1500个APP暴露Algolia API密钥,影响超300万用户。 

Algolia 成立于2012年,是一个面向开发者的搜索功能API接口,为网站及APP的开发者提供搜索功能接口,可以为其提供发现和推荐功能,用户超过11万企业。新加坡网络安全公司CloudSEK研究人员发现有1550个移动APP会泄露Algolia API密钥,敏感内部服务和存储的用户信息有泄露的风险。

Algolia API系统有5类API key,分别对应Admin、Search、Monitoring、Usage和Analytics功能。这些API key中只有Search是可公开的,可以在前端代码中看到,帮助用户在APP中执行搜索查询。Monitoring key 为管理员提供集群状态信息。Usage和Analytics为用户提供使用统计数据。Admin key提供对其他4类API服务的访问,以及:

浏览、删除索引;

添加、删除记录;

列出索引;

获取、设置索引设置;

获得访问记录。

滥用以上服务可以宝库用户的敏感数据,比如用户设备、网络访问信息、使用统计数据、检索记录和其他相关信息的操作。

CloudSEK自动扫描工具发现有1550个APP泄露了Algolia API key和应用ID,攻击者利用这些泄露的信息可以实现对内部信息的非授权访问。这些暴露Algolia Admin API key的APP下载次数累计超过325万,其中有APP下载次数超过百万。其中32个APP会泄露admin secret,其中包括57个唯一的管理员密钥,攻击者利用泄露的管理员密钥可以访问敏感用户信息或修改APP索引记录和设置。

攻击者利用admin API key可以执行许多关键操作,并实现对敏感数据的访问,比如攻击者可以检索或者查看敏感数据。根据APP的版本,攻击者可以利用这些敏感访问更多的敏感数据。

API keys leak

图 API keys 暴露引发的攻击流程image.png

图 暴露API的APP种类和下载次数

暴露密钥最多的APP种类为商城APP,下载次数超过230万次。此外,还有新闻APP、食品和饮料、教育、健身、医疗和商业APP,累计下载量超过95万次。

CloudSEK已联系了受影响的APP开发者,告知了密钥暴露情况和潜在的安全风险。

完整技术分析参见:https://cloudsek.com/whitepapers_reports/hardcoded-algolia-api-keys-could-be-exploited-by-threat-actors-to-steal-millions-of-users-data/

1500个APP暴露Algolia API密钥,影响超300万用户。 

Algolia 成立于2012年,是一个面向开发者的搜索功能API接口,为网站及APP的开发者提供搜索功能接口,可以为其提供发现和推荐功能,用户超过11万企业。新加坡网络安全公司CloudSEK研究人员发现有1550个移动APP会泄露Algolia API密钥,敏感内部服务和存储的用户信息有泄露的风险。

Algolia API系统有5类API key,分别对应Admin、Search、Monitoring、Usage和Analytics功能。这些API key中只有Search是可公开的,可以在前端代码中看到,帮助用户在APP中执行搜索查询。Monitoring key 为管理员提供集群状态信息。Usage和Analytics为用户提供使用统计数据。Admin key提供对其他4类API服务的访问,以及:

浏览、删除索引;

添加、删除记录;

列出索引;

获取、设置索引设置;

获得访问记录。

滥用以上服务可以宝库用户的敏感数据,比如用户设备、网络访问信息、使用统计数据、检索记录和其他相关信息的操作。

CloudSEK自动扫描工具发现有1550个APP泄露了Algolia API key和应用ID,攻击者利用这些泄露的信息可以实现对内部信息的非授权访问。这些暴露Algolia Admin API key的APP下载次数累计超过325万,其中有APP下载次数超过百万。其中32个APP会泄露admin secret,其中包括57个唯一的管理员密钥,攻击者利用泄露的管理员密钥可以访问敏感用户信息或修改APP索引记录和设置。

