ビデオ: exposing my old tweets + twitter before anyone else finds them (九月 2024)
21世紀のハイテク愛好家にとって、2月は大変な月でした。TwitterとFacebookの両方がハッキングされたことを認めています。 現在、長い間セキュアなコンピューティングデバイスの提供者であるAppleは、自社のコンピューターがゼロデイJavaの脆弱性によって侵害されたことを認めました。
昨日、ロイターが開示を行いました。ロイターは、攻撃がいつ開始されたのか、情報がどれだけ侵害されたのかは不明だと報告しました。 「Appleは、ブラウザ用のJavaプラグインの脆弱性を介して、限られた数のMacシステムに感染したマルウェアを特定しました」とAppleはPC Magazineの声明で述べています。 同社は続けて、少数の従業員のコンピューターが侵害されたが、「データがAppleから出たという証拠はなかった」と述べた。
承認後まもなく、Appleは珍しいマルウェア削除ツールをすべてのOS Xユーザーにプッシュしました。 「OS X 2012-006用のJavaをまだインストールしていないシステムでは、このアップデートはJava SE 6アプレットプラグインを無効にします」とアップデートの説明を読みます。 「Webページでアプレットを使用するには、「Missing plug-in」というラベルの付いた領域をクリックして、Javaアプレットプラグインの最新バージョンをOracleからダウンロードします。」
ロイターは、Appleが35日間ソフトウェアを使用しなかったユーザーのJavaを自動的に無効にすることに注意しました。 ただし、SecurityWatchでは、マシンでJavaを無効にし、ブラウザでJavaが実行されないようにする方法について既に詳細に説明しています。
本当のターゲット
恐ろしいことに、これらの攻撃の本当の標的は企業そのものではなく、ソフトウェアを開発するために開発するモバイルユーザーである可能性があります。 「モバイルデバイスをハッキングできないのですか。さて、ストリームをアップしてモバイルアプリケーション開発者をハッキングします。その時点で、開発者のソースコードに必要なものを注入できます」攻撃されたことを明らかにした。
「世界には数百万とは言わないまでも数十万のモバイルアプリがあります」と投稿は続けています。 「最近、アプリのデベロッパーのうち何人がモバイルデベロッパーのウェブサイトにアクセスしたと思いますか?Macで…そして非常に誤ったセキュリティの感覚で?」
レビュー中のキャンペーン
この攻撃のラウンドは、Twitterが250, 000人のユーザーの情報を暴露した高度な攻撃の犠牲者であったことをTwitterが認めた月の初めに始まりました。 会社は、影響を受けたユーザーのパスワードを自動的にリセットすることで対応しました。
ちょうど2週間後、FacebookはJavaゼロデイ攻撃の犠牲者になったことを明らかにしました。 このシナリオでは、攻撃者の戦略について詳しく学びました。 人気のあるモバイル開発者のWebサイトをハイジャックすることにより、攻撃者はJavaのエクスプロイトを使用して訪問者のコンピューターにマルウェアをインストールしました。
Appleは同様のシナリオを報告しました。 ロイターは、「悪意のあるソフトウェアに感染したソフトウェア開発者向けのWebサイトにアクセスしたときに、一部のAppleワーカーのコンピューターに未知のハッカーが感染した」と書いています。バリアントも存在しました。
この攻撃はAppleにとって恥ずかしいことですが、特にこの特定の脆弱性を修正するパッチが存在していたため、安全な製品を提供するという評判を世間に広めることはまずありません。 多くのユーザーは、この最新の更新プログラムの重要性に気付いていない可能性があります。 しかし、攻撃者がAppleにもっと注意を払っていること、そしてより多くの攻撃が確実に続くことを示しています。
F-Secureが正しければ、さらに多くの問題が発生する可能性があります。
Maxの詳細については、Twitter @wmaxeddyで彼をフォローしてください。
