以色列网络安全公司Cynet于近期发现并公布了数百万人使用的产品中存在两个重大的安全漏洞,这个消息不仅吸引了手机和路由器制造商的注意力,同时还引起了投资商的关注。日前,该公司宣布获得美国对冲基金Lazarus 700万美元的投资。

两周前,以Cynet研究人员里然•西格尔(Liran Segal)和沙哈尔•克罗特(Shachar Korot)为首的一个研究小组宣布其发现了LG G3设备存在一个硬件漏洞。研究人员将其命名为SNAP漏洞,该漏洞能让黑客利用设备内置系统缺陷,将未经身份验证的恶意代码输入到应用程序。Cynet附属公司BugSe的首席技术官艾丹•科恩(Idan Cohen)表示,由于漏洞存在于内置的智能通知(Smart Notice)应用中,任何使用Smart Notice的应用,即绝大部分任何能接收消息的应用,都可能会变成黑客侵入个人设备的工具,从而窃取数据、发送存储在设备上的照片到社交媒体、得到信用卡信息等敏感数据。

由于漏洞的存在,黑客可以利用一种JavaScript例程运行服务器端代码,同时可以扩展代码的使用范围来控制设备。在一篇博客文章中,研究人员详述并证明了他们可以在用户全然不知的情况下,从手机内存信息中提取电话号码和身份证信息、用设备的浏览器访问钓鱼网站并下载恶意软件甚至在设备直接发起拒绝网站服务攻击。

科恩说:“使用信息服务的应用程序可能传送恶意代码。”

此前,Cynet进攻安全主管斯塔斯•沃夫(Stas Volfus)领导的研究小组发现了下一代防火墙存在重大安全缺陷,其通过检查应用程序通信而不是端口访问来确定是否有黑客试图侵入。在这种情况下, JavaScript缺陷会允许黑客顺利逃过防火墙的防护从而控制计算机和服务器。

“这个漏洞可能会成为机构或组织面临的一大风险,” 斯塔斯•沃夫说,“所有下一代防火墙都存在漏洞,如果我们可以利用它,那黑客也可以。”

“这意味着用户有可能会通过服务器下载看起来合法的恶意软件,并发送看上去完全没有任何问题的信息给远程命令和控制服务器。这些防火墙中的多数会检查应用层然后实行预先设计的方案。”

他还表示,黑客所要做的就是在他们所在的看上去没有问题的应用程序流量中隐藏恶意软件的有效负载。

关于上述两种情况,Cynet将存在的漏洞告知了LG和防火墙制造商,所以他们可以在情况公开前采取先发制人的行动并修复漏洞。

Lazarus的合伙人布莱恩•艾布拉姆斯(Brian Abrams)表示,这两个“世界级”的发现使得Cynet获得了投资人的称赞,引起了以色列以外的风险资本公司的注意。“这个公司团队的力量、技术和吸引力使其成为初创企业中的佼佼者。能做的他们都做了,他们希望这次可以取得远远超越之前的成就。”

Cynet由以色列网络安全行业中公认的领袖埃亚勒•古纳(Eyal Gruner)、艾丹•阿米尔(Idan Amir)和波阿斯•齐尔伯(Boaz Zilber)成立于2015年,自成立以来快速增长,已经在全球范围内建立了客户基础,包括在金融、医疗、政府、零售、和工业领域的数十家大型企业。

“我们相信Cynet会成为下一个走出以色列的网络巨头企业,” 艾布拉姆斯说,“Cynet有全面的解决方案和快速概念验证部署,马上会和最大的网络安全公司进行竞争并取得胜利。”

Cynet表示,新的资金能助其继续发展威胁检测和响应技术,同时扩大其全球业务。此外,如果有需要,该公司还有机会获得Lazarus额外的资金补助。