火绒安全周报:微信支付被曝严重漏洞 恶意软件伪装成《堡垒之夜》外挂
1、微信支付官方SDK被曝严重漏洞
某安全人员发现微信支付官方SDK存在严重漏洞,使用微信支付时,商家需要提供通知网址以接受异步支付结果。 问题是微信在JAVA版本SDK中的实现存在一个xxe漏洞。 攻击者可以向通知URL构建恶意payload,根据需要窃取商家服务器的任何信息。 一旦攻击者获得商家的关键安全密钥(md5-key和merchant-Id等),就可以通过发送伪造信息来欺骗商家购买任何东西而无需付费。目前,微信安全团队已经及时跟进处理这个问题。
来源:Freebuf
2、恶意软件伪装成《堡垒之夜》作弊外挂 投送恶意广告
近日,串流软件Rainway表示,从6月26日开始他们收到了超过38.1万起错误报告。工程师通过发掘日志发现,这些用户都曾经在平台串流玩过《堡垒之夜》。而造成这一现象的原因是这些玩家都使用了相同的《堡垒之夜》能够提供自瞄功能、获得免费V货币的外挂插件。
而该外挂插件携带恶意软件,会劫持作弊者并发动中间人攻击,投送多个广告或者恶意网址。目前该恶意软件已经被下载超过7.8万次。
来源:cnBeta
3、Facebook承认向61家公司提供用户数据特殊访问权限
国外媒体报道,Facebook承认,至今仍然允许61家公司访问其用户数据。
上周,Facebook向美国国会提交了文档声明,"一次性"给予AOL、耐克、UPS和约会应用Hinge等公司6个月时间来适应Facebook对于用户数据保护的政策,并在一次试验中授予了它们数据访问权限。在这期间,至少5家公司可能访问了有限的用户数据。事实上,Facebook 早在2015年就宣称已经禁止开发者访问其用户以及用户好友的数据。
来源:Freebuf
4、新型病毒可判断计算机适合挖矿还是用来勒索
近期安全研究人员发现一种有趣的恶性病毒。在植入计算机后它会自行判断计算机配置高低,以决定是对其进行勒索敲诈还是转变成挖矿的设备。 若配置不足,该病毒会将计算机加密,使用者需支付赎金以换取解密密钥。若配置较高,则会通过感染系统进行挖矿操作。
来源: thehackernews
5、加州大学最新研究:键盘上的热残留可泄漏密码
近日,加州大学发表了一篇研究论文,指出人的手指会在键盘按键上留下热残留物,不法分子通过记录这些热残留物,就能获得用户在键盘上输入的文本。
攻击者只需要一台中距热感摄像机,就能在用户敲击键盘之后一分钟的时间内捕捉到它们。如果用户输入密码然后离开,其他人就可以用这种手段作案了。攻击者通过这种手段可以还原验证码、密码或PIN码等短文本字符串。
来源:安全客