Cyber Security

今年6月，資安公司趨勢科技揭露了一個名為Void Arachne的駭客組織攻擊活動。該組織專門針對簡體中文用戶，假冒提供中國常見的應用程式和人工智慧工具，試圖在受害者的電腦上安裝惡意程式Winos 4.0。目前，其攻擊手法已有所變化。 根據資安業者Fortinet，他們觀察到最新一波Winos 4.0的攻擊中，攻擊者聲稱提供遊戲安裝程式和優化工具。一旦受害者執行安裝，系統會從特定網域搜尋BMP圖片檔，並通過XOR演算法解碼，以獲取名為you.dll的程式庫。 接下來，這個DLL檔案將設置攻擊環境，並下載三個偽裝成BMP圖片的文件，這些文件接著轉儲為TMP檔。 在此過程中，攻擊者解開其中一個TMP檔案的密碼，提取無害的u72kOdQ.exe、MSVCP140.dll和VCRUNTIME140.dll。他們再利用XOR金鑰處理另一個TMP檔，解開惡意libcef.dll。最後，再從第三個TMP檔中提取DLL庫，用於加載並注入Shell...

研究人員的調查結果揭示了一個令人擔憂的事實，Apple的M系列處理器存在安全漏洞。這個漏洞允許攻擊者利用一種名為GoFetch的微結構旁路攻擊手法，透過資料記憶體依賴預取器（Data Memory-dependent Prefetcher，簡稱DMP），在執行常數時間的加密演算法過程中，從其中擷取出機密的金鑰。 這個發現讓我們不得不重新審視我們的安全防護措施。研究人員現在已經實現從OpenSSL的Diffie-Hellman、Go RSA，以及CRYSTALS專案的Kyber與Dilithium加密演算法中擷取出機密的金鑰。值得注意的是，目前已知受到這一漏洞影響的Apple處理器包括M1、M2和M3三種型號。研究人員在他們的報告中特別強調，雖然Intel的第13代Raptor Lake微結構同樣也有DMP，但是因為其啟動標準更為嚴格，所以相對來說具有更強的抵抗GoFetch攻擊的能力。 GoFetch攻擊的成敗關鍵在於常數時間程式開發的理解。常數時間程式開發是一種程式設計的範式，它的目的是確保所有操作花費相同的時間，從而增強程式碼抵禦旁路攻擊的能力。在非常數時間的演算法中，加密程式可能會因為不同的輸入或是金鑰，導致執行速度有快有慢，這就讓攻擊者有機會透過測量這些時間差，從而獲得加密過程或是金鑰的資訊。 要達到常數時間程式開發的要求，程式碼中不能包含依賴機密的分支、迴圈和控制結構。此外，由於攻擊者也可以觀察到CPU快取對於不同記憶體位置的延遲，並由此推斷出儲存在記憶體中的資訊，因此常數時間演算法還不能以任何方式混合資料和位置，並禁止使用相依於機密的記憶體存取或是陣列索引。 然而，就算加密演算法按照常數時間程式開發的原則，把資料與記憶體位址分開，但GoFetch攻擊仍然有可能成功。這是因為由於DMP的存在，仍然可能產生與機密資料相依的記憶體存取行為。這種機制導致常數時間的演算法實際程式執行時間變得不一致，而這種時間變化就可被攻擊者觀察並利用，進一步擷取出金鑰以破解加密。 DMP是一種CPU功能，它在Apple的M系列CPU上都有。研究人員對M系列CPU進行逆向工程的過程中，發現DMP會啟動並嘗試解引用（Dereference），從類似的記憶體位置載入資料。研究人員在報告中指出，這種DMP機制明顯違反了常數時間程式開發範式中，禁止混合資料和記憶體存取模式的規定。 攻擊者可以利用這種漏洞，精心設計加密操作以猜出金鑰。他們可以安排加密操作的輸入，只有當猜中金鑰部分位元時，才出現類似指標的值。然後，他們可以透過分析快取時序，監控DMP是否執行解引用來驗證他們的猜測。如此一來，研究人員就可以逐一猜測金鑰的位元。根據研究人員發表的論文，他們已成功破解了包括OpenSSL Diffie-Hellman金鑰交換、Go RSA解密和後量子加密演算法CRYSTALS-Kyber和CRYSTALS-Dilithium等4種熱門的常數時間加密實作。 事實上，在GoFetch問題被揭示之前，就已經有安全研究人員發展出了名為Augury的攻擊方法。他們發現了Apple...