攻击者利用admin API key可以执行许多关键操作,并实现对敏感数据的访问,比如攻击者可以检索或者查看敏感数据。根据APP的版本,攻击者可以利用这些敏感访问更多的敏感数据。

API keys leak

图 API keys 暴露引发的攻击流程image.png

图 暴露API的APP种类和下载次数

暴露密钥最多的APP种类为商城APP,下载次数超过230万次。此外,还有新闻APP、食品和饮料、教育、健身、医疗和商业APP,累计下载量超过95万次。

CloudSEK已联系了受影响的APP开发者,告知了密钥暴露情况和潜在的安全风险。

完整技术分析参见:https://cloudsek.com/whitepapers_reports/hardcoded-algolia-api-keys-could-be-exploited-by-threat-actors-to-steal-millions-of-users-data/

ProxyNotShell Exchange 0day漏洞PoC代码在线公开,已发现在野利用。

ProxyNotShell Exchange漏洞是微软Exchange中的两个严重漏洞,CVE编号为CVE-2022-41082、CVE-2022-41040。漏洞影响Exchange Server 2013、2016、2019版本,攻击者利用这两个漏洞可以实现权限提升,在system权限下运行powershell,并在被入侵的服务器上获得任意代码执行权限和远程代码执行权限。

微软在11月的微软补丁日发布了这两个漏洞的安全更新补丁。但研究人员从2022年9月开始就监测到了ProxyNotShell的在野漏洞利用和攻击。

微软在发布ProxyNotShell安全更新后,安全研究人员Janggggg就发布了攻击者使用的PoC漏洞利用代码。漏洞分析师Will Dormann测试了该漏洞利用并确认该漏洞利用可以成功应用于Exchange Server 2016和2019版本,但在Exchange Server 2013上需要做一些修改。

威胁情报公司GreyNoise 追踪了2022年9月起的ProxyNotShell漏洞利用情况,并提供了ProxyNotShell扫描活动以及与这些攻击相关的IP地址。

ProxyNotShell vulnerabilty scans

图 ProxyNotShell漏洞扫描情况

攻击者将这两个漏洞链接在一起来在被入侵的服务器上部署中国菜刀web shell,以实现驻留和数据窃取,并为下一步攻击活动做好准备。

研究人员建议用户安装微软发布的补丁以保护系统免受攻击。

ProxyNotShell Exchange 0day漏洞PoC代码在线公开,已发现在野利用。

ProxyNotShell Exchange漏洞是微软Exchange中的两个严重漏洞,CVE编号为CVE-2022-41082、CVE-2022-41040。漏洞影响Exchange Server 2013、2016、2019版本,攻击者利用这两个漏洞可以实现权限提升,在system权限下运行powershell,并在被入侵的服务器上获得任意代码执行权限和远程代码执行权限。

微软在11月的微软补丁日发布了这两个漏洞的安全更新补丁。但研究人员从2022年9月开始就监测到了ProxyNotShell的在野漏洞利用和攻击。

微软在发布ProxyNotShell安全更新后,安全研究人员Janggggg就发布了攻击者使用的PoC漏洞利用代码。漏洞分析师Will Dormann测试了该漏洞利用并确认该漏洞利用可以成功应用于Exchange Server 2016和2019版本,但在Exchange Server 2013上需要做一些修改。

威胁情报公司GreyNoise 追踪了2022年9月起的ProxyNotShell漏洞利用情况,并提供了ProxyNotShell扫描活动以及与这些攻击相关的IP地址。

