黑客发布兼容苹果iOS 15和iOS 16的越狱工具；亚马逊云曝出超级漏洞；快递客服出售用户信息获刑

热点目录

国外热点

12 月 15 日消息，苹果公司一直在努力提高其操作系统和设备的安全性，黑客已经越来越难为 iOS 创建越狱工具。不过 palera1n 团队通过不懈努力，近日发布了一个越狱工具，不仅兼容 iOS 15，而且还兼容 iOS 16。

越狱能够移除 iOS 设备上的软件限制，这样用户就可以访问和修改系统文件，从而实现各种自定义修改和应用侧载等功能。当然，苹果公司一直反对对旗下设备进行越狱。

palera1n 越狱是基于 checkm8，这是一个早在 2019 年发现的漏洞。该漏洞被认为是“不可修复的”，因为它是在苹果从 A5 到 A11 仿生芯片的 bootrom 中发现的。当然，苹果可以改变系统的其它部分，以防止黑客利用这个漏洞，但该公司无法在旧设备上实现永久修复。

近日，Lightspin 安全分析师在 Amazon ECR（弹性容器注册表）公共库中发现一个严重漏洞，允许攻击者删除任何容器映像或将恶意代码注入其他 AWS 账户的镜像。Amazon ECR Public Gallery 是容器镜像的公共存储库，用于共享即用型应用程序和流行的 Linux 发行版，例如 Nginx、EKS Distro、Amazon Linux、CloudWatch 代理和Datadog 代理。

研究者透露，利用该漏洞，攻击者可通过滥用未记录的 API 操作来修改其他用户的现有公共映像、层、标签、注册表和存储库。研究人员于2022 年 11 月 15 日向亚马逊网络安全部门报告了该漏洞，亚马逊在 24小时内推出了修复程序。

美国卫生与公众服务部（HHS）发出警告称：名为 Royal 的勒索软件组织正对国家医疗保健系统发起攻击。该机构的卫生部门网络安全协调中心（HC3）说："虽然大多数已知的勒索软件运营商都提供勒索软件服务，但 Royal 似乎是一个没有任何附属机构的私人团体，同时对于攻击的目标也一直出于经济目的。

目前，该组织声称要窃取数据进行双重勒索攻击，他们也会渗出敏感数据。据 Fortinet FortiGuard 实验室称，Royal 勒索软件至少从 2022 年开始活跃。该恶意软件是一个用 C++编写的 64 位 Windows 可执行文件，通过命令行启动，这也表明它需要人工操作来触发在进入目标环境后感染。除了删除系统中的卷影副本外，Royal 还利用 OpenSSL 加密库对文件进行 AES 标准的加密，并在文件后缀上".royal"。

立陶宛 Nord Security 公司的研究报告指出，全球有超过500 万人的数据在被窃取之后放在机器人网络上售卖。其中影响最严重的是印度，共有 60 万印度账户信息在机器人网络上销售，平均每个账号的售价为 490 卢比（约合 41.49 元人民币）。报告中指出这些被盗的数据包括用户登录凭证、cookies、数字指纹、屏幕截图和其它相关信息。该公司主要研究了 Genesis Market、Russian Market 和 2Easy 这三家机器人市场，发现这些被盗的信息来自谷歌、微软和 Facebook 账号。

数字机器人越来越司空见惯。它们在客户服务、搜索引擎优化和娱乐等领域发挥着作用。然而，并非所有机器人都安分守己，其中有许多可能是恶意的机器人。黑客在各个机器人市场上售卖恶意软件机器人日志，构成难以想象的威胁。一旦恶意软件安装在受害者的计算机上，它就会创建盗窃者日志或文档，将所有被盗数据收集到其中。病毒就像一只训练有素的狗，在计算机上四处嗅探，侦测有关受害者及其硬件的有价值信息。利用所有被盗窃的数据，可创建一个人的数字身份。

2021 年 5 月至 7 月，王某涛（男，1996 年出生，某快递公司职工）在某快递公司工作期间，利用担任快递客服的工作便利，单独或者伙同其妻子董某婷（女，1998 年出生，无业），通过公司系统查询收集大量寄递用户的公民个人信息向他人出售，非法获利 24 万余元。

最终，如皋市法院以侵犯公民个人信息罪判处被告人王某涛有期徒刑三年三个月，并处罚金二十万元；以侵犯公民个人信息罪判处被告人董某婷有期徒刑二年，缓刑二年六个月，并处罚金五万元。该判决已生效。

为了防止非法的网站经营活动打击不良互联网信息的传播。根据国家管理规定，在我国境内提供非经营性互联网信息服务，应当办理实名域名备案。然而近年来，随着互联网不断发展和信息技术快速更新，一些违法犯罪分子买卖未实名注册域名，并提供非法域名防风服务，绕过相关机构的监管，用于搭建黄赌毒等违法违规网站。

云南警方历时 8 个多月，成功的捣毁了两个为境外 2400 多个黄赌诈网站及 APP 提供域名防风服务并从中牟利的网络黑色产业链犯罪团伙。警方对该案中查找的电子数据勘验分析还发现，为帮助涉案嫌疑人实现防风和防止跳转服务，这些公司还向国内外多家网络域名销售商购买了大量域名。

12 月 12 日，据“通信行程卡”微信公众号消息，12 月 13 日 0 时起，正式下线“通信行程卡”服务。“通信行程卡”短信、网页、微信小程序、支付宝小程序、 APP 等查询渠道将同步下线。

2022年12月12日中国电信、中国移动、中国联通官方微信发布，按照《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法律规定，“通信行程卡”系统自12月13日零时下线相关服务后，将同步删除用户行程相关全部数据，依法保障个人信息安全。

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞547个，其中高危漏洞261个、中危漏洞253个、低危漏洞33个。漏洞平均分值为6.52。本周收录的漏洞中，涉及0day漏洞259个（占47%），其中互联网上出现“TOTOLINK NR1800X setOpModeCfg缓冲区溢出漏洞、ZKTeco ZKBioSecurity SQL注入漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数26350个，与上周（5742个）环比增加3.6倍。

从厂商分布来看，谷歌公司新增漏洞最多，有 208 个。各厂商漏洞数量分布如下表所示：

2022.12.5—12.11，国内厂商漏洞 134 个，紫光展锐公司漏洞数量最多，有 36 个。国内厂商漏洞整体修复率为 71.85%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, 缓冲区错误类的安全漏洞占比最大，达到11.92%。漏洞类型统计如下表所示：