>【安全帮】18年的漏洞未彻底修复 黑客几秒内破解特斯拉ModelS – 游侠安全网 | xxx>【安全帮】18年的漏洞未彻底修复 黑客几秒内破解特斯拉ModelS – 游侠安全网 – xxx
菜单






>【安全帮】18年的漏洞未彻底修复 黑客几秒内破解特斯拉ModelS – 游侠安全网

八月 31, 2019 - 游侠安全网

18年的漏洞未彻底修复 黑客几秒内破解特斯拉ModelS

2018年安全团队COSIC曾演示过在短短几秒内完成破解特斯拉Model S,这主要利用了特斯拉Model S中PKES(无钥匙进入系统)与无线钥匙的认证过程中存在的安全问题,从而让黑客可以在几秒内复制汽车钥匙将汽车偷走。根据《连线》本周二发布的一篇报道称,特斯拉最新发布的车钥匙同样非常脆弱。来自比利时大学的科研团队发现新款车钥匙中同样存在原先的漏洞,不过破解过程需要更长的时间并且需要靠的更近才能完成。值得庆幸的是,特斯拉再次迅速作出反应,并已推出其软件更新,这将允许用户在几分钟内基本上将他们的表盘重新闪存在他们的汽车中。造成车钥匙问题的关键在于它们的加密方式。

参考来源:

https://nosec.org/home/detail/2910.html

 

1000万条个人信息泄露,阜阳49人被抓

近日,阜阳公安破获一起侵犯公民个人信息犯罪,抓获涉嫌侵犯公民个人信息的违法犯罪人员49名,查获公民个人信息1000余万条。经查,以王某某、韦某某等人为首的犯罪团伙利用非法采集软件网上批量导出求职网站的个人信息,并通过购买、交换等方式非法获取个人姓名、电话号码等信息,再提供给阜阳本地多家互联网服务公司,用于业务推广,从而达到非法牟利的目的。

参考来源:

https://nosec.org/home/detail/2912.html

 

隐私安全遭质疑:ZAO修改用户协议 新增“删除”功能

近日,一款名为“ZAO”的换脸软件在朋友圈刷屏,但因其用户协议被网友指称“霸王条款”而引发争议,包括:用户上传发布内容后,意味着同意授予ZAO及其关联公司以及ZAO用户在“全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利”,部分人呼吁大家不要盲目跟风。随后ZAO修改了其用户协议内容,在用户协议的开头部分增加了“特别提示”。除此之外,最具争议的用户协议第六条有明显更改,疑似回应用户对其隐私泄露质疑。

参考来源:

https://www.cnbeta.com/articles/tech/884451.htm

 

装有赛门铁克防病毒软件的 Windows 7 设备现可继续获得更新

在8月14日宣布的调整中,微软阻止了部分Windows 7和Windows Server 2008 R2设备安装使用SHA-2签名的更新。这些设备主要安装了赛门铁克(Symantec)和诺顿(Norton)防病毒软件,由于在新版更新中不再兼容SHA-1签名,因此微软阻止了这些设备进行升级。赛门铁克在公告中表示解决了这个问题:赛门铁克已完成对此更新的影响以及对Windows 7 / Windows 2008 R2的未来更新的评估,并确定所有现场版本的Symantec Endpoint Protection都不会增加误报检测的风险。适用于Windows 7的2019年8月更新汇总就是只通过SHA-2签发的,那些装有无法处理SHA-2码签名支持软件的设备将会被阻止更新升级。8月31日,微软已经确认将会阻止安装Symantec Antivirus和Norton Antivirus防病毒产品的PC进行升级,因为均无法处理SHA-2证书。

参考来源:

https://www.cnbeta.com/articles/tech/873573.htm

 

攻击者使用Orcus攻击政府和金融组织

安全研究人员发现了多个针对全球政府和金融实体的恶意攻击活动,攻击者使用Revenge和Orcus远程访问特洛伊木马(RAT)攻击。攻击活动通过几种独特的策略、技术和程序(TTP)链接在一起,使用了C2基础架构混淆、分析规避以及无文件攻击等持久化技术。

参考来源:

https://www.freebuf.com/news/212911.html

 

亚马逊前工程师非法入侵服务器进行挖矿活动被起诉

据geekwire报道,美国一联邦大陪审团对亚马逊前工程师Paige Thompson发起诉讼,因其犯有多项网络欺诈和计算机欺诈罪。据悉,Thompson被指控在侵入Capital One和其他 30 多家公司的云服务器后,不仅窃取了数据,还进行加密货币挖矿活动。起诉书指控Thompson森利用云服务器上配置错误的网络应用防火墙非法访问云计算公司的客户的数据。除了Capital One,其他受害方还包括一家国家机构、一家外国电信集团和一所公共研究大学。其中,据称Thompson获得了约 1 亿Capital One信用卡的客户的信息。据调查人员称,Thompson似乎没有出售或分享这些信息。当局称,Thompson如果被判有罪,将面临最高 25 年的监禁。

参考来源:

https://www.cnbeta.com/articles/tech/883675.htm

 

云服务已成为新的攻击热点

公共云越来越受欢迎,2018年报告的云基础设施总开支增长了45.6%。亚马逊AWS保持领先地位,在云服务提供商市场占有31.3%的份额,其次是微软Azure和谷歌云平台。云服务提供商(CSP)提供各种“服务”模型,使企业能够灵活地扩展操作,而不必担心基础设施。但是,一个不安全的配置可能会使整个基础设施处于危险之中。根据NIST国家漏洞数据库(NVD),AWS、Azure和GCP各自在2018年的CVE少于20个,而Windows或Linux每年发现数千个漏洞。但在所有的CSP中,云安全事件经常出现,例如泄露投票机密码、泄露印度公民记录和泄露用户工作档案等。Redlock、Netskope和McAfee之前的研究表明,大多数云安全事件都是由云客户的错误配置造成的,而不是由CSP造成的。虽然一些安全责任已经从用户逐渐转移到了CSP,但是用户仍要负责一些安全设计和决策。

参考来源:

https://www.freebuf.com/articles/network/211298.html

相关文章

>【安全帮】18年的漏洞未彻底修复 黑客几秒内破解特斯拉ModelS - 游侠安全网








Notice: Undefined variable: canUpdate in /var/www/html/wordpress/wp-content/plugins/wp-autopost-pro/wp-autopost-function.php on line 51