分類彙整:安全漏洞

Android 手機被揭發把用戶隱私傳送到中國大陸伺服器

網絡安全公司 Kryptowire 揭發部份 Android 手機被植入後門程式,把用戶的隱私包括電話號碼、GPS 位置、SMS 短訊內容、通話紀錄、電話簿、安裝程式等等,傳送到位於中國大陸的伺服器。開發該後門程式的上海廣升公司辯稱,該「功能」原意只安裝在中國大陸的手機,包括所有由華為和中興生產的手提裝置,這次出現在外國的手機上純屬意外。

涉事的 Android 後門程式由上海廣升公司開發 (https://www.adups.com,請慎入),為手機製造商和網絡公司追蹤用戶的個人資料和行為模式,藉以推送個人化的廣告。據該公司網站資料,這個後門程式已經安裝在全球超過七億部手機、平板電腦、手機遊戲上,所有華為中興生產的手機都有這個後門程式。

上海廣升一名律師向紐約時報表示,他們純粹是一間私人公司,不是為中國政府收集用戶的資料。

Mozilla 將封鎖中國認證機關發出的網站認證

幾天前 Mozilla 發表一份調查報告,指控中國認證機關 (Certificate Authority) WoSign 不誠實地發出網站認證 (certificate),嚴重破壞 TLS 賴以安全的加密和認證機制,建議屬下的 Firefox 瀏覽器開發團隊阻截所有由 WoSign 及其屬下公司,包括著名的認證機關 StartCom,所發出的認證。

該報告指出,WoSign 在過去九個月,故意把一些新發出的認證的日期推前,逃避了互聯網業界對 SHA-1 散列函式的禁制,這項禁制是由於 SHA-1 可受到衝突攻擊 (collision attack) 令黑客輕易製作一張虛假的網站認證,破壞了整個認證制度。部份 WoSign 的客戶基於種種原因,希望他們的認證仍然以 SHA-1 簽發,WoSign 於是在發出新認證的時候,把發出日期推到本年初之前,令瀏覽器以為這些是很久以前發出的認證,豁免了對他們施加 SHA-1 禁制。

該報告也指控 WoSign 不正當地隱瞞併購以色列認證機關 StartCom 的行動,而 StartCom 與 WoSign 一樣,曾經擅自改動新認證的發出日期,逃避瀏覽器對 SHA-1 的禁制。

所以,Mozilla 建議 Firefox 團隊阻截所有由 WoSign 及其屬下公司 (包括 StartCom) 發出的認證最少 12 個月。

從現在開始直到 Firefox 及其他瀏覽器發佈新版本(其實從九個月前已經開始),用戶將會暴露在虛假網站的威脅中,這些網站通過了 TLS 的認證機制,從任何角度看都是真卻無訛的網站,但其實是黑客利用 SHA-1 的安全漏洞來偽冒,他們之所以成功,都是拜 WoSign 和 StartCom 所賜。倘若不想等待 Firefox 的新版本,立即保障自己,可以在瀏覽器的設定畫面手動刪除所有 WoSign 和 StartCom 的根認證 (root certificate)。但是請注意,部分網站可能從此難以造訪 (造訪時會收到類似「網站認證失敗」的訊息,你必須告訴瀏覽器豁免認證檢查,才能繼續讀取網站的內容,例如 PHP 開發人員的熱門網站 phpclasses.org 便有這個問題。這的確很不便,但考慮到進入了偽冒網站而被騙去個人資料和財產的風險,我強烈建議大家這樣做。

轉貼:對抗點擊劫持新武器:X-Frame-Options

原文網址:對抗點擊劫持新武器:X-Frame-Options

點擊劫持 (Clickjacking) 是一種誘使用戶點擊一個看似無害的超連結或按鈕,實際上卻是點擊在另一個網頁上的一個超連結或按鈕。後果可能是泄露了機密的資料,或無緣無故「讚好」一個網站,甚至開啓電腦內置的鏡頭和麥克風。網站開發人員當然有希望保護用戶不受攻擊,可用的手段主要有 Framekiller 和 X-Frame-Options,前者並不可靠,尤其在 IE 上可以輕易被攻擊者破解 (IE 的安全問題真是罄竹難書),後者只是瀏覽器自設的措施,並非業界標準。IETF 終於在兩個月前正式接受 X-Frame-Options 為 HTTP 的標頭 (header),從此開發人員的安全工具箱又多一件武器。

點擊劫持是什麼?

