2014年10月28日 星期二

安卓手電筒App 竊GPS個資

安卓手電筒App 竊GPS個資


不少智慧型手機用戶會下載免費手電筒App,除可夜間照明,還能在演唱會製造手機燈海。但美國專家警告,部分安卓系統手電筒App會趁機竊取使用者資料,提供給第三方廣告商、市調機構,甚至被罪犯利用。

英國《每日郵報》前天報導,美國網路安全公司SnoopWall日前調查前10名熱門安卓系統免費手電筒App,發現這些App竟存取用戶GPS定位與Wi-Fi連線紀錄等,甚至會刪除手機內USB儲存內容。

鏡頭貼膠帶防偷拍

其中以「Super-Bright LED Flashlight」存取項目最多,「Brightest Flashlight Free」、「High-Powered Flashlight」、「Brightest LED Flashlight」等也有隱私疑慮,約數百萬安卓用戶受影響。

報告稱,這10款手電筒App全都存取拍攝錄影功能,其中3款可追蹤GPS紀錄、4款可刪除手機USB儲存內容。對此Google回應,會移除違規App。SnoopWall建議,下載App前詳閱存取說明,非必要時可關閉GPS及藍牙、在鏡頭及麥克風貼紙膠帶防偷拍、竊聽。SnoopWall也開發安全手電筒App「Privacy Flashlight」供下載。

轉載自《蘋果日報

2014年10月27日 星期一

顯示電信業者別 M+判違個資法

顯示電信業者別 M+判違個資法

台灣大哥大公司利用手機可攜碼資料庫,開發名為M+Messenger的APP通訊軟體,交由關係企業酷樂公司推廣,消費者下載後,手機通訊錄會顯示朋友手機是哪家電信公司,有民眾主張違反個人資料保護法,起訴索賠五百元;台北地方法院認定台哥大違法利用資料庫內容,侵害人格權,應與酷樂公司連帶賠償五百元

據了解,另有其他手機用戶陸續向台北地院起訴M+違反個資法,除索賠外,並要求刪除資料。根據管理資料庫的電信技術中心官網揭示,資料庫有約二千八百萬筆手機號碼資料,扣除公司門號,潛在求償群十分可觀,若後續有其他消費者跟進訴訟,將衍生為個資法實施以來最大宗的賠償案。

台哥大及酷樂否認違法,委由律師主張,M+是為讓消費者判斷朋友的門號屬網內或網外,以節省話費支出的合理使用,符合公共利益;且電信業者別是公開資訊,無關個人資料,NCC也要求業者提供「57016」專線供消費者查詢。

國家通訊傳播委員會(NCC)開放手機可攜碼服務後,各家電信業者依管理辦法共同建置資料庫,並通報、提供、查詢、交換攜碼用戶資料,再授權電信技術中心匯整管理提供給各業者。

台灣隱私權顧問協會前秘書長劉佐國前年將手機攜碼由中華電信轉到遠傳,後因朋友下載M+的APP程式,他從朋友手機上看到顯示他的手機是哪一家電信公司。劉認為,各電信公司不能將資料庫用於商業行銷,開發程式供民眾下載營利;且依管理辦法規定,資料庫適用個資法,並應保密

劉提告主張,手機門號的業者別足以間接識別其個人資料,台哥大及酷樂共同不法蒐集、利用,侵害他人格權,兩家公司應連帶賠償五百元。

法官朱耀平指出,電話門號與身分證號碼、姓名及其他社會資料相互比對、組合、連結、勾稽,可間接識別出特定人。門號所屬的電信業者別,同樣可間接識別個人的社會活動,也受個資法,若任意蒐集、利用,藉以間接識別特定個人,會有使當事人遭不當窺探、侵擾或行銷的危險

判決指出,台哥大未經劉同意,將劉的電話業者別資料傳給他人,已逾越合理利用資料庫範圍,侵害劉的人格權。至於「57016」專線,只供查詢網內或網外,與M+揭露那家業者不同。

台灣大:將提上訴

台灣大哥大表示,M+Messenger設計時,基於服務消費者,透過標示電信業者的功能設計,希望用戶可以利用網內互打,控制通話費;對於用戶有認知上的不同,表示遺憾,對法院判賠將會提出上訴。

延伸閱讀:

電信業者別 重要嗎?

