思否技术周刊

1、TikTok 被曝安全漏洞，发起赏金计划最高可得近 10 万元奖金

络安全研究人员披露了 TikTok 中一个现在已经修补好的安全漏洞，这个漏洞可能会让攻击者建立一个应用程序用户及其相关电话 码的数据库，以备未来恶意活动之需。

根据 Check Point 研究人员披露，TikTok 已经部署了一个补丁来解决这个漏洞。

TikTok“查找好友”功能存在漏洞

联系人通过 HTTP 请求以列表的形式上传到 TikTok，该列表由联系人姓名和相应的电话 码组成。

下一步，应用程序发出第二个 HTTP 请求，检索连接到前一个请求中发送的电话 码的 TikTok 配置文件。这个响应包括个人资料名称、电话 码、照片和其他与个人资料相关的信息。

虽然上传和同步联系人请求被限制在，每天每位用户和每台设备的联系人为 500 人，但 Check Point 研究人员找到了一种方法来解决此限制，通过获取设备标识符，服务器设置的会话 Cookie，唯一使用 SMS 登录到帐户并在运行 Android 6.0.1 的模拟器中模拟整个过程时设置的称为“ X-Tt-Token”的令牌。

值得注意的是，为了从 TikTok 应用程序服务器请求数据，HTTP 请求必须包含 X-Gorgon 和 X-Khronos 标头以进行服务器验证，以确保消息不被篡改。

但是，通过修改 HTTP 请求（攻击者希望同步的联系人数量），并用更新的消息签名重新签名，该漏洞使大规模上传和同步联系人的过程自动化成为可能，并创建了一个关联账户及其连接电话 码的数据库。

2、警惕！一个针对安全研究人员进行攻击的组织出现了

谷歌威胁分析小组发现了一个攻击活动组织，经过几个月的努力，确认该活动组织是针对在不同的公司和组织中从事漏洞研究和开发的安全研究人员进行攻击。

为了与安全研究人员获得联系并骗取他们信任，该组织建立了一个研究博客以及多个 Twitter 账 ，借用以上两者与潜在目标进行互动。

他们用这些 Twitter 账 发布指向博客的链接，同时声称博客中有人发现了漏洞并对漏洞以利用，发布了漏洞利用的视频，用账 之间互相转发视频扩大其影响力，还在其他用户的帖子下发布这类内容。

这个组织所拥有的 Twitter 账

组织建立的博客中包含了已公开披露的漏洞文章和分析，还会包含某位研究人员研究漏洞后对博客的投稿，而这些被 站写出“投稿的研究人员”本人对此却完全不知情，组织如此做可能是为了在安全研究人员中获得更高的信任度。

这个组织对安全研究人员建立最初的联系后，他们会询问研究人员是否希望在漏洞研究方面进行合作，然后为研究人员提供 Visual Studio 项目。

Visual Studio 项目中包含利用此漏洞的源代码，但是在编译该Visual Studio项目的时候会自动生成存在恶意代码的DLL。

DLL 是一个恶意软件，它会与组织控制的 C2 域进行通信，下图显示了 VS Build Event 的示例。

生成 VS Project 文件时执行的 Visual Studio 命令

除了通过骗取信任获得合作等一系列行动锁定攻击目标，有时该组织会直接在安全研究人员访问其博客后马上攻击。

研究人员通过 Twitter 访问 blog.br0vvnn [.] io 的文章不久后，会发现系统被安装了恶意服务，内存后门将开始连接到攻击者拥有的命令和控制服务器。

3、特斯拉起诉前员工窃取商业机密，将公司文件移至个人 Dropbox 中

特斯拉起诉前员工窃取公司信息，称其从特斯拉内部 络窃取了与 Warp Drive 软件相关的文件，该文件用于使公司的许多业务流程自动化。

该员工称，他是无意中将文件转移到个人 Dropbox 上的，并表示在媒体 道前并不知道特斯拉起诉了他。

特斯拉起诉前员工 Alex Khatilov，指控其盗窃商业机密和违法合同。在起诉文书中，特斯拉方面称，Alex Khatilov 从特斯拉开发的一种后端软件系统 Warp Drive 中私自获取了代码和文件，并在安全小组审查时删除了证据。

据了解，Alex Khatilov 是在 2020 年 12 月 28 日加入特斯拉的，他被聘请来帮助特斯拉的质量保证团队创建可以自动执行与环境，健康和安全相关的任务或业务流程的软件。

特斯拉表示，Alex Khatilov 加入公司后，几乎立即开始将文件和脚本上载到他的 Dropbox 帐户。特斯拉担心 Alex Khatilov 会将代码透露给竞争对手，因为这些代码对系统自动化具有非常重要的价值。

4、数据安全思考：数据安全取决于安全的软件开发供应链

黑客利用 SolarWinds 漏洞大面积攻击政府和私人 络的事件已经发生了几个月，虽然这次攻击事件的广泛影响早已引起了重视，但一直缺乏关于实施的攻击类型的讨论。

最近，谷歌软件工程师 Dan Lorenc 在一篇文章中详细地描述了此类攻击的性质，并提出了一些关于供应链安全的最佳实践。

此外，Dan Lorenc 还就开源 区是否能够提供一些指导，使用更好的安全方法来开发具有安全优先思想的软件问题进行了深入探讨。

Dan Lorenc 是谷歌的一名软件工程师，专注于开源云技术。他领导的一个工程团队致力于简化为 Kubernetes 构建和交付系统的过程。他创建了 Minikube、Skaffold 和 Tekton 开源项目，并且是持续交付基金会技术监督委员会的成员。

