易盾业务风控周报每周呈报值得关注的安全技术和事件,包括但不限于内容安全、移动安全、业务安全和网络安全,帮助企业提高警惕,规避这些似小实大、影响业务健康发展的安全风险。
1.盘古实验室对外披露ZipperDown漏洞
盘古实验室在针对不同客户的iOS应用安全审计过程中,发现了一类通用的安全漏洞ZipperDown,攻击者可以通过该漏洞对应用程序进行破坏,让应用功能和权限受到影响,目前已经排查出约10%的iOS应用可能有此问题,这些大概有15979个应用,其中包括大量的主流APP。
2.墨西哥银行支付清算系统遭攻击,银行被盗款项数额不明
近日,墨西哥央行企业支付和服务系统的局长Lorenza Martinez表示,央行的银行间电子支付系统 (SPEI) 至少遭受了五次攻击。多家银行遭攻击,被盗款项不明。
Martinez 指出,某些交易并未得到相关银行的承认。在某些情况下,这些转账在目的地银行得以完成,并被以现金形式提取。
3. 谷歌修复导致数百万网页游戏崩溃的Chrome漏洞
Google最近发布了一项Chrome更新,该更新修复一个导致数百万网页游戏崩溃的漏洞,该漏洞会导致各种神奇的报错,其中一些会使游戏无法播放音频文件。这个漏洞是在4月中旬的Chrome 66版本被发现的。该版本的一大特点是它能够阻止带有自动播放音频的网页,虽然该功能是针对带有广告及自动播放视频的页面,但它显然具有副作用,会意外导致HTML5和基于JS的网页游戏强制静音。
4. PANDA Banker恶意软件攻击银行机构、加密货币交易平台及社交媒体
安全公司 F5 近日发布报告,称黑客利用 PANDA Banker 恶意软件频繁攻击银行机构、加密货币交易平台以及社交媒体。PANDABanker 的主要特征是窃取账号和凭证,进而利用“man in the browser”攻击窃取受害者财物。 F5 表示,PANDA Banker 持续针对日本公司发起攻击,同时,美国、加拿大以及拉丁美洲的金融机构也没能幸免。报告表明,PANDA Banker 最初只攻击全球的金融服务,但随着全球掀起加密货币热潮,在线加密货币交易服务也成了 PANDA Banker 的目标。社交媒体、搜索网站、电子邮件甚至×××等可能被用于挖矿的途径也都纷纷沦陷。
5.暴走漫画内部整顿停止更新:多个APP无限期关停!
继今日头条、新浪微博、优酷出现内容审查之后,爱奇艺也宣布对平台上“暴走漫画”的内容进行处理。5月17日晚间,暴走漫画联合创始人兼CEO任剑在微博就侮辱先烈事件发布致歉声明,并宣布即日起内部整顿,下线《暴走大事件》等全线视频节目并停止更新,对暴走漫画官方网站、暴走漫画app、暴走日报app进行无限期关停。
6. 26%的公司忽略安全漏洞,借口是没有时间去修复!
上个月在RSA安全大会上收集的一项调查显示,尽管大多数公司都采取了合适的安全措施,但其中一些公司甚至故意忽视安全缺陷,其原因包括缺乏时间和缺乏专业技术等各种原因。该调查汇集了来自RSA会议公司的155位安全专业人员的答案,结果显示只有47%的组织在得知消息后立即修补漏洞。最令人担忧的是,部分公司在漏洞出现之后等待相当长的一段时间才打好补丁。
调查显示,并非所有公司都使用补丁。大约26%的受访者表示,他们的公司忽视了一个严重的安全漏洞,因为他们没有时间去修复它。
7. DDoS放大攻击新手段:利用UPnP协议绕过防御
研究人员发现,黑客现在采用新的手段来对抗反DDoS方案。黑客会使用通用即插即用(UPnP)协议来掩盖网络数据包的源端口。DDoS解决方案公司Imperva表示,它发现至少有两次DDoS攻击用到了这种技术。问题的来源在于通用即插即用(UPnP)协议,这个协议原本的目的是简化在本地网络上发现附近设备的过程。
此功能能够被用来穿透NAT,网络管理员也可以远程访问内网里的服务。使用UPnP进行DDoS可以达到显著的效果,因此如果没有意外的话会被黑客们广泛使用。建议大家如果没有使用的需要就把路由器的UPnP功能关闭。
8. 近400个政企网站感染Coinhive恶意软件,秘密挖掘加密货币
来自 Bad Packets Report 的安全研究员Troy Mursch 发现,使用过时版本的 Drupal 内容管理系统的一些网站正在成为黑客挖掘加密货币的受害者。这次活动袭击了约 400 个网站,虽然主要目标是美国的政府机构和教育机构,但多家科技公司的网站也感染了该病毒。
原文地址:http://blog.51cto.com/13610827/2120849