关于黑客:TikTok-被曝安全漏洞间谍软件盯上-iPhone-用户OpenWRT-论坛数据泄露-思否技术周刊

值班编辑：袁钰涵

1、TikTok 被曝安全漏洞，发动赏金打算最高可得近 10 万元奖金

网络安全钻研人员披露了 TikTok 中一个当初曾经修补好的安全漏洞，这个破绽可能会让攻击者建设一个应用程序用户及其相干电话号码的数据库，以备将来歹意流动之需。

依据 Check Point 钻研人员披露，TikTok 曾经部署了一个补丁来解决这个破绽。

TikTok“查找好友”性能存在破绽

这个新发现的破绽存在于 TikTok 的“查找好友”性能中，该性能容许用户将他们的联系人与服务同步，以辨认潜在的关注对象。

联系人通过 HTTP 申请以列表的模式上传到 TikTok，该列表由联系人姓名和相应的电话号码组成。

下一步，应用程序收回第二个 HTTP 申请，检索连贯到前一个申请中发送的电话号码的 TikTok 配置文件。这个响应包含个人资料名称、电话号码、照片和其余与个人资料相干的信息。

尽管上传和同步联系人申请被限度在，每天每位用户和每台设施的联系人为 500 人，但 Check Point 钻研人员找到了一种办法来解决此限度，通过获取设施标识符，服务器设置的会话 Cookie，惟一应用 SMS 登录到帐户并在运行 Android 6.0.1 的模拟器中模仿整个过程时设置的称为“X-Tt-Token”的令牌。

值得注意的是，为了从 TikTok 应用程序服务器申请数据，HTTP 申请必须蕴含 X-Gorgon 和 X-Khronos 标头以进行服务器验证，以确保音讯不被篡改。

然而，通过批改 HTTP 申请（攻击者心愿同步的联系人数量），并用更新的音讯签名从新签名，该破绽使大规模上传和同步联系人的过程自动化成为可能，并创立了一个关联账户及其连贯电话号码的数据库。

2、警觉！一个针对平安钻研人员进行攻打的组织呈现了

谷歌威逼剖析小组发现了一个攻打流动组织，通过几个月的致力，确认该流动组织是针对在不同的公司和组织中从事破绽钻研和开发的平安钻研人员进行攻打。

为了与平安钻研人员取得分割并骗取他们信赖，该组织建设了一个钻研博客以及多个 Twitter 账号，借用以上两者与潜在指标进行互动。

他们用这些 Twitter 账号公布指向博客的链接，同时宣称博客中有人发现了破绽并对破绽以利用，公布了破绽利用的视频，用账号之间相互转发视频扩充其影响力，还在其余用户的帖子下公布这类内容。

这个组织所领有的 Twitter 账号

组织建设的博客中蕴含了已公开披露的破绽文章和剖析，还会蕴含某位钻研人员钻研破绽后对博客的投稿，而这些被网站写出“投稿的钻研人员”自己对此却齐全不知情，组织如此做可能是为了在平安钻研人员中取得更高的信任度。

这个组织对平安钻研人员建设最后的分割后，他们会询问钻研人员是否心愿在破绽钻研方面进行单干，而后为钻研人员提供 Visual Studio 我的项目。

Visual Studio 我的项目中蕴含利用此破绽的源代码，然而在编译该 Visual Studio 我的项目的时候会主动生成存在恶意代码的 DLL。

DLL 是一个恶意软件，它会与组织管制的 C2 域进行通信，下图显示了 VS Build Event 的示例。

生成 VS Project 文件时执行的 Visual Studio 命令

除了通过骗取信任取得单干等一系列口头锁定攻打指标，有时该组织会间接在平安钻研人员拜访其博客后马上攻打。

钻研人员通过 Twitter 拜访 blog.br0vvnn [.] io 的文章不久后，会发现零碎被装置了歹意服务，内存后门将开始连贯到攻击者领有的命令和管制服务器。

