2018.5.31 周四
1、恢复二手手机已删信息 触犯刑法高压线
恢复、倒卖二手手机里的个人信息,已经成为这个行业的重要“副业”,甚至见怪不怪,这就需要司法机关及时亮剑,以个案来普法,以儆效尤,终止破窗效应。你把手机里的信息删除了,甚至恢复了出厂设置,当成二手手机卖出去。但是,电信诈骗分子却可能通过灰色途径,恢复你的数据,得到你手机里的通讯录,并拿来实施犯罪。
据新京报报道,有市民把旧手机卖给二手手机商后,没过几天,多个朋友就收到了以他名义借钱的诈骗短信。
原来,恢复手机里被删除的数据,并将其中的个人信息进行倒卖,已经形成一个灰色产业链。新京报记者以“数据信息商”的身份,加入多个二手手机维修交易群,就有从业人员报价倒卖公民的通讯信息“每条价格1毛钱,购买的话1000条起”。
据调查,80元即可全部恢复被删除的隐私照片、通讯录,这已成了一些二手手机回收的“副业”。甚至有的二手手机维修者直言,看到有姿色靓丽的女顾客来维修手机,就会把其中的隐私照片拷贝下来。
按现在的技术标准,为了避免反复读写对存储设备的磨损,系统内部对“删除”文件只作了删除标志,但其实并没有真正在物理形态上消除,而通过相应的程序,还是能把这些数据还原。这个常识,很多用户其实并不知道。
我们以为全部删除的信息,只需要经过一个程序,就能全盘恢复,将我们的隐私照片、金融数据、电话通讯录,被扒得一丝不挂。二手手机的灰色信息买卖,已经成为了一个巨大的犯罪渊薮,也是公民个人隐私泄露的一个重要源头。
调查结果显示,有48.26%的人会在1-2年内里更换手机,平均6个月到一年就更换手机的人数达到14.33%。这个天量的二手手机市场,以及每台手机里面海量的、真实的个人数据,如果得不到及时的监管,将严重威胁公民的财产安全、隐私安全。
要说明的是,从公民的二手手机里面恢复数据、窃取个人信息,本身就构成了犯罪。刑法修正案(九)明确规定了“侵犯公民个人信息罪”,窃取或者以其他方法非法获取公民个人信息的,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
徒法不足以自行。恢复、倒卖二手手机里的个人信息,已经成为这个行业的重要“副业”,甚至见怪不怪,这就需要司法机关及时亮剑,以个案来普法,才能惩奸罚恶、以儆效尤,终止破窗效应。
还要看到,二手货回收市场虽然一直是治安管理的重点监控领域,不过之前的监管主要是为了防止销赃。但是,进入信息时代之后,信息和隐私这些无形财产成了犯罪的对象,相关的监管就需要及时跟上。对于涉及公民个人信息安全的二手手机维修、销售市场,应纳入特种行业进行监管,实施严格的准入和行业规范。
二手手机里的个人信息,仍是属于公民的个人隐私,并没有随着财产权而转移。通过不法手段恢复、倒卖其中的信息本身,已经触犯了《网络安全法》《刑法》,对于这种行业黑幕绝对不能姑息,要亮出法律的高压线。
2、研究人员演示对硬盘和操作系统的声音攻击
密歇根大学和浙江大学的一组研究人员演示了利用廉价扬声器对硬盘和操作系统的物理攻击,声音攻击潜在能损害硬盘和让操作系统崩溃。攻击利用超声和声波去破坏正在读写数据的磁性机械硬盘。研究人员演示了如何利用这项技术阻止监控系统记录直播流。
12 秒钟的特别设计的声音干扰就能让海康威视的萤石视频系统丢失视频,105 秒以上的声音攻击就能让设备中的西部数据硬盘停止记录直到重启之后。
他们的论文《Blue Note: How Intentional Acoustic Interference Damages Availability and Integrity in Hard Disk Drives and Operating Systems》发表在 IEEE Symposium on Security and Privacy 2018 上。声音攻击也能破坏运行 Windows 和 Linux 的台式机和笔记本电脑。
来源:solidot.org
3、23岁黑客被控受雇于俄间谍侵入电邮 获刑5年
5月30日消息,据美联社报道,在美国旧金山市法庭举行的庭审中,23岁电脑黑客卡里姆·巴拉托夫(Karim Baratov)被控无意中与俄罗斯间谍机构合作,在雅虎大规模数据泄露事件中窃取数据,以获取私人电子邮件。法官文斯·查布里亚(Vince Chhabria)判处他5年监禁,并处以25万美元罚款。
2017年,两名俄罗斯间谍被控策划了2014年的雅虎黑客入侵事件,涉及5亿用户信息被盗。巴拉托夫也被美国起诉,被指控利用俄罗斯联邦安全局传递给他的被盗数据,侵入了数十名记者、商界领袖和其他人的电子邮件账户。检察官说,巴拉托夫是个“国际黑客雇佣兵”,对他的客户很少或根本没有研究。
去年11月份,巴拉托夫承认犯有9项重罪。他承认自己在7年前就开始从事黑客活动,并向客户收取100美元的黑客费,以侵入网络电子邮件中。巴拉托夫出生于哈萨克斯坦,但在加拿大多伦多居住。去年他在加拿大被捕,他通过欺骗用户将自己的凭证输入到伪造的密码重置页面,从而获得他人的网络邮件密码。
检察官在法庭文件中说,巴拉托夫的俄语网站“网络黑客”(webhacker)登载了广告,宣称“无需预付款就就可帮助侵入电子邮件账户”。检察官表示,俄罗斯情报机构支付给巴拉托夫报酬,支持他利用从雅虎获得的信息来攻击数十个电子邮件账户。检察官认为,俄罗斯联邦安全局的目标是俄罗斯记者、美国和俄罗斯政府官员以及金融服务和其他私人企业雇员。
巴拉托夫及其律师还说,他不知道自己在与俄罗斯间谍机构合作。在法庭文件中,巴拉托夫声称,他可以访问由谷歌和俄罗斯供应商(如Mail.Ru和Yandex)维护的网络电子邮件帐户。他会向客户提供被黑客入侵的账户截图,并承诺他可以更改安全问题,这样他们就可以长期控制账户。
美国司法部指控两名俄罗斯间谍策划了2014年雅虎安全漏洞袭击事件,窃取了5亿用户数据。德米特里·亚历山大·多库恰耶夫(Dmitry Aleksandrovich Dokuchaev)和伊戈尔·阿纳托利维奇(Igor Anatolyevich)仍然在逃,检方认为他们生活在俄罗斯,但俄罗斯与美国没有引渡条约。
巴拉托夫被认为已经收取了超过110万美元的黑客费用,他用这笔钱购买房屋和昂贵汽车。查布里亚法官在听证会上说:“在这种情况下,威慑尤其重要。”但他拒绝了检察官的要求,没有判处巴拉托夫10年监禁,因为他注意到巴拉托夫的年龄,而且被捕前没有犯罪记录。
自被捕以来,巴拉托夫始终处于被拘留状态。他告诉法官,他在狱中的时光“非常令人羞愧,经历也令人大开眼界”。他做出道歉,并承诺“做个更好的人”,在获释后会遵守法律。法官表示,一旦出狱,巴拉托夫很可能会被驱逐出境。
负责美国国家安全事务的助理总检察长约翰·德默斯(John Demers)说:“犯罪黑客和支持他们的国家在攻击美国公司和公民时犯了严重的错误。我们将在他们所到之处认出他们,并将他们绳之以法。”
来源:网易科技
2018.5.30 周三
1、EOS超级节点攻击曝光:足以轰瘫整个数字货币体系
网易科技讯 5月29日消息,近日,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。
29日凌晨,360第一时间将该类漏洞上报EOS官方,并协助其修复安全隐患。EOS网络负责人表示,在修复这些问题之前,不会将EOS网络正式上线。
足以轰瘫数字体系的区块链漏洞
传统软件领域的漏洞可能被利用来发起网络攻击,造成数据、隐私的泄露甚至实际生活的影响。而数字货币本身是一套金融体系,在数字货币和区块链网络中的安全漏洞,往往会有更严重、更直接的影响。
由于区块链网络去中心化的计算特点。一个区块链节点实现上的安全漏洞,可能引发成千上万的节点遭到攻击。甚至,在传统软件漏洞领域被认为相对危害较小的拒绝服务漏洞,在区块链网络中则可能引发整个网络瘫痪的风暴攻击,对整个数字货币系统造成巨大冲击。
EOS超级节点攻击:虚拟货币交易完全受控
在攻击中,攻击者会构造并发布包含恶意代码的智能合约,EOS超级节点将会执行这个恶意合约,并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块,进而导致网络中所有全节点(备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等)被远程控制。
由于已经完全控制了节点的系统,攻击者可以“为所欲为”,如窃取EOS超级节点的密钥,控制EOS网络的虚拟货币交易;获取EOS网络参与节点系统中的其他金融和隐私数据,例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。
更有甚者,攻击者可以将EOS网络中的节点变为僵尸网络中的一员,发动网络攻击或变成免费“矿工”,挖取其他数字货币。
区块链网络安全隐患亟待关注
EOS是被称为“区块链3.0”的新型区块链平台,目前其代币市值高达690亿人民币,在全球市值排名第五。