ProxyNotShell vulnerabilty scans

图 ProxyNotShell漏洞扫描情况

攻击者将这两个漏洞链接在一起来在被入侵的服务器上部署中国菜刀web shell,以实现驻留和数据窃取,并为下一步攻击活动做好准备。

研究人员建议用户安装微软发布的补丁以保护系统免受攻击。

研究人员发现推特源码中为用户私信(direct messages)功能加入端到端加密(E2EE)支持。

推特早在2018年就尝试了E2EE系统的原型——secret conversation,但是没有最终成为产品,并最终被放弃。

近日,研究人员Jane Manchun Wong在推特安卓版源码中新加入了一些内容,其中就包括加密密钥——"encryption keys"。从源码中的字符串来看,会话的加密密钥会生成一个数,如果这个数与接收者手机中的数一致,就可以保证端到端加密。

tweet

Elon Musk回复了Jane Manchun Wong的推文,暗示该功能仍然开发中。

为什么推特需要E2EE

E2EE可以确保离开发送者的消息是加密形式存在的,加密的消息可以被接收端解密读取。因此,发送者和接收者需要使用加密密钥对来加密和解密消息的内容。

在大多数的E2EE实现中,发送者使用接收者数字签名的公钥来加密消息,接收者使用自己的私钥来解密。

在推特的E2EE实现中,wong提到了"conversation key",所以推特可能采用了对称加密,即聊天中的双方使用相同的密钥来进行加密和解密。

tweet

发送者的消息会转为不可直接读取内容的密文状态,并在传输过程中保持密文状态,因此互联网服务提供商、网络监听者、甚至推特都不能直接读取消息的明文内容。

如果推特在私信中引入了E2EE,那么用户会觉得其通信的安全和隐私得到了保证,包括推特平台被黑等特殊情况。比如,2020年7月,推特承认有黑客入侵了其雇员账户,并访问了管理员面板,可以读取36个名人的私信收件箱,并下载了其中7个私信收件箱的内容。

如果那时推特使用了E2EE功能,那么黑客下载的只是无法直接读取内容的密文,对用户不会造成影响。

其他使用E2EE的消息平台还有Signal、Threema、 WhatsApp、iMessage、Viber、Element/Matrix、 Tox、Keybase、 XMPP、Skype和Wire。


研究人员发现推特源码中为用户私信(direct messages)功能加入端到端加密(E2EE)支持。

推特早在2018年就尝试了E2EE系统的原型——secret conversation,但是没有最终成为产品,并最终被放弃。

近日,研究人员Jane Manchun Wong在推特安卓版源码中新加入了一些内容,其中就包括加密密钥——"encryption keys"。从源码中的字符串来看,会话的加密密钥会生成一个数,如果这个数与接收者手机中的数一致,就可以保证端到端加密。

tweet

Elon Musk回复了Jane Manchun Wong的推文,暗示该功能仍然开发中。

为什么推特需要E2EE

E2EE可以确保离开发送者的消息是加密形式存在的,加密的消息可以被接收端解密读取。因此,发送者和接收者需要使用加密密钥对来加密和解密消息的内容。

在大多数的E2EE实现中,发送者使用接收者数字签名的公钥来加密消息,接收者使用自己的私钥来解密。

在推特的E2EE实现中,wong提到了"conversation key",所以推特可能采用了对称加密,即聊天中的双方使用相同的密钥来进行加密和解密。

tweet

发送者的消息会转为不可直接读取内容的密文状态,并在传输过程中保持密文状态,因此互联网服务提供商、网络监听者、甚至推特都不能直接读取消息的明文内容。

如果推特在私信中引入了E2EE,那么用户会觉得其通信的安全和隐私得到了保证,包括推特平台被黑等特殊情况。比如,2020年7月,推特承认有黑客入侵了其雇员账户,并访问了管理员面板,可以读取36个名人的私信收件箱,并下载了其中7个私信收件箱的内容。

如果那时推特使用了E2EE功能,那么黑客下载的只是无法直接读取内容的密文,对用户不会造成影响。

其他使用E2EE的消息平台还有Signal、Threema、 WhatsApp、iMessage、Viber、Element/Matrix、 Tox、Keybase、 XMPP、Skype和Wire。