3、特斯拉起诉前员工窃取商业秘密，将公司文件移至集体 Dropbox 中

特斯拉起诉前员工窃取公司信息，称其从特斯拉外部网络窃取了与 Warp Drive 软件相干的文件，该文件用于使公司的许多业务流程自动化。

该员工称，他是无心中将文件转移到集体 Dropbox 上的，并示意在媒体报道前并不知道特斯拉起诉了他。

特斯拉起诉前员工 Alex Khatilov，指控其偷盗商业秘密和守法合同。在起诉文书中，特斯拉方面称，Alex Khatilov 从特斯拉开发的一种后端软件系统 Warp Drive 中擅自获取了代码和文件，并在平安小组审查时删除了证据。

据理解，Alex Khatilov 是在 2020 年 12 月 28 日退出特斯拉的，他被延聘来帮忙特斯拉的质量保证团队创立能够主动执行与环境，衰弱和平安相干的工作或业务流程的软件。

特斯拉示意，Alex Khatilov 退出公司后，简直立刻开始将文件和脚本上载到他的 Dropbox 帐户。特斯拉放心 Alex Khatilov 会将代码走漏给竞争对手，因为这些代码对系统自动化具备十分重要的价值。

4、数据安全思考：数据安全取决于平安的软件开发供应链

黑客利用 SolarWinds 破绽大面积攻打政府和私人网络的事件曾经产生了几个月，尽管这次攻打事件的宽泛影响早已引起了器重，但始终不足对于施行的攻打类型的探讨。

最近，谷歌软件工程师 Dan Lorenc 在一篇文章中具体地形容了此类攻打的性质，并提出了一些对于供应链平安的最佳实际。

此外，Dan Lorenc 还就开源社区是否可能提供一些领导，应用更好的平安办法来开发具备平安优先思维的软件问题进行了深入探讨。

Dan Lorenc 是谷歌的一名软件工程师，专一于开源云技术。他领导的一个工程团队致力于简化为 Kubernetes 构建和交付零碎的过程。他创立了 Minikube、Skaffold 和 Tekton 开源我的项目，并且是继续交付基金会技术监督委员会的成员。

5、特务软件盯上 iPhone 用户，数月内或蒙受大规模攻打

以色列特务软件公司 NSO 团体销售的 Pegasus 特务软件据称能够追踪地位和拜访明码。

这个特务软件曾经被应用了将近一年的工夫，利用了 iPhone 在 iOS 14 更新前的一个显著破绽，装备了一种计算机平安超级武器，零脚印、零点击、零日破绽，利用 iMessage 中的一个破绽，只需按下一个按钮，就能管制一部 iPhone。

特务软件可跟踪用户地位、拜访明码，还不会留下任何痕迹

Pegasus 不会在指标手机上留下任何可见的痕迹，只需发送一条受害者基本不须要点击的信息就能够装置，甚至能够在运行过后最新版本的 iOS 的手机上运行。

多伦多大学公民实验室的钻研人员说，他们发现了所谓的黑客工具，被称为“Kismet”。如果 Kismet 能够被认为是用来绕过 iPhone 的安全性的特洛伊木马，那么 NSO 团体销售的另一个被称为 Pegasus 的软件就是外部的士兵。依据钻研人员的说法，Pegasus 有着惊人的弱小性能。

Pegasus 特务软件有能力跟踪地位、拜访明码和存储手机上的证书，通过麦克风记录音频，包含加密电话的录音，它还能管制手机的摄像头拍照。

公民实验室示意，他们曾经发现了 37 个已知的 Kismet 被 NSO 客户用来攻打的例子。但钻研人员示意，“鉴于 NSO 团体客户群的寰球影响力，以及简直所有 iPhone 设施在 iOS 14 降级之前都有显著的破绽。咱们狐疑，咱们察看到的感化只是此次攻打所应用的全副攻打中的极小一部分。”