設想有一個用戶在網上討論區或 Facebook 見到一個「每天賺一萬塊錢的方法」超連結,懷著好奇點擊一下,來到一個惡意網站,頁面有一個「快速賺錢祕訣」的超連結,他心想入寶山怎能空手回?毫不考慮 便點擊下去,結果糊裡糊塗在自己的 Facebook 上「讚好」了一個商品的專頁,而他自己卻毫不知情。

原來那個惡意網站在「快速賺錢祕訣」超連結的前方,放置了一個透明的 iFrame,網址是「讚好」一個商品的 Facebook 專頁,iFrame 的位置經過小心安排,使裡面的 Facebook 按鈕剛好與「快速賺錢祕訣」超連結重疊,當用戶意圖點擊「快速賺錢祕訣」的時候,實際上點擊了 iFrame 中的 Facebook 按鈕,如果用戶的瀏覽器已經登入了 Facebook (十之八九用戶的瀏覽器都長期登入了 Facebook),這個「讚好」便會立即被執行。

X-Frame-Options 是什麼?

X-Frame-Options 是一個 HTTP 標頭 (header),用來告訴瀏覽器這個網頁是否可以放在 iFrame 內。例如:

X−Frame−Options: DENY
X−Frame−Options: SAMEORIGIN
X−Frame−Options: ALLOW−FROM http://www.facebook.com/

第一個例子告訴瀏覽器不要 (DENY) 把這個網頁放在 iFrame 內,通常的目的就是要幫助用戶對抗點擊劫持。第二個例子告訴瀏覽器只有當架設 iFrame 的網站與發出 X-Frame-Options 的網站相同,才能顯示發出 X-Frame-Options 網頁的內容。第三個例子告訴瀏覽器這個網頁只能放在 http://www.facebook.com/ 網頁架設的 iFrame 內。

不指定 X-Frame-Options 的網頁等同表示它可以放在任何 iFrame 內。

X-Frame-Options 可以保障你的網頁不會被放在惡意網站設定的 iFrame 內,令用戶成為點擊劫持的受害人,它剛在今年 10 月成為業界標準,IE8、Firefox、Safari、和 Chrome 都支援 X-Frame-Options。

用戶怎樣對抗點擊劫持?

除了依靠網站,用戶也可以防禦點擊劫持,包括:

  • 工作後立即登出網站。
  • 使用 Firefox 瀏覽器,並安裝 NoScript 附加元件,它的 ClearClick 功能防止 iFrame 內看不見 (包括透明或者被 CSS 隱藏起來) 的超連結、按鈕等被點擊。
  • 停用包括 Flash 在內的插件,Adobe 的 Flash 插件曾被發現能導致點擊劫持的安全漏洞

Linux 蠕蟲攻擊網絡裝置、路由器、機頂盒、監察鏡頭

資料來源:Linux 蠕蟲攻擊網絡裝置、路由器、機頂盒、監察鏡頭

有研究員發現一種新的 Linux 蠕蟲,專門攻擊網絡裝置,包括路由器、機頂盒、監察鏡頭、工業上的操作系統等等,這些裝置的用戶大都不知道裝置內部的操作系統是 Linux,也不會經常保持內部的軟體和韌體在最新狀態,所以很多裝備或已受到攻擊而不知曉。

這條蠕蟲是由 Symantec 的研究員發現,它首先隨機產生一個目標 IP 地址,然後嘗試連接到目標機器的一個特定路徑,使用一些常見的賬號名稱和密碼登入,然後發送一個 HTTP POST 請求,這個請求利用一個 PHP-CGI 安全漏洞,促使目標機器從一個惡意伺服器下載蠕蟲的程式,目標機器執行這個程式便會把蠕蟲繼續散播開去。

有關的 PHP-CGI 安全漏洞其實已經在 2012 年 5 月修正,但是用較早期版本的 PHP-CGI 的裝置在網絡上肯定有很多,他們都可能成為攻擊的目標。

Symantec 表示從惡意伺服器下載回來的蠕蟲似乎除了不斷繁殖外,不會進行任何破壞。此外,他們暫時也沒有收到被褥蟲入侵的報告,但考慮到很多網絡裝置的用戶都不知道裝置內的操作系統是 Linux,蠕蟲本身也沒有明顯的破壞行為 (除了系統負荷加大了),所以有可能很多裝置已受到感染,但用戶並不知曉。

預防的方法是把裝置的軟體保持最新狀態,使用強密碼,和阻擋外部 HTTP POST 請求連接到 -/php-cig/php* 路徑。

HTTPS 可靠嗎?

資料來源:HTTPS 可靠嗎?