在区块链网络和数字货币体系中,节点、钱包、矿池、交易所、智能合约等都存在很多的攻击面,360安全团队此前已经发现和揭露了多个针对数字货币节点、钱包、矿池和智能合约的严重安全漏洞。
此次360安全团队在EOS平台的智能合约虚拟机中发现的一系列新型安全漏洞,是一系列前所未有的安全风险,此前尚未有安全研究人员发现这类问题。这类型的安全问题不仅仅影响EOS,也可能影响其他类型的区块链平台与虚拟货币应用。
360表示,希望通过这一漏洞的发现和披露,引起区块链业界和安全同行在这类问题的安全性上更多的重视和关注,共同增强区块链网络的安全。
来源: 网易科技报道
2、加拿大两大银行遭黑客攻击 近9万名客户数据被窃
5月29日消息,据国外媒体报道,蒙特利尔银行和加拿大帝国商业银行周一表示,网络攻击者可能窃取了近9万名客户的数据,这似乎是该国金融机构首次遭受重大攻击。加拿大第四大银行蒙特利尔银行( bank of monterlial )周一表示,欺诈者周日联系了该行,称他们掌握了该行有限数量客户的个人和财务信息。
该行发言人表示,该行相信,在加拿大全国800万客户中,不到5万人遭到黑客攻击。他拒绝透露是否有顾客因为这次袭击而损失了钱。
发言人说,骗徒曾扬言要公开有关资料,并表示银行正与有关当局合作,进行彻底调查。
蒙特利尔银行表示,它相信此次攻击来自国外,并相信导致客户数据被盗的风险敞口已被关闭。
加拿大第五大银行加拿大帝国商业银行( Canadian impertial Bank of Commerce )表示,欺诈者周日与该银行联系,声称他们以电子方式窃取了其Simplii直接银行品牌4万名客户的个人和账户信息。
CIBC表示,它尚未证实这一网络违规行为,但正在认真对待这一说法。CIBC表示,其主要银行部门的客户没有受到影响。
两家银行都表示,它们正在联系客户,并建议他们监控自己的账户和报告任何可疑活动。
加拿大其他银行表示,它们没有受到影响。
BMO股价下跌0.3 %,CIBC股价下跌0.3 %。
加拿大六大银行一直在与加拿大银行合作,加强对网络攻击的防御。加拿大银行本月早些时候表示,一些袭击不可避免地会成功,但它已经建立了恢复机制来限制损失。
网络攻击越来越普遍。去年,信用监测公司Equifax说,在一次网络攻击中,大约1.466亿个名字、1.466亿个出生日期、1.455亿个美国社会保障号码、9900万个地址、209000张支付卡号码和截止日期等信息被盗。
来源:TechWeb
2018.5.29 周二
1、搜索引擎如何操纵我们的思维
搜索引擎公司如 Google 记录的用户数据数倍于社交网络公司
Facebook,很多人可能没有意识到搜索巨人对你的了解比你以为更深入,而搜索引擎也被认为能操纵用户的思维。美国行为研究和科学技术研究所
的心理学家爱泼斯坦 (Robert Epstein) 最近几年与同事和数据科学家就 Google 的“搜索”或“自动补全”功能进行了大量研究。
这让他相信,搜索引擎能够以非常强有力且大多不被注意的方式影响我们的思维。爱泼斯坦的团队邀请
661 名美国人在一次澳大利亚选举中的两位候选人中选择一位。由于参与者不太了解澳大利亚政治,他们被指导使用一个 Google
风格的搜索引擎搜索这两名候选人,在键入文字时,该搜索引擎会提供通常的自动补全建议。
然而,研究人员还改变了出现在候选人名字下方的搜索建议,包括一系列正面和负面词汇。结果是明显的。当参与者后来被问到他们的投票偏好时,他们的回答显示,改变自动补全建议中正面和负面建议的比例能够让犹豫不决投票者的偏好改变近
80%,尽管参与者看上去可以自由搜索他们想要的任何资料。
另一项研究发现,当参与者只得到 4 种自动补全建议时,他们很容易被操纵;当有 10 种建议供选择时,他们就不容易被操纵了。
来源:solidot
2、尼日利亚黑客伪装成上海某企业发送“木马发票”
5 月 28 日,威胁情报公司微步在线他们近日发现了一个长期利用窃密木马(AgentTesla等)对制造业、航运、能源以及部分政府部门发起定向攻击,通过窃取被攻击目标用户和单位敏感信息进行 CEO 诈骗(BEC)攻击的黑客团伙“SWEED”。
不久前,一份伪装成某上海企业向新加坡公司发出的形式发票(Proforma Invoice)引起了微步在线安全研究员的注意,因为该文档利用了 OFFICE 漏洞 CVE-2017-11882,漏洞触发后会下载执行窃密木马“AgentTesla”。
AgentTesla 是一款近期非常流行的商业窃密木马,具备屏幕截图、键盘记录、剪贴板内容、控制摄像头以及搜集主机账号密码等多种功能,并可通过"web"、"smtp"和"ftp"等三种方式回传数据。
安全研究员追踪该木马后,发现幕后攻击团伙“SWEED”来自尼日利亚,自
2107
年开始利用钓鱼邮件传播“AgentTesla”木马,攻击目标主要为从事对外贸易的中小型企业,涉及制造业、航运、物流和运输等多个行业。他们对黑客服务器获取的部分数据进行了分析,发现“SWEED”至少成功入侵个人主机
450 台,受害者遍布美国、俄罗斯、中国、印度、巴基斯坦、沙特、韩国、伊朗等近 50 个国家。
“SWEED”团伙在控制企业员工主机后会进行长期监控,并在目标与客户发起交易时实施中间人攻击,诱使财务人员将款项转至指定账户,是一个典型的尼日利亚诈骗团伙。
安全研究人员建议,国内企业用户对所有包含附件的邮件提高警惕,涉及金融交易的细节需与对方核实确认,谨防此类欺诈攻击。
来源:雷锋网
3、苹果将公布应政府要求下架的应用数量
苹果上周公布了 2017 年 7 月 1 日到 12 月 31 日的透明度报告(PDF),苹果发布声明称未来它将公布要求从 App Store 下架应用的政府请求。
苹果目前公布的政府请求主要包括:设备信息请求,金融交易识别码请求,账户信息请求等,去年下半年中国政府递交了大量此类请求,苹果在透明度报告中解释说,这些请求绝大多数与信用卡欺诈和
iTune 礼品卡欺诈调查有关,索取用户帐户也主要与欺骗性购买调查有关。去年苹果曾因中国政府要求下架了大量应用。
来源:solidot
2018.5.28 周一
1、FBI称俄罗斯黑客入侵50多国数以十万计路由器
据外媒报道,美国联邦调查局(FBI)称,俄罗斯电脑黑客入侵了全球50多个国家数以十万计的住家和办公室路由器,可能借此收集用户资料或阻断网络流量。
美国联调局说:“此次VPNFilter恶意软件的袭击规模与范围是严重的。”联邦调查局指出,由于经过加密,恶意软件难以探测,但却足以导致用户的路由器无法操作。美国执法单位促请路由器用户关掉再开启路由器,同时向制造商下载更新软件以加强保护。
美国司法部称,据信黑客来自一个名为Sofacy的组织,该组织受俄罗斯政府“指挥”,据信其主要目标是乌克兰。
西方专家指出,俄罗斯对乌克兰企业展开的网络袭击已持续一年多,造成数以亿计美元的损失,以及至少一次停电事故。
不过,对于乌克兰政府指责莫斯科计划在26日的欧冠赛决赛前,对乌克兰国家机构和私营公司发动网络袭击的说法,克里姆林宫予以否认。
较早前,思科(Cisco Systems)透露,此次黑客袭击的目标包括美国贝尔金国际公司(Belkin International)的Linksys路由器,以及由MikroTik、Netgear、TP-Link和QNAP生产的路由器。
美国联调局一名官员称,在黑客袭击中受影响的路由器是用户在电子展或网上购买的。不过,联调局不排除互联网公司提供给客户的路由器也可能受影响。
来源:中国新闻网
2、Facebook:不会赔偿270万受数据泄露影响的欧洲用户
据外媒报道,社交网络巨头Facebook日前表示,由于敏感的银行账户数据并未被共享,Facebook不太可能对270万受到数据泄露事件影响的欧洲用户进行补偿。此前有报道称,这些用户的数据曾被剑桥分析公司(Cambridge Analytica)不当分享。
作为世界上最大的社交媒体网络,Facebook已经对欧盟议员提出的问题做出回应。这些议员此前在布鲁塞尔的欧洲议会(European Parliament)对Facebook首席执行官马克·扎克伯格(Mark Zuckerberg)进行质询,但他们显然没有获得满意答案。
Facebook在声明中承认:“这(剑桥分析公司滥用数据)显然是对信任的亵渎。然而,重要的是要记住,没有银行账户的详细信息、信用卡信息或身份证号码被共享。大多数人被泄露的都是公众信息,比如他们的页面点赞、好友列表以及生日等。对于那些允许分享信息的朋友来说,也没什么不同。”
Facebook表示,涉及数据泄露的应用程序开发商向剑桥分析公司出售了美国用户(而非欧盟用户)的信息。Facebook和剑桥分析公司已经成为马里兰州的一名居民提出的集体诉讼的目标,状告它们在未经允许的情况下滥用美国用户数据,并寻求损害赔偿。