「我爭的是個人資料的尊嚴」,起訴要求台哥大賠償的劉佐國指出,企業應該更尊重個人資料、尊嚴及個人感受。

劉佐國說,很多人可能會想,手機號碼的業者別有什麼重要?但的確有人因此受到影響。例如,曾有一位女子向台灣隱私權顧問協會投訴,指上司有意追求,每天打電話給她。她不好拒絕,就換電信公司,並委婉告知上司,別花費太多錢打電話。不料上司說,沒關係,他下載了M+,他的門號已轉至與她同家電信公司。女子氣炸了,打電話反映,但酷樂公司表示「一切合法」。

他指出,在訴訟前,他曾向台哥大及國家通訊傳播委員會反映M+違反個資法的情形,但沒有受到重視;起訴後第一次調解庭,他也向對方律師建議,如果台哥大願意改正,他就撤告,但律師堅持台哥大沒有錯,官司只好打到底。

劉佐國曾任職法務部,參與個人資料保護法的研修,已退休,目前是台灣隱私權顧問協會的義務顧問。

轉載自《UDN聯合新聞網

2014年10月23日 星期四

以sagan解析網站Log 即時監控惡意存取行為

把網站伺服器CLF通用記錄格式 轉為syslog比對規則
以sagan解析網站Log 即時監控惡意存取行為

檢視系統紀錄,透過異常的狀況找出惡意存取的行為,看似簡單其實非常複雜,若沒有相關工具輔助,猶如大海撈針。對此,本文將網站紀錄轉換成syslog格式,並傳遞給sagan比對,善用sagan所定義的規則來找出惡意的網站存取行為。

身為系統管理者,應該沒有人會忽視系統紀錄(Log)的重要性,隨時檢視系統紀錄來查看是否有異常的紀錄,相信也是系統管理者每天常態的工作項目之一,但原始的系統紀錄過於繁雜,如果沒有工具的輔助,是很難從中看出任何端倪,也因此有了sagan之類的工具。

sagan是一套利用即時監控系統Log紀錄來與所設定的規則(Rule)比對,並記錄符合規則樣式的主機型入侵偵測系統,但其美中不足的地方在於,sagan僅支援syslog格式的紀錄,對網站的紀錄格式則有力有未逮之憾,因此本文將介紹如何將網站紀錄轉換成syslog格式,並傳遞給sagan做為比對,利用sagan所定義的規則來辨識出惡意的網站存取行為。表1所示為本次所使用到軟體。

表1 實作所需軟體 


syslog說明

syslog是一種應用在網路中傳遞紀錄檔訊息的標準,採用主從式(Client-Server)的架構,其中用戶端(Client)利用UDP或TCP的通訊協定傳送出一個標準的文字訊息(小於1,024位元組)到伺服器端(Server)來進行儲存。

由於其採用主從式架構,所以可以很容易地實現遠端儲存的功能(將個別主機上的相關syslog資訊儲存到遠端的syslog伺服器上)。基本上,除非有做特殊的處理,不然相關syslog的日誌資料都是以明碼型態來傳送。

syslog將資訊分成四個欄位,如圖1所示。其中的「時間」欄位為記錄此syslog事件發生的日期與時間,「主機」欄位記錄發生此事件的主機名稱,如圖1中的spampc,「程式名稱」欄位則記錄發生此事件的服務名稱,如圖1內的sshd,而最後的「內文」欄位,則記錄訊息的實際描述資料內容。


▲圖1 syslog資訊內容格式。

在說明完syslog的格式後,接著介紹Linux常用的紀錄檔案名稱與說明,如表2所示,建議讀者平時就要多留意這些檔案的內容,以便能更詳盡地了解系統的情況。

表2 Linux常用紀錄檔案名稱與說明


一般描述事件時,通常都會描述兩種資料,一個是「這是什麼種類的事件」,另一個則是「這個事件有多麼的嚴重」,syslog也不例外,它利用facility(用來描述此事件是由那些種類的服務所產生的),而level是用來定義此事件的嚴重等級,支援的facility(事件類型)如表3所示。

