作者Editor

百度网盘也要实名认证了

发布于:2017-05-12 09:51:10 阅读:807 回帖:0


1
  百度网盘宣布自6月1日起实行实名认证 用户需绑定手机号

百度网盘对外发布公告,称应国家相关政策法规要求,自2017年6月1日起,使用互联网服务需进行帐号实名认证。目前,百度已禁止使用邮箱注册账号,必须使用手机号,且用户必须是国内手机号注册。用户如果不绑定手机号实名认证,6月1日之后就会限制登录。

《中国人民共和国网络安全法》第二十四条规定:网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。


2
  谷歌 Fuzz Bot 在开源项目中嗅探出超过千余 Bug


自 Google 宣布 OSS-Fuzz 之后的五个月内,这款工具在开源项目中嗅探出超过 1000 个 bug,其中包括 264 个潜在的安全漏洞。

其中,FreeType 2(10 个)、FFmpeg(17 个)、LibreOffice(33 个)、SQLite 3(8 个)、GnuTLS(10 个)、PCRE2(25 个)、gRPC(9 个)、Wireshark(7 个)。此外,OSS-Fuzz 还与另一个独立安全研究工具碰上了同一个 bug,它就是 CVE-2017-2801 。

3
  Google 强化 OAuth 协议以防网络钓鱼攻击


据外媒 8 日报道,黑客于近期针对 Gmail 用户伪造 Google Docs 展开大规模网络钓鱼攻击后,Google 表示将强化 OAuth 协议以防止此类事件再度发生。

OAuth 协议允许第三方应用程序在未触及用户帐号信息(如用户名与密码)时,申请获取用户资源授权。为用户资源授权提供一个安全、开放而又简易的标准。

调查显示,Gmail 用户于上周收到内含伪造 Google Docs 链接的电子邮件,其发件人源自用户所熟悉的账户名称。用户点击链接后将会跳转至要求授予 Google Docs 权限的页面,然而这并非真实的 Google Docs 页面,而是由企图获取用户权限的黑客伪造所伪造的。此外,伪造应用程序使用 Google 自身的 OAuth 协议实现访问 Gmail 账户的请求,若成功获得用户许可,程序将自动向受害者联系人发送相同钓鱼邮件。

事实上,干预美国与法国选举的黑客组织 Fancy Bear 也曾采用过同样的技术手段。据报道,此次 Google 在收到首份钓鱼邮件报告后立即进行了处理,但还是存在大量用户点击链接并下载应用程序的情况。所幸删除应用程序的方式较为简单。目前,也只有不到 0.1% 的 Gmail 用户受到此次攻击事件的影响。


4
  安全厂商发布僵尸网络 Persirai 报告



Persirai针对1000多种互联网摄像头机型发起攻击,而多数用户并未意识到这一点。结果攻击者就能通过TCP端口81轻易访问设备的web接口。

通过访问这些设备易受攻击的接口,攻击者能够注入命令强制设备连接至某个站点,并下载执行恶意shell脚本。

Persirai在易受攻击的设备上执行后就会自删除并持续仅在内存中运行。另外它还会拦截自己使用的0day利用代码以阻止其他攻击者攻击同样的互联网摄像头。由于恶意代码在内存中运行,因此重启还会导致设备易受攻击。

受影响的互联网摄像头向多个C&C服务器汇报(load.gtpnet.ir、ntp.gtpnet.ir、185.62.189.232和95.85,38.103)。一旦从服务器中接收到命令,受感染设备就会自动开始利用一个公开的0day漏洞攻击其它互联网摄像头,攻击者能从用户那里获得密码文件并执行命令注入。Persirai僵尸网络能够通过UDP洪水发动DDoS攻击并且在不欺骗IP地址的情况下通过SSDP包发动攻击。

安全研究人员设法将僵尸网络跟使用.ir国家代码的C&C服务器联系在一起。这个代码是由一家伊朗研究机构管理的而且只能由伊朗人使用。此外,这款恶意软件的代码包含一些特别的波斯字符。

Persirai似乎构建于Mirai源代码基础之上,后者披露于去年的10月份。Persirai还会针对安装了最新固件版本的设备,并且无法通过使用强密码得到延缓,因为它会利用一个窃取密码的漏洞。因此,互联网摄像头所有人应当执行其它安全措施来保护设备安全。



更多详情、资讯,戳左下角“阅读原文”查看哦!

或者网页浏览 看雪学院 www.kanxue.com,即可查看哦!


往期热门内容推荐



更多优秀文章,长按下方二维码,“关注看雪学院公众号”查看!

看雪论坛:http://bbs.pediy.com/

微信公众号 ID:ikanxue

微博:看雪安全

投稿、合作:www.kanxue.com


最新回复 (0)
返回