为了回应欧盟议员对使用非Facebook用户数据隐私的担忧,Facebook表示,他们很清楚自己收集的信息,并希望网站和应用程序通过数据或cookie政策保持同样的透明度。
Facebook还称,非Facebook用户可以通过帮助中心询问自己的哪些数据被收集,但该公司没有创建有关他们的个人资料档案。
Facebook还否认了将用户Facebook和WhatsApp个人资料分开的说法,称共享数据对于帮助打击滥用内容或垃圾邮件是很有必要的。
Facebook同样对另一位欧盟议员提出的拆分Facebook Messenger和WhatsApp的提议不屑一顾,理由是打包服务能给消费者带来更多好处。
来源:腾讯科技
3、乌拉圭少年发现谷歌安全漏洞 获谷歌3.6万美元奖励
腾讯科技讯 5月27日消息,谷歌近日给乌拉圭的一位少年颁发了3.6万多美元的奖励,理由就是这位计算机天才少年发现了谷歌的一个安全漏洞。这位天才少年就是就读于乌拉圭民主大学的学生埃兹奎尔-佩雷拉(Ezequiel Pereira)。
谷歌此前颁布了漏洞报告奖励(Bug Bounty)计划。就在佩雷拉第一次因发现谷歌安全漏洞而获得资金奖励时,这位少年距离17岁还差一个月。佩雷拉10岁时获得了自己的首台电脑,11时开始初步接受编程教育课程,之后他又花费了几年时间自学了不同的编程语言和技能。2016年,佩雷拉在一次编程大赛中获胜,为此,谷歌将他带到加州参观了该公司位于加州的总部。
最终,佩雷拉的这些努力获得了重大回报——谷歌刚刚为他颁发了36337美元的奖励,理由就是佩雷拉发现了谷歌的一个安全漏洞,这个漏洞可以被他用来改变内部计算机的系统。
事实上,佩雷拉早在今年初就发现了这个漏洞,但直到最近一周,在谷歌证实了该公司了已经修复了这一漏洞之后,他才获准写出发现这一漏洞的过程。当然,这已经是佩雷拉第五次发现类似的漏洞,但却是获利最多的一次。
今年二月,佩雷拉开始就读于大学的计算机工程专业。一般而言,在完成作业,且无与好友出行或观看视频等计划的情况下,他就会拿出电脑,开始挖掘一些漏洞。
去年7月,佩雷拉曾发现了谷歌的一个重要安全漏洞,并为此获得了谷歌颁发的1万美元奖励。佩雷拉将大量的奖励用作申请赴美留学的资本。不过,在他申请的20多所学校中,目前还没有哪一所学校明确表示接收他,为此他也决定开始在家乡的大学继续深造。
来源:腾讯科技
2018.5.25 周五
1、友讯路由器发现后门账号
卡巴斯基的安全研究人员在友讯 DIR-620 路由器固件中发现了后门账号,允许攻击者控制受影响设备。
该后门允许攻击者访问路由器的 Web 面板,而用户没有办法关闭这个秘密账号。唯一防止路由器被入侵的方法是避免路由器在 WAN 接口暴露管理面板。
好消息是 DIR-620 路由器型号较旧,因此能被利用的设备并不多。大多数设备主要被俄罗斯、独联体和东欧的 ISP 部署使用。
来源:solidot
2、黑客用恶意程序感染 50 万路由器
思科研究人员发出警告,政府支持的黑客利用名叫 VPNFilter 的恶意程序感染了 50 万路由器。
美国执法机构 FBI 已经扣押了一台用于发动此次攻击的关键服务器,称攻击者是俄罗斯政府黑客。VPNFilter 能收集通信,对其他目标发动攻击,发送单条指令永久性毁灭设备。VPNFilter 能在设备重启之后仍然感染设备,被感染的路由器分布在至少 54 个国家,受影响的路由器产品由 Linksys、MikroTik、Netgear 和 TP-Link 制造,此外还有 QNAP 制造的网络存储设备。
发动此次攻击的黑客组织被称为 Sofacy,aka Fancy Bear、Sednit 和 Pawn Storm。该黑客组织过去几年发动了一系列瞩目的攻击,其中包括 2016 年对美国民主党全国委员会的攻击。
来源:solidot.org
3、Bitcoin Gold 遭遇双花攻击
一名恶意的矿工上周对 Bitcoin Gold(BTG)网络成功执行了双花攻击——所谓“双花”是指重复使用 BTG。为了执行这次攻击,矿工获得了至少 51% 的 BTG 网络哈希算力,使其短暂控制了区块链。
在控制网络之后,攻击者向交易所存入 BTG,同时尝试将相同的数字货币发送到自己控制的钱包。通常情况下,区块链将只在区块内保留第一次交易。但由于区块链被攻击者控制,攻击者能进行反向交易。
结果是攻击者向交易所存入数字货币然后快速撤回,之后反向第一次交易,将发送给交易所的数字货币发送到另一个钱包。BTG 在数字货币市场的市值排在第 26 位,流通货币的价值 8.27 亿美元。
来源:solidot.org
2018.5.24 周四
1、Google Play商店中发现数千个受感染的Android应用
安全公司Avast在Google
Play商店发现了至少26个应用程序,其中包括广告软件在受到危害的系统上强制展示广告,使用特殊行为使用户难以消除感染。这些应用程序基于Cordova开发框架,并使用各种开发人员的名字,很可能试图避免Google立即删除所有相关软件。它们发布在各种类别中,如加密货币相关,货币转换器,天气和健身。许多软件记录数千次下载数量。
一旦下载到Android设备上并首次启动,这些应用程序会从主屏幕中删除它们的图标,这可能会让用户更难以删除它们,但也会使得难以找出哪个应用程序推送恶意软件行为。然后,这些恶意软件开始展示广告,即使在主界面和锁定屏幕上,同时也收集诸如唯一标识符,应用程序包名称和Android操作系统版本等信息。所有的信息都被发送到远程服务器,在某些情况下,Avast说应用程序还等待从第二个远程服务器的链接,最有可能下载额外的应用程序。
Avast表示,根据应用程序发送回服务器的信息,它不认为这些信息被用来窥探用户,而是确认手机是否有正确的配置向有线网络发送有效载荷,或者确保广告可以正确显示。下载此类软件而发现受到恶意广告骚扰的用户通常会在Google
Play当中给这些软件差评并且留下相关评论,但是也有5星评价,但Avast说这些评论最有可能造假。
Google已将所有这些应用从Google Play商店中删除,并且想要卸载这些应用的用户需要从Google Play商店执行此操作,因为主屏幕上的图标已经消失。
来源:cnbeta
2、腾讯研究员发现宝马多款汽车存在漏洞
"腾讯科恩实验室在对几款宝马车型进行研究后,发现了多个漏洞。
研究人员称,他们所发现的14个漏洞,可通过不同方式触发,并有可能影响到从2012年到2017年生产的多款宝马汽车,对车内的CAN网络产生恶意影响。
宝马方面称,他们在3月收到报告后,确认这些被发现的漏洞确实存在于车载影音娱乐系统和车载通信系统中,其中涉及到蜂窝网络的漏洞已经在4月被修补,其他模块的更新将会通过宝马官方渠道进行。
腾讯的研究人员并没有披露漏洞细节,且和他们在2016、2017年对特斯拉的安全研究成果展示中使用的方式不同,他们本次并没有对攻击过程和效果进行视频展示,这可能是考虑到宝马绝大多数车型的远程更新能力有限而作出的缓解措施。"
来源:solidot.org
3、苹果上线新网站 可删除 Apple ID 和下载数据了
苹果近日上线了全新的“数据&隐私”网站,用户可以在这里下载所有与 Apple ID 关联的数据。用户可以下载的数据包括购买记录,应用使用历史、日历、提醒事项、照片、储存在 iCloud 的文档、Apple Music 和 Game Center 数据以及 AppleCare 支持历史。与此同时,我们还可以彻底删除 Apple ID。
不过可惜的是,目前只有欧盟国家注册的 Apple ID 可以下载数据,相信不久之后就会向全球范围内的苹果用户开放。
来源:
MacX
2018.5.23 周三
1、CPU 新漏洞 Spectre variants 3a 和 4
英特尔正式披露了两个 CPU 新漏洞 Spectre variants 3a 和 4。
漏洞是 Google 和微软研究员发现的,类似今年初披露的 Meltdown 和 Spectre 漏洞。AMD 也发表声明证实其部分处理器也受到影响。
新发现的两个漏洞其一编号为 CVE-2018-3639, Speculative Store Bypass (SSB),aka Spectre Variant 4,该漏洞可能会向本地用户访问权限的攻击者通过边信道攻击披露信息;其二编号 CVE-2018-3640,Rogue System Register Read (RSRE),aka Spectre variants 3a,该漏洞能向攻击者披露系统参数。
英特尔第二代到第八代 Core 处理器都受到影响。修复漏洞将需要微码更新,目前英特尔还没有释出。
来源:solidot
2、DNS 劫持恶意软件 Roaming Mantis 升级,针对全球 iOS、Android 和桌面用户