表3 syslog相關事件類型 


而另一個level則是用來描述事件嚴重的程度,可區分下列嚴重級別,如表4所示是由嚴重程度最低至最高排序。

表4 level嚴重程度說明與排序 


在談完syslog的格式後,接下來說明網站紀錄的相關格式。

網站紀錄格式介紹

市面上林林總總的網站伺服器,如果都各自採用個別的紀錄格式,將會造成極大的不便,也因此有了共同紀錄格式(Common Log Format,CLF)的概念產生。

如此一來,不管是那一家廠商開發的網站伺服器,只要有支援「共同紀錄格式」的功能,就會產生標準化的紀錄格式,以方便管理。

本文所使用的Apache網站伺服器就有支援「共同紀錄格式」的功能。

共同紀錄格式的檔案內容如下所述,若該欄位沒有任何資訊,就會以「-」符號來代替。圖2為一個實際的網站紀錄範例。


▲圖2 網站紀錄實例。

共同紀錄格式(CLF)將相關的網站紀錄以空白為分界劃分成為下面的欄位,其相關欄位的說明如下所示:



Host:記錄客戶端的IP或主機位置。
Ident:如果允許執行indentityCHECK指令,而且在 客戶端機器執行identd的情況下,此欄位會記錄客戶端報告的身分資訊,否則即顯示「-」符號。
Authuser:如果HTTP的請求需要基礎的HTTP認證, 此欄位內容即為用戶名稱,否則即顯示「-」符號。
Date:HTTP客戶端瀏覽網頁的日期與時間。
Request:客戶端所發出的HTTP請求(圖2內即是 以http/1.1的通訊協定來存取test.php的網路),此欄位會以雙引號括起來。
Status:此欄位儲存的是網站伺服器處理完客戶端的 要求後所產生的HTTP狀態碼,例如常見的找不到網頁,狀態碼為404,而圖2中的200則表示存取成功。
Bytes:這個欄位儲存網站伺服器傳回給客戶端的位 元組數。

了解相關的網站紀錄格式後,接下來說明Apache(組態檔名為httpd.conf)所提供的常用的相關Log紀錄的設定,如表5所示。

表5 httpd.conf組態檔內Log紀錄的設定 


系統安裝實作 

接下來的實作環境將預設讀者已經完成安裝Apache網站伺服器,並且安裝在「/usr/local/apache2」目錄下,另外也已安裝了rsyslog程式,而安裝的系統架構圖如圖3所示,相關流程如下所述:


▲圖3 實作系統架構圖。

(1) 使用者瀏覽網站後,網站以mod_log_syslog模組 將網站伺服器的紀錄轉換成syslog格式,並傳遞給rsyslog程式。
(2)及(3) rsyslog將所接受到的資料,利用FIFO裝置 將資料傳遞給sagan後進行比對。
(4) sagan利用規則(Rule)來比對是否有符合的紀 錄。
(5) 如果符合即將相關的資訊寫入檔案中。

在了解整個運作流程後,先來安裝sagan,執行如下指令(其中#為註解): 


由於sagan僅支援liblognorm 1.0.0以上的版本,所以必須至官方網站下載liblognorm 1.0.0以上的版本。 

下載並解壓縮後,以如下的指令開始編譯及安裝: 


在安裝完相關所需要的程式庫之後,接著安裝sagan: 


由於sagan是使用規則樣式(Rule)的方式來比對相關的惡意行為,所以必須先行至sagan的官方網站上取得最新版的規則檔案,並且解壓縮後將相關的檔案放置至規則目錄內,本文放置規則的目錄所在為「/usr/local/sagan2/rules」。 

sagan提供一個主程式(檔名為sagan)及單一的組態檔(sagan.conf)來提供服務,表6說明了組態檔中主要組態的意義。 

表6 sagan組態檔內主要組態說明 

安裝成功並結束安裝sagan後,繼續安裝可將網站伺服器的Log紀錄轉換成syslog格式的模組(mod_log_syslog)。 

mod_log_syslog是一個Apache的模組程式,可外掛在Apache中,將網站紀錄轉成syslog格式,所以必須使用apxs程式來編譯該模組。 

先至mod_log_syslog的官方網站下載最新版本,解壓縮後,再利用「make」及「make install」指令即可安裝該模組。 

在編譯成功後,可至Apache存放模組的目錄內(本文中為「/usr/local/apache2/modules/」)檢查是否有mod_log_syslog.so的檔案。如果安裝順利,在該目錄下將會有該檔案的產生。 

mod_log_syslog模組僅提供一個設定Log選項設定,如下所示: 


