技嘉推出BIOS更新 删除主板上包含安全隐患的后门

技嘉推出BIOS更新删除主板上包含安全隐患的后门作为一个与技嘉应用中心有关的功能，该后门似乎没有被用于恶意目的，但众所周知，威胁者在以前的攻击中曾滥用过这种工具。当Eclypsium公开其发现时，它说目前还不清楚该后门是由恶意的内部人员、技嘉的服务器被破坏还是供应链攻击造成的。在Eclypsium发表报告后不久，技嘉公司宣布发布BIOS更新，解决该漏洞。"技嘉的工程师已经减轻了潜在的风险，在对技嘉主板上的新BIOS进行全面测试和验证后，将英特尔700/600和AMD500/400系列BetaBIOS上传到了官方网站，"该公司在上周末宣布。英特尔500/400和AMD600系列芯片组主板以及之前发布的主板的BIOS更新也将在上周末发布。该更新解决了"Eclypsium报告的下载助手漏洞"，A520AorusEliterev1.0主板可用的最新BIOS的发布说明中提到。该更新在系统启动时实施了更严格的安全检查，包括改进了对从远程服务器下载的文件的验证和对远程服务器证书的标准验证。该公司表示，新的安全增强措施应能防止攻击者在启动过程中插入恶意代码，并应保证在此过程中下载的任何文件来自具有有效和可信证书的服务器。机构和终端用户都应该查看Eclypsium列出的270多个受影响的主板型号，如果受到影响，应该前往技嘉的支持网站，检查并下载2023年6月1日之后发布的任何BIOS更新。...PC版：https://www.cnbeta.com.tw/articles/soft/1363759.htm手机版：https://m.cnbeta.com.tw/view/1363759.htm

技嘉部分主板存安全漏洞：容易遭受恶意入侵

技嘉部分主板存安全漏洞：容易遭受恶意入侵在报告中公司表示：“我们正在与技嘉合作，解决他们应用中心功能的这种不安全实施。为了保护该公司免受恶意行为者的侵害，我们还以比典型漏洞披露更快的时间表公开披露此信息和防御策略。”目前，Eclypsium已经发布了一份受到该问题影响的主板列表PDF。受影响的主板多大271种不同型号，因此如果你使用了现代技嘉主板，很大可能你也中招了。而且该问题不论是AMD还是英特尔系统均受影响。问题主板列表：点击这里该漏洞的利用方式是只要处于和受影响设备同一网络上，即可拦截技嘉的不安全更新程序并将其指向另一个不安全的URL。最糟糕的是，在3个可能的下载位置中，其中一个使用了普通的HTTP地址，而不是更加安全的HTTPS。Eclypsium表示，目前他们不认为存在对该漏洞的大量利用，但“一个难以删除的广泛活跃后门给拥有技嘉系统的组织带来了供应链奉献。”对于普通游戏玩家来说这可能并不是太严重的问题，但是对于使用技嘉系统的公司组织来说这将是一场安全噩梦。普通玩家如果也不希望自己的电脑在不安全Wi-Fi情况下在你不知道的情况下加载恶意软件，需要更改一些Bios设置。目前可以采取的措施是进入PCBios，并金庸“APP中心下载和安装”功能。同时用户最好还设置一个Bios密码，增强自己设备的安全保护。...PC版：https://www.cnbeta.com.tw/articles/soft/1363039.htm手机版：https://m.cnbeta.com.tw/view/1363039.htm

AMD 仍在为 AM4 平台提供新固件，距离首批主板发售已有6年零8个月

AMD仍在为AM4平台提供新固件，距离首批主板发售已有6年零8个月近期上出现了一个有关AM4主板长期支持的讨论，不少用户惊喜地发现，他们手上一些为初代Ryzen处理器设计的主板，至今仍不断收到更新。事实上，所有主要的主板制造商在过去3到4个月内都发布了更新，其中包括最新的AGESA固件更新以及一些安全性增强。AMD首批AM4平台（X370/B350/A320）主板最早于2017年2月发售，至今已有6年零8个月。要知道英特尔差不多同一时期推出的300系列主板的固件自2021年以后就没有再更新了，主板厂商也放弃了任何优化和安全补丁。https://www.expreview.com/90434.htmlAMDCEO苏姿丰曾在Computex2022主题演讲中表示：“AM4是一个伟大的平台，将继续存在多年。”其合作伙伴开发了超过500种AM4主板，可通过驱动程序更新和可能的应用程序和新技术，在未来数年内继续提供支持。https://new.qq.com/rain/a/20220524A0338O00

