更多

    Trend Micro 、卡巴斯基相繼發出警告 LightSpy 以新聞連結入侵 iOS 裝置

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    Instagram 放寬手機直播時限至 4 小時

    Facebook 日前宣布聽取創作者的意見後,決定延長 Instagram 平台上手機直播的時間限制,由原來的 1 小時延長至最多 4 小時,還增設自動串流影片存檔功能。同時,IGTV 亦會增加介面讓用戶更容易找尋直播影片。

    PS Plus 會員在 PS5 推出首日登入即有 20 款 PS4 大作可玩

    Sony Interactive Entertainment (SIE) 今日宣布,參加了 PlayStation Plus 月費計劃的會員由 11 月 12 日開始只要在 PS5 主機上登入,即可以在 PS5 上玩到多款 PS4 的代表作品,不另收費。另外還可以免費試玩一款未正式推出的遊戲《 Bugsnax 》。

    Canon 全片幅無反相機走勢強勁    威脅 Sony 王者地位

    過去幾年, Sony 在全片幅無反相機領域可謂獨佔鰲頭,在 4K 影片拍攝和 YouTuber 潮流帶動下,對傳統單反相機帶來不少威脅。不過有市場調查公司就發表報告,顯示隨著今年 Canon 推出全片幅無反相機 R5 和 R6 之後, Sony 的龍頭地位開始受到動搖。

    兩間網絡保安公司 Trend Micro卡巴斯基上星期分別發表報告,指有駭客近期針對香港的 iOS 用戶發動攻擊,他們在討論區貼出偽造新聞連結,吸引用戶點擊進入惡意網站,在 iOS 裝置上安裝惡意軟件 LightSpy ,以竊取用戶個人資料。

    駭客複製新聞網站網頁源碼,並嵌入惡意的 iFrame ,以觸發 Safari 的漏洞下載 LightSpy 模組。(資料來源: Trend Micro )
    駭客複製新聞網站網頁源碼,並嵌入惡意的 iFrame ,以觸發 Safari 的漏洞下載 LightSpy 模組。(資料來源: Trend Micro )

    報告指出今次攻擊由今年 1 月開始,保安專家稱這種攻擊手法為「水坑攻擊( Watering-hole )」,方法是惡意分子先複製著名新聞網站的源代碼,插入惡意程式碼製作惡意網站,然後在連登、香港討論區等網民集中的討論區貼出新聞連結吸引網民。而所選的新聞,多數與多月來抗爭運動有關。網友不虞有詐點擊連結到偽造網站,即使沒有點擊網站上任何連結,當中的惡意程式就會利用 Safari 一個舊有漏洞令瀏覽器下載惡意程式 LightSpy 模組。

    這一輪攻擊浪潮中駭客集團在討論區貼出多條帶有惡意連結的惡意帖文(資料來源: Trend Micro )
    這一輪攻擊浪潮中駭客集團在討論區貼出多條帶有惡意連結的惡意帖文(資料來源: Trend Micro )

    其中一篇帶有惡意網站連結的帖文(資料來源: Trend Micro )
    其中一篇帶有惡意網站連結的帖文(資料來源: Trend Micro )

    另一個討論區的惡意貼文以抗爭運動日程表為題吸引網民點擊(資料來源: Trend Micro )
    另一個討論區的惡意貼文以抗爭運動日程表為題吸引網民點擊(資料來源: Trend Micro )

    據知,惡意程式碼可以入侵 iOS 12.2 或以前的 iOS 裝置。被植入 LightSpy 的裝置會聽候 C&C 伺服器的指示下載更多惡意模組,竊取個人資料或向其他伺服器發動攻擊。被竊取的資料包括:

    • Wi-Fi 連接履歷
    • 聯絡人
    • GPS 位置
    • 硬件資訊
    • iOS 鑰匙圈
    • 電話紀錄
    • Safari 和 Chrome 的瀏覽履歷
    • SMS 短信
    • 可用 Wi-Fi 網絡
    • 本地網絡 IP 地址

    另外,惡意程式還會針對 Telegram 、 QQ 和 WeChat 來竊取用戶資料。

    LightSpy 入侵 iOS 裝置的流程(資料來源: Trend Micro )
    LightSpy 入侵 iOS 裝置的流程(資料來源: Trend Micro )

    專家呼籲 iOS 裝置用戶應該將裝置更新至最新版本,而 Android 用戶就應該從 Google Play 等可靠來源安裝程式,避免從不知名地方下載程式來安裝。另外,應盡量瀏覽熟悉新聞網站的連結,在討論區點擊連結之前,應先留意連結網址是否正確。

    您會感興趣的內容

    相關文章