6、OpenWRT 论坛数据泄露，大量用户数据被盗

OpenWRT 论坛是一个由酷爱路由器代替开源操作系统的人组成的大型社区，该平台当初发表了一起数据泄露事件。

OpenWRT 论坛管理员在一份申明中，解释了产生了什么，以及裸露用户数据会给用户带来的危险。

攻打产生在美国当地工夫周六凌晨 4 点左右，一个未经受权的第三方取得了管理权限，并复制了一个蕴含论坛用户详细信息和相干统计信息的列表。

据称，入侵者应用了 OpenWRT 管理员的帐户，论坛用户的电子邮件地址和帐号被盗。OpenWRT 方面还补充说，他们认为攻击者无奈下载论坛数据库，这意味着明码应该是平安的。

然而，为了平安起见，他们重置了论坛上的所有明码，并使我的项目开发过程中所有应用的 API 密钥生效。

用户必须从登录菜单中手动设置新密码，办法是提供他们的用户名并依照“获取新密码”的阐明进行操作。倡议那些应用 GitHub 凭据登录的人重置或刷新它。

另外，OpenWRT 论坛的凭证与维基是离开的。目前，没有人狐疑维基证书曾经被以任何形式泄露。

OpenWRT 论坛管理员正告说，因为这次入侵裸露了电子邮件地址，用户可能会成为网络钓鱼攻击者的指标。

这意味着用户能会收到蕴含名字的网络钓鱼邮件。布告倡议“不要点击链接，而是手动输出论坛的 URL”。（起源：站长之家）

7、日本程序员为评估年收入泄露公司代码

有一位 45 岁且从事 20 年开发工作的《舰队 collection》玩家，因年收入仅 300 万日元（约合 18 万人民币）想跳槽，但不知从哪儿看到“在 Github 上上传代码能够评估年收入”，信以为真。于是他将他负责的蕴含三井住友银行，日本最大电信事业团体 NTT 以及警察厅等大企业的代码悉数上传至了 GitHub 导致代码泄露。这一事件被发现是该玩家在推特上因《舰队 collection》与人对骂后被人肉，遂代码泄露事件被发现。

8、微软、思科源代码被泄露！黑客公开售卖，最低 5 万美元

据外媒 bleepingcomputer 报道，一个名为“SolarLeaks”的网站正在发售微软、思科、FireEye 和 SolarWinds 的源代码以及相干数据。

报道称，被曝光时钻研人员发现 solarleaks.net 域名仅仅成立一天，其背地的域名注册商是 NJALLA。NJALLA 曾被俄罗斯黑客组织 Fancy Bear 和 Cozy Bear 应用过。

因而，钻研人员认为这极有可能是证实俄罗斯黑客攻击的证据之一。

网络安全公司 Rendition Infosec 的总裁杰克·威廉姆斯（Jake Williams）也示意，此次交易偏向于具备商业价值的数据，而不是从政府机构窃取的情报，可能表明这是一个实在的黑客组织。

至于黑客为什么能取得这些企业的源代码及其相干数据，这还要从 2020 年底产生的一件重大的安全事故说起。

2020 年底，美国政府各大部门受到黑客攻击，经考察，入侵形式是借由信息科技公司 SolarWinds 的网络管理软件 Orion 更新文件中夹带后门。

局部受害者包含：美国的财政部、商务部、疆土安全部、能源部的国家实验室，以及国家核平安管理局。

除此之外，平安公司 FireEye、微软、思科均在受害者之列。

依据此前的报道，在 SolarWinds 攻打事件中，微软示意，黑客设法晋升了微软外部网络里的拜访权限，因此能够拜访大量外部帐户，并利用这些帐户拜访了微软的源代码库。微软还强调被拜访的帐户只有查看权限，宣称黑客没有对代码或工程零碎进行任何更改。

但在 SolarLeaks 网站上，黑客却宣称将以 60 万美元的价格发售微软 2.6G 大小的源代码和存储库。（起源：雷锋网）