其中,是設定要轉換那些種類的事件。mod_log_syslog模組提供了local[0-7]及user選項,即為設定欲記錄的嚴重程度,符合此程度以上就記錄下來,而為記錄的格式,mod_log_syslog模組提供了combined與common兩個選項。 

在完成所需程式的安裝後,接下來設定相關的系統設定,執行如下指令(#為註解): 


接著設定rsyslog的組態(其組態檔的名稱為rsyslog.conf),設定如下的組態(#後為註解): 


再來設定sagan程式的組態(組態檔名為sagan.conf,更改下列選項,而其餘的選項使用預設的設定即可): 


最後,再設定Apache的組態檔(組態檔名稱為httpd.conf),請設定下列選項: 


在設定完成後,可依序啟動相關的程式: 


所有的服務全部啟動之後,官方所下載的規則檔案(檔名為apache.rules),會在來源端有存取phpinfo的動作且存取成功時即記錄該動作。 

▲圖4 出現警示資訊。

可利用連結網址「http://<網站伺服器位置>/phpinfo.php」的方式來測試。如果一切正常,sagan在「/var/log/sagan2/alert」檔案內將會記錄如圖4所示的警示資訊,記錄下曾經存取過phpinfo的網頁。 

至此,一個可監控惡意網站存取行為的主機型入侵偵測系統即告完成! 

<本文作者:吳惠麟,多年資安經驗,喜好利用開源碼建構相關解決方案,著有「資訊安全原理與實驗」等書。> 

轉載自《網管人

2014年10月16日 星期四

個資大量外洩 南韓擬換身分證

個資大量外洩 南韓擬換身分證

在發生大量個資外洩事件後,南韓國家身分證系統遭竊賊徹底盜用,首爾政府表示,可能必須向17歲以上國民核發新身分證號碼,成本可能達數十億美元。


美聯社報導,南韓一向以高科技技術自豪,且網路連結速度堪稱數一數二快,前述承認令首爾當局顏面無光。

包括南韓總統朴槿惠在內,在2000萬人成為3家信用卡公司個資失竊的受害者後,這個問題嚴重到不得不採取行動。朴槿惠1月坦承,必須有所改變並下令研究可能選項。南韓當局預定今年稍晚做出決定。

被譽為「南韓網際網路之父」的網路專家全吉南(Kilnam Chon)說,重建系統並加強安全措施可能需花10年時間。全吉南在1980年代率先研究網路科技,獲得南韓網路之父稱號。

全吉南說:「這個問題已經嚴重到,連找出徹底解決方法,似乎也變得不太可能。」

根據專家說法,南韓人口約5000萬人,自2004年以來估計將近80%民眾的身分證號碼與個資,自銀行等機構遭竊取。

身分證號碼將跟著南韓人一輩子,這些號碼不是隨機挑選,而是根據年齡、性別等細節組成。身分證號碼可用於確認身分、應徵工作或取得政府服務、甚至購買香菸。竊賊取得身分證號碼與對應姓名後,就可開設手機、電子郵件或銀行帳戶。

在最近的公聽會中,南韓安全行政部官員表示,可能的改變包括發布隨機號碼作為身分代碼,這項措施將需國會議員批准。

根據安全行政部官員金基洙(Kim Ki-su,譯音),新的身分證系統可能需花費至少6億5000萬美元,以全面更新政府電腦並核發新身分證。

像金融公司等企業重新設計服務,可能得花費高達數十億美元。

轉載自《中央社

2014年10月15日 星期三

首例 廣告電郵擾民 特力屋判賠2.6萬

首例 廣告電郵擾民 特力屋判賠2.6萬

郭姓會計師前年退出大型賣場特力屋會員,並要求刪除個人資料,特力屋回信允諾,但郭男後續半年內仍收到特力屋電子廣告信共五十二封,不堪其擾,怒告特力屋違反《個人資料保護法》求償十萬元。士林地院日前判決特力屋須賠償郭男兩萬六千元。這是《個資法》上路以來,因廣告信擾人判賠首例。

郭男向《蘋果》投訴時憤怒說:「又收到廣告信時非常驚訝,剛好看到《個資法》上路,才知道要主張自己權利。」郭呼籲其他遭受廣告信騷擾的民眾站出來,維護個人資料不被業者濫用。

