PC TECH 電腦技術

  • 增大字號
  • 缺省字號
  • 減小字號

Check Point Research(CPR)最近在三個領域發現安全漏洞

E-mail 打印 PDF
Check Point Research(CPR)最近在三個領域發現安全漏洞:
NFT 市場 Rarible、Everscale 區塊鏈錢包
以及全球最大兩間晶片製造商的音訊解碼器
或致加密貨幣錢包被盜及洩露私隱

擁有200多萬活躍用戶的NFT市場Rarible存有安全漏洞,一旦漏洞被攻擊者利用,用戶的NFT和加密貨幣就會在一次交易中被洗劫一空。CPR立即向Rarible揭露了調查結果,Rarible已獲知存在的安全漏洞。這是CPR研究人員第二次發現NFT市場中存在安全漏洞,上一次是去年10月在OpenSea中發現的安全問題。CPR研究Rarible的起因是台灣著名歌手周杰倫遭到了類似攻擊,其NFT被盜並以50萬美元的價格拋售。
Everscale區塊鏈生態系統中的網絡版Ever Surf錢包存有漏洞。攻擊者可利用該漏洞完全控制受害者的錢包,CPR向Everscale團隊披露後與他們合作發佈全新桌面版本,以替換易受攻擊的網頁版本。
高通和聯發科技的音訊解碼器中存有安全漏洞,如果不修復,攻擊者可能利用漏洞通過格式錯誤的音訊對用戶的流動裝置發動遙距執行代碼(RCE)。RCE漏洞的影響後果很廣,從惡意軟件執行,到攻擊者獲得對用戶多媒體資料的控制不等。此外,非特權Android 應用程式可以使用這些漏洞來升級其許可權,獲得媒體資料和用戶對話的存取權限。CPR 估計,全球三分之二的手機早晚會受到攻擊。該易受攻擊的代碼建基於Apple 11年前共用的代碼。CPR向高通和聯發科披露了調查結果,兩間公司隨後發佈了修復程式。
有關各安全漏洞的詳情,闡述如下。

NFT市場Rarible的安全漏洞
4月1日,CPR看到台灣著名歌手周杰倫遭到類似的攻擊。攻擊者騙其提交一筆交易,竊取了他的BoardAppe NFT 3738,隨後在市場上以50萬美元的價格售出。這引起CPR的注意,因為落入這攻擊的受害者可以是任何持有加密貨幣/NFT的人。CPR迅速對Rarible展開了徹底調查。CPR這項最新研究背後的動機是防止帳戶被接管,避免加密貨幣失竊風險。

2021 年,Rarible報告稱其交易總額超過2.73億美元,成為世界上最大的NFT市場之一。來自Rarible市場內的惡意NFT攻擊很容易成功,因為用戶對此類交易的警惕性較低,對操作也不太熟悉。在攻擊初期,受害者會收到並點擊指向惡意NFT的連結。惡意NFT執行JavaScript代碼嘗試向受害者發送setApprovalForAll請求。當受害者提交該請求後,便隨之授予攻擊者完全訪問該NFT/加密貨幣的許可權。

網絡版Ever Surf區塊鏈錢包的安全漏洞
區塊鏈技術和去中心化應用程序(dAPP)為用戶提供了許多優勢,例如用戶可以在不創建帳戶的情況下使用該服務,並且可以將其實現為用JavaScript編寫的單頁應用程式。這種類型的應用程式不需要與網絡服務器等集中式基礎設施進行通訊,它可以直接與區塊鏈交互,也可以使用Metamask等瀏覽器擴展。在這種情況下,只需使用僅儲存在瀏覽器擴展或網絡錢包內的本地機器上的密鑰來識別用戶。如果去中心化應用程式或錢包在本地儲存敏感數據,則必須確保這些數據得到可靠保護。在大多數情況下,dAPP在瀏覽器內部運行,因此可能容易受到XSS等攻擊。

Surf屬非託管錢包,不需要在後端使用區塊鏈。這意味著簽署交易所需的密鑰僅儲存在用戶的裝置上。區塊鏈的操作完全在客戶端執行。因此,與其他非託管錢包一樣,Surf沒有使用登錄名和密碼進行註冊。當用戶第一次執行應用程式時,程式會建議創建一個新錢包,Surf便會生成一個助記詞和一對公有鑰和私有鑰。此外,系統亦會提示用戶創建一個六位PIN碼。要進行攻擊,攻擊者需要從應用程式中提取密鑰庫,創建的密鑰和助記詞儲存在網絡瀏覽器的本地儲存中 而本地儲存在網絡瀏覽器中不受保護,在Surf上對資金唯一的保護就是強度加密。