据外媒报道, 卡巴斯基实验室发现针对 Android 设备的路由器 的 DNS 劫持恶意软件Roaming Mantis现在已升级到了针对 iOS 设备以及桌面用户。最初该恶意软件被发现在上个月劫持了网络路由器,目的旨在散布窃取用户登录凭证和双重身份验证密码的 Android 银行恶意软件。
而目前根据卡巴斯基实验室的安全研究人员的说法,通过增加针对 iOS 设备的钓鱼攻击以及针对 PC 用户的加密货币挖掘脚本,Roaming Mantis 活动背后的犯罪集团已经扩大了他们的目标。此外,尽管最初的袭击旨在针对来自东南亚的用户 ,但目前该新活动已经演变到支持 27 种语言,以扩大在欧洲和中东地区的业务范围。
与之前的版本类似,新的 Roaming Mantis 恶意软件通过 DNS 劫持进行分发,攻击者更改无线路由器的 DNS 设置,将流量重定向到由他们控制的恶意网站。因此,当用户试图通过一个被破坏的路由器访问任何网站时,他们都会被重定向到恶意网站,这些网站可用于:提供 Android 用户虚假银行恶意软件;提供 iOS 用户 钓鱼网站;提供桌面用户使用加密货币挖掘脚本的站点。
为了保护免受此类恶意软件的侵害,安全研究人员给出了以下建议:
“建议您确保您的路由器运行最新版本的固件并使用强密码保护; 由于黑客活动使用攻击者控制的 DNS 服务器伪装合法域名,将用户重定向到恶意下载文件,所以建议您在访问站点前确保其启用了 HTTPS; 您还应该禁用路由器的远程管理功能,并将可信的 DNS 服务器硬编码到操作系统网络设置中; 建议 Android 用户从官方商店安装应用程序,并设置禁用安装未知来源的应用程序;
检查您的 Wi-Fi 路由器是否已被入侵,查看您的 DNS 设置并检查 DNS 服务器地址,如果它与您的提供商发布的不符,请将其修正,并立即更改所有帐户密码。”
卡巴斯基实验室分析报告:
《Roaming Mantis dabbles in mining and phishing multilingually 》
来源:thehackernews
3、谷歌被控追踪 440 万英国 iPhone 用户:索赔 43 亿美元
谷歌因为被控“秘密追踪和整理”440万英国iPhone用户的信息而在当地高等法院遭到起诉,索赔额高达32亿英镑(约合43亿美元)。
这起集体诉讼由Which?公司前总监理查德·劳埃德(Richard Lloyd)领头,他们指控谷歌在2011年8月至2012年2月期间绕过苹果iPhone版Safari浏览器的隐私设置,通过收集的信息对用户进行分类,以供广告主使用。
在周一举行的听证会上,劳埃德的代理律师休·汤姆林森(Hugh Tomlinson)表示,谷歌收集的信息包含种族、身心健康、政治倾向、性别、社会阶层、财务、购物习惯和地理数据。这些信息随后被“汇总”,而用户则会被分成“足球爱好者”或者“时事爱好者”,以供广告主精准定位。
他表示,这些数据是通过对iPhone浏览信息的“秘密追踪和整理”收集的。这种活动被称作Safari Workaround,早在2012年就被一位博士研究员曝光。汤姆林森还表示,谷歌已经支付3950万美元在美国和解了与此有关的官司。谷歌在2012年因此遭到美国联邦贸易委员会(FTC)罚款2250万美元,并向美国37个州支付1700万美元。
劳埃德在听证会前表示:“我认为谷歌的所作所为是违法行为。他们的行为影响了英格兰和威尔士的数百万人,我们要求法官确保他们在我们的法庭上承担责任。”
劳埃德领导的组织名叫“谷歌你欠我们的”(Google You Owe Us),他们希望至少为大约440万英国iPhone用户索赔10亿英镑。法院文件则显示,该组织最多可能寻求32亿英镑索赔,也就是每人750英镑。
谷歌则认为这种集体诉讼并不合适,不应该继续推进。该公司的律师表示,没有任何迹象表明Safari Workaround获得的任何信息被第三方获取。
谷歌还认为,不可能判断具体哪些人可能受到影响,因此这一主张没有成功的可能。谷歌律师安东尼·怀特(Anthony White)表示,劳埃德的目的是“追求问责和惩罚活动”,而不是为所有受到影响的人索赔。
“用户的隐私和安全对我们至关重要。本案牵扯的事件发生在6年多以前,我们当时就已经解决了。”谷歌英国公关主管汤姆·普雷斯(Tom Price)说,“我们认为这起官司没有依据,应当被驳回。我们提交了证据支持这一观点,希望向法院说明我们的情况。”
来源:新浪科技
2018.5.22 周二
1、苹果收集了你的哪些数据?
过去十年,科技和互联网巨头收集了用户大量的数据。科技巨头之一的苹果以捍卫用户隐私著称,那么它又收集了多少你的数据?
ZDNET 的一位编辑向苹果递交请求,要求提供自 2010 年首次使用 iPhone 以来该公司收集了多少用户个人数据。苹果用了一周多时间发回了它收集的用户数据——仅仅只有 5MB 大小的 Excel 电子表格,不比一张高清照片大,相比之下互联网巨头 Facebook、Google 和 Twitter 收集的用户数据从几百 MB 到几 GB。
苹果收集的用户数据不包含内容,但包含了元数据,比如何时向谁发送了消息或 FaceTime。苹果通过 Siri、 Maps 和 News 收集的数据都是匿名的,无法关联到特定设备。
这一结果显示了苹果的商业模式与 Facebook 和 Google 的差异,苹果主要是一家硬件制造商,而 Facebook 和 Google 的商业模式是广告,而要提高广告的针对性它们需要你的数据。
来源:solidot
2、青少年手机监控应用程序TeenSafe泄露数以万计的用户密码
据外媒Zdnet报道,青少年手机监控应用程序TeenSafe所使用的服务器泄漏了父母和孩子的数以万计的帐户。TeenSafe号称是一款“安全”监控应用程序,可让父母查看孩子的短信和位置,监控与他们通话的人以及访问他们的网络浏览记录,并能发现他们安装的其他应用程序。
虽然这款青少年监控应用程序是有争议的和侵犯隐私的,但该公司表示,它不需要父母获得其子女的同意。但这家总部位于加利福尼亚州的公司将其服务器托管在亚马逊的云端,不受任何人的保护并且无需密码即可访问。
英国安全研究人员Robert Wiggins发现两台泄漏的服务器。在ZDNet提醒该公司后,两台服务器下线,其中另一台服务器似乎只包含测试数据。“我们已采取行动将我们的服务器关闭,并开始提醒可能会受到影响的客户。TeenSafe发言人周日告诉ZDNet。
该数据库存有TeenSafe关联的父母的电子邮件地址以及其孩子的Apple ID电子邮件地址。另外还包括孩子的设备名称 - 通常只是他们的名字 - 以及设备的唯一标识符。数据包含孩子AppleID的明文密码。由于该应用需要关闭双因素身份验证,所以查看此数据的恶意行为者只需使用凭证即可进入孩子的帐户以访问其个人内容数据。
这些记录都不包含内容数据,如照片或信息,或父母或子女的位置。数据还包含与失败的帐户操作相关的错误消息,例如,如果父母查找孩子的实时位置没有完成。
在服务器下线前不久,过去三个月至少有10,200条记录包含客户数据 - 但有些记录是重复的。其中一台服务器似乎存储测试数据,但不知道是否有其他暴露的服务器有额外的数据。TeenSafe声称有超过一百万家长使用该服务。
TeenSafe公司在其网站上声称,它是“安全的”,并使用加密技术来加密数据,例如发生数据泄露。TeenSafe表示,它将继续评估这一情况,并在“可用时提供更多信息”。
来源:cnBeta.COM
3、数据泄露丑闻之后 Facebook用户使用率不减反增
5月21日消息,据国外媒体报道,Facebook数据泄露事件似乎并没有给该公司留下太大负面影响。高盛( Goldman Sachs )的一份客户报告援引ComScore的数据称,Facebook经受住了最严重的风暴,其用户使用量有所增加。高盛表示,今年4月,Facebook在美国的移动用户同比增长7%,达到1.886亿人。
另外,德意志银行表示,Facebook广告系统检查显示,俄罗斯干预美国大选后,5.83亿个假账户被清除,“对受众影响甚微,甚至没有影响”。从统计数据看出,Facebook的广告受众范围也在扩大。
德意志银行表示:“我们注意到,这些数据代表的是不同领域的受众,并不严格限于Facebook核心业务,但我们怀疑他们正在全面清理虚假账户,并认为这是Facebook广告覆盖面继续扩大的广泛迹象。”
这些发现,再加上Facebook股价的全面复苏,完全削弱了其他研究。扎克伯格曾暗示,Facebook在用户参与方面几乎没有受到剑桥分析的影响。他告诉国会,由于这起丑闻,非实质性的用户删除了他们的账户。
来源:TechWeb
2018.5.21 周一
1、IBM 警告:量子计算机可分分钟破解现有的加密技术
欢迎来到数据透明的未来:量子计算机可以揭露目前加密的所有秘密数据,这一幕场景会在短短几年内出现。IBM研究中心的负责人警告,量子计算机可分分钟破解如今最强大的安全技术保护的加密敏感数据。由于量子计算机技术的突飞猛进,可能过不了几年就会出现这一幕。