安全－华硕电脑预装的更新软件ASUS LiveUpdate被发现通过明文HTTP更新关键的BIOS和UEFI固件 ，而且在安装时

安全－华硕电脑预装的更新软件ASUSLiveUpdate被发现通过明文HTTP更新关键的BIOS和UEFI固件，而且在安装时还不对内容源进行任何的验证。LiveUpdate客户端应该存在了很长时间，它通过未加密的明文HTTP连接向更新服务器如liveupdate01.asus.com或dlcdnet.asus.com发出请求。攻击者很容易诱骗LiveUpdate相信一个恶意程序是合法的系统更新。已有安全研究人员公布了针对LiveUpdate的概念验证攻击(Tumblr博客)。http://teletext.zaibatsutel.net/post/145370716258/deadupdate-or-how-i-learned-to-stop-worrying-and

政府支持的黑客程序被发现"藏身"于路由器设备固件内

政府支持的黑客程序被发现"藏身"于路由器设备固件内BlackTech也被称为Palmerworm、Temp.Overboard、CircuitPanda和RadioPanda，自2010年以来一直很活跃。报告称，这些网络犯罪分子源自中国，他们历来以美国和东亚的政府、工业、媒体、电子、电信和国防承包商等组织为攻击目标。该网络行为者专门开发定制恶意软件和"定制持久机制"，以入侵流行的路由器品牌。美国和日本警告说，这些定制恶意程序包括禁用日志记录、滥用可信域关系和破坏敏感数据等危险功能。该警告包括一份特定恶意软件菌株的清单，如BendyBear、Bifrose、SpiderPig和WaterBear，这些恶意软件用于攻击Windows、Linux甚至FreeBSD操作系统。该公告没有提供任何关于BlackTech使用何种方法获取受害者设备的初始访问权限的线索，其中可能包括普通的被盗凭据，甚至是一些未知的、"非常复杂的"0-day安全漏洞。进入后，网络犯罪分子会滥用思科IOS命令行界面(CLI)，用受攻击的固件镜像替换官方路由器固件。公告警告说，这一过程始于通过"热补丁"技术修改内存中的固件，这是安装修改过的引导加载程序和修改过的固件所需的入口点。安装完成后，修改后的固件就可以绕过路由器的安全功能，实现后门访问，在日志中不留痕迹，并避开访问控制列表（ACL）限制。为了检测和挫败BlackTech的恶意活动，建议公司和组织遵循一些"最佳缓解措施"。IT人员应通过对虚拟电传打字机(VTY)线路应用"transportoutputnone"配置命令来禁用出站连接，监控入站和出站连接，限制访问并监控日志。各组织还应该用最新固件版本升级网络设备，在担心单个密码被泄露时更改所有密码和密钥，定期执行文件和内存验证，并监控固件的更改。美国和日本针对被入侵的思科路由器发出警告，但联合公告中描述的技术可以很容易地适用于其他知名品牌的网络设备。了解更多：https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-270a...PC版：https://www.cnbeta.com.tw/articles/soft/1387167.htm手机版：https://m.cnbeta.com.tw/view/1387167.htm

