iOS 漏洞影响 5 亿手机;黑客窃取 2500 万加密货币被迫退回;Chrome 紧急补丁修复 RCE 漏洞

发布者:Editor
发布于:2020-04-23 17:37
报告显示,iPhone 11 系列是目前苹果最畅销的机型,2020 年第一季度,iPhone 11 系列机型的销量占到了 iPhone 总销量的三分之一以上。你的手机是 iPhone 还是安卓呢?



1、iOS 系统出现高危漏洞




近日,苹果公司正计划修复一个安全漏洞,此前研究人员曾表示这个漏洞可能导致 5 亿部 iPhone 易受黑客攻击。


据了解,该漏洞允许黑客远程窃取 iPhone 和 iPad 上的数据,即便是最新版本的 iOS 。


攻击者主要通过滥发邮件的方式感染目标设备,以此耗尽目标设备内存。


在 iOS 13.x 系列中,当系统自带的邮件应用在后台运行时,不需要用户执行任何交互操作即可感染,用户在遭到攻击时无明显感知,也就是说在锁屏时也可以利用此漏洞发起攻击。


在 iOS 12.x 系列上攻击者需要用户打开垃圾邮件才可以利用漏洞 ,  但是用户打开邮件不会发现有任何异常情况。


该安全漏洞自 2012 年的 iPhone 5 发布时推出的 iOS 6.0 版到 iOS 13.4.1 (最新版) 均存在。


此外,该漏洞将允许访问邮件应用程序可以访问的任何内容,包括机密消息。


研究人员 Zuk Avraham 表示,他有证据表明,至少有 6 次网络安全入侵活动利用了这个漏洞。早在 2018 年 1 月就有一个恶意程序利用了这个 iOS 移动操作系统漏洞,但无法确定黑客的具体身份。


苹果公司承认,iPhone 和 iPad 上的电子邮件软件(即 Mail 应用)存在漏洞,并表示该公司已经开发了一个修复程序,将在即将发布的软件更新中推出。在更新推送之前,建议用户不要使用 iOS 系统自带的邮件应用。


LYA:向来以安全著称的 iOS 也会存在漏洞,信息安全领域果然没有绝对的安全。




2、黑客洗钱泄露元数据,窃取加密货币被迫退回



近日,一名黑客从 dForce 窃取了价值 2500 万美元的加密货币,竟在数日后重新还给了 dForce。


这个反转究竟是怎么一回事呢?


首先,黑客攻击了 dForce 网络中的借贷协议 Lendf.Me 并盗取十多种价值 2500 美元的数字资产。


在攻击过程中,黑客利用 ERC-777 标准与其他平台的兼容性问题,在进行 ETH-imBTC 交易时连续利用智能合约提取资金,执行重入攻击,反复覆盖自己的资金余额,从而实现可提现资金的不断翻倍,循环套利。


然而这种通过非法手段获得的加密货币很难直接使用,为了躲过追踪,黑客借助交易所和 OTC 交易商的力量,通过数十次复杂的转换手段来完成“洗钱”。


一般来说,在加密货币的世界中,一旦资金被转移通常很难进行追踪。


然而,在黑客使用1inch.exchange.com来交换一定比例的资金的过程中,却意外留下了重要的元数据。


这些元数据泄露了黑客的重要信息,比如 IP 地址、所使用的 Mac 电脑的系统语言设置为英语等。


此时 Lendf.Me 也开始借助 CDN 展开调查,黑客迫于压力,不得不退还这笔钱,最终退还 2430 万美金,加密货币在转换过程中受市场下跌损失 70 万美元。


LYA:这件事的反转启发我们最重要的还是信息安全,加密货币也逃不过。



3、谷歌发布 Chrome 紧急补丁



近日,谷歌为为 Chrome浏览器发布了一个紧急修复补丁,并敦促用户尽快安装。


为给用户留下充足的时间安装更新,谷歌暂未透露有关于CVE-2020-6457漏洞的详细信息,目前确认 CVE-2020-6457 为“use after free”类型漏洞。

该漏洞是由 Sophos 公司的研究人员发现的,攻击者可利用 CVE-2020-6457 在受害者不知情的情况下远程执行代码和未受信任的脚本。

研究人员在一篇博文中表示,该漏洞允许黑客 "改变你的程序内部的控制流,包括转移CPU来运行攻击者刚刚从外部戳入内存的非信任代码,从而绕过任何浏览器通常的安全检查或'你确定吗'对话框。"

CVE-2020-6457 影响广泛,Windows、macOS 和 GNU/Linux 用户均会受到影响,高达 20 亿用户。

如果你是 Chrome 浏览器用户,那么你可以通过访问帮助>关于 Google Chrome 浏览器,来检查更新和安装的版本,确保你运行的是 v81.0.4044.113 或以上版本。

LYA:尽快安装更新!



声明:该文观点仅代表作者本人,转载请注明来自看雪