IBM研究中心主任阿文德•克里什纳(Arvind Krishna)表示:“谁要是想确保其数据受保护的时间超过10年,现在就应该改用其他形式的加密技术。”
克里什纳在旧金山邱吉尔俱乐部的一次会议上发出此言,当时专家小组在探讨商业领域的量子计算机(图右第二位)。专家小组的成员包括斯坦福大学的物理学教授坎姆•莫勒(Kam Moler)和摩根大通总经理鲍勃·斯托尔特(Bob Stolte),主持人是新闻记者马丁•贾尔斯(MartinGiles,图左第一位)。
量子计算机几乎可以瞬间解决某些类型的问题,而使用传统计算机来处理需要数十亿年。
莫勒表示,人们可能觉得很安全,因为他们已做了一切该做的措施来保护现有的数据,但量子计算机将轻松破解。她说:“我确实认为这很可怕。”
20世纪80年代世人就已经知道,量子计算机擅长分解大数因子,这是公钥密码技术的基础。但是当时无法研制出足够庞大的量子计算机。
新材料和低温物理学领域的进步已使得量子计算领域近年来取得了诸多突破,大型商业量子计算机系统很快会在五年内切实可行、投入使用。
克里什纳表示,有一种名为晶格场(Lattice Field)的加密方法,据认为它可以抵御量子计算攻击。
他说:“好消息是,这种加密与我们目前的加密一样高效,所以不会花更多的成本。”
量子计算机机器目前很罕见、很昂贵,但有望解决许多棘手的计算问题。IBM Q就是研制商业系统方面的一个尝试,IBM已让80000多名开发人员可以通过基于云的界面来运行应用程序。
并非所有类型的应用都将得益于量子计算机。它最适合解决可分解成并行进程的问题,它需要不同的编码技术。
克里什纳说:“我们仍然不知道哪些应用最适合在量子计算机上运行。我们需要许多新算法。”
除了解决棘手的计算问题之外,量子计算机还有望节省大量能源,因为服务器集群(server farm)数量激增,比特币等应用的计算需求不断增长。虽然每次计算只需要几瓦电,但如果在传统系统上运行,可能需要好几个服务器集群才能完成计算任务。
莫勒表示,我们仍需要另外的突破,比如在温度接近绝对零度的情况下具有特定属性的新型材料。
单个原子(量子比特)待在原位,但温度变化会产生大量杂音,因而导致错误。额外的量子比特大大提高了系统的计算能力,但是这需要更多的量子比特用于纠错。
目前还不知道每一种问题的最佳数量的量子比特。
充分利用量子系统计算能力所需要的软件技术方面也有很大进步。另外必须开发新的算法以处理纠错。
克里什纳确信,五年内量子计算机将广泛应用于商业。他表示,但切莫等待,“现在就应开始尝试。”
来源:
ZDNet
2、AsteroidOS 1.0 发布
开源智能手表操作系统项目 AsteroidO 释出了第一个稳定版本。
AsteroidO 项目始于四年前,基于 Linux,使用了 Wayland 和 Qt5 等开源技术,能工作在 Android Wear 智能手表上。开发者称,这个项目吸引了来自世界各地的大约 100 名贡献者。
AsteroidO 1.0 提供了电话通知、议程、闹钟、计算器、音乐遥控器、设置定制、秒表、计时器和天气预报应用等常用功能,这些功能可通过 Bluetooth Low Energy (BLE) 与 Android 手机同步,能工作在大量现有的智能手表上,还能用于测试和开发目的运行在软件模拟器上。
来源:solidot.org
2018.5.18 周五
1、CIA 黑客工具 Vault 7 泄密者身份曝光
去年初,Wikileaks 披露了代号为 Vault 7 的 CIA 黑客工具集。Vault 7 包含了感染 iPhone、Wi-Fi 路由器和思科网关等设备的漏洞利用和文档,被认为是 CIA 历史上已知最大规模的机密信息泄漏。
现在,美国政府披露了背后泄密者的身份:29 岁的 Joshua A. Schulte,他已经在一年前就遭到逮捕,FBI 在 Wikileaks 公开第一批 Vault 7 文件后一周就突击搜查了他的家,扣押了手机、电脑和“最高机密的政府情报”,他随即成为泄密调查的主要目标。
当局最初是以持有儿童色情的名义指控他的,没有涉及到 Vault 7 泄密。他的律师已经否认其客户卷入了 Vault 7 泄密。Schulte 在 NSA 工作了 4 个月,其职务是系统工程师,在 2010 年以软件工程师的身份进入 CIA,一直工作了六年直至 2016 年加盟彭博社。
来源:
solidot.org
2、美电话追踪公司Securus遭黑客攻击:至少2800个登录名和密码泄露
据外媒cnet报道,美参议员Ron Wyden曾曝光了Securus公司为警方提供实时追踪电话的能力。现在,最新消息称,这家公司遭到了黑客攻击。根据Motherboard的报道,黑客至少拿到了包含有2800个登录名和加密密码的电子表格。
其中一些密码已经被破解。Motherboard表示,为了证实该网络攻击的事实他们对一些登录名进行了测试。
目前还无法完全确定这一报道,也还不清楚这些被盗走的登录名是否会让黑客也拥有追踪对应用户手机的能力。
对此,Securus方面并未立即置评。
来源:cnBeta.COM
3、男子非法获取手机号恶意套现 泄露65万余条个人信息
正义网贵港5月16日电(通讯员梁纯华 蒋玉芳)利用非法获取的手机号码注册淘宝账号,骗取淘宝红包,后在淘宝店铺进行虚假交易恶意刷单套现,近日,广西壮族自治区平南县检察院依法批准逮捕了涉嫌侵犯公民个人信息罪、诈骗罪的犯罪嫌疑人李某。
现查明,从2018年1月开始,犯罪嫌疑人李某通过网络途径非法获取了大量的公民个人信息。其中,本人手持身份证的正反面照片和手持银行卡正反面照片的信息170套,文本类身份证信息(只有姓名和身份证号码)653318条,文本类学校花名册15056条,手机号码129条。
李某利用非法获取的手机号码注册淘宝账号,骗取淘宝红包,于2018年2月20日至21日期间,通过王某的淘宝店铺“浩轩衣阁”进行虚假交易,恶意刷单套取现金52256元。其中,李某从中分得4700元。2018年3月31日,李某在被公安机关依法传唤后如实供述了上述犯罪事实。之后,公安机关依法提请平南县检察院对李某批准逮捕。
平南县人民检察院认为,犯罪嫌疑人李某非法获取公民个人信息,情节严重,其行为涉嫌侵犯公民个人信息罪;此外,犯罪嫌疑人李某骗取淘宝红包套现的行为涉嫌诈骗罪,遂依法对其作出批准逮捕决定。
来源:正义网
2018.5.17 周四
1、Adobe Acrobat又曝新漏洞:点击恶意PDF文档会“一键被黑”
安全专家总是不厌其烦地劝告人们“不要随意打开来源不明的文件”,最新的案例就来自 Adobe Acrobat 软件的一个漏洞。周二的时候,思科塔洛斯研究人员披露了这款款流行的 PDF 阅读器的漏洞细节。如果 Acrobat 用户不小心打开了恶意 PDF 文档,很可能被攻击者一键入侵,在受害者的计算机上运行讨人厌的软件。万幸的是,官方已经给出了一个修复方案。
周二的时候,Adobe 为 Acrobat 发布了补丁,一同到来的还有其它多个安全更新。
研究人员们演示了他们可以借助一种名叫“缓冲区溢出”的经典黑客技术,这种方法允许攻击者覆盖软件程序的一部分,并运行他们自己的代码。
因此当你点击恶意文件后,电脑就会被黑客控制,并做出其希望的一些事情。此外,研究人员还发现了另外两个可能会被黑客利用,在受害者计算机上执行任意代码的漏洞。
不过相比之下,后者对攻击者的技术能力要求更高一些。对于此事,Adobe 方面没有立即回复记者的置评请求。
实际上,这是 Adobe 在五月份推出的第二批补丁。本月早些时候,该公司修补了其云端和 Flash 应用程序的一批漏洞。
来源:cnBeta.COM
2、屏蔽音频自动播放功能惹麻烦:谷歌决定推迟至10月的Chrome 70
据外媒报道,Google 已经部分且临时地回滚了近期的一项 Chrome 变动 —— 因为许多 Web 开发者抱怨称,屏蔽音频自动播放的功能,影响到了数不尽的游戏和应用。五月初的时候,Chrome 66 更新了这项功能,其原意是阻挡那些恼人的、自动播放的广告和视频内容,让用户免去使用第三方广告屏蔽软件的麻烦。
尴尬的是,本次更新彻底干掉了依赖于特定命令的交互式 Web 项目的音频功能,这显然给艺术家们带来了很大的问题(把所有项目都变成了哑巴)。
Google 产品经理 John Pallett 表示:
团队在努力改进用户和开发人员的工作,但这次没能很好地将变动后的自动播放策略的影响传达给开发人员。
作为补救措施,Google 并未彻底回滚 Chrome 66 中屏蔽自动播放元素的功能,而是限制应用开发者使用的 Web Audio API、同时保持普通音视频自动播放的完整性。
当然,这也不是一项永久性的措施。Pallett 称:
相关限制会在今年 10 月份发布的 Chrome 70 中回归,因此仍敦促开发者们遵从 Google 的指导方针来修改他们的代码。
