谷歌发布以安全为主题的Android更新

谷歌近日推出了一个以安全为主题的Android更新，修复了30多个安全漏洞，这些漏洞会导致移动用户面临一系列恶意攻击。其中最严重的是媒体框架中的一个漏洞，该漏洞可能导致Android 8.1和9设备上的特权提升，或Android 10和11上的信息泄露。该漏洞被跟踪为 CVE-2021-0519。这些问题中最严重的是媒体框架组件中的一个高危安全漏洞，它可以使本地恶意应用程序绕过将应用程序数据与其他应用程序隔离的操作系统保护。谷歌8月1日发布的安全更新包括了对Framework中三个高严重性提权漏洞的修复，以及安卓系统中两个提权漏洞和三个信息泄漏漏洞的修复。后五个漏洞均被评为高严重性漏洞;谷歌8月5日发布的安全更新的第二部分，修复了总共24个影响内核组件、联发科组件、Widevine DRM、高通组件和高通闭源组件的漏洞。这些问题中最严重的是释放后重用漏洞，它可能允许攻击者以内核权限执行任意代码。攻击者利用该漏洞可以在特权进程的上下文中远程执行代码，并根据与此应用程序关联的权限，来安装程序，查看、更改或删除数据，或创建具有完全用户权限的新帐户。除了上述针对Android安全公告解决的漏洞外，谷歌还修复了三个特定于Pixel设备的中等严重性漏洞。其中包括Pixel组件中的特权提升，以及Qualcomm闭源组件中的另外两个未指明的漏洞。

普普点评

保持智能手机系统更新非常有必要，在安装Android安全更新时，你可能不会注意到任何精美的新功能，但是它们非常重要，因为它们可以修复错误和补丁漏洞。将它们想像成装满水的桶中的孔，几个小孔可能不会使水位下跌太多，但是如果你打了足够的孔，整个桶就可能坏掉。如有你的手机有较小的系统更新，请务必尽快下载这些更新。

数百万台操作技术设备受影响  研究人员披露INFRA：HALT漏洞

近日，Forescout和 JFrog安全团队的安全研究人员披露了 14 个漏洞（统称为INFRA：HALT），这些漏洞影响到了200 多家供应商制造的数百万台操作技术（OT）设备中常用的名为NicheStack的TCP/IP 堆栈，攻击者利用这些漏洞能够实现远程代码执行、拒绝服务、信息窃取、TCP 欺骗，甚至是DNS缓存投毒。黑客一旦成功访问某个使用NicheStack系统机构的OT网络就能够利用这些漏洞进行攻击。NicheStack是一个闭源的TCP/IP堆栈的嵌入式系统，最初由InterNiche开发，2016年被HCC Embedded公司收购。该系统旨在帮助工业设备连接互联网，被主要的工业自动化供应商（如：西门子，艾默生，霍尼韦尔，三菱电机，罗克韦尔自动化和施耐德电气）使用在他们的可编程逻辑控制器（PLCs）和其他产品中。据悉，有超过 6400台运行NiccheStack的OT设备连接到互联网。据了解，4.3版本之前的所有 NicheStack 版本都容易受到 INFRA：HALT 的影响，虽然HCC Embedded已发布补丁以解决这些漏洞，但使用NicheStack的易受攻击版本的设备供应商可能需要相当长的时间才能将更新的固件运送给客户。

普普点评

如果您的企业有在用的上述嵌入式系统，可访问 Amnesia 项目扫描器，查看自己是否使用了在 NicheStack TCP/IP 栈上运行的设备，或者是否在受此前漏洞影响的 TCP/IP 栈上运行。项目地址：https://github.com/Forescout/project-memoria-detector。

