潮，線上加密貨幣交易服務也成了 PANDA Banker 的目標。社交媒體、搜尋網站、電子郵件甚至成人網站等可能被用於挖礦的途徑也都紛紛淪陷。

5．暴走漫畫內部整頓停止更新：多個APP無限期關停！

繼今日頭條、新浪微博、優酷出現內容審查之後，愛奇藝也宣佈對平臺上“暴走漫畫”的內容進行處理。5月17日晚間，暴走漫畫聯合創始人兼CEO任劍在微博就侮辱先烈事件釋出致歉宣告，並宣佈即日起內部整頓，下線《暴走大事件》等全線視訊節目並停止更新，對暴走漫畫官方網站、暴走漫畫app、暴走日報app進行無限期關停。

6. 26％的公司忽略安全漏洞，藉口是沒有時間去修復！

上個月在RSA安全大會上收集的一項調查顯示，儘管大多數公司都採取了合適的安全措施，但其中一些公司甚至故意忽視安全缺陷，其原因包括缺乏時間和缺乏專業技術等各種原因。該調查彙集了來自RSA會議公司的155位安全專業人員的答案，結果顯示只有47％的組織在得知訊息後立即修補漏洞。最令人擔憂的是，部分公司在漏洞出現之後等待相當長的一段時間才打好補丁。

調查顯示，並非所有公司都使用補丁。大約26％的受訪者表示，他們的公司忽視了一個嚴重的安全漏洞，因為他們沒有時間去修復它。

7. DDoS放大攻擊新手段：利用UPnP協議繞過防禦

研究人員發現，黑客現在採用新的手段來對抗反DDoS方案。黑客會使用通用即插即用（UPnP）協議來掩蓋網路資料包的源埠。DDoS解決方案公司Imperva表示，它發現至少有兩次DDoS攻擊用到了這種技術。問題的來源在於通用即插即用（UPnP）協議，這個協議原本的目的是簡化在本地網路上發現附近裝置的過程。

此功能能夠被用來穿透NAT，網路管理員也可以遠端訪問內網裡的服務。使用UPnP進行DDoS可以達到顯著的效果，因此如果沒有意外的話會被黑客們廣泛使用。建議大家如果沒有使用的需要就把路由器的UPnP功能關閉。

8. 近400個政企網站感染Coinhive惡意軟體，祕密挖掘加密貨幣

來自 Bad Packets Report 的安全研究員Troy Mursch 發現，使用過時版本的 Drupal 內容管理系統的一些網站正在成為黑客挖掘加密貨幣的受害者。這次活動襲擊了約 400 個網站，雖然主要目標是美國的政府機構和教育機構，但多家科技公司的網站也感染了該病毒。