安全快讯Top News

亚马逊和超微要求彭博社撤回间谍芯片报道:内容不实

新浪科技讯 北京时间10月23日早间消息,据美国科技媒体The Verge报道,亚马逊和服务器厂商超微(Super Micro)的高管都要求彭博社撤回本月早些时候发表的关于间谍芯片的报道。 当时那篇报道指控这些芯片会危害多达30家公司的电脑网络,其中也包括亚马逊的电脑网络。而苹果CEO蒂姆·库克(Tim Cook)已经在上周呼吁彭博社撤下这篇报道。 该报道声称恶意芯片被植入一家公司的服务器。库克上周专门接受BuzzFeed News的采访来澄清此事。他说:“没有这回事情,这不是事实。”他还要求彭博社撤销该报道,而且还表示苹果几个月来一直在跟记者的对话中否认报道中的内容。 作为该报道中点名的另外两家企业,亚马逊和超微也在今天否认相关内容,并发表了各自的声明。亚马逊网络服务(AWS)高管安迪·杰西(Andy Jassy)在推文中说:“库克说的没错。彭博社关于亚马逊的报道也是错误的。” 亚马逊网络服务高管安迪·杰西的推文 超微周一表示,该公司将会继续对此展开的调查,并对其主板进行评估,寻找任何的硬件篡改行为。该公司CEO Charles Liang几个小时之后说:“彭博社应该承担责任,撤回这些没有事实支持的指控。” 这篇报道引述了17名未具名消息人士的话,但在报道刊发后几个星期都没有发现任何被破坏的硬件。在该报道本月早些时候刊发之后,立刻收到了很多网络安全专家的批评,主要是因为这篇报道并没有披露任何可信的证据。 美国国土安全部、国家安全局和英国最高网络安全机构的官员也表示,他们并没有发现任何与彭博社的指控相符的证据。   稿源:新浪科技,封面源自网络;

美国科技游说组织提出隐私保护框架:权衡企业利益

新浪科技讯 北京时间10月23日早间消息,美国华盛顿特区主要的科技行业游说团体“信息技术产业委员会”(ITI)周一提出一项保护在线用户隐私的立法框架。 基于欧洲和美国加州近期的新法规,美国联邦立法者也尝试推进隐私保护立法。与此同时,行业团体正试图影响这场讨论,并提出了指导方针供立法者参考。 ITI的成员包括谷歌和Facebook。该组织总裁迪恩·加菲尔德(Dean Garfield)表示,ITI提出的框架希望给美国和全球立法者提供参考,帮助他们权衡在线隐私保护方面的关切。 该框架建议,关于个人敏感数据被使用,用户应当有选择权,除非“根据适用法律或在其他允许的情况下”。敏感数据的定义是“个人数据,包括民族来源、政治派别、宗教或哲学信仰、工会成员状况、遗传数据、生物特征数据、健康数据、性取向、某些已知的少数族裔特征,以及精确的位置数据”。 不过,这种限制不适用于使用人工标识符、受到保护,或完全匿名的数据。加菲尔德表示,他希望这可以推动业界将匿名化的措施变成标准做法。 文件显示:“在合理情况下,个人应当对个人数据的使用情况有控制权。个人控制权,与其他利益相关方的权利和法律义务一致,包括获得、纠正、输出、删除、同意以及反对使用个人数据的权利。” 这份文件还提供了其他方面的指南,包括公司如何管理隐私风险,以及允许客户将他们的数据转移到其他平台上。   稿源:新浪科技,封面源自网络;