特力屋公關協理沈汝康昨表示:「尊重法院判決,會考慮是否上訴。」並指經濟部去年認證特力屋通過TPIPAS(台灣個人資料保護與管理制度),已改善會員個資處理方式。
四十一歲的郭男二○○九年間加入特力屋會員,留下地址、電郵信箱、身分證字號等個資,不定期會收到廣告信。

已退出會員仍收到
判決指出,郭男二○一二年六月間寫電子郵件向特力屋表明退出會員,並要求刪除會員資料,特力屋回函告知郭男「不會再收到型錄、優惠訊息」,但郭男持續收到廣告信,向特力屋提告求償十萬元。

特力屋辯稱寄給郭男的電子郵件是制式的產品促銷,「僅是大量垃圾郵件中的小部分」,並未對郭男造成嚴重不便。

未刪資料違個資法
但法官認為特力屋是知名大公司,既然郭男已一再要求刪除資料,特力屋卻仍使用郭男個資寄送廣告郵件,已觸犯《個資法》,依法每一事件(郵件)可判賠五百元以上、兩萬元以下,最高總額不超過兩億元。

特力屋頻頻寄發家具等廣告信給郭男,半年多達52封。當事人提供

立法後1封賠1千
《個資法》是前年十月實施上路,法官認定特力屋在郭男退出會員之後、《個資法》實施前,寄了三十六封廣告電郵給郭,這部分應賠償一萬元;至於《個資法》實施後,特力屋寄十六封廣告電郵給郭,一封賠償一千元,因此判決特力屋共須賠償兩萬六千元。全案可上訴。

律師李永裕提醒,加入會員或與金融機構、電信業者往來,填個人資料時特別注意,若不想收到廣告信,一開始就勾選「不要」。

如何拒絕擾人廣告行銷
●實體信件、電郵
先回信拒絕行銷,要求勿使用姓名、地址等個人資料,若後續再收到廣告信,可蒐集列印存證,向主管機關法務部檢舉或提告求償
●簡訊通知
依簡訊內容向業者查證,若確實是業者傳送,可表明拒絕行銷,並將簡訊內容存證,若再收到可檢舉、提告
●電話行銷
電話中直接表明不願再接到行銷電話,若業者不理,錄音存證或調閱通聯紀錄後,檢舉、提告
資料來源:律師徐則鈺




轉載自《蘋果日報

2014年10月13日 星期一

LINE 的群組行動條碼漏洞,可惡意加入他人群組

LINE 的群組行動條碼漏洞,可惡意加入他人群組

原來點進群組的編輯功能,會發現行動條碼的邀請已經主動打開。「新版本的漏洞在於有心人如果惡意洩漏了群組的行動條碼,第三方就能惡意的主動加入。」

只要有其中一名成員複製群組的行動條碼,公佈在臉書,或是傳給其他人,就能主動加入群組,不管是照片還是對話,或是記事本裡頭的資料,都能全部複製讀取。

傳統LINE的群組必須由成員邀請加入後才能看到相關內容,屬於被動加入,但新版本只要條碼或網址外洩,外人就能主動加入,形同群組的門戶大開,我們把行動條碼的邀請功能關掉,再重新操作一次,果然就無法靠拍攝行動條碼任意進入群組,專家說,雖然有機制防範,但網路世界彼此互看不見,要防止隱私權外洩,最好還是不要隨意在群組發送照片或資料,才不會成了被別人窺視的對象。



轉載自《網路攻防戰》

2014年10月12日 星期日

SSL加密連線不見得安全,不要在公眾網路使用網銀交易

SSL加密連線不見得安全,不要在公眾網路使用網銀交易

日前行政院長江宜樺發函要公務人員不要使用LINE、WhatsApp等通訊軟體,要公務人員使用工研院研發的手機通訊軟體 Juiker(揪科),但Juiker卻爆出SSL憑證認證的問題,讓惡意攻擊者可利用中間人攻擊,竊取使用者的機敏資料。雖然工研院緊急修改App,已於1日重新上架,但這也揭示手機App在開發上的SSL憑證風險,對一般者來說,手機最機密的資料往往是手機上的帳密及網路金融交易資訊。

