日前英國發生大規模網絡攻擊,有黑客透過 MOVEit Transfer 檔案傳送工具的漏洞,入侵薪酬服務商 Zellis 的數據系統,並盜取重要個人資料。英國廣播公司(BBC)、英國航空公司及連鎖藥妝店 Boots 承認旗下部分員工資料外洩。 想知最新科技新聞?立即免費訂閱 ! MOVEit Transfer 為 MFT 檔案共享系統,日前被發現存在零時差漏洞 CVE-2023-34362,允許未經身分驗證的攻擊者存取資料庫,並已有黑客利用漏洞發動攻擊,微軟相信是次攻擊由勒索軟件組織 Cl0p 所策劃。 網絡安全廠商 Sophos…
Search Results: FluHorse (3)
來自騰訊及浙江大學的研究員及學者,發現大部分品牌的 Android 手機,都存在暴力破解指紋鎖漏洞,雖然這些手機都有登入嘗試限制,但研究團隊就開發出一個可以無視輸入限制次數的設備,只要有足夠時間,在嘗試的十部 Android 手機中,全部都可以成功破解,而且登記得越多不同人的指紋,破解速度就越快! 想知最新科技新聞?立即免費訂閱 ! 暴力破解(Brute-force)是對密碼進行逐個推算,直到找出真正的密碼為止的一種攻擊方式。 以開啟手機密碼鎖為例,賊人會嘗試不同組合密碼,只要時間許可,終可讓賊人成功試出密碼組合。不過,暴力破解最大的敵人是猜測次數限制,只要在限定次數內無法猜出密碼組合,手機就會被暫時停用,必須等待一段時間才能再嘗試。 而騰訊及浙江大學組成的研究團隊,便針對智能手機的智紋解鎖功能,嘗試找出當中漏洞,最終讓他們成功研發出 BrutePrint 攻擊。研究團隊指出,他們主要針對指紋解鎖系統的三個漏洞進行暴力破解,而破解的前提是必須有智能手機在手,其次是必須將地下渠道取得大量的指紋資料庫,以團隊取得的資料庫為例,價值只須 15 美元,而最後必須有足夠的破解時間。 第一個漏洞稱為 Cancel-After-Match-Fail(CAMF),讓研究員可以提早停止系統確認驗證指紋對與錯的過程,令他們可以無限次輸入不同指紋,繞過手機的限制機制而不會記錄為失敗。 第二個漏洞是 Match-After-Lock(MAL),如果手機啟動了鎖定模式,即輸入錯誤指紋過了某個次數就會鎖定手機的功能,不過研究團隊發現 MAL 漏洞,讓他們能夠在鎖定模式繼續進行嘗試。…
Check Point 網絡安全專家發現,一個名為 FluHorse 的 Android 惡意軟件,由上年 5 月開始,專門向東南亞地區網民出手,特別是其中兩款老翻了台灣電子道路繳費及越南銀行的 Android apps,各自都有 100 萬下載量,相信已有極多用家受騙,親手將信用卡資料及 SMS 存取權限送給黑客,讓對方可以即時網上刷卡。 如果從入侵手法分析,專家認為 FluHorse 並沒有特別之處,因為黑客只是將帶有惡意軟件下載連結的釣魚電郵,針對性發送給目標人物,等待對方上釣點擊。 想知更多科技新聞?立即免費訂閱! 而在這次攻擊中,黑客的目標是竊取受害者的信用卡資料,以及攔截對方經…