一月底,美國9to5Mac 網站報導,Facetime 存在有一個非常嚴重的漏洞,用戶利用Facetime App打電話給對方,即使對方沒有接聽,但只要將自己加入群組通話內,用戶便可聽到對方聲音及環境聲音,對方則毫不曉得自己正被竊聽。更嚴重的是,若對方無意按下電源鍵,影像圖片會自動送出,變成為被監視危機。消息一出,令一眾iPhone及iPad用戶,甚至在mac 機的用家坐立不安,人人自危。
其實在報導面世前,美國亞利桑納的一名14歲中學生湯遜,已無意之中,發現了Facetime的嚴重漏洞,他的母親亦嘗試在多個渠道接觸蘋果技術部門,警告軟件出現事故。其實,這一切由打機開始,湯遜嘗試組隊打網上遊戲,當他聯絡朋友之際,無意發現對方未接來電時,Facetime竟可以收到聲音訊息,反覆測試後,他證實了這是軟件漏洞。蘋果電腦亦第一時間發出道歉聲明,盡快修補軟件的問題,上周發佈了12.1.4的IOS軟件更新。對於湯遜的發現,蘋果向為他送上奬金,雖然並未透露奬金的多少,但蘋果曾提及對提供嚴重軟件問題舉報者,最高相贈20萬美元,相信這次亦會十分可觀。
另一邊廂,Docker容器(Container)技術的開發商,上周亦公佈容器核心軟件RunC出現安全漏洞,波及多個容器平台。透過該項漏洞,惡意的容器軟件,可取得管理員權限,任意在平台上執行命令,或盜取系統資料。除了一眾的Docker開發者,紛紛急於更新系統之外,其他支持Docker雲端平台,包括了Google, RedHat和AWS亦忙於修補其操作系統。
近數年, Docker容器技術在IT界引起熱潮,加上Google等大型企業支持及開放了Kubernetes容器管理工具,不少軟件公司及程序開發人員,都樂於轉到Docker虛擬平台上開發。
Docker主要在Linux平台上使用,利用虛擬化的工具,將軟件程式所須代碼,需求library庫,操作資源及權限等,歸納在同一個容器內。應用軟件變成容器,移植性變得更加容易,資源需求量相對降低。現在不少常用程式,如Apache、Nginx等伺服器,Python開發工具,MongoDB數據庫等容器,均可在雲端下戴,直接Linux、Mac或Windows上系統使用。
同時,業界亦開始關注Docker容器及系統的安全問題;例如去年十月份Usenix年度安全會議之中,有講者在大會中示範,以一般普遍攻擊軟件如Metasploit,己能成功入侵數個容器組成的投票系統,更加可改動數據庫或偷取資料。
其實一般流行軟件如Apache,MySQL或WordPress 等,都有不少安全漏洞,雖要不斷更新修補,甚至使用IDP等工具,去截斷應用層的攻擊。當程式人員使用多個不同容器去開發應用系統,便應留意不同容器,是否有存在的漏洞,當黑客能入侵其中一個容器,便能下戴其他攻擊工具,危及其他容器或應用。
近年,有廠商成功開發虛擬防火牆的技術,可以放在Docker環境中使用,其實業界不防考慮使用這類工具,加強容器的保護。
作者:梁定康,網絡及保安工程師。