各位Buffer早上好,今天是2019年2月1日星期五。今天的早餐铺内容有:与Facebook犯同样的错,谷歌也违规收集用户数据;iCloud曾出现隐私泄露漏洞,但被苹果公司隐瞒;阿联酋使用间谍工具入侵反对者的 iPhone;安装量达数百万的安卓应用收集用户自拍并推送色情广告;Ubuntu 18.04 修复 Linux 内核的 11 个漏洞。
与Facebook犯同样的错 谷歌也违规收集用户数据
“企业证书”的目标是在一家企业内部使用,不面向公众,但在苹果撤回Facebook使用的证书后,谷歌被发现也存在同样的问题,涉及它发布的一款被称作“Screenwise Meter”的应用。TechCrunch刊文称,与目前已经遭到封杀的Facebook Research应用非常相似的是,Screenwise Meter也使用户通过安装一款VPN应用,监视用户的上网数据,向用户赠送礼品券。与Facebook的应用一样的是,Screenwise Meter也不是通过正规途径安装到安装有企业证书的iOS设备上的。苹果内部消息人士向AppleInsider报料:公司高管在讨论与Screenwise Meter有关的问题。[来源:cnbeta]
iCloud曾出现隐私泄露漏洞,但被苹果公司隐瞒
上周,土耳其安全研究员向外媒报料称其发现苹果服务中存在漏洞。利用这个漏洞,可以看到随机iCloud账户的部分数据,尤其是一些备忘录内容;此外,如果知道特定iCloud账户的关联手机号,还能获取更多信息。事实上,该研究员早在2018年10月就发现了这个漏洞并上报给苹果安全团队,而苹果则在11月悄悄修复了漏洞并反馈称早就解决了这个问题。当然,苹果并没有对外公开该漏洞信息。在近期的媒体质询中,也没有给出详细回复。[来源:thehackernews]
阿联酋使用间谍工具入侵反对者的 iPhone
为阿联酋工作的前美国情报工作人员使用名为 Karma 的间谍工具入侵活动人士、外交官和敌对国家领导人的 iPhone。这种先进的间谍工具让阿联酋能从 2016 年起监视数以百计的目标,从卡塔尔王公到土耳其高级官员,到也门获得诺贝尔和平奖的人权活动人士。从事入侵的阿联酋间谍机构代号为 Project Raven,前 Raven 成员称 Karma 通过上传手机号码或电子邮件账号到一个自动目标系统,就能获得对 iPhone 的远程访问。该工具的限制是不能在 Android 设备上运行,也不能监听电话呼叫。但其优点是无需目标点击发送到 iPhone 上的链接。目前不清楚阿联酋是否还在使用 Karma,前情报工作人员称苹果在 2017 年底发布的安全更新让 Karma 不再有效。Karma 是阿联酋从第三方购买到的,开发者身份未知,它可能利用了苹果的 iMessage 中的一个漏洞。[来源:solidot]
安装量达数百万的安卓应用收集用户自拍并推送色情广告
研究人员发现,Google Play Store中数十款安卓相机应用暗中收集用户数据,并推送恶意/色情广告和虚假更新信息,同时还通过隐藏目录来避免被卸载。其中,某些应用的下载量超过100万次。来自Trend Micro的安全专家将这些应用分为两类,一类是美化图片的相机;一类是给快照加滤镜的相机。目前,这些APP已经从Google Play商店中移除。[来源:bleepingcomputer]
Ubuntu 18.04 修复 Linux 内核的 11 个漏洞
Canonical 修复 Ubuntu 18.4 LTS Linux 内核的安全性问题,漏洞影响 Ubuntu 和其所有的衍生版本,例如:Kubuntu、Lubuntu、Ubuntu GNOME、Ubuntu Budgie、Ubuntu Kylin和Ubuntu Studio,以及其他以 Ubuntu 作为底层的第三方系统。在这次更新中共解决 11 个安全性问题,其中包括 7 个漏洞,这些漏洞包括缓冲区溢出和越界写入等问题,攻击者利用恶意构建的 EXT4 镜像执行任意代码,或通过拒绝服务的方式导致系统崩溃。 该版本还解决了在 linux 内核的 vsock 地址实现中发现的竞争条件(CVE-2018-14625),这将导致其地址可以被免费使用,从而可以在虚拟机中本地攻击者的获取本地主机的敏感信息。[来源:cnbeta]
来源:freebuf.com 2019-02-01 07:00:17 by: AngelaY
请登录后发表评论
注册