如果網絡犯罪分子藉訊息竊取執行可擴展的攻擊,他們可能會收集大量加密密鑰和助記詞,而要試圖一一解密,可能需要相當長的時間。然而,由於來自不同用戶加密前在密碼上添加的字串是相同的,每個檢查的 PIN 碼只能調用一次密鑰,導出函數的功能Scrypt能處理密集的計算,用於解密的 nacl_secret_box_open 功能非常快。這允許對多個錢包的 PIN 碼進行暴力破解,而不會對性能造成明顯影響。通過利用該漏洞,可以解密儲存在瀏覽器本地儲存中的私有鑰和助記詞。換句話說,攻擊者可以完全控制受害者的錢包。

CPR向Ever Surf開發人員披露該漏洞後,他們發佈了一個桌面版本來緩解此漏洞。網絡版本現已不能公開使用,僅應用於開發目的。
高通和聯發科技音訊解碼器中的安全漏洞
高通和聯發科技音訊解碼器中的安全漏洞影響了搭載其晶片的Android手機,此漏洞可在全球三分之二的流動裝置上實施遙距執行代碼。漏洞均發現於Apple無損音訊編碼(ALAC)。ALAC是一種由Apple Inc.開發的音訊編碼格式,於2004年首次推出,用於數碼音樂的無損資料壓縮。2011年底,Apple將編碼器變為開源。自此,ALAC格式被嵌入到許多非Apple音訊播放裝置和應用程式中,包括Android手機、Linux和Windows媒體播放機及轉換器。此後,Apple多次更新了解碼器的專有版本,修復並修補安全漏洞,但自2011年起,共用代碼一直未修補。CPR發現,高通和聯發科將易受攻擊的ALAC代碼移植到其音訊解碼器中。

CPR 負責任地向聯發科和高通披露了相關資訊,並與他們密切合作,確保這些漏洞得以儘快修復。聯發科將漏洞命名為 CVE-2021-0674和CVE-2021-0675。目前這些漏洞已修復,並發佈在2021年12月聯發科技安全公告中。高通在2021年12月的高通安全公告中發佈了CVE-2021-30351的修復。

Check Point香港及澳門總經理周秀雲表示:「我們看到網絡犯罪分子不斷努力,持續試圖從加密貨幣中,不論是NFT市場還是區塊鏈錢包,獲取巨額利潤。任何不起眼的小漏洞都可能會在幕後為網絡犯罪分子打開了後門。我們已經看到,在採用區塊鏈技術的NFT市場中,用戶數百萬美元的資金遭到了黑客劫持。我們預計加密貨幣盜竊案將持續增加。另一方面,用在全球三分之二流動裝置上實施遙距執行代碼並允許權限升級的漏洞亦很容易被攻擊者利用,從而看到用戶手機上的資訊,竊取用戶私隱。用戶必須注意防範,保護妥當他們的加密貨幣和私隱資料。」

針對加密貨幣的安全提示

·       CPR建議,即使在市場內部收到簽名請求也要格外留神。

·       在批准請求前,用戶應仔細閱讀請求內容,並想想該請求是否看起來異常或可疑。

·       只要有一點可疑之處,用戶就應拒絕該請求,並在提供任何形式的授權之前進一步檢查。

·       使用任何平台登入前,先核實平台網址,確保是合法網站,防範網絡釣魚或假冒域名的企圖。

·       網絡釣魚電郵可能被利用竊取用戶密碼,無論寄件人是誰,均不建議點擊電郵內的連結,盡可能自行在網站供應商上找到相同的資料。

·       在可能的情況下,為自己的帳戶設置雙重身份認證,並考慮額外的分層安全設置,以獲得更安全的保護。

·       其他安全措施包括使用密碼管理,並安全儲存私有鑰、密碼和其他私人數據。

·       VPN 服務也可以為用戶提供多用途保護,例如加密互聯網流量,同時隱藏 IP 地址。

·       確保檢查使用錢包簽署的每次交易,如果可能,在每次交易後,在此網站 https://etherscan.io/tokenapprovalchecker 檢查並確保沒有授權永久存取錢包和NFT,如果有授權的話,則請確保已取消這功能。

·       作為安全措施,我們還建議用戶持有幾個錢包,一個用於交易,一個長期持有,這樣只有用戶的交易錢包才會暴露在外。



































( 內容由有關方面代表提供, 經編輯後刊登 )