卸载就完事儿了?App照样能追踪你的数据

新浪科技讯 北京时间10月23日下午消息,要是你突然发现上周删除的应用突然又从其他地方冒了出来,那可能不是巧合。迎合应用开发商的公司最近在iOS和Android上发现一个新办法,可以找到最近删除了某个特定应用的用户——然后针对这些用户发布该应用的广告使他们回心转意。 提供卸载跟踪器的公司有Adjust、AppsFlyer、MoEngage、Localytics和CleverTap等。通常,卸载跟踪器只是作为更广泛的开发者工具中的一部分。这些公司的客户包括T-Mobile US、Spotify和Yelp。批评者认为,有鉴于此,我们更有必要重新评估在线隐私权并限制公司对用户数据的使用。“大多数科技公司其实在隐私选择上根本没有给用户多少选择,”电子前沿基金会的技术政策主管,也是隐私倡导者的杰里米·吉鲁拉(Jeremy Gillula)说道。 有些供应商表示,这些跟踪工具旨在评估用户对应用更新与其他更新的反应。波士顿的Localytics的首席执行官裘德·麦克考兰(Jude McColgan)表示,他还没有看到客户使用该技术向曾经的用户投放广告。位于旧金山的MoEngage的营销和销售副总裁艾伦·马爱吉(Ehren Maedge)说,要不要这么做完全在于应用开发商。“这是我们的客户与客户自己的终端用户之间的事情。如果他们打破了用户的信任,对他们自己来说并非好事。”另外几家公司并未作出评论,T-Mobile、Spotify以及Yelp也未回复评论请求。 卸载跟踪利用了苹果和谷歌移动操作系统中的核心元素:推送通知。例如,开发者总是可以使用所谓的静默推送通知定期向应用发送回显信息而无需打扰用户——以便当应用在后台运行时刷新收件箱或社交媒体源。但是如果应用未能成功向开发者发回信息,应用则会被登记为已经卸载,然后卸载跟踪工具将这些变化记录到文件中,文件与给定的移动设备唯一广告ID关联,这样就可以轻易识别手机用户然后不管到哪都可以向他们推送应用广告。 Branch Metrics是一家开发软件的公司,但拒绝提供卸载跟踪工具。公司首席执行官亚历克斯·奥斯汀(Alex Austin)表示,这些工具违反了苹果和谷歌的政策,这些政策规定不得将静默推送通知作为开发广告受众的工具。“人们在选择不再使用你的产品之后还在互联网上跟踪他们,这样的行为很草率,”他说,并补充希望苹果和谷歌能及时采取应对措施。苹果和谷歌暂未回应评论请求。 卸载跟踪工具原本是为了用于修复漏洞或以其他方式优化应用,而无需借用问卷调查或其他侵入式工具来打扰用户。但是吉鲁拉表示,在最初本意之外滥用该系统的能力体现了与现代互联网如影随形的束缚。要使用应用,用户通常不得不同意自由分享他们的数据,有时候这种分享可能是永久性的,但从来无法确切知道日后这些数据将被如何利用。“作为一名应用开发人员,我会希望知道有多少人卸载了我的应用,”他说,“但我不会说,你有这个权利知道谁安装或卸载了你的应用。”   稿源:新浪科技,封面源自网络;

接受信息泄露教训:传 Facebook 有意收购网络安全公司

新浪科技讯 北京时间10月22日早间消息,据美国科技媒体The Information援引知情人士消息称,Facebook上周日已与几家网络安全公司就潜在收购事宜进行接触,收购目标尚未最终确定,但交易结果或将在今年年底宣布。 美国科技媒体CNET对此评论称,在经历了历史上最重大的黑客攻击事件之后,Facebook希望它的数十亿用户知道平台已经准备投入网络安全领域。 在不到一个月前,Facebook发现了一个安全漏洞,黑客可利用这个漏洞控制用户帐号,这一事件催生了Facebook强化网络安全的最新举措。Facebook最初怀疑有多达5000万的用户帐号受到影响,但现在承认2900万用户的个人信息被泄露,包括电话号码、电子邮件地址和最近的搜索内容。 据《华尔街日报》报道,Facebook已经初步得出结论,假扮成数字营销公司的垃圾邮件制造者是造成大规模安全漏洞的幕后黑手。 Facebook已经表示正在与美国联邦调查局合作,后者要求该公司不要公开讨论谁是袭击的幕后主使,或者是否特别针对任何人。目前还没有理由认为这次黑客袭击与即将举行的美国中期选举有关。 受到袭击的安全漏洞源于Facebook平台“view as”功能中的一个漏洞,攻击者利用了与其相关的代码,窃取“访问令牌”,接管了一些用户的帐号。攻击者还使用了一种技术,从已被控制的帐号的朋友那里窃取访问令牌,从而扩大访问范围。 Facebook发言人拒绝就上述报道置评。   稿源:新浪科技,封面源自网络;

