2億個(gè)人(rén)信息被兜售｜漏洞導緻任意定位手機(jī)→ ₽≈｜微(wēi)軟谷歌(gē)發現(xiàn) ↓熔斷四号

>> FireEye最近(jìn)表示，一(yī)↑• δ個(gè)包含了(le)2億個(gè)人(rén)±≈‍∞身(shēn)份信息的(de)數(shù)據庫在地(βγ₩×dì)下(xià)論壇被兜售，這(zhè)些(xiē)信息來(lái)自(£σzì)數(shù)個(gè)知(zhī)名日(rì)本網站(zhàn)的(<α→βde)數(shù)據庫。這(zhè)份數(shù)據庫很(hěn)可(k♦↓£ě)能(néng)來(lái)自(zì)一(€‍yī)名中國(guó)的(de)商販，最早在2017年(©♦ ₹nián)12月(yuè)被以150美(měi)金('λ₩₽jīn)的(de)價格進行(xíng)兜售，數(shù)據庫包含了(le׶)名字、憑證、郵箱、生(shēng)日(rì)、電(diàn)話(φ↓huà)号碼以及居住地(dì)址。這(zhè)™∞↓些(xiē)數(shù)據來(lái)自(zì)‍✘于多(duō)個(gè)日(rì)本網站(zhàn)，包括零售業(yè)、食品×₩®飲料哦、金(jīn)融、娛樂(yuè)以•₹及交通(tōng)。

據悉，這(zhè)份數(shù)據很(hěn)可(kě)能(£↑φnéng)是(shì)真實的(de)，應該在2016₩ ∞≠年(nián)5月(yuè)到(dào) 6月(yuè)之間(ji±↕ān)被 獲取，但(dàn)是(shì)有(↔∞€<yǒu)些(xiē)數(shù)據可(kě)能(nε©éng)2013年(nián)5月(yuè)到&α•₹(dào)6月(yuè)間(jiān)就(jiù)已經被獲取。不(bù)過研究×$人(rén)員(yuán)也(yě)指出Ω‌ Ω，這(zhè)些(xiē)信息很(hěn)可(kě)能(néng)是(sβ₽‌≠hì)從(cóng)以前的(de)洩露中♦©₹↑的(de)重複信息，因此這(zhè)份洩​∑∏露不(bù)一(yī)定會(huì)對(duì)個(gè)人£λα(rén)信息造成嚴重的(de)攻擊。

>> 由于一(yī)個(gè)漏洞£↓®，LocationSmart的(de)電(diàn)話(huà)追'₹蹤功能(néng)的(de)試用(yòng)版不( £¥bù)得(de)不(bù)被暫時(shí)下(xià)α♠‌α架。

LocationSmart之前在自(zì​✘")己的(de)網站(zhàn)上(shàng)給客戶提供了$↔(le)一(yī)項服務的(de)試用(yòng)版：可(kě)以實時(s™✔hí)追蹤某部手機(jī)的(de)地(dì)理(lǐ)位置☆φ★>——但(dàn)是(shì)需要(yào)&€電(diàn)話(huà)所有(yǒu)者的(de) 許可(k✘  ě)。經過測試，這(zhè)個(gè)定位相(xiàng)當精準。然₽≠♦♠而，一(yī)名來(lái)自(zì)卡耐基梅®ε隆大(dà)學的(de)在讀(dú)博士©δ生(shēng)表示，自(zì)己隻用(yòng)了(le)15分(₽'≠fēn)鐘(zhōng)就(jiù)發現(xiàn)了(le)網站(zh✔✔>àn)上(shàng)的(de)漏洞。他(tā)表"♦示，這(zhè)個(gè)漏洞幾乎能(n≥¶ ♦éng)讓任何懂(dǒng)一(yī)點網絡知(zhī)識的(÷∏™☆de)人(rén)免費(fèi)追蹤任何一(yī)個(σ"Ωφgè)人(rén)的(de)地(dì)理(lǐ)位置信息。這(‌☆zhè)個(gè)漏洞體(tǐ)現(xiàn₽₩)在頁面沒有(yǒu)适當确認用(yòng)戶是(shì)否達成被追蹤"₹ ♣者的(de)首肯，因此攻擊者可(kě)以通(tōng)過讓網站(zhàn)™₩回複一(yī)個(gè)不(bù)同格式的(de♥© ♥)請(qǐng)求來(lái)達成自(zì)己的(de)目的(de)。

LocationSmart表示，下(xià)架後已經修複了(le)漏洞，∞±↔>并且沒有(yǒu)其他(tā)人(rén)利用(yòng)過這(zhè)±×個(gè)漏洞。而民(mín)主黨人(rén)Sen. Ron Wyde©∑ δn顯然不(bù)買賬，他(tā)借此事(shì)再次要(yào)求美(m↕↔ěi)國(guó)聯邦通(tōng)信委員•> (yuán)會(huì)要(yào)嚴加調查無線供應商對(duìφ♥✔)地(dì)理(lǐ)數(shù)據的(de)濫用(yòn$♥g)，而此次事(shì)件(jiàn)體(tǐ)現(Ω♥©xiàn)了(le)無線網絡生(shēng)态對(duì)美(měi)國 λ(guó)的(de)安全毫不(bù)關心。

>> 近(jìn)日(rì)，>φ♦微(wēi)軟和(hé)谷歌(gē)的(de✔≈)研究人(rén)員(yuán)宣布熔斷/幽靈類型的×ε≈ (de)漏洞有(yǒu)了(le)第四種♥ ∞變體(tǐ)。第四種變體(tǐ)可(kě)以在不(bù)同的(de)情況下(xià® ★)，通(tōng)過在有(yǒu)隐患的(de)設備或者計(jì)算(suà™Ω±✘n)機(jī)上(shàng)運行(xíng)惡意軟件(jià♣β←∏n)或者惡意進入系統，從(cóng)而從(cóng)內(nèi)核或者應γ→∑&用(yòng)內(nèi)存中竊取隐私信息，∑¥δ"比如(rú)密碼。該漏洞影(yǐng)響了(le♦ )英特爾、AMD以及ARM。

這(zhè)個(gè)變體(tǐ)可(kě)以通(t☆←ōng)過在程序內(nèi)運行(xíng​δ)腳本被利用(yòng)——比如(rú)♥✔®≥在浏覽器(qì)的(de)頁面裡(lǐ)運行(xíng)Ja>™£vaScript。不(bù)過英特爾表示，對(duì)于已經針對(du춣♦)變體(tǐ)一(yī)打過補丁的(de)系統，攻擊者∞®将更難利用(yòng)變體(tǐ)四。另外§★¥(wài)，暫時(shí)并沒有(yǒu)發→↔♥現(xiàn)有(yǒu)針對(duì)變體(tǐ)四發起攻擊的(de≠Ω♠)代碼。盡管如(rú)此，英特爾、AMD以及&÷ARM都(dōu)相(xiàng)繼表示将對(duì)這(zhè)個(g→¶è)漏洞進行(xíng)更新，而Red Ha₽  t、VMware和(hé)Xen Project等也(yě)對(du δ↔§ì)此提出了(le)建議(yì)與修複方法。