知名的勒索软件LockBit，早在之前就已经被多国政府密切关注。最近，有消息传出，全球警方已联手成功攻陷了LockBit。根据科技新闻网站《BleepingComputer》的报道，LockBit在暗网上的数据泄露网站已经出现了被扣押的信息。同时，专注于收集恶意软件源代码的vxunderground也在社交媒体X上公开了这一消息。 对于LockBit被成功攻陷的消息，并没有让人感到意外。去年5月，美国、澳大利亚、加拿大、英国、法国、德国和新西兰的网络安全机构就曾联合发布了一份有关LockBit的研究报告。报告指出，LockBit是2022年和2023年全球最活跃的勒索软件团队之一，全球受害组织超过1,653个，仅美国的受害者就支付了超过91,000,000美元的赎金。 根据《BleepingComputer》的截图，多国执法机构已经接管了LockBit的数据泄露网站。LockBit的员工也向vxunderground确认，他们已经被美国联邦调查局（FBI）成功攻陷。LockBit联盟的成员在尝试登录时，已经看到了平台已被FBI、英国和欧洲刑警组织接管的信息。这个信息指出，国际警方已经获取到了LockBit的源代码、受害者信息、赎金金额、被盗取的数据，以及聊天记录等。 英国的国家犯罪调查局（National Crime Agency，NCA）已经向媒体确认了这一消息，并计划在本周公布更多详细的信息，以便公众能够了解到更多关于这次行动的细节。 Source : iThome

專門開發監視器以及各式各樣的數位家庭產品的Wyze Labs在本週向公眾坦承，上周五（2/16）他們的服務在短時間內中斷並再次重啟之後，出現了一個嚴重的安全問題。這項問題導致大約1.3萬名用戶能夠看到來自其他帳號的縮圖以及監視影片。他們已經立即修復了這個問題，並且採取了一些必要的預防措施。他們也開始著手寄發郵件通知所有的用戶，詳述了事件的經過以及他們未來將如何防範這類事件再次發生。 Wyze透露，這次服務中斷事件的主因在於他們的合作夥伴AWS。在上周五的凌晨時分，所有的Wyze裝置都暫時停擺了數小時。當他們試圖將所有的裝置重新連接上線時，有一些用戶發現他們在自己的事件（Events）標籤中，看到的縮圖和事件影片（Event Videos）不是自己的，而是其他人的。這個驚人的發現促使該公司立即展開調查。 經過調查後，他們確認了大約有1.3萬名用戶收到了來自其他人家中監視器的縮圖。其中，有1,504名用戶點選了這些縮圖。大部分的點選行為只會導致縮圖放大，但也有一些例子可以直接看到完整的事件影片。整體而言，約有0.25%的Wyze帳號受到了這次事件的影響。 Wyze表示，這次的安全意外主要是因為他們最近在系統上整合了一個第三方的快取客戶端函式庫。然而，此函式庫無法承受大量的裝置同時重新上線，結果負載過大，導致它混淆了裝置ID與用戶ID，進而把某些資料錯誤地連結到了錯誤的帳號。 為了確保這種情況不再發生，該公司在用戶連至事件影片時新增了一層額外的驗證機制。他們也修改了系統以繞過快取檢查，並且正在尋找其他可以通過壓力測試的新快取客戶端函式庫。 2017年成立的Wyze在過去數年中有許多爭議。除了被Johnson Controls的子公司Sensormatic以及小米控告侵犯專利之外，他們在2019年曾經外洩了240萬名用戶的個人資料。此外，他們也曾經被資安業者Bitdefender批評，指出他們沒有及時修補一個可能被用來存取SD卡內容的安全漏洞。 Source : iThome

據外媒報導，Telegram 最近收到巴西當局的通知，指其將不能在巴西繼續提供服務，巴西當局指出 Telegram 團隊未有應巴西政府的要求移除一些內容。 Telegram 總裁 Pavel Durov...

Facebook 的政策一向都是令用戶困惑，之前 Facebook 推出了『Facebook Protect』的新功能，協助企業、組織或者知名人士保護其帳戶不會被入侵，不過這個功能以往是由用戶自行選擇開啟與否。不過最近 Facebook 就向認為需要加強保安的用戶強制要求開啓這個功能，如用戶不啟用則有可能無法使用。 Facebook...

現今 VPN 服務已經很昔及，使用 VPN 雖然以提升網絡安全，為私隱帶來了保護的效果，不過其實現在的追蹤技術也越來越先進，所以即使用了 VPN 也有可能還是被追蹤得到。最近...

去年 8 月，NortonLifeLock 提出以 86 億美元現金和股票，以網絡交易方式收購在英國倫敦上市的競爭對手 Avast。但英國競爭與市場管理署表示，擔憂市場出現低競爭環境，對消費者可能帶來不利。 英國競爭與市場管理署...

安全廠商 Qualys 早前發現一個隱藏了 12 年的安全漏洞，一直都沒有被人發現，編號為 CVE-2021-4034 的漏洞...

一直以來，蘋果都強調自家開發的 Safari 瀏覽器注重用戶的私隱，包括推出防追蹤功能，不過近日外媒報導，Safari 15 中處理 IndexedDB API...