HITCON台灣駭客年會在6日舉辦論壇,提醒開發者特別注意手機App開發時,常被忽略的SSL處理,以及Android系統的WebView三大漏洞(註)。岑志豪提醒,Android系統的4.0.X及4.1.X版本是重災區,橫跨三個WebView漏洞,開發者不要小看每個漏洞,三個漏洞加總起來,危害不容小覷。

岑志豪指出,「不是用SSL加密連線就安全,要檢查憑證是否安全。」網路連線普遍發生的現象是,對資料層傳輸的保護不足。最常遇到中間人攻擊(Man-In-The-Middle Attack),當連線被中間人攻擊時,會攔截中間的資訊,使用者的連線被導往攻擊者的伺服器,使用者資料就會被竊取。

enter image description here
(圖說:戴夫寇爾資安研究員岑志豪指出,SSL憑證不安全的話,容易遭受中間人攻擊。郭芝榕攝影。)

不要在公眾網路使用銀行線上交易

資安專家戴夫寇爾資安研究員岑志豪建議,一般使用者盡量不要在公眾使用的網路如咖啡廳進行刷卡及網路金融交易,避免惡意攻擊者利用同一個網段進行惡意攻擊,取得機敏資訊,3G、4G網路或家中網路則相對安全。因為網路銀行也可能被中間人攻擊,台灣許多線上銀行都存在SSL風險,由於程式通常是委外開發,要看外包廠商是否注意到SSL的問題。

另外,岑志豪提醒使用者不要點進來歷不明的連結,更要注意是否點進連結後下載程式。他進一步指出,如果發現上網的速度變得很慢,或者突然在某個情況下耗電率很快,這兩個特徵可以協助使用者判斷是否手機可能被惡意攻擊。

如果真的發現手機被攻擊下載惡意程式,可以試著移除程式,如果無法移除的話,就把手機系統重置,恢復到原廠設定,大部分的情況應該可以解除危害。

SSL處理憑證風險,防範方法:避免在公眾網路傳輸機敏資訊

SSL問題普遍存在,資策會「2014年上半年臺灣風雲APP百強」中,Android的App有86個,其中存在SSL風險的App就有49個。岑志豪說,一般來說,系統預設會對伺服器做憑證的檢查,只要憑證有效,伺服器的設定也正確的話,就可以正常使用加密連線,如果憑證無效的話,開發者若沒有處理,連線就會被中斷。

使用預設設定而無法通過憑證的原因有以下三個:
1、憑證是對的,但伺服器設定有誤。
2、根憑證未預裝到裝置上,手機上有先預安裝憑證,但手機機型舊,導致憑證認為你的手機有問題。
3、其他:像是開發者常常會自行簽發憑證、憑證過期及網域名稱不符。

給開發者的建議:
- 務必採用加密連線傳輸機敏資料
- 嚴格做好對伺服器憑證的檢查(系統預設、憑證綁定)
- 只容許在開發階段忽略憑證檢查
- 注意使用的第三方函式庫是否有問題

給使用者的建議:
- 避免使用公眾場所所提供的無線網路
- 避免使用加密強度較弱的無線網路,如WEP、WPA等。

enter image description here
(圖說:Android系統上SSL問題的建議。圖片來源:郭芝榕攝影。)

三大WebView漏洞,防範方法:使用Android系統4.2.X或chrome、firefox、opera瀏覽器

開發者想讓程式與網頁結合時,通常會使用WebView,是可執行JavaScript,用於連結網路及顯示網頁的元件。不過,岑志豪也指出WebView目前的三大漏洞CVE-2012-6636、CVE-2014-1939、CVE-2014-6041,會讓攻擊者可以竊取資料,Android系統的4.0.X及4.1.X同時受到三個漏洞影響,算是「重災區」。

enter image description here
(圖說:手機App使用WebView常見的三大CVE漏洞,漏洞見紅色區域。圖片來源:郭芝榕攝影。)

岑志豪說,結合SSL的中間人攻擊及WebView的漏洞,攻擊者可取得手機應用程式的權限,進而控制使用者的手機。他並建議,千萬不要忽視每個漏洞的影響力,尤其是不同漏洞的組合,危害將遠大於每個漏洞各自的影響。開發者要在產品發佈前進行安全測試,定義App最低支援版本,避免因相容舊版而引發資訊安全的問題。

enter image description here
(圖說:資安專家提醒開發者不要忽略漏洞被結合攻擊的影響力。郭芝榕攝影。)