勒索病毒成为工业环境中的典型攻击手段

近日，研究机构Forrester Research发布了《Now Tech Industrial Control Systems(ICS) Security Solutions Q2 2021》研究报告，该报告调研了全球28家工控安全解决方案供应商。研究发现：通过加密档案系统或文件的勒索软件攻击已经对ICS安全造成了严重的威胁。工业控制系统(ICS)是许多关键基础设施部门运营技术 (OT) 的重要组成部分。ICS和OT环境因其在企业中所占据的重要地位而成为吸引网络攻击者的重点目标，若攻击者对ICS和OT攻击成功，会导致现实企业业务中断的严重后果。例如美国最大燃油输送公司Colonial Pipeline的勒索软件攻击事件。报告指出，过去一年中，勒索软件是OT环境中常见的攻击手段。针对工业系统的网络威胁大多数与有国家背景支持的攻击组织有关，关键基础设施和工业企业所面临的网络威胁正在逐年增加。除了勒索软件，许多工业控制系统还容易受到漏洞攻击。以Stuxnet为例，它是一种针对SCADA系统的恶意蠕虫，之所以引人注目，是因为它是目前业内已知的第一个针对核能设施的恶意蠕虫，它透过感染核能设备的控制系统(ICS)，从而对核离心机造成物理损坏。便携式媒体(例如U盘)是ICS的主要风险来源。粗心的员工可能会在不知不觉中将受感染的文件或媒体引入这些系统。

普普点评

制造业进入“工业4.0”时代，信息安全工作将需要面对由无处不在的传感器、嵌入式系统、智能控制系统和产品数据、设备数据、研发数据、运营管理数据等紧密互联形成的一个智能网络，对制造业的信息安全防护能力提出了更高的要求。

搞瘫美国最大燃油管道的黑客软件卷土重来

在今年5月，黑客团队“黑暗面”(DarkSide ransomware group)导致美国“输油大动脉”一度瘫痪，甚至让美国宣布进入国家紧急状态，也因此声名大噪。在成功获得了赎金后，迫于多方压力最终DarkSide宣布解散。据外媒报道，日前，网络安全公司声称一个新的危险黑客组织已经成立，该组织融合了DarkSide和另外两种著名勒索软件的功能。根据网络安全公司Recorded Future的说法，新成立的黑客团队名为黑物质集团(BlackMatter group)，该组织声称其已经成功融合了DarkSide和勒索软件“REvil”和“Lockbit”的最佳功能。目前，BlackMatter正在活跃在各大黑客论坛上，但是它并不是为了出售自己的软件，而是在搜集那些已经被其他黑客攻击的企业。Recorded Future指出，BlackMatter的目标主要是已经被黑客入侵的澳大利亚、加拿大、英国和美国的公司网络，并要求这些公司的收入至少1亿美元以上。此外，网络安全公司Malwarebytes表示，BlackMatter在其网站发表声明称，并不会针对医院、关键基础设施、国防工业和政府部门等特定行业发动攻击。而这一声明与之前黑客组织DarkSide的声明颇为相似，该组织在今年5月曾表示，其目的是为了赚钱，而不是制造社会混乱。

普普点评

DarkSide与其附属就在过去9个月中，从47名受害者那里获得了至少价值9000万美元的比特币赎金。对于像DarkSide这样的勒索团队而言解散是非常普遍的操作，只不过是未来再换个名字重出江湖罢了，该团队的活动态势，值得国际社会重点关注。

技嘉遭勒索软件攻击 黑客威胁称不支付赎金就公开内部数据

硬件厂商技嘉(Gigabyte)本周遭到勒索软件攻击。黑客威胁称如果公司不支付赎金，将公开 112GB 的公司内部数据。技嘉在公告中表示，公司于本周二晚上遭到勒索软件攻击，但没有对生产系统产生影响，因为攻击的目标是位于总部的少量内部服务器。技嘉表示由于安全团队的迅速行动，服务器已从备份中恢复并重新上线，但事件远未结束。援引外媒 The Record 报道，勒索软件团伙 RansomExx 对本次攻击负责，该团伙声称拥有 112GB 的数据，其中包括技嘉和 Intel、AMD和 American Megatrends 的机密通信以及保密协议。该组织威胁要公开所有内容，除非技嘉愿意支付赎金。目前技嘉仍在调查本次攻击是如何发生的，不过初步猜测可能是网络钓鱼电子邮件活动或者从在线来源购买的被盗凭据，这类攻击通常来自于这些问题。这并不是 RansomExx 团队发起的首次攻击，在 2018 年前该团队以“Defray”的名称运营，并攻击了包括佳明、宏碁、仁宝、广达和研华等公司。上个月，它还攻击了意大利和厄瓜多尔国营电信公司 CNT 的 Covid-19 疫苗接种预订系统。