芯片巨头高通的隐蔽后门被发现，私密收集用户数据

芯片巨头高通的隐蔽后门被发现，私密收集用户数据德国安全公司NitroKey发布了一份报告，指出在不需要安卓操作系统参与的情况下，带有高通芯片的智能手机会秘密向高通发送个人数据，而且这些数据将会被上传至高通部署在美国的服务器上。令人惊讶的是，这些数据是在未经用户同意、未加密的情况下发送的，甚至在使用无谷歌的Android发行版时也是如此。其原因大概是提供硬件支持的专有Qualcomm软件也会发送数据。受影响的智能手机包括绝大部分使用高通芯片的Android手机以及部分苹果手机。对于该报告的内容，高通表示确实存在数据传输行为，但否认私自收集用户隐私信息，强调该行为符合XTRA服务隐私政策。至于全球用户数据上传至美国，是否涉及国家安全，这些信息是否可能会被政府机构或间谍组织利用，高通的解释难以让用户信服。只要这些数据会上传至美国，那么就一定会存在上述的安全风险。NitroKey安全研究人员使用了一款去谷歌安卓手机来进行这项实验，手机型号是SonyXperiaXA2，以排除手机操作系统的影响（毕竟谷歌有着强大的位置追踪功能）。在实验测试过程中，安全研究人员使用的是一个去谷歌搜索的安卓开源版本——/e/OS，它以隐私为中心，严格保护用户数据，毕竟/e/OS一直吹嘘它们绝不会跟踪用户位置信息，也不会向第三方出售用户数据。/e/OS操作系统是一个以隐私为导向的去谷歌化的移动操作系统，是LineageOS的复刻，由MandrakeLinux（现在的MandrivaLinux）的创建者GaëlDuval在2018年创立。在SonyXperiaXA2智能手机上安装了/e/OS后，手机启动进入/e/OS设置向导后依旧会索要GPS定位服务的权限，但安全人员故意将其关闭，以免干扰实验的准确性。安全研究人员也没有在手机中放置SIM卡，因此它只能通过我们使用Wireshark监控的WIFI网络发送和接收数据。Wireshark是一种专业的软件工具，它使我们能够监控和分析通过网络发送的所有流量。在完成设置连上wifi后，路由器为/e/OSde-Googled手机分配了一个本地IP地址，并且开始生成流量。第一个DNS请求却是来自谷歌：[2022-05-12 22:36:34] android.clients.google.com[2022-05-12 22:36:34]connectivity.ecloud.global这也就意味着，去谷歌手机的第一个连接是google.com，这大大超出了安全研究人员的预期。根据Google的说法，主机android.clients.google.com为GooglePlay商店提供定期设备注册、定位、搜索应用程序和许多其他功能，但这些功能却没有在实验手机上。经过仔细分析后发现，该DNS请求来自microG，一个开源的重新实现谷歌专有核心库和应用程序。接下来，它连接到connectivity.ecloud.global，由于安装了/e/OS操作系统，因此取代了Android的Google服务器连接检查connectivitycheck.gstatic.com。随后，安全研究人员又发现了以下通信信息：[2022-05-12 22:36:36]izatcloud.net[2022-05-12 22:36:37]izatcloud.net通过查询后发现，izatcloud.net域属于一家名为QualcommTechnologies,Inc.的公司，也就是芯片巨头高通。高通正在悄悄收集用户的信息似乎已经被实锤，并且将这些信息正在上传至高通服务器。进一步调查后，安全研究人员发现这些数据包竟然都是通过不安全的HTTP协议发送，没有使用HTTPS、SSL或TLS进行加密。这意味着网络上的任何其他人，包括黑客、政府机构、网络管理员、本地和外国的电信运营商在内，都可以收集这些数据、存储它们并使用手机的唯一ID和序列号建立记录历史，以此轻松监视手机用户。索尼、Android或/e/OS的服务条款中均未提及与高通的数据共享，因此，高通公司不断向他们神秘的IzatCloud发送数据的行为，是其独家行为，且未经用户同意。NitroKey安全研究人员认为，未经同意收集用户数据违反了通用数据保护条例(GDPR)，并就此事联系了高通的法律顾问。对此，高通法律顾问称，该数据收集符合QualcommXtra隐私政策，并且他们向我们分享了XTRA服务隐私政策的链接。高通似乎一直喜欢保持神秘，不仅IzatCloud知道的人少，XTRAService也是如此，更别提该服务的隐私政策了。“通过软件、应用程序，我们可能会收集位置数据、唯一标识符（例如芯片组序列号或国际用户ID）、有关设备上安装和/或运行的应用程序数据、配置数据（例如手机品牌、型号和无线运营商、操作系统和版本数据、软件构建数据以及有关设备性能的数据，例如芯片组性能、电池使用情况和热数据。我们还可能从第三方来源获取个人数据，例如数据经纪人、社交网络、其他合作伙伴或公共来源。”但是他们没有提到IP地址，实际情况是他们很可能也收集了IP地址。在NitroKey安全研究完成后，高通更新了隐私政策，并补充也会收集设备的IP地址。另外他们还添加了他们将此数据存储90天以用于“质量目的”的信息。这里列出了高通可能根据其隐私政策从用户手机收集的数据：唯一身份芯片组名称芯片组序列号XTRA软件版本移动国家代码移动网络代码（允许识别国家和无线运营商）操作系统类型和版本设备品牌和型号自上次启动应用程序处理器和调制解调器以来的时间设备上的软件列表IP地址随着研究的深入，我们发现Qualcomm的“XTRA服务”提供辅助GPS(A-GPS)，并有助于为移动设备提供准确的卫星定位。高通的专有软件不仅会下载一些文件到用户手机，以帮助更快地建立GPS位置，还会上传我们的个人数据，例如设备的唯一ID、国家代码、手机运营商代码（允许识别国家和移动运营商）、操作系统和版本以及设备上的软件列表。高通收集大量敏感数据并通过不安全和过时的HTTP协议传输的事实表明，他们并不关心用户的隐私和安全。这里无需推测高通是否与各种政府部门、间谍机构合作，但当流量也可能被独裁者以及其他不需要与高通合作的压制性政府拦截时，将会产生难以预料的风险。毕竟，无人机也经常使用位置信息来瞄准人。在某些情况下，可以通过位置信息来执行对个人的绑架或暗杀。比如伊朗抗议者，不就因为其智能手机位置暴露了而被逮捕，有时候用户甚至都不知道，对方便拿走了我们的隐私。频道：@TestFlightCN