对于 Pallett 的这翻解释,开发了许多线上音频工具的 Benji Kay 并不买账。他批评道:“仅仅推迟这一政策,并不能从根本上解决内容问题”。
另一开发者 Ashley Gullen 此前曾提出过解决问题的一项建议,但 Pallett 称这是该公司仍在检查的“一项重大的 UI 挑战”:
我们仍在探索为用户提供极佳音频体验的选项,稍后会发布有关这个话题的更详细想法。
对于开发者来说,这算不上是一场胜利,因为 Google 没有作出任何关于在更新中解决核心问题的承诺。即便将问题推迟到 10 月份,仍会给游戏制作者和 Chrome 团队带来一些压力。
来源:cnBeta.COM
2018.5.16 周三
1、安卓、iOS双平台现重大安全漏洞,微博、网易云音乐等大型应用均受影响
盘古实验室在针对不同客户的iOS应用安全审计过程中,发现了一类通用的安全漏洞。创建漏洞指纹后,我们在Janus平台上进行溯源分析和相似漏洞检索,结果发现约10%的iOS应用可能受此漏洞的影响。经过手工分析,我们确认微博、陌陌、网易云音乐、QQ音乐、快手等流行应用受影响。
漏洞演示视频中,用户在不安全WiFi环境里下载并使用微博;攻击者利用该漏洞获取了微博应用中任意代码执行能力。
对已经收集到的近17万应用检测发现,受影响的应用占比高达10%。尽管可以通过指纹匹配的方式来检测应用是否受影响,但ZipperDown漏洞形态灵活多变,导致较高的漏报率。因此最可靠的方式还是人工分析。
目前,为保证用户安全,漏洞细节暂不对外公开。由于漏洞影响范围之广,我们无法逐一验证所有疑似受影响的应用,也无法逐一通告给所有疑似受影响的应用开发者。因此,我们通过公布疑似受影响漏洞列表的方式,邀请开发者和我们协同排查此漏洞。
来源:ZipperDown
2、Facebook再曝300万用户数据泄露 与性格测试类app密切相关
据 New Scientist 周一报道:剑桥大学的研究人员们,已经向一个分享门户上传了 300 万 Facebook 用户的数据。尽管数据被用户名和密码锁定,但学生们后来还是在网络上曝出了登录凭证。在政治咨询公司“前桥分析”的数据收集丑闻曝光之后,Facebook 无疑面临着越来越大的舆论压力,因为研究人员 Aleksandr Kogan 分享了他通过一款性格测试(personality quiz)应用收集到的信息。
(配图来自:Pixelrz)
在 New Scientist 披露的数据曝光事件中,另有研究团队通过一款名叫“我的个性”(myPersonility)的应用收集了用户信息,然后将之放到了一个 Web 门户上。
大约四年前,访问这批数据集的学生们在 GitHub 上张贴了用户名和密码。虽然数据已经过匿名化处理,隐私专家们还是可以轻松将它和最初在 Facebook 上发布的内容相联系。
4 月 17 号的时候,myPersonality 应用就已经被停用。Facebook 意识到了在 GitHub 上发布的登录凭证,声称此事违反了该公司不得滥用用户数据信息的规定。
Facebook 产品合作伙伴关系副总裁 Ime Archibong 在一封电子邮件声明中表示:
我们在大约一个月前停用了 myPersonality 应用,因为我们相信它可能违反了 Facebook 的政策。
当前我们正在对其展开调查,如果它不配合或未通过审计,我们会将它封禁掉。
Archibong 在周一的一篇博客文章中表示,作为打击滥用用户信息行动的一部分,这家社交网络巨头已经停用了大约 200 款 app 。
该公司会进一步调查这些应用,如果被发现有滥用的情况,Facebook 计划向用户通报其数据受到了多大的影响。
遗憾的是,剑桥大学、心理测验学中心和 Aleksandr Kogan 都未予置评。
来源:新浪科技
3、日本推出“守护儿童”定位服务 高精度可追踪至地下范围
据日本《每日新闻》5月15日报道,日本中部电力公司于本月14日推出了一项“守护儿童”的定位服务(日文名为“どこニャン GPS BoT”),家长通过手机软件能够实时确认孩子的位置信息和活动轨迹。同时,这项服务也可用于老年人的看护。据悉,此番是首次在日本全国范围内试行。
据报道,此项服务由日本中部电力公司与日本NTT通信公司合作推出。产品终端为5cm的正方盒子,重量仅46克,方便老人、孩子随身携带。该产品利用全球定位系统和通信基站无线电波,信号覆盖日本全国范围,无论是室内还是地下均可准确定位。监护人通过手机软件即可实时获取到被监护人的位置信息,并且可了解到他们一周内的活动轨迹。
不仅如此,据报道,产品所运用的人工智能技术(AI)还将通过学习“家庭”、“学校”、“补习班”等孩子经常出入的场所,告知家长孩子的上下学动向。此外,未来还将引入一些新的机能,如孩子一旦与上下学路线产生较大偏离时,家长的手机软件就会发出异常通知,并通过终端的移动速度来判断其所采用的交通方式。
来源:环球网
2018.5.15 周二
1、加密电邮在裸奔:PGP与S.MIME严重漏洞曝光
据 ArsTechnica 报道,此前在互联网上被广泛使用的电子邮件加密方法(PGP 与 S/Mime),已经曝出了两个严重的漏洞,或导致加密电邮在黑客面前暴露无遗。周日晚些时候,一名研究人员警告称,当前没有可靠的解决方案,只能建议那些为敏感通信采用加密标准的人们,立即将之从电子邮件客户端移除。
明斯特大学应用科学系计算机安全教授 Sebastian Schinzel 在 Twitter 上表示:
该漏洞或导致加密电邮明文泄露,甚至包括用户过去发送的加密邮件。
当前暂无针对该漏洞的可靠修复方案,如果你将 PGP/GPG 或 S/MIME 用于敏感通讯加密,则应该立即在电邮客户端中禁用。
此外,Schinzel 援引电子前沿基金会(EFF)的话称:
EFF 一直与研究团队进行着沟通,并且可以确认漏洞对那些使用这些工具进行 E-mail 通讯的人来说是一个直接的风险,包括对过去的信息内容也有潜在的影响。
Schinzel 和 EFF 博客文章都指出,用户应该禁用 Thunderbird、macOS Mail、Outlook 等邮件客户端中的相关加密插件。
将插件从上述 E-mail 客户端移除后,你的电子邮件将不会被自动加密。如果接收到了 GPG 加密的消息,请不要解密它们。
值得玩味的是,其仅明确提醒禁用那些集成了 GPG 的电邮客户端,而 Gpg4win、GNU Privacy Guard 等却不在此列。
当前公众对漏洞的细节知之甚少,不过研究团队很早就开始了这方面的攻击研究,比如 2016 年的 Drown(对 TLS 协议保护的通信进行了解密)。
其它从事 GPG 与 S/MIME 研究的人员包括 Damian Poddebniak、Christian Dresen、Jens Müller、Fabian Ising、Simon Friedberger、juraj somorovsky、Jörg Schwenk 。
除了明斯特大学(Münster University),研究人员还提到了波鸿鲁尔大学(Ruhr-University)和鲁汶大学( KU Leuven University)。
来源:cnbeta
如果你是 Gmail 用户,你的消息和电子邮件没有你以为的那么私密。Google 会扫描你的每一封邮件,阅读你的每一条信息,它将收集到的信息用于它的其它产品和服务。Google 在去年 7 月宣布将停止为了个性化性广告的目标而扫描消费者的电子邮件内容,但扫描邮件仍然留在了它的隐私政策中。
Google 发言人 Aaron Stein 称, Google 仍然会自动的从用户的 Gmail 账号里提取关键词数据,然后将数据输入机器学习程序和 Google 家族的其它产品。
Stein 称,Google 可能会分析邮件内容去定制搜索结果,更好的检测垃圾信息和恶意程序。
来源:solidot.org
3、NEC将打造大型犯罪侦查生物识别系统
近日NEC集团子公司NEC美国对外宣布,已协助美国洛杉矶郡警察局以服务型方式顺利导入犯罪侦查用的“多模生物识别系统”,利用指纹、掌纹、人脸、虹膜等生物信息来进行身份的识别。该系统目前已与加州司法部及FBI在内的多个数据库进行了串接,未来将成为全球最大的犯罪侦查用生物识别系统之一。在系统部署运行的第一周里,通过指纹对比,让107件未破案件取得了突破性进展。
在20世纪70年代时,NEC便开始了指纹识别、掌纹识别和人脸识别等生物特征认证技术的研发,旗下生物识别产品群“Bio-IDiom”系统已进入全球70余个国家当中,这套“多模生物识别系统”正是基于此打造的。
以Bio-IDiom中的虹膜识别功能为例,通过去除瞳孔、眼皮与睫毛等多余信息来捕捉虹膜图案,从而让准确度变得更高。
在不久前的IREX IX评估中,NEC在凭借着高度精确的特征提取、匹配和先进噪音消除等技术,在13个小组中摘夺桂冠,其中近红外虹膜图像匹配精准度高达99.33%。