普普点评

RansomEXX 是一种相对较新的勒索软件，去年 6 月初首次被发现，随后11月份，该勒索软件发展出了Linux版本。针对这类入侵，公司可以采取的最佳策略是，通过向网关设备应用安全补丁，并确保它们没有被错误配置为弱凭证或默认凭证，来保护网络边界。

打破物理隔离！利用电源信号灯的轻微闪烁进行窃听

以色列研究人员发现了一种新的电子对话监控方法，他们介绍了一种名为“萤火虫”（Glowworm）的新型被动TEMPEST（瞬态电磁脉冲发射监控技术）攻击形式，能够将扬声器与USB集线器上电源LED当中的微弱强度波动，还原为导致波动的音频信号。该研究小组分析了目前市面上广泛应用的各类消费级设备，包括智能扬声器、简易PC扬声器以及USB集线器等，这些设备上的LED电源指示灯往往会受到扬声器输入音频信号的明显影响。尽管LED信号的强度波动无法被肉眼察觉，但其强度已经足以被耦合至一个简单光学望远镜内的光电二极管所捕捉。扬声器在消耗电流时引起的电压变化必然引起功率波动，也因此令LED产生轻微闪烁；以此为基础，光电二极管能够将这种闪烁转换为电信号，再经由简单的模数转换器（ADC）以音频形式播放。“萤火虫”攻击的最大特点，一为新颖性、二为被动性。由于这种方法不需要发出任何主动信号，因此不会受到任何类型的电子对抗扫描的影响。真正令人担心的是，它根本不需要接触实际音频，只要观察音频发生装置上的光电副作用，它就能还原出传输内容。这意味着如果使用“萤火虫”监控电话会议，那么攻击一方并不需要前往会议室，只要在远处观察会议室音频播放系统的电源指示灯就能把对话内容还原出来，因此大多数目标根本意识不到这类监控行为的存在。

普普点评

“萤火虫”攻击要求具备清晰的LED观察视线，基于此，应对此种攻击最简单方法就是把所有设备的LED指示灯全部朝室内摆放，或者贴上不透明胶带，或者拉上窗帘。对制造商来说，最低成本的解决方案就是在相对低功率的设备上为LED指示灯并联上作为低通滤波器的电容，借此抑制电压波动。

杀毒软件迈入寡头时代！NortonLifeLock宣布并购Avast

消费者网络安全巨头NortonLifeLock宣布，同意以现金加股票的方式并购杀毒软件厂商Avast，借此扩大自身在消费级安全软件业务领域的影响力。NortonLifeLock公司总部位于美国亚利桑那州坦佩市，其前身是赛门铁克在2019年以107亿美元将企业安全业务出售给博通公司后，剩下的消费级业务。NortonLifeLock目前主要销售诺顿（Norton）反病毒软件与LifeLock消费级身份盗窃保护产品。

Avast公司总部位于捷克布拉格，主要为消费者提供免费/付费安全软件，包括桌面安全以及服务器/移动设备保护产品。通过这次合并，新公司将拥有超过5亿用户，加速推进消费者网络安全转型。结合Avast在隐私方面和NortonLifeLock在身份方面的优势，将创造一个广泛且互补的产品组合，超越核心安全，向以信任为核心的解决方案迈进。在今天宣布与Avast合并之前，2020年12月，NotonLifeLock 还以3.6亿美元的现金交易收购了德国杀毒软件厂商小红伞（Avira）。经过多年大浪淘沙，目前全球范围内的消费者网络安全巨头已所剩不多，仅余NortonLifeLock（包括Norton、Avira、Avast、AVG）、McAfee、ESET、Bitdefender、趋势科技、卡巴斯基、360等屈指可数的数家公司。

普普点评

最近两年，黑客活动越来越猖狂，网络攻击近来在新闻上成为了常态。大量的科技巨头和政府机构都在努力应对一系列破坏性和广泛的网络攻击，并专注于加强旗下产品和服务的安全性。在企业和机构用户面临威胁的同时，个人用户在网络上的防护则更加不堪一击，随着当前更多人开始远程办公，用户如何应对网络威胁成为至关重要的一环，也间接导致了市场对于网络安全软件的需求正变得越来越大，此次并购也应势而生。