駭客也可以幫你煮咖啡

您喜歡「摩登家庭(The Jetsons)」卡通裡的各種便利裝置嗎？在現實世界中，像是在 Amazon 售價 $2,000 美元的 Jura F90 咖啡機就具備便利的觸控面板讓使用者設定咖啡的杯數、濃度以及溫度。這台咖啡機的神奇之處在於它具有網際網路連線功能，然而這就像潘朵拉的盒子一樣。

據 CNET 報導，消費者一天美好的開始可能因此而遭駭客所影響 (此外，他們還可能喝到更「美味」的咖啡)。只要將咖啡機與電腦連接，然後再連線至網際網路，就能由遠端的咖啡專家為您烹調出一杯風味絕佳的咖啡。然而，這種程度的便利性也難免具有危險性。一位澳洲的風險管理專家發現，他的咖啡機雖具有調製獨家風味拿鐵咖啡的功能，但其中有一個應用程式含有弱點，可能讓遠端使用者藉此取得電腦的控制權 (然後可能把他的咖啡煮得滾燙)。遠端使用者可能藉由這個瑕疵，利用緩衝區溢位的方式執行各種程式碼。

歸根究底，在編寫程式時養成良好習慣才是保障安全的基礎。過去我們已經目睹其他許多連線網際網路的裝置與設備遭遇相同的問題：從印表機到心律調節器或甚至是導航工具等。

在本文撰稿時，廠商尚未針對此問題推出任何修補程式。我們建議使用者應在修補程式推出之後立即更新他們的軟體。而不喝咖啡的人也不應該因此而放鬆警戒。駭客可能正在調製其他某種秘方。

@ CNET 相關文章

http://taiwan.cnet.com/crave/0,2000088746,20130204,00.htm

咖啡機也有安全漏洞？

§ 翻譯：星子 Elinor Mills

§ 1則回應

一個澳洲人在他的上網咖啡機上發現安全弱點，不但可以讓駭客遠端控制他搭載Windows XP作業系統的個人電腦，還會讓它煮出太淡的咖啡。

任職於BDO這家提供專業服務的公司，擔任危機顧問經理的Craig Wright，發現數個安全漏洞，包括連結他的Jura F90咖啡機到他的電腦的Internet Connection軟體緩衝區溢位。

2000美金的Jura F90咖啡機可以連上網路，以遠端遙控設定。但是網安專家說：它將使你的電腦暴露在駭客攻擊的危險之中。

（來源：Jura）
一旦連上網路，這台在Amazon上的零售價將近2000美金（約新台幣60000元）的高階咖啡機，可以讓你設定咖啡的濃淡度，並從網路得到遠端檢驗協助，而無須將設備送到維修中心。

Wright將這些資訊貼出來，根據週四的BugTrag安全性電子郵件，事實上還沒有任何補救程式釋出。

美國這邊的咖啡機公關代表表示：她將試圖與瑞士總部的發言人聯繫，並取得回應。

這項威脅並沒有讓Wright徹夜難眠，但是咖啡會，他在週三雪梨時間凌晨2:30，接受CNET News.com的訪問時這麼說道。

「我不知道有沒有人會瞄準這個特別的安全性弱點，畢竟不是大部分的咖啡機都能上網，而且以我自己為例：咖啡機在防火牆的後面。」他說。

然而，網路裝置是未來的趨勢。已經有可以上網的冰箱，和至少已做出原型機的上網烤箱，和已經小量試產的乾衣機和熱水器。

事實上「你將可以用手機打開你家的烤箱」，而有心的駭客可以故意使房子燒掉，Wright如是說。

更多資訊請至趨勢科技：www.trendmicro.com.tw

安潔莉娜裘莉裸體電影 暗藏玄機

我們的誘捕系統捕獲到新的垃圾郵件，此郵件宣稱提供安潔莉娜裘莉的「裸體電影」。如果「裸體電影」這一點還不足以誘騙您上當，也許這封信所附的火辣圖片可以騙到您。

[attach]299[/attach]

該垃圾電子郵件中含有安潔莉娜裘莉裸體電影的偽造「直接連結」。想當然爾，"Watch" (觀賞) 連結會將您導向到一個 EXE 檔案。該 EXE 檔案連結並不很明顯，因為該 URL 事實上是指向 Doubleclick 重新導向程式 (類似下列這一個)。

http://ad.{BLOCKED}click.net/click%3Bh=mqZjUUTkbIdoYRmqZjUUTkbIdoYRmqZjUUTk%3B%7Esscs=%253f
以下為執行檔 URL 的清單。

http://{BLOCKED}gfruits.com/msvideoc.exe
http://{BLOCKED}omomouras.com/msvideoc.exe
http://{BLOCKED}ro.valuehost.ru/msvideoc.exe
http://{BLOCKED}c.com/msvideoc.exe
http://{BLOCKED}maggi.altervista.org/msvideoc.exe
http://{BLOCKED}b.info/msvideoc.exe
http://{BLOCKED}kennel.gr/msvideoc.exe
http://{BLOCKED}rn.altervista.org/msvideoc.exe
http://{BLOCKED}oserna.com/msvideoc.exe
http://www.{BLOCKED}i.ro/msvideoc.exe
http://www.{BLOCKED}ola.lv/msvideoc.exe
http://www.{BLOCKED}otel.eu/msvideoc.exe
http://www.{BLOCKED}ina.com/msvideoc.exe
http://www.{BLOCKED}ality.info/msvideoc.exe