谷歌宣布将在2023年在部分安卓13设备中引入隐私沙箱。

Android

11月15日,谷歌宣布将在2023年初在部分搭载安卓13系统的设备上引入隐私沙箱(privacy sandbox)系统。安卓隐私沙箱是谷歌在2022年2月引入的一系列技术,旨在限制对用户的记录和追踪,并同时为广告商提供足够的信息实现用户隐私信息与广告可用性的平衡。

随后,谷歌对不同的设计方案进行了讨论,重新定义了系统,并准备了相应的组件用于开发者的后续开发。谷歌日前宣布将从2023年起将在部分安卓13设备上推动隐私沙箱测试版,使得攻击者可以测试这些新的解决方案。

开发者预览版也将尽快发布,以在正式生产设备上使用前手机足够多的反馈。同时,谷歌将邀请部分应用开发者访问系统API,同时帮助谷歌进行下一阶段测试。

刚开始的时候,测试仅限于一小部分设备,随着时间的推移,推送测试的设备会不断增加。

安卓隐私沙箱取代了跨APP id,并用属性报告(Attribution Reporting)、主题(Topics)、FLEDGE等API系统来实现相关信息的记录记录。

Topics API的原理是一个分类器模型,可以从app使用中推断用户的兴趣,并告知广告商。

用户兴趣会每周通过设备信息来进行计算,并从上千个topic中选择最相关的5个。

FLEDGE 是另一个隐私沙箱子系统,由广告选择(Ad Selection)和受众(Custom Audience)API组成。广告选择为广告商提供哪些广告在哪些设备上可以取得更好的效果,受众API为发布者提供根据兴趣确定目标受众的选项。

Flow chart of custom audience and ad selection

受众和广告选择流程图

这些API合起来取得了目前安卓系统中使用的广告ID(advertising ID),缓解了advertising ID被用于追踪用户的问题。

SDK Runtime 可以隔离第三方广告代码,因此APP将不再包含在其代码中。也无法访问用户兴趣和其他营销相关的数据。

DuckDuckGo批评隐私沙箱称其只是换了个名字,事实上仍然在间接地追踪用户。Brave称隐私沙箱一定程度上实现了隐私保护的改进。尽管如此,谷歌仍计划将隐私沙箱引入Chrome和安卓等全部产品中。

谷歌宣布将在2023年在部分安卓13设备中引入隐私沙箱。

Android

11月15日,谷歌宣布将在2023年初在部分搭载安卓13系统的设备上引入隐私沙箱(privacy sandbox)系统。安卓隐私沙箱是谷歌在2022年2月引入的一系列技术,旨在限制对用户的记录和追踪,并同时为广告商提供足够的信息实现用户隐私信息与广告可用性的平衡。

随后,谷歌对不同的设计方案进行了讨论,重新定义了系统,并准备了相应的组件用于开发者的后续开发。谷歌日前宣布将从2023年起将在部分安卓13设备上推动隐私沙箱测试版,使得攻击者可以测试这些新的解决方案。

开发者预览版也将尽快发布,以在正式生产设备上使用前手机足够多的反馈。同时,谷歌将邀请部分应用开发者访问系统API,同时帮助谷歌进行下一阶段测试。

刚开始的时候,测试仅限于一小部分设备,随着时间的推移,推送测试的设备会不断增加。

安卓隐私沙箱取代了跨APP id,并用属性报告(Attribution Reporting)、主题(Topics)、FLEDGE等API系统来实现相关信息的记录记录。

Topics API的原理是一个分类器模型,可以从app使用中推断用户的兴趣,并告知广告商。

用户兴趣会每周通过设备信息来进行计算,并从上千个topic中选择最相关的5个。

FLEDGE 是另一个隐私沙箱子系统,由广告选择(Ad Selection)和受众(Custom Audience)API组成。广告选择为广告商提供哪些广告在哪些设备上可以取得更好的效果,受众API为发布者提供根据兴趣确定目标受众的选项。

