【資安日報】2023年1月5日，近20個汽車廠牌的API漏洞恐曝露車主個資、Linux惡意軟體被用於散布挖礦程式

隨著汽車導入連網的功能，汽車製造商的資安防護也變成研究人員關注的焦點。有研究人員一口氣揭露十多個知名車廠的API漏洞，這些漏洞不只讓攻擊者有機會遙控該廠牌車輛，甚至部分能存取該公司的內部機密資料，像是銷售資料，或是資訊系統的開發環境等。

鎖定Linux電腦的攻擊行動日益猖獗，而當中不少是利用指令碼下達相關命令，但如今有攻擊者將其打包變成可執行檔（ELF），目的是避開對指令碼的資安檢測。

去年1月推特修補的漏洞近期又傳出駭客公布竊得的用戶個資！但與過往最大的不同之處在於，駭客不再以數千美元來兜售手上的資料，這次以極低的價格（2美元）提供。

【攻擊與威脅】

資安業者AhnLab發現以Shell指令碼編譯器（Shell Script Compiler，SHC）打造的Linux惡意軟體，駭客將其用於部署挖礦程式XMRig。研究人員看到攻擊者先是針對使用弱密碼的SSH伺服器進行暴力破解，得逞後就在受害的Linux伺服器安裝多種惡意軟體，包含SHC下載器、挖軟軟體，以及運用程式語言Perl寫成的IRC機器人。

研究人員表示，駭客使用SHC的目的，就像之前有人針對Windows作業系統的環境使用bat2exe類似，都是將指令碼或批次檔轉換成可執行檔，藉此規避偵測。

又有人聲稱透過推特於2022年1月修補的漏洞取得大量用戶資料！根據資安新聞網站Bleeping Computer的報導，有人在駭客論壇BreachedForums洩露2億筆推特用戶資料，論壇用戶只需支付8個論壇代幣（相當於2美元）就能下載這些內容。

這批資料疑似將進行整理而成，清除重複項目後共有約221,608,279筆，但該新聞網站取得資料進行檢查後表示，還是發現有重複的內容。駭客以RAR壓縮檔打包上述資料，檔案大小約為59 GB，內容包含了使用者的姓名、電子郵件信箱、使用者ID、關注人數，以及帳號的建立日期。

針對臉書及Instagram（IG）處理用戶資料的作法，以及強迫用戶同意其蒐集個資的手段違反GDPR，使得2018年奧地利使用者集體控告臉書、比利時使用者集體控告IG，愛爾蘭資料保護委員會（DPC）調查後於2023年1月4日做出判決，對Meta開罰3.9億歐元。其中，臉書案罰2.1億歐元，IG案則罰1.8億歐元。Meta表示將尋求上訴，並認為本次判決與發送特定個人化廣告的法律規範有關，但不會妨礙他們繼續提供個人化廣告。

【漏洞與修補】

資安研究人員Sam Curry揭露BMW、勞斯萊斯、賓士、法拉利、保時捷、捷豹、路虎、福特、起亞、本田、Infiniti、日產、Acura、現代、豐田等近20家汽車廠商，以及GPS車輛追蹤業者Spireon、數位車牌業者Reviver、數位廣播電臺SiriusXM的API漏洞，這些漏洞可能讓駭客執行惡意行為，例如解鎖、發動、跟蹤汽車，或是竊取車主的個資。上述業者獲報後皆修補相關漏洞。

其中最嚴重的API漏洞出現在BMW、勞斯萊斯、賓士，涉及公司內部系統的單一簽入（SSO），使得研究人員能假冒BMW的員工存取經銷商的銷售資料，或是存取賓士的GitHub儲存庫與多種開發系統。

1月3日，Google發布了Android的2023年首次安全更新，總共修補約60個漏洞。其中，2023-01-01系列的安全更新程式，針對框架、系統、Google Play的部分修補了19個漏洞；2023-01-05系列的安全更新程式，則是針對Linux核心與相關元件，以及聯發科、高通的元件，共修補了41個漏洞。

網頁設計最專業,超強功能平台可客製,窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸，為每一位客戶客製建立行銷脈絡及洞燭市場先機,請問台中電動車哪裡在賣比較便宜可以到台中景泰電動車門市去看看總店：臺中市潭子區潭秀里雅潭路一段102-1號。電動車補助推薦評價好的iphone維修中心擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢住家的頂樓裝太陽光電聽說可發揮隔熱功效一線推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。網頁設計一頭霧水該從何著手呢? 回頭車貨運收費標準宇安交通關係企業，自成立迄今，即秉持著「以誠待人」、「以實處事」的企業信念台中搬家公司教你幾個打包小技巧,輕鬆整理裝箱!還在煩惱搬家費用要多少哪？台中大展搬家線上試算搬家費用，從此不再擔心「物品怎麼計費」、「多少車才能裝完」台中搬家公司費用怎麼算?擁有20年純熟搬遷經驗，提供免費估價且流程透明更是5星評價的搬家公司好山好水露營車漫遊體驗露營車x公路旅行的十一個出遊特色。走到哪、玩到哪，彈性的出遊方案，行程跟出發地也可客製,產品缺大量曝光嗎?你需要的是一流包裝設計Google地圖已可更新顯示潭子電動車充電站設置地點!!廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

Google表示，這些漏洞最嚴重的出現在框架元件，攻擊者一旦利用該漏洞，就有可能在未經許可的狀況下提升權限。此外，該公司同日亦針對Pixel手機發布資安通告，公告3個高風險漏洞，以及5個與高通元件相關的弱點。

【資安防禦措施】

隸屬於行政院數位發展部的資通安全研究院（簡稱資安院）於1月4日召開董監事聯席會議，決議通過由前總統府第二局局長何全德擔任院長；副院長則由行政院國家資通安全會報技術服務中心主任吳啟文，以及陽明交通大學講座教授林盈達擔任。

【其他資安新聞】

近期資安日報

https://www.ithome.com.tw/news/155009