一周安全資訊第98期：浙江發(fā)布《關(guān)于深化數字政府建設的實(shí)施意見(jiàn)》； 3000多移動(dòng)應用程序泄露推特密鑰

發(fā)布日期：2022/08/06

國內

1、浙江發(fā)布《關(guān)于深化數字政府建設的實(shí)施意見(jiàn)》

8月4日，浙江發(fā)布《關(guān)于深化數字政府建設的實(shí)施意見(jiàn)》（以下簡(jiǎn)稱(chēng)《實(shí)施意見(jiàn)》）?！秾?shí)施意見(jiàn)》共分為七個(gè)部分：總體要求、以數字化改革助力政府職能轉變、以數字政府建設助推數字浙江發(fā)展、構建“平臺+大腦”支撐體系、構建數字政府全方位安全保障體系、構建數字政府建設理論和制度體系、全面加強黨對數字政府建設工作的領(lǐng)導。

《實(shí)施意見(jiàn)》提出要構建數字政府全方位安全保障體系，提出四大舉措來(lái)切實(shí)守住網(wǎng)絡(luò )和數據安全底線(xiàn)：強化安全管理職責、落實(shí)安全制度要求、提升安全保障能力、提升自主可控水平。

國際

1、3000多個(gè)移動(dòng)應用程序泄露推特密鑰

CloudSEK公司的研究人員發(fā)現了一份包含3207個(gè)應用程序的列表，這些程序可未經(jīng)授權訪(fǎng)問(wèn)推特賬戶(hù)。其中230個(gè)程序泄露了身份驗證相關(guān)的所有四個(gè)憑證，可用于完全接管推特賬戶(hù)，從而可以利用被盜推特賬戶(hù)執行轉發(fā)、點(diǎn)贊、刪除推文、更改賬戶(hù)資料等操作。

利用API訪(fǎng)問(wèn)推特需要生成訪(fǎng)問(wèn)密鑰和令牌，代替用戶(hù)登錄名稱(chēng)和密碼。這些惡意應用程序能夠獲取用戶(hù)登錄推特時(shí)的密鑰和令牌，并返回到服務(wù)器上。當惡意行為者掌握大量推特賬戶(hù)時(shí)，可以組建推特機器人大軍，在社交媒體平臺上傳播錯誤或虛假信息。

2、VMware為多款產(chǎn)品發(fā)布漏洞修復補丁

VMware公司于8月2日發(fā)布了新的漏洞修補程序，修復了影響多個(gè)產(chǎn)品的10個(gè)安全漏洞。這10處安全漏洞代號從CVE-2022-31656至CVE-2022-31665，威脅等級評分在4.7到9.8之間，主要影響Workspace ONE Access、Workspace ONE Access Connector、Identity Manager、Identity Manager Connector、vRealize Automation、Cloud Foundation和vRealize Suite Lifecycle Manager等軟件。最嚴重的漏洞是CVE-2022-31656，威脅等級評分9.8，是一個(gè)身份驗證繞過(guò)漏洞，可能被攻擊者利用從而獲取管理權限。其他漏洞涉及權限提升、腳本訪(fǎng)問(wèn)、SQL注入等問(wèn)題，可能被不法行為者武器化。

3、澳大利亞黑客制造出售間諜軟件入侵網(wǎng)絡(luò )攝像頭被指控

一名24歲澳大利亞黑客因涉嫌制造和出售供家庭暴力犯罪者使用的間諜軟件而受到指控。報道稱(chēng)，這名澳大利亞黑客在15歲就創(chuàng )建了名為Imminent Monitor的遠程訪(fǎng)問(wèn)木馬，在2013年到2019年期間一直運營(yíng)著(zhù)這個(gè)木馬程序，并將該間諜軟件出售給128個(gè)國家的14500多人。該間諜軟件可通過(guò)電子郵件和短信分發(fā)，能夠秘密記錄受害者鍵盤(pán)輸入并入侵網(wǎng)絡(luò )攝像頭和麥克風(fēng)設備，從而被用于非法訪(fǎng)問(wèn)和查看受害者家庭和臥室情況。該間諜軟件在地下黑市論壇上以35澳元的價(jià)格出售，估計已為運營(yíng)商帶來(lái)30至40萬(wàn)美元的收入。執法人員稱(chēng)，估計全球有數萬(wàn)名受害者。

4、谷歌應用商店內發(fā)現十多款傳播銀行木馬的應用程序

網(wǎng)絡(luò )安全研究人員再次從谷歌應用商店內發(fā)現十多款?lèi)阂鈶贸绦?，它們利用銀行木馬入侵用戶(hù)設備。

這17款應用程序被統稱(chēng)為DawDropper，偽裝成文檔掃描儀、二維碼閱讀器、VPN服務(wù)等應用程序，實(shí)則使用第三方云服務(wù)數據庫逃避安全檢測，動(dòng)態(tài)獲取托管在GitHub上的惡意應用下載地址，并在用戶(hù)設備上安裝Octo、Hydra、Ermac、TeaBot等惡意程序。其中，Octo會(huì )禁用谷歌應用商店保護功能，并使用虛擬連接程序記錄受害者設備的屏幕信息，竊取用戶(hù)銀行賬戶(hù)憑證、電子郵件賬戶(hù)、PIN等敏感數據。