Flow chart of custom audience and ad selection

受众和广告选择流程图

这些API合起来取得了目前安卓系统中使用的广告ID(advertising ID),缓解了advertising ID被用于追踪用户的问题。

SDK Runtime 可以隔离第三方广告代码,因此APP将不再包含在其代码中。也无法访问用户兴趣和其他营销相关的数据。

DuckDuckGo批评隐私沙箱称其只是换了个名字,事实上仍然在间接地追踪用户。Brave称隐私沙箱一定程度上实现了隐私保护的改进。尽管如此,谷歌仍计划将隐私沙箱引入Chrome和安卓等全部产品中。

研究人员发现一种可绕过谷歌Pixel手机锁屏的方法。

Google Pixel Phones

近日,谷歌修复了一个影响所有Pixel 智能手机的高危安全漏洞,漏洞CVE编号CVE-2022-20465。该漏洞是一个锁屏绕过漏洞,攻击者利用该漏洞可以解锁Pixel 智能手机。

从谷歌官方发布的修复代码分析,该漏洞是由错误翻译SIM改变事件引发的不准确系统状态导致的漏洞,会使得锁屏保护无效。

研究人员称,通过以下步骤可以完全绕过Pixel的锁屏保护:

在锁屏的设备上输入3次错误指纹以禁用生物认证;

在不关机的情况下将手机的SIM卡替换为攻击者控制的SIM卡,并事先设置PIN码;

输入错误的SIM PIN码锁定SIM卡;

设备会要求用户输入SIM卡的PUK码以解锁SIM卡,PUK码是一个8位的数字;为攻击者控制的SIM卡输入新的PIN码;

设定自动解锁。

也就是说,攻击者将自己持有PIN锁定的SIM卡和该卡的PUK码就可以解锁Pixel手机。

攻击者利用该漏洞可以在物理接触受害者手机的情况下绕过手机的锁屏保护,包括指纹、PIN码等。

该漏洞是安全研究人员David Schütz在2022年6月发现的,谷歌于2022年11月安卓月度安全更新中修复了该漏洞。谷歌通过漏洞奖励计划向该漏洞的提交者Schütz奖励7万美元。

完整技术分析参见:https://bugs.xdavidhu.me/google/2022/11/10/accidental-70k-google-pixel-lock-screen-bypass/

研究人员发现一种可绕过谷歌Pixel手机锁屏的方法。

Google Pixel Phones

近日,谷歌修复了一个影响所有Pixel 智能手机的高危安全漏洞,漏洞CVE编号CVE-2022-20465。该漏洞是一个锁屏绕过漏洞,攻击者利用该漏洞可以解锁Pixel 智能手机。

从谷歌官方发布的修复代码分析,该漏洞是由错误翻译SIM改变事件引发的不准确系统状态导致的漏洞,会使得锁屏保护无效。

研究人员称,通过以下步骤可以完全绕过Pixel的锁屏保护:

在锁屏的设备上输入3次错误指纹以禁用生物认证;

在不关机的情况下将手机的SIM卡替换为攻击者控制的SIM卡,并事先设置PIN码;

输入错误的SIM PIN码锁定SIM卡;

设备会要求用户输入SIM卡的PUK码以解锁SIM卡,PUK码是一个8位的数字;为攻击者控制的SIM卡输入新的PIN码;

设定自动解锁。

也就是说,攻击者将自己持有PIN锁定的SIM卡和该卡的PUK码就可以解锁Pixel手机。

攻击者利用该漏洞可以在物理接触受害者手机的情况下绕过手机的锁屏保护,包括指纹、PIN码等。

该漏洞是安全研究人员David Schütz在2022年6月发现的,谷歌于2022年11月安卓月度安全更新中修复了该漏洞。谷歌通过漏洞奖励计划向该漏洞的提交者Schütz奖励7万美元。

完整技术分析参见:https://bugs.xdavidhu.me/google/2022/11/10/accidental-70k-google-pixel-lock-screen-bypass/