国际资讯

逾1亿台物联网设备或遭 Z-Wave 攻击

Z-Wave 协议主要适用于家庭自动化，它使用低能量的无线波为最多100米的范围提供无线通信。Z-Wave 由Zensys 公司于2001年开发，并于2008年为 Sigma Designs 所收购。后者最近将其以2.4亿美元的价格卖给 Silicon Labs。

专门负责推广Z-Wave 的 Z-Wave 联盟指出，目前该协议的用户遍布700多家企业的2400多台物联网和智能家庭产品中，包括恒温器、智能锁和家庭监控系统。

英国公司 Pen Test Partners 分析 Z-Wave 协议后发现，在配对进程中位于目标设备范围内的黑客能够发动攻击并破解本应安全的协议。

研究人员在 Yale 智能锁上展示了自己的研究成果，他们展示了攻击者如何开门的方法，这种被称之为 “Z-Shave” 的方法适用于任何使用了 Z-Wave 的设备。

Wave 依靠共享网络密钥确保控制器和客户设备配对时的流量安全。这个配对进程 S0 的初始版本被指易受2013年发现的嗅探攻击，从而促使更加安全的进程 S2 的推出。

S0 的问题在于，它通过已知加密密钥 (0000000000000000) 保护网络密钥的安全，从而允许在目标设备范围内的攻击者拦截通信。S2 协议通过使用更强大的加密解决这个问题，但研究人员发现攻击者能够将 S2 的连接降级到 S0，从而删除保护机制。

参考链接：https://www.anquanke.com/post/id/146325

甲骨文称 Java 序列化的存在是个错误，计划删除

甲骨文计划从 Java 中去除序列化功能，因其在安全方面一直是一个棘手的问题。 Java 序列化也称为 Java 对象序列化，该功能用于将对象编码为字节流...Oracle 的 Java 平台小组的首席架构师 Mark Reinhold 说：“删除序列化是一个长期目标，并且是 Project Amber 的一部分，它专注于面向生产力的 Java 语言功能。”

为了替换当前的序列化技术，一旦记录，会在平台中放置一个小的序列化框架，支持 Java 版本的数据类。该框架可以支持记录图形，开发人员可以插入他们选择的序列化引擎，支持 JSON 或 XML 等格式，从而以安全的方式序列化记录。 但 Reinhold 还不能确定哪个版本的 Java 将具有记录功能。 序列化在 1997 年是一个“可怕的错误”，Reinhold 说。 他估计至少有三分之一甚至是一半的 Java 漏洞涉及序列化，序列化总体上是脆弱的，但具有在简单用例中易于使用的特性。

参考链接：https://www.cnbeta.com/articles/soft/730711.htm

WPA3 安全协议出台 WiFi 设备将大换血

现在大规模使用的WPA2安全协议，已经被破解了很长时间，WiFi的安全性风雨飘摇。终于，WiFi联盟公布了WPA3加密协议，共改善了物联网、加密强度、防止暴力攻击、公共WiFi这四大安全性。终于可以放心使用WiFi上网了。想要享受最安全的WiFi网络，用户手中的无线设备必须大换血。

市场无法估量 消费级产品先于企业级部署

从2002年WiFi正式商用算起，经历了16年的发展，这一市场并没有准确的设备数字。不过据WiFi联盟公布的数据显示，全球目前有几十亿台设备使用WiFi连接网络。可见WPA3带来的设备更换风潮，将是一个体量庞大的市场。

目前，高通表示将在6月份在骁龙845芯片中率先支持WPA3加密协议。而其它支持WPA3协议的设备将在即将开始的Computex大展上公布。支持WPA3的设备上，将会贴有"WiFiCertifiedWPA3"的标签。支持WPA3协议的设备将会向下兼容WPA2协议的设备，但是要向上支持WPA3协议就需要更换新设备。鉴于许多用户很少关心路由器的安全问题，采用WPA3协议的设备普及还需要一段时间。

参考链接：http://digi.163.com/18/0528/10/DISV85UQ001680P9.html

黑客事件

尼日利亚黑客向上海某企业发送“木马发票”，现已入侵主机 450 台

5 月 28 日，威胁情报公司微步在线对雷锋网称，他们近日发现了一个长期利用窃密木马（AgentTesla等）对制造业、航运、能源以及部分政府部门发起定向攻击，通过窃取被攻击目标用户和单位敏感信息进行 CEO 诈骗（BEC）攻击的黑客团伙“SWEED”。

不久前，一份伪装成某上海企业向新加坡公司发出的形式发票（Proforma Invoice）引起了微步在线安全研究员的注意，因为该文档利用了 OFFICE 漏洞 CVE-2017-11882，漏洞触发后会下载执行窃密木马“AgentTesla”。

AgentTesla 是一款近期非常流行的商业窃密木马，具备屏幕截图、键盘记录、剪贴板内容、控制摄像头以及搜集主机账号密码等多种功能，并可通过”web”、”smtp”和”ftp”等三种方式回传数据。

安全研究员追踪该木马后，发现幕后攻击团伙“SWEED”来自尼日利亚，自 2017 年开始利用钓鱼邮件传播“AgentTesla”木马，攻击目标主要为从事对外贸易的中小型企业，涉及制造业、航运、物流和运输等多个行业。他们对黑客服务器获取的部分数据进行了分析，发现“SWEED”至少成功入侵个人主机 450 台，受害者遍布美国、俄罗斯、中国、印度、巴基斯坦、沙特、韩国、伊朗等近 50 个国家。

参考链接：http://hackernews.cc/archives/23161

又是内鬼！可口可乐承认 8000 名员工的个人信息被泄漏

可口可乐公司表示，他们在过去几个月中与执法部门合作调查了这些数据的来源和有效性，并确定一些文件包含了部分员工的个人信息。

根据所在州法律，该公司现在正在向受影响的员工发送通知函。

可口可乐公司的发言人表示：“我们正在向大约8000名员工发布数据泄露通知，这些人的个人信息在前雇员离开公司时被一起带走了，而且，每个员工的所暴露的数据类型各不相同。

“我们非常重视信息安全，也非常同情那些可能已经泄露信息的人，对此造成的后果非常抱歉。”发言人表示，目前还没有发现有人用这些信息实施犯罪。

目前，可口可乐正通过第三方供应商向受影响的员工提供一年的免费身份监测。

参考链接：https://www.leiphone.com/news/201805/yIEyXN4H4Isx2YDX.html

比特币黄金遭黑客攻击：可能损失1800万美元

5月28日，比特币黄金（Bitcoin Gold）的开发团队近期公布了上周遭遇攻击的详情。当时，攻击者通过“双重支出攻击”，从加密货币交易所中窃取了资金。

比特币黄金的开发团队确认，攻击者获得了网络算力的大部分控制权，利用这些算力重组了比特币黄金的区块链，并进行反向交易。

在这起事件中，攻击者向加密货币交易所存入资金，将其交易为比特币或其他加密货币，随后再提取资金。随后，攻击者使用获得的绝大部分算力，迫使网络的其他部分接受伪造的数据块，修改最初的存入资金，导致这些资金从交易所控制的钱包中消失。

根据此前的报道，与攻击者关联的地址在一系列“双重支出行为”的交易中向自己发送了超过38万个比特币黄金。目前尚不清楚，这些交易中有多少造成了资金被盗。从理论上来说，如果所有交易都造成资金被盗，那么攻击者可以从中获利1800万美元。

参考链接：https://finance.qq.com/a/20180528/016798.htm

（来源：云天安全搜集整理互联网安全资讯）