現在，趨勢科技 (Trend Micro) 已將廣告的 URL 所指向的執行檔定義為 TROJ_DLOAD.DI。DLOAD 變體通常存取的 URL 會將醜惡的間諜程式下載到 PC 上。這些間諜程式會從受感染的 PC 上竊取使用者名稱和密碼，然後傳送到遠端位置，讓惡意程式作者可以在該位置接收那些資料。對於極度受不了安潔莉娜裘莉誘惑的使用者而言，要是拿這個實例來練習謹慎處理自己的郵件，那運氣實在很差了。

＠原文‘Angelina Jolie Nude Movie’ Spam

正當名流雜誌上終於出現所謂布萊潔莉娜的雙胞胎 (螢幕情侶布萊德彼特和安潔莉娜裘莉的小孩) 的第一張相片時，上個月也立即出現了安潔莉娜裸體電影垃圾郵件的後續行動。

趨勢科技 (Trend Micro) 不久前剛接獲報告，指出有新的垃圾電子郵件使用相同的社交工程手法來誘騙不知情的使用者下載惡意檔案到系統上。

這個壓縮的 .RAR 檔 (趨勢科技定義為 TROJ_CHEPVIL.RAR) 附加在聲稱有好萊塢一線女星安潔莉娜裘莉 (Angelina Jolie) 裸體影片的電子郵件中 (不過她的名字拼錯了)。這封電子郵件中甚至提供密碼，以便解壓縮上述附件。

想當然耳，附件中並沒有影片，只有另一個特洛伊木馬程式 (定義為 TROJ_CHEPVIL.C)。執行該特洛伊木馬程式會觸發一系列的下載活動，一開始是 TROJ_AGENT.AVSZ (此程式會停用 Windows 防火牆) 與 TROJ_RENOS.ADX。

在執行之後，TROJ_RENOS.ADX 會立即下載另一個定義為 TROJ_FAKEALER.HO 的惡意檔案。

可能受騙的人 (尤其是安潔莉娜裘莉的影迷) 應該特別小心這個垃圾郵件，而且我們強烈建議不要開啟不明寄件者的附件。

此外，趨勢科技 (Trend Micro) 客戶已藉由 Smart Protection Network 獲得保護，免於這個網路安全威脅攻擊。有關此持續發展中的問題，只要有更新，將會儘速發佈。

影音分享小心遭惡意程式感染

音樂，是用來感染人們的生活，而不是電腦。

但是最近發現一個感染多媒體檔案的惡意程式，會將多媒體檔案加以修改，使其在播放時要求下載假的解碼器。

它會在檔案中植入惡意程式碼，感染常用的多媒體檔案格式，例如 MP3、WMA 及 WMV 影片檔。這個惡意程式也能夠將 MP2 和 MP3 檔案轉換為 Windows Media Audio (WMA) 格式。當使用者想要播放受感染的檔案時，電腦會顯示彈出式訊息，要求使用者下載某個解碼器以便播放該檔案。可想而知，所下載的檔案只不過是一個惡意程式。

當所謂的「解碼器」安裝之後，使用者必須再次選擇播放同一個檔案，此時就不再出現彈出式訊息，這可能讓使用者以為真的已在系統中安裝了解碼器。但這只是個開頭而已，如果多媒體檔案透過對等 (peer-to-peer) 網路分享時，任何從受感染系統下載音樂或影片檔的人，都暴露在同樣遭到感染的危險當中。

惡意程式已經假冒成多媒體檔案和解碼器，誘騙使用者下載惡意檔案。以下是一些過去這種事例的報告：

號外！伊朗遭入侵！嗯……也許吧
流行文化垃圾郵件越來越多
惡意程式會釋放惡意程式猛獸
羅斯威爾受害者在北京奧運洩漏秘密
垃圾郵件作者慶祝同學會
當垃圾郵件許下承諾

但是這個惡意程式達到了更新也更危險的程度；也就是說，它會竄改人們的多媒體檔案並用來對付人們。每個人通常會在系統上儲存數千個多媒體檔案，尤其是 MP3。如果每個檔案遭到該惡意程式感染，並透過 P2P 網路分享，那麼使用者就會在不知情的情況下成為惡意程式主機。

趨勢科技 (Trend Micro) 安全威脅工程師將此惡意程式定義為 TROJ_MEDPINCH.A.，而它所內嵌的/加密的執行檔則定義為TSPY_LDPINCH.ASG。Smart Protection Network 會評估所下載檔案的信譽，讓使用者不需要將自己的 MP3 收藏還原為乾淨的狀態，省下許多麻煩。