給開發者的建議:
CVE-2012-6636
- 避免WebView載入惡意內容,使用HTTPS,只讀取本地HTML
- 在4.2.X或以上版本使用時要為函數標註@Javascriptinterface
- 避免在4.1.X或以下版本的系統上使用addJavascriptInterface函數

CVE-2014-1939
- 避免WebView載入惡意內容,使用HTTPS,只讀取本地HTML
- 對版本3.0.X ~ 4.1.X的系統使用removeJavascriptInterface,把"searchBoxJavaBridge-"這個介面移除

CVE-2014-6041
- 避免WebView載入惡意內容,使用HTTPS,只讀取本地HTML
- 機敏cookie務必設定為HttpOnly(伺服器端)

給使用者的建議:
- 系統更新至4.2.X或以上版本
- 避免開啟不明來歷網址
- 採用非內建WebView(WebKit)作為核心的瀏覽器,像Chrome、Firefox、Opera

註:CVE(Common Vulnerabilities and Exposures)漏洞是一個國際知名的漏洞資料庫,由企業界、政府界和學術界共同參與的非盈利組織,可以快速發現軟體中的脆弱之處。

轉載自《數位時代

艶照門再度來襲,黑客泄露 Snapchat 萬張圖片

艶照門再度來襲,黑客泄露 Snapchat 萬張圖片

20141011160944

蘋果尚未走出好萊塢艶照門的陰影,另一家備受爭議的社交應用 Snapchat 也陷入艶照風波。這次的主角不再是明星,而是數量龐大的 Snapchat 普通用戶。

外媒報道稱,目前已經有黑客承認,他們竊取到了 Snapchat 用戶大量的圖片和影片,總量達 13 GB。這些圖片和影片本來是被閱後即焚的,却被第三方的應用保存了下來,黑客得以趁機竊取。

這些文件被保存在了 viralpop.com 網站上,後來網站下綫,但是不少人已經下載。好萊塢艶照的始發地 4Chan 論壇上,就有用戶表示已經下載,幷將創建數據庫,人們可以用 Snapchat 用戶名搜索這些被竊文件。

Snapchat 自問世以來,在青少年中火速躥紅的同時,也引來諸多爭議,大多集中在其隱私安全問題上。閱後即焚開啓了一個新的社交方式,人們可以因此放肆地傳閱各種大尺度圖片。Business Insider 的消息源稱,這些被曝光的圖片中就涉及不少兒童色情的內容。

但是,這次的泄露和 Snapchat 本身的安全性無關,因爲黑客所利用的是一個第三方應用 Snapsave——這是一款 Android 應用,用戶可以保存 Snapchat 上本該删除掉的圖片和影片。

也有消息稱,黑客侵入的是另一個網站 SnapSaved.com,它會在綫保存 Snapchat 的文件,幷附加上用戶名。目前這個網站已經下綫。

現在的局勢是,人們幷不知道黑客到底入侵的是哪個平臺,但是,照片已經得到了流傳。

這也不是 Snapchat 第一次遭受入侵了。今年初,Snapchat 疑似被黑客破解,460 萬名使用者的用戶名和電話號碼遭到泄露。

顯而易見,這次事件是黑客的預謀,如果得不到及時的處理,也許會有更多的文件遭到泄露。

泄露事件後,也許用戶和社交應用品牌們會重新思考“閱後即焚”,人們怎樣才能信任這一玩法?怎樣的機制才能充分保護用戶?閱後即焚還會繼續火爆嗎?不過這都是後話了,眼下人們更關注事件到底會有怎樣的後續發展。

【更新】Snapchat 官方 Twitter 已經對泄露事件作出回應,稱責任在第三方:

Snapchat 用戶是因使用第三方應用收發照片而受害的,而我們已在使用條款中明確禁止這種行爲。我們可以確認,Snapchat 的服務器幷未遭到黑客入侵,幷非照片外泄的源頭。

Thousands of Snapchat images may have been hacked via a third-party image-saving service
Hundreds Of Thousands Of Teens Have Had Their Snapchat Photos And Videos Intercepted By Hackers

題圖來自:Mashable
轉載自《科技新報