来源:
TechWeb
2018.5.14 周一
1、美政府漏洞程序泄露:Windows攻击泛滥成灾
去年的WannaCry勒索病毒事件依然历历在目,而今它和相关变种虽然消停了,但因为根源未除,形势仍然很严峻。这一切都来源于美国国安局(NSA)开发的“永恒之蓝”(EternalBlue)漏洞利用程序,它走了Windows SMB协议中的一个缺陷,虽然微软在漏洞公开前就发布了修复补丁,甚至停止支持的Windows XP都有补丁,但全球Windows用户众多,仍有很多人至今未打补丁。
安全机构ESET监测发现,勒索病毒爆发后,随着各方采取应对措施,永恒之蓝的利用率急速下降,一度每天“只有”几百例攻击,但是从2017年9月开始,攻击事件不断增加,到2018年4月份达到了一个新的高峰,甚至超过了勒索病毒爆发最严重的时候,创下了新纪录。
ESET推测,永恒之蓝再次爆发,很可能是因为“魔鬼撒旦”(Satan)勒索病毒的不断泛滥。
同时这也反映出,依然有大量Windows用户仍然没有打上永恒之蓝漏洞补丁,建议大家尽可能打开Windows Update,随时更新补丁,避免被黑客攻击。
来源:快科技
2、Ubuntu Snap Store发现恶意程序
Ubuntu Snap Store 发现了多个捆绑挖矿程序的应用,都是同一名用户上传的。Ubuntu Snap Store 没有审核机制,任何人都可以上传 snap 打包的应用,这就为恶意程序创造了机会。被发现捆绑挖矿程序的应用是 2048buntu 和 Hextris,由用户 Nicolas Tomb 上传,这名用户上传的所有软件包都已经移除以等待进一步的调查。
其中 2048buntu 是 fork 自开源应用 2048,而 2048buntu 则是以私有软件的名义递交到应用商店的。 2048 使用的 MIT 许可证允许以私有软件的名义分发,只需要保留版权通知,但不清楚 2048buntu 是否保留了版权通知。
来源:solidot
3、微软在Windows 10每次更新后都会重新安装用户不需要的软件和游戏
Windows 10中的Bloatware(膨胀软件)并不是一件新鲜事,用户几年来一直在抱怨这个问题,但是在2018年4月发布Update之后,问题又一次出现了。关于reddit的讨论主题有超过1000条评论,其中许多评论都指责微软采用超级进取的策略来推销游戏和应用程序。
这一次开始于2018年4月更新之后,重新安装了用户以前删除的一系列游戏,包括Bubble Witch 3 Saga和Candy Crush Saga。许多Windows 10用户在将他们的系统升级到Windows 10或执行全新安装之后卸载这些游戏并不是什么秘密,但最近推出的2018年4月更新将这些游戏重新带回,并使其更难以摆脱它们。
虽然乍一看删除这些应用程序归结为右键点击并点击卸载按钮。事实上,整件事情有点复杂,它要求用户首先登录到微软商店,更新所有应用程序和游戏,然后才能删除那些不再需要的东西,包括上述游戏。
这种攻击性的策略对微软来说正在迅速地产生新的影响,许多用户对此非常生气,有很多Windows 10用户正考虑切换到不同的平台。今年早些时候,微软承诺在Windows 10中去掉Bloatware,但仅限于Workstation工作站版本,让Home和Pro的用户继续与不需要的应用进行斗争。
来源:cnbeta
2018.5.11 周五
1、重启设备没用了!HNS恶意软件开启僵尸网络“新时代”
罗马尼亚安全公司 BitDefender的 安全研究人员发现,“捉迷藏”(Hide and Seek,简称 HNS)物联网僵尸网络恶意软件添新功能,能在设备重启后存活,在完成初始感染后仍能继续驻留在被感染设备上。这是首个能在设备重启后存活的此类恶意软件。
重启设备
重置操作会刷新设备的闪存,能将保存在其中的所有工作数据删除,包括物联网恶意软件。设备所有者通常可以重置设备,以从智能设备、调制调解器和路由器中删除物联网恶意软件,但恶意软件 HNS 却能在这样的操作下“幸存”。
如何实现“设备重启”后的驻留?
研究人员表示,这款恶意软件在某些情况下在将自己拷贝到 /etc/init.d/ 文件夹,这是一个在基于 Linux 操作系统上的启动进程文件夹,因此设备操作系统会在下次重启后自动启动恶意软件进程。
已感染9万台 IoT 设备 HNS 僵尸网络于2018年1月10日初次现身,在1月20日携大量“肉鸡”强势回归。1月25日,HNS 的“肉鸡”数量已从最初的12台扩充至1.4万台;到1月底,该僵尸网络已经“抓了”约3.2万台“肉鸡”。截至目前,该恶意软件已感染了9万台设备。
HNS 是第二款具有P2P架构的IoT 僵尸网络 HNS 恶意软件具有连Mirai都无法实现的功能。Bitdefender 的研究人员格丹·博泰扎图指出,HNS不同于最近几周出现的其它IoT僵尸网络,它并非是 Mirai 的另一变种,反而与Hajime更加类似。
博泰扎图指出,HNS 是继 Hajime 僵尸网络之后,已知的第二款具有点对点(peer-to-peer,简称P2P)架构的 IoT 僵尸网络。但就 Hajime 而言,P2P 功能建立在 BitTorrent 协议的基础之上,而 HNS 则具有自定义构建的 P2P 通信机制。
该僵尸网络背后的操纵者利用两个漏洞创建了初始的僵尸网络。与如今其它活跃的物联网僵尸网络不同的是,它使用自定义 P2P 协议控制被感染的系统。
最新 HNS 恶意软件不仅可以利用另外两个漏洞(AVTECH网络摄像头 A/NVR/DVR PWDGRP.CGI 提权漏洞和 Wansview NCS601W 网络摄像头的一个漏洞),还支持暴力破解操作,被感染的设备将扫描暴露了 Telnet 端口的其它设备,并尝试使用预设凭证登录设备。研究人员指出,HNS 的开发人员还有时间调整这个暴力破解方法,此外,这款恶意软件能识别至少两种类型的设备,并试图使用出厂默认凭证登录这些系统,而不是盲目猜测密码。
此外,HNS 代码库还会接收更新,目前已拥有针对10种不同设备架构的10种二进制。
持续驻留的前提:感染通过Telnet进行
值得庆幸的是,HNS 尚无法在所有被感染上的设备上持续驻留。博泰扎图表示,HNS 要维持持久性其感染必须通过 Telnet 进行,因为需要 root 权限将二进制文件拷贝到 init.d 目录。
HNS 僵尸网络目前仍处于发展阶段,且这款恶意软件仍不支持发起 DDoS 攻击。尽管如此,HNS 可在被感染的设备上窃取数据并执行代码,这意味着该僵尸网络支持插件/模块系统,并且可以随时利用任何类型的恶意代码进行扩展,仍需予以警惕。
来源:E安全
2、微软披露细节:重复进入UEFI导致英特尔SSD升Windows 10失败
微软上周已经承认:使用英特尔固态硬盘的计算机无法升级至Windows 10 April 2018 Update;今天公司再次提供为何不允许升级的更多细节。在累积更新KB4103721的已知问题中表示,英特尔SSD 600p系列和SSD Pro 6000p系列证实受到影响,如果使用这两个系列的SSD,推荐用户不要升级至最新版本。而且也不推荐用户手动升级,因为可能会影响系统稳定性和性能。
微软解释道:“在尝试升级Windows 10 April 2018 Update过程中,使用英特尔SSD 600p Series和英特尔SSD Pro 6000p Series的磁盘可能会重复进入UEFI屏幕导致设备重启或者无法正常工作。”
目前相关的解决方案仍在处理中,在此之前微软解释道受影响用户重新安装此前版本是唯一解决方案。公司表示:“我们已经和OEM合作商以及英特尔进行合作解决。如果你遭遇到这个问题,那么推荐重新安装此前版本(Windows 10 Version 1709),并等到补丁出炉重新进行升级。”
来源:cnbeta
3、恶意挖矿脚本大举入侵,400 多政企网站受波及
安全研究人员特洛伊·穆斯克(Troy Mursch)近日发布了一份新报告,详细描述了虚拟货币挖矿代码 Coinhive悄无声息地入侵大量可信赖网站的过程。穆斯克最近发现 Coinhive 代码运行在近 400 个网站上,其中包括属于圣迭戈动物园、联想集团以及美国全国劳资关系委员会的网站。点击这里,查看遭劫持的网站完整名单。
值得关注的是,这一名单中包括大量政府和教育部门的官方网站,其中包括总检察官办公室平等就业机会委员会(EEOC)、阿勒颇大学以及加州大学洛杉矶分校大气与海洋科学项目的网站。
在受影响的网站中,大部分都由亚马逊托管,而且都位于美国;穆斯克认为这些网站是因为旧版 Drupal 内容管理系统存在漏洞而面临遭攻击的威胁:
通过深入挖掘这个加密劫持行动,我发现在两种情况下,Coinhive 可以通过相同的方法被注入。恶意代码包含在“/misc/jquery.once.js?v=1.2”JavaScript 库中。此后不久,我得知使用不同有效负载的其他网站也受到攻击。但是,所有被感染的网站都指向一个使用相同 Coinhive 站点密钥的域。
一旦代码不再经过混淆处理,就会清楚地看到它提到“http://vuuwd.com/t.js”。只要访问这个网址,丑陋的真相就被揭示出来。我发现Coinhive 代码在执行时略微被节流。
Coinhive 是一个 JavaScript 程序,通过网络浏览器在后台挖掘名为门罗币(Monero)的加密货币。虽然 Coinhive 从本质上并不是恶意软件,但可以通过“加密劫持”的攻击手段被注入到可信赖的代码中,迫使其挖掘门罗币,而受害者却浑然不知。
来源:TechCrunch
2018.5.10 周四
1、微软苹果Linux等操作系统遭受严重安全漏洞威胁
腾讯科技讯 5月10日消息,美国计算机安全应急响应中心(以下简称“CERT”)今日通过公告宣称,Windows、macOS、Linux、FreeBSD、VMware和Xen等基于x86 AMD和英特尔CPU的系统都在遭受一个严重安全漏洞的影响,而该漏洞是由于操作系统开发者曲解了英特尔和AMD两家芯片厂商的调试文档所致。
CERT方面表示,受影响的操作系统和管理程序制造商周二发布了针对普通漏洞的补丁,这些普通漏洞可能让有效的黑客攻击者“读取了计算机内存中的敏感数据,或者是控制了一些低级别的操作系统功能。
目前,包括苹果、DragonFly BSD、FreeBSD、微软、红帽、SUSE Linux、Ubuntu、VMware和Xen等公司已发发布了可用的补丁。以Linux系统为例,有两大独立的问题影响了Linux内核功能以及该内核功能的KVM管理程序。目前,所有可以更新的补丁链接均可以在CERT公告中获取。
根据红帽公司的描述,该漏洞来源于操作系统和管理程序处理现代CPU中特定调试功能的方式,在这些案例中,处理特定调试异常情况的方式正是引发这些漏洞的重要根源。红帽公司在公告中表示,“总体而言,在指令边界出现了异常,此前的所有边界都能够顺利完成,而此次异常漏洞出现之后,在处理过程中就立即被黑客加以利用。”
对于Linux操作系统而言,这一漏洞可能会导致系统崩溃,而且还能够让黑客提升“访客”账户的访问权限。
微软表示,该漏洞允许黑客在内核模式下运行任意代码。微软表示,“为了嗅探这一漏洞,黑客首先需要登录系统。接下来,黑客可以运行特定应用来控制那些受影响的系统。”
VMware方面声称,该公司的管理程序没有受到影响,但是,包括VMware vCenter服务器、VMware数据保护和VMware vSphere Integrated Containers在内的产品可能受到了影响。
与此同时,Xen方面也表示,所有版本的Xen程序都受到了影响,但这一漏洞只能被软件虚拟化(PV)“访客”账户嗅探和利用,而硬件虚拟化(HVM)将无法发现和利用这一漏洞。
CERT表示,这一问题是由于操作系统开发者不正当处理这些异常情况所致。虽然这些漏洞与CPU的设计无关,但是,对异常的曲解主要是由于对这些指导说明缺乏清晰的理解。
这一漏洞最初由Everdox Tech的尼克-彼得森(Nick Peterson)和Triplefault.io的纳曼贾-穆尔斯马吉克(Nemanja Mulasmajic)发现。这两人将在BlackHat 2018上展示他们的研究成果。他们在研究报告中表示,“这是一个非常严重的安全漏洞,但却由于对相关文件产生不完整和不清晰的理解而导致系统开发者忽略了这一漏洞。”
来源:腾讯科技
2、Mozilla调查显示仅12%Facebook用户愿意付费换得数据清净
据外媒报道,隐私倡导人士经常会推出这样的想法,即Facebook可以要求用户支付订阅费但不能收集他们的收集进而定投广告。然而,来自Mozill最新展开的一项调查显示,只有12%的Facebook用户愿意这么做。调查还显示,虽然76%的用户担心自己的在线个人数据,但只有24%的人对自己的Facebook账号信息进行了更改。
虽然大多数人都对隐私问题的反应相当松懈,但65%的受访者认为,他们个人应当为个人信息保护负责,而不是企业或政府。总的来说,调查结果显示,人们对失去数据控制权感到恐惧,但当需要采取行动的时候却只有少数人做到。
下面为调查的主要发现:
用户感受:
83%的受访者不希望他们的数据在没有得到其同意或不在其控制范围内遭到使用;
76%的受访者非常关心个人在线数据的安全问题;
65%的受访者认为他们自己才是最应该对保护个人在线数据安全负责的人;
62%的受访者担心或害怕Facebook数据事件所带来的影响。
用户行动:
63%的受访者拒绝了向Facebook付费;
35%的受访者知道如何选择退出第三方追踪应用程序;
22%的受访者知道Facebook从他们身上收集走的个人数据类型;
20%的受访者因为剑桥分析丑闻在Facebook上对个人信息进行了更改;
16%的受访者知道如何找到Facebook从他们身上收集走的数据;
17%的受访者知道如何在限制追踪的情况下浏览Facebook。
来源:cnBeta.COM
3、不要将孩子的个人信息暴露在智能玩具面前,因为智能玩具有所有IOT产品的风险
智能玩具尝试提供给孩子不仅仅是一个玩具。许多玩具模型提供声音识别、面部表情、上百个单词和短语、对触摸和影响会有反应、还有学习和获取新信息的能力。这些特征让许多孩子都非常喜欢,让他们假想的朋友变得更加真实。
最基本的智能玩具可以简单到有表情并且可以动,而这些特征可以帮助开发智力。高端一点的智能玩具可以是真实的生活伴侣,可以和孩子一起看星球大战这样的电影,并给出评论。
不像其他的IOT产品,智能玩具没有根据工业的最佳实践来保护个人信息、设计软件、及时更新。
小孩+互联网是一个新的领域。很快,我们发现小孩在成为真正的网络用户之前,如何保护他们的数字足迹是我们需要担心的问题。我们不知道小孩从出生开始就被收集和传输的数据会带来什么样的影响。
像R2-D2这样的智能机器人,研究人员建议还是不要买了。
注:以星战机器人角色R2-D2外观打造的“Smart R2-D2”,是一款能够通过手机、平板远端操控的机器人,搭配专属的“Star Wars Smart R2-D2 app”,R2-D2能利用机身底部的三颗轮子自由移动,同时头部也会转动,身上的感测器会侦测环境中的动作与声音,透过App设定妥当,R2-D2就会依照指示的路径移动,并且只需要装上四颗2A电池就可以马上开始玩。
有一个问题就是完成与智能玩具进行交互需要收集的数据。简单的游戏和编程只需要一点内存和蓝牙连接到计算机就可以加载,而复杂的语音识别和记忆用户喜好和会话就需要把数据发送到远程服务器进行训练数据集的分析。
如果数据传输链中的所有点都配置合理,那么这个过程就是完全安全的。不幸的是,在收集链中有很多空间容易发生漏洞。
从数据收集的角度看,在处理个人信息方面应该做出适当的决策。收集的数据在传输时应该以一种安全的方式进行,要能够应对第三方的窃听。从收集链的另一端来看,所有的数据需要存储在安全的服务器上,而这种安全是通过打补丁、更新软件、安全的哈希算法等保证的。而在过去,智能玩具的制造商并没有做到这些基准。
软件更新迟缓是所有IOT设备面临的一个问题。虽然智能玩具现在很智能,但是对于漏洞的修复率可能会很少,甚至没有。因为在IOT生产商之间的使用安全补丁的频率差异很大。
还有,这些智能产品的安全设计和手机app相关的安全设计并不好。2015年,香港电子制造商VTech就曾爆出SQL注入攻击,导致数百万儿童个人信息泄漏。Troy Hunt描述了一些发现的安全问题:
· 网站不使用SSL
· 未使用强加密的算法哈希密码
· 明文存储安全问题
·Flash的扩展使用
除了产品中的安全问题以外,成人用户经常会忽视安全软件更新,在未详细查看隐私相关协议的情况下点击同意。 像修改默认密码这样的安全方法可以让一个家庭的婴儿监视器和玩具熊避免被黑。
与小孩子坐在一起聊天,安全PII最佳实践可能是不适用的。Fisher Price生产了一系列的智能玩具,明确说明没有个人信息通过WiFi传输。而在IOT领域,这样的声明是很少见的。但2016年,Fisher Price智能玩具熊被爆通过不安全的API泄漏了客户和小孩的数据。对大多数的IOT产品来说,工业安全标准很低,以至于遵守了最佳安全实践产品也是有安全风险的。
智能玩具有所有IOT产品的风险,一些公司忽视了这些问题,并将这些风险产品已经应用到了孩子身上。这些安全漏洞带来的危险促使FBI发布了智能玩具的一个安全建议,因为目前厂商执行一个共享的安全标准,所以研究人员建议为了孩子考虑,不要购买这些智能玩具。
来源:嘶吼
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2018-5-31 10:33
被Editor编辑
,原因: 更新