5、间谍软件盯上 iPhone 用户，数月内或遭受大规模攻击

以色列间谍软件公司 NSO 集团销售的 Pegasus 间谍软件据称可以追踪位置和访问密码。

这个间谍软件已经被使用了将近一年的时间，利用了 iPhone 在 iOS 14 更新前的一个明显漏洞，配备了一种计算机安全超级武器，零足迹、零点击、零日漏洞，利用 iMessage 中的一个漏洞，只需按下一个按钮，就能控制一部 iPhone。

间谍软件可跟踪用户位置、访问密码，还不会留下任何痕迹

Pegasus 不会在目标手机上留下任何可见的痕迹，只需发送一条受害者根本不需要点击的信息就可以安装，甚至可以在运行当时最新版本的 iOS 的手机上运行。

多伦多大学公民实验室的研究人员说，他们发现了所谓的黑客工具，被称为“ Kismet”。如果 Kismet 可以被认为是用来绕过 iPhone 的安全性的特洛伊木马，那么 NSO 集团销售的另一个被称为 Pegasus 的软件就是内部的士兵。根据研究人员的说法，Pegasus 有着惊人的强大功能。

Pegasus 间谍软件有能力跟踪位置、访问密码和存储手机上的证书，通过麦克风记录音频，包括加密电话的录音，它还能控制手机的摄像头拍照。

公民实验室表示，他们已经发现了 37 个已知的 Kismet 被 NSO 客户用来攻击的例子。但研究人员表示，“鉴于 NSO 集团客户群的全球影响力，以及几乎所有 iPhone 设备在 iOS 14 升级之前都有明显的漏洞。我们怀疑，我们观察到的感染只是此次攻击所使用的全部攻击中的极小一部分。”

6、OpenWRT论坛数据泄露，大量用户数据被盗

OpenWRT论坛是一个由热爱路由器替代开源操作系统的人组成的大型 区，该平台现在宣布了一起数据泄露事件。

OpenWRT论坛管理员在一份声明中，解释了发生了什么，以及暴露用户数据会给用户带来的风险。

攻击发生在美国当地时间周六凌晨4点左右，一个未经授权的第三方获得了管理权限，并复制了一个包含论坛用户详细信息和相关统计信息的列表。

据称，入侵者使用了OpenWRT管理员的帐户，论坛用户的电子邮件地址和帐 被盗。OpenWRT方面还补充说，他们认为攻击者无法下载论坛数据库，这意味着密码应该是安全的。

然而，为了安全起见，他们重置了论坛上的所有密码，并使项目开发过程中所有使用的API密钥失效。

用户必须从登录菜单中手动设置新密码，方法是提供他们的用户名并按照“获取新密码”的说明进行操作。建议那些使用GitHub凭据登录的人重置或刷新它。

另外，OpenWRT论坛的凭证与维基是分开的。目前，没有人怀疑维基证书已经被以任何方式泄露。

OpenWRT论坛管理员警告说，由于这次入侵暴露了电子邮件地址，用户可能会成为 络钓鱼攻击者的目标。

7、日本程序员为评估年收入泄露公司代码

有一位 45 岁且从事 20 年开发工作的《舰队collection》玩家，因年收入仅300万日元（约合18万人民币）想跳槽，但不知从哪儿看到“在 Github 上上传代码可以评估年收入”，信以为真。于是他将他负责的包含三井住友银行，日本最大电信事业集团 NTT 以及警察厅等大企业的代码悉数上传至了 GitHub 导致代码泄露。这一事件被发现是该玩家在推特上因《舰队collection》与人对骂后被人肉，遂代码泄露事件被发现。

8、微软、思科源代码被泄露！黑客公开售卖，最低5万美元

据外媒 bleepingcomputer 道，一个名为“SolarLeaks”的 站正在出售微软、思科、FireEye 和 SolarWinds 的源代码以及相关数据。

道称，被曝光时研究人员发现 solarleaks.net 域名仅仅成立一天，其背后的域名注册商是 NJALLA。NJALLA 曾被俄罗斯黑客组织 Fancy Bear 和 Cozy Bear 使用过。

因此，研究人员认为这极有可能是证明俄罗斯黑客攻击的证据之一。

络安全公司 Rendition Infosec 的总裁杰克·威廉姆斯 （Jake Williams） 也表示，此次交易倾向于具有商业价值的数据，而不是从政府机构窃取的情 ，可能表明这是一个真实的黑客组织。

至于黑客为什么能获得这些企业的源代码及其相关数据，这还要从 2020 年底发生的一件严重的安全事故说起。

2020 年底，美国政府各大部门遭到黑客攻击，经调查，入侵方式是借由信息科技公司 SolarWinds 的 络管理软件 Orion 更新文件中夹带后门。

部分受害者包括：美国的财政部、商务部、国土安全部、能源部的国家实验室，以及国家核安全管理局。

除此之外，安全公司 FireEye 、微软、思科均在受害者之列。

根据此前的 道，在 SolarWinds 攻击事件中，微软表示，黑客设法提升了微软内部 络里的访问权限，因而可以访问少量内部帐户，并利用这些帐户访问了微软的源代码库。微软还强调被访问的帐户只有查看权限，声称黑客没有对代码或工程系统进行任何更改。