根据Reposify最新公布的报告，全球领先跨国银行中，23%都有至少一个配置错误的数据库暴露于互联网，存在数据泄露风险。

报告评估了25家跨国银行及其350多家子公司的暴露敏感资产的普及率，包括暴露数据库、远程登录服务、开发工具和其他资产。

报告中关于全球跨国银行攻击面中的关键资产敞口和漏洞的研究结果如下：

·23％的银行至少有一个配置错误的数据库暴露于互联网，从而导致潜在的数据泄漏问题

·54％的银行至少有一个RDP暴露于互联网

·31％的银行至少有一个远程执行代码漏洞

·发现了多个具有匿名身份验证的不安全FTP服务器

攻击者可以利用各种各样的风险，例如RDP，不安全的FTP和配置错误的开发工具，来获得对银行内部网络的未授权访问，并导致数据泄露攻击。发现的暴露数据库使客户和其他敏感数据直接和即将面临暴露风险。

银行业数字化转型面临安全挑战

近年来，银行业经历了大规模的数字化转型，业务竞争力大幅提升，但数字化和连接性的增加也带来了巨大的安全挑战，并使银行业更容易受到网络攻击。

Reposify首席执行官Yaron Tal说：

IT系统的互连性和第三方合作伙伴的增长扩大了外部攻击面和潜在的弱点。

银行的IT生态系统处于不断变化的状态，网络范围已远远超出了防火墙和控制系统。银行的实际攻击面比大多数人想象的要大得多。

面向互联网的资产清单的可见性

银行通常具有完善的安全计划，受到各种机构的严格监管，但是84％的已暴露资产超出了传统资产管理和安全工具的范围。

获得完整的面向互联网的资产清单的可见性至关重要。外部和连续监控使团队可以随时掌握哪些已知或未知设备或服务暴露于互联网中，并采取措施来主动管理和减轻风险。

另：

可以劫持九成Android设备的漏洞：StrandHogg

挪威应用安全公司Promon的研究人员本周披露了一个严重的Android漏洞，恶意软件可利用该漏洞劫持受害者设备上的几乎所有应用程序。

在2019年12月，Promon曾警告说，一个被称为StrandHogg的Android漏洞正被数十个恶意Android应用程序利用以提升特权。

StrandHogg是北欧语中的一个古老术语，描述了维京人的战术，其中涉及袭击沿海地区掠夺并扣押人们以勒索赎金，它利用了Android多任务处理系统的弱点。它允许权限受限的恶意应用程序伪装成合法应用程序，以获取更高的特权，从而使攻击者可以监视用户并访问设备上存储的数据。

Promon透露已经发现了另一个类似的Adndroid漏洞，将其命名为StrandHogg 2.0（CVE-2020-0096），并称其为StrandHogg的“邪恶双胞胎”。

与StrandHogg1.0版本漏洞类似，StrandHogg2.0可以被利用来劫持应用程序，但该公司警告说：“2.0版本可以进行更广泛的攻击，并且更难检测。”

恶意软件利用StrandHogg 2.0不需要任何权限，受害者只需执行恶意应用即可触发利用。如果利用成功，则攻击者可以滥用被劫持的应用程序来获取读取SMS消息、窃取文件、网络钓鱼登录凭据、跟踪设备的位置、拨打或记录电话以及通过电话的麦克风和间谍监视用户所需的特权。

根据Promon的说法，StrandHogg2.0可以同时定位多个应用程序，并且更难检测。

Promon在博客中解释道：

利用StrandHogg 1.0的攻击者必须在Android Manifest中明确并手动输入他们要感染的目标应用程序，然后这些信息才能在包含许可声明（包括可以执行哪些操作）的XML文件中显示，但StrandHogg 2.0并不需要Google Play的代码声明。

由于不需要外部配置即可执行StrandHogg2.0，它使黑客能够进一步掩盖攻击，因为开发人员和安全团队一般不会怀疑来自Google Play的代码。

Google于2019年12月4日获悉此漏洞（StrandHogg2.0），并通过2020年5月的Android安全更新对其进行了修补。该技术巨头将其分配了漏洞编码CVE-2020-0096，并将其描述为特权提升的关键问题。

对于1.0版本的StrandHogg，Google专注于检测和阻止利用此漏洞的恶意应用程序，而不是发布适用于Android的补丁程序。

Promon表示StrandHogg 2.0不会影响Android 10，但该公司指出，目前大约有90％的Android设备运行的是较早版本的移动操作系统。

Promon表示尚不知道有任何利用此新漏洞的恶意软件，但它预测黑客会同时利用StrandHogg和StrandHogg 2.0，因为这两个漏洞方法不同，双管齐下可以尽可能扩大目标的攻击面。