當你連接上社交網站,怎樣知道在屏幕上見到的頁面,真的是從這個網站的伺服器送出?怎樣確保你與伺服器之間的通訊不會被第三者截聽?聰明的你一定會說「HTTPS」,HTTPS 通訊協定採用的 SSL/TLS 技術,確保網站不能被偽冒,通訊的內容也得到充分的加密。錯了,以下的故事將告訴你駭客怎樣在你毫不知情的情況下,竊聽你與伺服器間的通訊,甚至偽冒網站的伺服器,令你明白你的隱私是多麼的沒有保障。

為了方便解說,假設這個網站叫做 www.my-site.com,它當然使用 HTTPS 通訊協定,即使說你必須使用 https://www.my-site.com/ 進入。

首先,你在辦公室的電腦上開啓瀏覽器,看看左右沒有旁人,便在瀏覽器的網址列上輸入 https://www.my-site.com/,再三覆核沒有錯誤,跟著按下 Return。瀏覽器首先探訪 DNS 伺服器把 www.my-site.com 翻譯成機器喜歡的數碼 IP 地址,然後發送一個請求到這個 IP 地址建立一個安全連線。很不幸地,這個請求被一台由駭客架設的「HTTPS 代理」(HTTPS Proxy) 截取,它試圖假冒自己就是 www.my-site.com 網站,並發送一個自己制作的數碼證書回給瀏覽器,簽署這份這份虛假證書的,是一個較早時以其他方法植入你的電腦或瀏覽器的核證機關 (Certificate Authority)。

這張虛假的數碼證書沒有破綻,它具備合法證書所需的一切條件,瀏覽器也會認為這是一個合法的安全通訊,並且顯示一個令你安心的「掛鎖」標誌。當然,這些全是謊言。

建立安全連線後,瀏覽器便會開始從 www.my-site.com 下載頁面,這時 HTTPS 代理開始與真正的 www.my-site.com 建立安全連線,這次 HTTPS 代理試圖偽冒你。由現在開始,從你那兒收到的資料會被解密、分析、紀錄,然後重新加密並送到真正的 www.my-site.com,從 www.my-site.com 收到的資料經過相反的程序送回到你的瀏覽器,整個過程在你毫不知道的情況下進行。

有一點需要補充,就是那個虛假的核證機關怎樣被植入你的電腦或瀏覽器內呢?途徑包括:

  1. 故事中你用的是公司提供的電腦,你公司的 IT 部門可能為麼某些原因,例如老板希望知道員工用公司的設備到什麼網站,做什麼,有沒有泄漏公司的秘密,有沒有浪費公司的資源等等,IT 部門於是架設了這個 HTTPS 代理機器,並在所有公司的電腦植入這個虛假核證機關,從而截聽員工的網絡通訊。類似的情況也可以發生在大學的網絡。
  2. 你的電訊服務商透過「安裝光碟」植入這個虛假的核證機關,HTTPS 代理機器很可能也是裝置在它的數據中心。
  3. 你的電腦受病毒入侵,或者安裝了不明來歷的惡意軟體,所以被植入了這個虛假的核證機關,和一個隱藏得很好的 HTTPS 代理程式。

這種情況可以避免嗎?答案是不可能。就是說若果真的有一個 HTTPS 代理機器站在我們和 www.my-site.com 中間,我們不可能繞過它,我們和 www.my-site.com 之間的通訊也無可避免地被它截取。

不過,我們有辦法知道它的存在,關鍵在數碼證書的「指紋」(Fingerprint)。

首先,真正 www.my-site.com 的數碼證書與由 HTTPS 代理發出的偽冒證書不可能相同,因為 HTTPS 代理不知道 www.my-site.com 的密鑰 (Private Key),制作偽冒證書時只能使用新的密鑰,於是便產生了新的公鑰 (Public Key),於是所制作的偽冒證書便與真正的證書不同。

瀏覽器收到證書後會用 SHA1 離散算法計算證書的「指紋」,不同的瀏覽器有不同的方法檢驗這個「指紋」,通常點擊一下那個(現在不那麼令人安心的)掛鎖便會見到證書的詳細資料,其中一項資料便是證書的 SHA1 指紋,把它與已知的指紋比較便知道你收到的證書是否真實無訛,GRC 的網站便提供一個查詢網站證書指紋的服務

 

WhatsApp 的用戶的通訊幾乎可說沒有加密,任何人都可以隨意偷看

資料來源:http://thehackernews.com/2013/10/vulnerability-in-whatsapp-allows.html

一名荷蘭的電腦系學生無意中發現手機最普及的通訊工具 WhatsApp 嚴重安全漏洞,WhatsApp 的數據幾乎可說在沒有加密的情況下在空氣中傳播,任何人竊聽 WhatsApp 的通訊均可輕而易舉解讀其內容。

該名學生顯然對 WhatsApp 的普及性與 WhatsApp 開發團隊對密碼學的認識不相稱而感到氣憤,他說:「你應該假設任何人能夠竊聽 WhatsApp 的連線都能夠解密你的訊息……你應該假設所有以前的 WhatsApp 的通訊都已經被盜取。WhatsApp 的用戶沒有什麼可以做,除了停止使用它,直到開發人員修正這個問題……既然 WhatsApp 的開發團隊對如何正確使用 XOR 邏輯運算毫無認識,他們不應自己完成加密的功能,而應該接受一個已經被檢驗、更新和修正超過十五年的解決方案,例如 TLS。」