专属| 黑客可通过漏洞劫持裸金属服务器

漏斗社区

发布于 2019-04-29 11:29:18

2.7K0

假装认真工作篇

【热搜】Coinomi 钱包明文检查用户密码

Coinomi 钱包应用被发现会以明文向Google的拼写检查服务发送用户密码，让用户容易遭到中间人攻击，导致账号内数字货币失窃。Coinomi是基于Chromium，集成了多种 Google 服务，其中一种是自动拼写服务，能对所有用户文本框输入进行拼写检查。Coinomi 团队没有关闭这项功能，导致用户密码在设置过程中通过 HTTP 泄漏。

【热搜】黑客可通过漏洞劫持裸金属服务器IBM

日前，研究人员演示了利用主板关联微控制器BMC在IBM云服务内留下后门。在这项研究中，研究人员利用了超微制造的主板BMC漏洞在 IBM 的裸金属云计算服务中留下后门。裸金属云计算允许客户完全控制服务器，不再需要的时候还给服务商，服务商将会清理系统给另一名客户使用。超微主板 BMC 漏洞允许一名客户留下后门，在服务器分配给其他客户后仍然活跃，这个后门允许攻击者窃取数据、发动拒绝访问攻击和勒索。

【漏洞】黑客使用Thunderbolt外设攻击PC

日前，研究人员公布一个新漏洞Thunderclap，影响所有主要平台，包括MacOS和Windows。该漏洞会影响所有使用Thunderbolt接口的设备，并允许黑客通过插入数据线来黑入PC。目前，抵御这个漏洞的最佳方法是确保禁用所有Thunderbolt端口，并且不要共享硬件。安全人员表示：这种攻击在实践中是非常合理的。Thunderbolt 3端口上的电源、和外围设备DMA组合有助于创建恶意充电站或显示器，这些充电站或显示器功能正常，但同时控制连接的机器。

【漏洞】三个4G/5G漏洞曝光

近日，安全研究员宣布成功在4G/5G网络中发现三个新的安全漏洞，可用于拦截电话以及跟踪手机用户的位置。这三个漏洞分别为Torpedo、Piercer和IMSI-Cracking。其中最为严重的是Torpedo，它利用了蜂窝寻呼协议的弱点，从而让攻击者追踪受害者的位置。基于Torped漏洞，攻击者还可以推进另外2个漏洞。Piercer允许攻击者在4G网络上确定国际移动用户身份； IMSI-Cracking攻击可以在4G和5G网络中暴力攻击IMSI号码。

【预警】多款 App被曝与FB共享用户敏感数据

日前，许多热门健康、健身应用已经停止向Facebook公司发送敏感的个人健康信息。据悉，至少有11款热门健康、健身应用通过Facebook提供给App开发商的软件，将用户敏感数据传输至Facebook。Flo Health公司的一位发言人证实，该公司已从应用程序中删除了Facebook的软件，并要求Facebook删除该公司此前发送的所有用户数据。

尽情放飞自我篇

【美食】Prussian Blue(东百店)

坐标：东百中心C1馆2楼ELEVEE品牌店内。环境布置超级有设计感，坐拥观赏三坊七巷的最佳视角。推荐：【气质咖啡】咖啡装在复古的可口可乐瓶里，口感很惊艳，像精酿啤酒。【黑森林蛋糕】层层巧克力下面，包裹着绵软的蛋糕，微苦的可可味，蛋糕里还夹着樱桃果肉。【巧克力榛子芒果流心蛋糕】榛子味道浓厚，里面夹着酸酸的芒果酱，再搭配着略甜的蛋糕，口味独特。推荐指数：五颗星。