34家科技巨头喊口号|美链代码错误损失64亿|苹果WiFi高危漏洞
作者: 日期:2018年04月24日 阅:3,346

>> 近日,34家科技公司共同加入保护并提升公民网络安全的协议(https://cybertechaccord.org/)。这34家供应商包括思科、微软、SAP、惠普、甲骨文、戴尔、VMWare、ARM、GitHub等重量级企业;然而,苹果、联想、AWS、谷歌或者IBM等公司似乎毫无加入的征兆。

尽管这看上去是个好消息,然而有评论指出,他们的协议中并未提及任何具体化的东西:没有说他们会做什么,什么时候做,怎么做;也没提到他们将如何测定他们的工作是否有效;更没提到任何有关风险、响应等安全计划。

因此,有人吐槽认为:大公司如果仅仅只是一起空喊口号,不花真金白银在具体实施上,结果至多不过作秀一般的开开会发发论文而已。

>> 最近美链(BEC)的智能合约被黑客发现漏洞利用,被黑客套现大量抛出,瞬间蒸发了超过64亿人民币的市值。如此巨大的损失背后,其攻击方法却非常简单:智能合约的开发者使用的数据类型存在溢出问题,而在之后的判断语句中也并未用合适的代码进行对比以及防范。这条语句恰恰是判断账户是否有足够的余额进行交易的。于是黑客利用这个漏洞,对交易的币量进行了超出数据类型上限的提取——在判断语句中黑客提取的量为0。

这一波大量提现的操作直接导致了BEC贬值。因此,对于程序员来说,写程序的时候要使用尽量安全的命令(比如在这个事件中,如果程序员贯彻使用safeMath就没事了),同时代码一定要进行安全性的测试以及审计。

>> 赛门铁克在RSA2018的会议上指出,苹果系统的Wi-Fi同步特点可以被利用进行攻击。

研究指出,一旦一个iOS设备信任了一台被物理连接的计算机,就会被攻击者通过使用相同的Wi-Fi所攻击。而这个现象的核心在于苹果系统用于USB连接而产生的同一个密钥也被用于Wi-Fi认证。因此,一旦一个苹果设备信任了一台电脑或者终端,并且传输了它的密钥——那么一旦这些密钥被攻击者所获取,那么攻击者就可以利用这些密钥通过Wi-Fi进行信息截获——包括数据备份,截屏甚至神不知鬼不觉地添加或者删除应用。更糟糕的是,这些凭证很可能被永久地保存于电脑中,意味着几周甚至几个月后才进行入侵。另外,这个技术甚至能被利用使得被攻击的手机通过VPN联网,从而即使手机不使用原Wi-Fi,依然会被攻击。

虽然赛门铁克已经向苹果提交了漏洞,然而iOS 11的版本依然未完全修复此问题,因此赛门铁克建议用户限制被信任的电脑、加密备份以及删除他们受信任的旧机器列表。

#牛道消息20180424

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章