更多

    Microsoft Teams 也中招 一張 GIF 偷取企業帳戶資料

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    Google 承認已停止發售 Pixel 3a

    Google 正式承認當售清存貨之後,就會停售 Pixel 3a 。現時美國 Google Store 已經顯示沒有存貨,但台灣方面就無論 Pixel 3a 還是屏幕較大的 Pixel 3a XL 也仍然有售。

    Thunderbolt 4 下周發表 支援線材已在 Apple Store 有售!?

    Thunderbolt 3 介面推出近 10 年,隨著 Intel 去年開放 Thunderbolt 協定專利、 USB Promoter Group 宣布推出 USB4 規格, Intel 也準備在下星期四 7 月 9 日召開媒體說明會,公布有關 Thunderbolt 4 的最新技術和市場布局。不過據聞 USB Promoter Group 成員之一的 Apple 可能已經悄悄地在 Apple Store 上推出對應 Thunderbolt 4 的線材。

    Apple Arcade 改變策略挽留玩家 Apple 終止部分遊戲開發合約

    Apple 去年推出一系列訂閱服務,希望將公司盈利重心由售賣硬件轉為提供內容服務。可惜似乎在各方面都踫壁,需要改變營運策略。而最近傳出「被開刀」的,就是遊戲訂閱服務 Apple Arcade 。據知情人士透露, Apple 在 4 月中的電話會議上向部分遊戲開發商提出終止現有遊戲的開發合約,轉而尋求更能吸引訂戶持續玩下去的遊戲作品。

    疫情中不少公司都採用居家工作,國際會議也採用視像會議的方式進行。網上會議平台如 Zoom 在這段時間冒起,不過同時也被發現諸多漏洞。不過與此同時其他網上協作平台一樣成為駭客的目標,最新的受害者就是 Microsoft Teams 。有保安機構就發現 Teams 存在一個漏洞,只要一個張 GIF 動畫就能騙取企業的 Teams 帳戶資料。幸而, Microsoft 已於日前修補了這個漏洞。

    據福布施報道,保安企業 CyberArk Labs 發現問題在於 Microsoft 在 Teams 處理查看圖像的認證令牌( authentication token )方式。 Microsoft 是以 teams.microsoft.com 和名下的子網域的伺服器來處理認證令牌的,不過專家就發現有兩個子網域 aadsync-test.teams.microsoft.com 和 data-dev.teams.microsoft.com 被駭客騎劫。

    他們發現駭客如果能誘導目標企業的人員到這些被騎劫的子網域,就可以將用戶的認證令牌傳送到駭客的伺服器,然後就可以用這個令牌來生成另一個 Skype 令牌來偷取受害者的 Teams 帳戶資料。

    保安專家以一張「特製」唐老鴨 GIF 圖來示範盜取用戶的 Teams 帳戶資料。
    保安專家以一張「特製」唐老鴨 GIF 圖來示範盜取用戶的 Teams 帳戶資料。

    由於用傳統釣魚方法來誘騙受害者到被騎劫網站太過明目張膽,保安專家就製作了一張唐老鴨 GIF 動畫作示範,由於這張惡意 GIF 的來源是來自被騎劫的子網域,所以 Teams 是會自動聯絡受害者觀看圖像,受害者只要一看動畫 GIF ,就會把認證令牌傳到駭客手上。

    CyberArk Labs 的專家指兩個子網域是在今年 2 月 27 日被騎劫,直至 3 月 23 日被 Microsoft 奪回子網域。他們指現時未有證據顯示有駭客利用了這個漏洞,不過他們認為這問題可大可小,因為駭客只要散布圖像就能取得企業和個人的敏感資料。

    不過 CyberArk 同時亦讚賞 Microsoft 行動迅速, Microsoft 在 CyberArk 通報發現漏洞當日經已阻止子網域被騎劫,至 4 月 20 日再推出修正,其實用戶毋須任何操作。

    相關文章