報告顯示,iPhone 11 系列是目前蘋果最暢銷的機型,2020 年第一季度,iPhone 11 系列機型的銷量佔到了 iPhone 總銷量的三分之一以上。你的手機是 iPhone 還是安卓呢?
1、iOS 系統出現高危漏洞
近日,蘋果公司正計劃修復一個安全漏洞,此前研究人員曾表示這個漏洞可能導致 5 億部 iPhone 易受黑客攻擊。
據瞭解,該漏洞允許黑客遠程竊取 iPhone 和 iPad 上的數據,即便是最新版本的 iOS 。
攻擊者主要通過濫發郵件的方式感染目標設備,以此耗盡目標設備內存。
在 iOS 13.x 系列中,當系統自帶的郵件應用在後臺運行時,不需要用戶執行任何交互操作即可感染,用戶在遭到攻擊時無明顯感知,也就是說在鎖屏時也可以利用此漏洞發起攻擊。
在 iOS 12.x 系列上攻擊者需要用戶打開垃圾郵件才可以利用漏洞 , 但是用戶打開郵件不會發現有任何異常情況。
該安全漏洞自 2012 年的 iPhone 5 發佈時推出的 iOS 6.0 版到 iOS 13.4.1 (最新版) 均存在。
此外,該漏洞將允許訪問郵件應用程序可以訪問的任何內容,包括機密消息。
研究人員 Zuk Avraham 表示,他有證據表明,至少有 6 次網絡安全入侵活動利用了這個漏洞。早在 2018 年 1 月就有一個惡意程序利用了這個 iOS 移動操作系統漏洞,但無法確定黑客的具體身份。
蘋果公司承認,iPhone 和 iPad 上的電子郵件軟件(即 Mail 應用)存在漏洞,並表示該公司已經開發了一個修復程序,將在即將發佈的軟件更新中推出。在更新推送之前,建議用戶不要使用 iOS 系統自帶的郵件應用。
LYA:向來以安全著稱的 iOS 也會存在漏洞,信息安全領域果然沒有絕對的安全。
2、黑客洗錢洩露元數據,竊取加密貨幣被迫退回
近日,一名黑客從 dForce 竊取了價值 2500 萬美元的加密貨幣,竟在數日後重新還給了 dForce。
這個反轉究竟是怎麼一回事呢?
首先,黑客攻擊了 dForce 網絡中的借貸協議 Lendf.Me 並盜取十多種價值 2500 美元的數字資產。
在攻擊過程中,黑客利用 ERC-777 標準與其他平臺的兼容性問題,在進行 ETH-imBTC 交易時連續利用智能合約提取資金,執行重入攻擊,反覆覆蓋自己的資金餘額,從而實現可提現資金的不斷翻倍,循環套利。
然而這種通過非法手段獲得的加密貨幣很難直接使用,為了躲過追蹤,黑客藉助交易所和 OTC 交易商的力量,通過數十次複雜的轉換手段來完成“洗錢”。
一般來說,在加密貨幣的世界中,一旦資金被轉移通常很難進行追蹤。
然而,在黑客使用 1inch.exchange.com 來交換一定比例的資金的過程中,卻意外留下了重要的元數據。
這些元數據洩露了黑客的重要信息,比如 IP 地址、所使用的 Mac 電腦的系統語言設置為英語等。
此時 Lendf.Me 也開始藉助 CDN 展開調查,黑客迫於壓力,不得不退還這筆錢,最終退還 2430 萬美金,加密貨幣在轉換過程中受市場下跌損失 70 萬美元。
LYA:這件事的反轉啟發我們最重要的還是信息安全,加密貨幣也逃不過。
3、谷歌發佈 Chrome 緊急補丁
近日,谷歌為為 Chrome 瀏覽器發佈了一個緊急修復補丁,並敦促用戶儘快安裝。
為給用戶留下充足的時間安裝更新,谷歌暫未透露有關於 CVE-2020-6457 漏洞的詳細信息,目前確認 CVE-2020-6457 為“use after free”類型漏洞。
該漏洞是由 Sophos 公司的研究人員發現的,攻擊者可利用 CVE-2020-6457 在受害者不知情的情況下遠程執行代碼和未受信任的腳本。
研究人員在一篇博文中表示,該漏洞允許黑客 "改變你的程序內部的控制流,包括轉移CPU來運行攻擊者剛剛從外部戳入內存的非信任代碼,從而繞過任何瀏覽器通常的安全檢查或'你確定嗎'對話框。"
CVE-2020-6457 影響廣泛,Windows、macOS 和 GNU/Linux 用戶均會受到影響,高達 20 億用戶。
如果你是 Chrome 瀏覽器用戶,那麼你可以通過訪問幫助>關於 Google Chrome 瀏覽器,來檢查更新和安裝的版本,確保你運行的是 v81.0.4044.113 或以上版本。
LYA:儘快安裝更新!
