iOS 13.4被曝VPN漏洞;Dharma勒索軟體原始碼開售;“一星”攻陷谷歌課堂

Editor發表於2020-03-30
近日,全新的TIM 3.0.0版本開啟了小範圍灰度測試,支援微訊號登入,而且 PC端、iOS端、Android端全部支援,並可與原微信帳號互通騰訊文件中的內容,同時支援語音進度條、長截圖、多人視訊通話等功能。


1、iOS 13.4被曝VPN漏洞


iOS 13.4被曝VPN漏洞;Dharma勒索軟體原始碼開售;“一星”攻陷谷歌課堂


近日,蘋果公司上週釋出的更新iOS 13.4版本被曝存在未修補的安全漏洞,該漏洞會影響使用者使用VPN(虛擬專用網路)時的資料安全。

該漏洞會阻止虛擬專用網路(VPN)對所有流量進行加密,使用者在連線到VPN時無法終止所有Internet流量,導致傳輸的資料無法受到加密保護,在幾分鐘到幾小時的範圍內一直保持開放狀態。

這樣一來,在VPN連線期間,可能會暴露使用者真實的的資料,例如IP地址會洩露使用者的位置資訊,或使伺服器遭到第三方攻擊。

需要注意的是,該漏洞的最大威脅是洩露裝置的IP地址,此外也會影響和其他iOS的通訊,例如蘋果的推送通知服務和即時訊息應用程式等。

由於新冠疫情的廣泛蔓延,在家辦公和學習的人越來越多,對於VPN的使用率也大大提升。這也就意味著,一旦VPN漏洞被黑客利用,企業將面臨巨大威脅,因此影響十分廣泛。

對此,蘋果公司表示,使用者可以啟用Always-on VPN來緩解此問題。並且正在設法修復此漏洞。

研究人員表示可嘗試如下方法緩解:先進入飛航模式以終止所有現有連線,再開啟VPN服務,最後離開飛航模式以恢復連線。

此外,除了這一安全漏洞,iOS 13.4和iPadOS 13.4還帶來了其他問題。

包括藍芽Bug導致裝置頻繁斷開連線;外部鍵盤在iPad Pro上無法正常工作;控制中心無法正確顯示等問題。

LYA:還沒升級的使用者可以暫緩更新到iOS 13.4。



2、Dharma勒索軟體原始碼低價開售


iOS 13.4被曝VPN漏洞;Dharma勒索軟體原始碼開售;“一星”攻陷谷歌課堂


圖片來源:ZDNet上週末,一款名為Dharma勒索軟體的原始碼在兩個俄羅斯黑客論壇上公開出售,售價低至2000美元。

在今年的RSA安全會議中,FBI將Dharma列為近年來賺錢第二多的勒索軟體,在2016年11月到2019年11月期間勒索了超過2400萬美元。

研究表示出售該勒索軟體的原始碼可能會導致最終在公共網際網路上洩露,受眾更加廣泛,這也就意味著Dharma將在網路犯罪集團間廣泛擴散,最終導致攻擊增加。

這款勒索軟體的可怕之處在於是由資深黑客創造的高階勒索軟體,其加密方法非常先進,自2017年來一直無法解密,唯一一次解密是匿名黑客洩露了主解密金鑰,而非加密缺陷。

Dharma勒索軟體由來已久,自2016年夏天出現以來不斷更新的Dharma版本,每個黑客都在傳播自己獨特的Dharma版本。之後Dharma通過垃圾電子郵件大規模分發勒索軟體病毒。

研究人員表示,希望Dharma原始碼最終能被安全研究人員掌握,也許就能從源頭上發現該勒索軟體的加密缺陷並完成解密。

LYA:大家近期要小心釣魚郵件。



3、繼釘釘之後,谷歌課堂也遭“一星”攻陷


iOS 13.4被曝VPN漏洞;Dharma勒索軟體原始碼開售;“一星”攻陷谷歌課堂

近期,國外疫情日趨嚴峻,外國小學生也開始在家學習,並使用谷歌課堂(Google Classroom)這一軟體進行線上教學,與釘釘的命運軌跡極其相似,谷歌課堂也逃不過1星差評,應用排名迅速下降。


此前在2月份,我國疫情爆發初期,國內學校停課,紛紛轉移到釘釘教學,而小學生們瘋狂“轟炸”教學主力軍軟體釘釘,並在應用商店各種“一星差評”。TechNode曾對釘釘的負責人進行採訪,其負責人表示並沒有太在意評論,稱“愛玩是孩子們的天性”。


Google Classroom是一個由Google開發的免費應用程式,主要面向學校及非營利組織,它的目標是將傳統的教室變得無紙化,讓創作、分配和打分數都能在網路上進行。它能夠讓老師快速建立和整理作業,及時提供反饋意見並與課堂中的學生輕鬆溝通。


然而小學生卻紛紛打一星並評論:“希望它能趕緊下架,這樣就不用再遠端上課了”;“這應用就是個笑話” “老師們簡直是換了一種方式來‘折磨’我們”“這個應用就像一個噩夢,我們只想好好享受疫情帶來的假期”等。


此外,有的學生甚至建議學校用“我的世界”這款遊戲來教學。隨著時間的推移,學生們放過了釘釘,好評數也逐漸上升,在不久之後,谷歌課堂的情況也會逐漸好轉。

LYA:同一個世界,同一群小學生。


相關文章