報告顯示,iPhone 11 系列是目前蘋果最暢銷的機型,2020 年第一季度,iPhone 11 系列機型的銷量佔到了 iPhone 總銷量的三分之一以上。你的手機是 iPhone 還是安卓呢?
1、iOS 系統出現高危漏洞
近日,蘋果公司正計劃修復一個安全漏洞,此前研究人員曾表示這個漏洞可能導致 5 億部 iPhone 易受黑客攻擊。
據瞭解,該漏洞允許黑客遠端竊取 iPhone 和 iPad 上的資料,即便是最新版本的 iOS 。
攻擊者主要通過濫發郵件的方式感染目標裝置,以此耗盡目標裝置記憶體。
在 iOS 13.x 系列中,當系統自帶的郵件應用在後臺執行時,不需要使用者執行任何互動操作即可感染,使用者在遭到攻擊時無明顯感知,也就是說在鎖屏時也可以利用此漏洞發起攻擊。
在 iOS 12.x 系列上攻擊者需要使用者開啟垃圾郵件才可以利用漏洞 , 但是使用者開啟郵件不會發現有任何異常情況。
該安全漏洞自 2012 年的 iPhone 5 釋出時推出的 iOS 6.0 版到 iOS 13.4.1 (最新版) 均存在。
此外,該漏洞將允許訪問郵件應用程式可以訪問的任何內容,包括機密訊息。
研究人員 Zuk Avraham 表示,他有證據表明,至少有 6 次網路安全入侵活動利用了這個漏洞。早在 2018 年 1 月就有一個惡意程式利用了這個 iOS 移動作業系統漏洞,但無法確定黑客的具體身份。
蘋果公司承認,iPhone 和 iPad 上的電子郵件軟體(即 Mail 應用)存在漏洞,並表示該公司已經開發了一個修復程式,將在即將釋出的軟體更新中推出。在更新推送之前,建議使用者不要使用 iOS 系統自帶的郵件應用。
LYA:向來以安全著稱的 iOS 也會存在漏洞,資訊保安領域果然沒有絕對的安全。
2、黑客洗錢洩露後設資料,竊取加密貨幣被迫退回
近日,一名黑客從 dForce 竊取了價值 2500 萬美元的加密貨幣,竟在數日後重新還給了 dForce。
這個反轉究竟是怎麼一回事呢?
首先,黑客攻擊了 dForce 網路中的借貸協議 Lendf.Me 並盜取十多種價值 2500 美元的數字資產。
在攻擊過程中,黑客利用 ERC-777 標準與其他平臺的相容性問題,在進行 ETH-imBTC 交易時連續利用智慧合約提取資金,執行重入攻擊,反覆覆蓋自己的資金餘額,從而實現可提現資金的不斷翻倍,迴圈套利。
然而這種通過非法手段獲得的加密貨幣很難直接使用,為了躲過追蹤,黑客藉助交易所和 OTC 交易商的力量,通過數十次複雜的轉換手段來完成“洗錢”。
一般來說,在加密貨幣的世界中,一旦資金被轉移通常很難進行追蹤。
然而,在黑客使用1inch.exchange.com來交換一定比例的資金的過程中,卻意外留下了重要的後設資料。
這些後設資料洩露了黑客的重要資訊,比如 IP 地址、所使用的 Mac 電腦的系統語言設定為英語等。
此時 Lendf.Me 也開始藉助 CDN 展開調查,黑客迫於壓力,不得不退還這筆錢,最終退還 2430 萬美金,加密貨幣在轉換過程中受市場下跌損失 70 萬美元。
LYA:這件事的反轉啟發我們最重要的還是資訊保安,加密貨幣也逃不過。
3、谷歌釋出 Chrome 緊急補丁
近日,谷歌為為 Chrome瀏覽器釋出了一個緊急修復補丁,並敦促使用者儘快安裝。
為給使用者留下充足的時間安裝更新,谷歌暫未透露有關於CVE-2020-6457漏洞的詳細資訊,目前確認 CVE-2020-6457 為“use after free”型別漏洞。
該漏洞是由 Sophos 公司的研究人員發現的,攻擊者可利用 CVE-2020-6457 在受害者不知情的情況下遠端執行程式碼和未受信任的指令碼。
研究人員在一篇博文中表示,該漏洞允許黑客 "改變你的程式內部的控制流,包括轉移CPU來執行攻擊者剛剛從外部戳入記憶體的非信任程式碼,從而繞過任何瀏覽器通常的安全檢查或'你確定嗎'對話方塊。"
CVE-2020-6457 影響廣泛,Windows、macOS 和 GNU/Linux 使用者均會受到影響,高達 20 億使用者。
如果你是 Chrome 瀏覽器使用者,那麼你可以通過訪問幫助>關於 Google Chrome 瀏覽器,來檢查更新和安裝的版本,確保你執行的是 v81.0.4044.113 或以上版本。
LYA:儘快安裝更新!