首頁 > 安全研究 > 安全通報 > 安全簡訊

研究團隊演示使用 MITM 繞過 FIDO2 網絡釣魚防護

發布時間 2024-05-07
1. 研究團隊演示使用 MITM 繞過 FIDO2 網絡釣魚防護


5月6日,FIDO2 是無密碼身份驗證的現代身份驗證組術語??焖偕矸菰诰€ (FIDO) 聯盟開發它來取代傳統已知密碼的使用,并提供一種使用物理或嵌入式密鑰進行身份驗證的安全方法。眾所周知,FIDO2 可以保護人們免受中間人 (MITM)、網絡釣魚和會話劫持攻擊。FIDO2 身份驗證流程由用于客戶端依賴方 (RP)(即云應用程序通信)的 WebAuthn API 規范和用于硬件通信的客戶端到身份驗證器 (CTAP) 協議組成。整個過程由瀏覽器管理,包括兩個身份驗證步驟:設備注冊和身份驗證。之所以這樣構造,是因為 FIDO2 基于公鑰加密機制??蛻舳嗽诖颂幧伤借€和公鑰,并將后者發送回 RP 以在登錄時進行簽名驗證。FIDO 可以用作單個應用程序或聯合應用程序的身份驗證方法。對于那些不知道的人來說,聯合是指由單個身份提供商 (IdP) 管理的多個不相關應用程序的單點登錄 (SSO)。  


https://securityboulevard.com/2024/05/using-mitm-to-bypass-fido2-phishing-resistant-protection/


2. 國際特赦組織將印度尼西亞列為間諜軟件中心


5月6日,國際特赦組織安全實驗室的最新研究表明,印度尼西亞是監控工具和供應商的新興中心。該組織發現了從 2017 年到去年從以色列、希臘、新加坡和馬來西亞等國家向印度尼西亞銷售和運輸高度侵入性間諜軟件和其他監控技術的證據。據報道,這些監控工具屬于“Q Cyber Technologies(與 NSO Group 相關)、Intellexa 財團、Saito Tech(也稱為 Candiru)、FinFisher 及其全資子公司 Raedarius M8 Sdn Bhd 和 Wintego Systems”等公司。國際特赦組織還詳細介紹了與針對印度尼西亞個人的間諜軟件平臺相關的各種惡意域名和網絡基礎設施。國際特赦組織表示,雖然這些域名模仿了政黨和媒體機構,但目前尚不清楚誰是真正的目標。國際特赦組織的報告稱,間諜軟件歷來被政府實體用來針對民間社會和記者,因此對于公民權利受到侵犯的印度尼西亞來說,這是特別令人擔憂的。 


https://www.darkreading.com/cybersecurity-operations/amnesty-international-cites-indonesia-as-spyware-hub


3. 法官考慮對谷歌破壞內部聊天記錄進行制裁


5月4日,在谷歌壟斷案審判的第二天結案陳詞即將結束時,美國地區法官阿米特·梅塔 (Amit Mehta) 權衡了是否應該對美國司法部所說的谷歌“例行、定期和正常銷毀”證據進行制裁。谷歌被指控制定了一項政策,指示員工在討論敏感話題時默認關閉聊天記錄,包括谷歌的收入分享和移動應用程序分發協議。美國司法部和州總檢察長認為,這些協議旨在維持谷歌在搜索領域的壟斷地位。據美國司法部稱,谷歌不僅在調查期間而且在訴訟期間銷毀了潛在的數十萬個聊天會話。在美國司法部發現該政策后,谷歌才停止了這種做法。司法部的律師肯尼思·丁澤 (Kenneth Dintzer) 周五告訴梅塔,司法部認為法院應該得出這樣的結論:與歷史進行交流表明了隱藏信息的反競爭意圖,因為他們知道自己違反了反壟斷法。


https://arstechnica.com/tech-policy/2024/05/judge-mulls-sanctions-over-googles-shocking-destruction-of-internal-chats/


4. 2023年Google阻止228萬個惡意app在Google Play發布


4月29日, 2023 年,我們阻止了 228 萬個違反政策的應用程序在 Google Play 上發布,部分歸功于我們對新的和改進的安全功能、政策更新以及先進的機器學習和應用程序審核流程的投資。我們還加強了開發者入職和審核流程,在開發者首次建立其 Play 帳戶時需要更多身份信息。加上對審查工具和流程的投資,我們更有效地識別了不良行為者和欺詐團伙,并禁止了 33.3 萬個不良帳戶進入 Play,這些帳戶已確認為惡意軟件,并且屢次嚴重違反政策。此外,近 20 萬個應用程序提交被拒絕或修復,以確保正確使用后臺位置或短信訪問等敏感權限。為了幫助大規模保護用戶隱私,我們與 SDK 提供商合作,限制敏感數據訪問和共享,從而增強影響 79 萬多個應用程序的超過 31 個 SDK 的隱私狀況。我們還顯著擴展了Google Play SDK 索引,該索引現在涵蓋了 Android 生態系統中近 600 萬個應用程序所使用的 SDK。這一寶貴的資源可幫助開發人員做出更好的 SDK 選擇、提高應用程序質量并最大程度地降低集成風險。


https://security.googleblog.com/2024/04/how-we-fought-bad-apps-and-bad-actors-in-2023.html


5. 兩個極右翼媒體網站遭到黑客攻擊和破壞


5月3日,兩家極右翼媒體網站遭到黑客攻擊和破壞,訂閱者和其內部網站數據被泄露,這是一次明顯出于政治動機的攻擊的一部分。目前尚未公開聲稱對此次攻擊負責,但這至少是本周第二起看似出于政治動機的黑客攻擊。過去曾發動過出于政治動機的攻擊的網絡犯罪組織SiegedSec聲稱對臭名昭著的 Westboro 浸信會教堂發動了攻擊。沒有跡象表明這兩起事件有關聯。Human Events 是一家成立于 1944 年的保守派新聞機構,于 2022 年 5 月收購了Post Millennial。這兩個組織的網站均指出,它們是由政治媒體公司 (Political Media, Inc. ) 設計和維護的,該公司是一家位于弗吉尼亞州的“中右翼新媒體咨詢公司”,提供的服務包括內容管理系統、網頁設計、電子郵件服務和營銷。 


https://cyberscoop.com/far-right-websites-hacked-and-defaced/


6. 歐洲刑警組織關閉12個詐騙呼叫中心并逮捕多個嫌疑人


5月3日,歐洲刑警組織領導的一項名為“潘多拉”的行動已經關閉了十幾個電話詐騙中心,并逮捕了 21 名嫌疑人。警方估計,這一行動阻止了犯罪分子從受害者身上騙取超過 1000 萬歐元。該犯罪網絡在阿爾巴尼亞、波斯尼亞和黑塞哥維那、科索沃和黎巴嫩運營呼叫中心,每天接到“數千個”詐騙電話,包括假警察電話、投資詐騙和浪漫詐騙。如果不是德國的一名銀行出納員,竊賊可能會騙走更多的受害者。潘多拉行動始于 2023 年 12 月,當時一名顧客要求弗萊堡的一名出納員提取超過 100,000 歐元(107,247 美元)的現金。這一請求涉及到銀行工作人員,他們很快就得知該客戶落入了假警察的騙局。這種類型的欺詐涉及犯罪分子自稱是執法人員,迫使受害者支付一大筆錢——通常是謊稱他們錯過了虛假的開庭日期,現在面臨逮捕令,除非他們支付罰款,或者其他一些編造的故事。


https://www.theregister.com/2024/05/03/operation_pandora_europol/

上一篇 下一篇