ARM 将与 Cybereason 合作 开发强调安全性的物联网芯片

新浪科技讯 10月22日下午消息,据中国台湾地区媒体报道,于2012年成立的网络安全厂商Cybereason近日宣布已与ARM达成策略联盟,计划把Cybereason的终端保护、侦测及回应能力嵌入ARM的Pelion IoT(物联网)平台。 Cybereason表示,未来该公司将在采用ARM Pelion平台的物联网装置上提供即时的AI威胁追踪能力与先进的行为分析,可望造福广大的物联网装置,不论它们是身处公用事业、能源、运输、物流或是联网建筑中,预计到2035年将能保护一万亿的物联网装置。 ARM IoT服务的总裁Dipesh Patel表示,物联网装置的爆炸性成长替黑客开启了全新的攻击面,借由Pelion的装置管理服务与Cybereason技术,将允许客户了解物联网(IoT)装置的通讯模式、行为与活动,以便在恶意行动一展开就阻止它们。 外界相信此一合作案的幕后推手为软银(SoftBank),Cybereason最早创立于以色列,2014年才将总部迁移到美国,而ARM则是一家英国公司,不过,软银在2016年以310亿美元收购了ARM,而Cybereason迄今对外募集的1895万美元的资金中,就有1600万美元来自软银。Cybereason也在新闻稿中表示,双方的结盟将可实现软银企图建立一个安全连网装置世界的愿景。   稿源:新浪科技,封面源自网络;  

日本政府要求 FB 加强数据保护 及时告知安全措施变动

新浪科技讯 北京时间10月22日下午消息,继今年发生的一系列影响全球数千万用户的数据泄露事件后,周一日本政府要求美国科技公司Facebook更好地保护用户的个人数据。 日本政府称,作为全球最大的社交媒体网络,Facebook应向用户充分传达安全问题,提高对平台上应用供应商的监管,并及时向监管机构告知任何安全措施的变更。 上述要求发生在Facebook本月宣称黑客袭击者窃走2900万用户账户数据之后。而在此之前的4月份,英国公司剑桥分析不当使用8700万用户个人数据的事件刚刚曝光。 日本个人信息保护委员会当时与英国和其他地区的监管机构一并调查了剑桥分析的事件。周一,该委员会发布声明,详细说明了委员会对Facebook提出的要求。这些要求并不附带行政命令或处罚,也不具有法律约束力。 日本个人信息保护委员会称,Facebook已承诺将在其日语网站上详细说明如何处理上述要求。 委员会还表示,剑桥分析事件可能也影响到10万日本用户,并且之后的网络攻击也可能对日本用户造成影响。 Facebook发言人未立即发表评论。   稿源:新浪科技,封面源自网络;

亚马逊修复智能家居13个漏洞:防止黑客完全控制设备

新浪科技讯 北京时间10月22日早间消息,亚马逊近期修复了物联网操作系统FreeRTOS以及AWS连接模块的13个安全漏洞。这些漏洞可能导致入侵者破坏设备,泄露内存中的内容和远程运行代码,让攻击者获得设备完全的控制权。 如果没有修复,这些漏洞可能会造成严重影响。FreeRTOS,以及以安全为导向的类似产品SafeRTOS被广泛用在家庭内外的各种设备上,包括汽车、飞机和医疗设备。 根据FreeRTOS的开源协议,发现这些漏洞的Zimperium在漏洞披露的30天后才提供了技术细节。这将使相关厂商有机会去修复这些漏洞。 这类漏洞披露并不少见,但对亚马逊来说是相对较新的工作。一年前,即2017年11月,AWS接管了FreeRTOS的核心。这是对亚马逊问题应对能力的一次考验,而目前来看亚马逊似乎通过了考验。   稿源:新浪科技,封面源自网络;

甲骨文例行更新修复了 301 个安全漏洞 包含 45 个严重漏洞

甲骨文(Oracle)于本周进行了每季度的例行重要补丁更新(Critical Patch Update,CPU),修复了 301 个安全漏洞,其中有 45 个被列为严重(Critical)等级,在 CVSS 漏洞评分系统上达到 9.8 分,最严重的 CVE-2018-2913 为 10 分。 本周的修复更新涉及到甲骨文旗下的十多款产品,覆盖了 E-Business Suite、Fusion Middleware、Oracle MySQL、Communications、Hospitality、Retail、Java SE 及 PeopleSoft 等。其中漏洞最多的产品为 Fusion Middleware,总共修复了 65 个相关漏洞。其他依次是 Oracle MySQL 的 38 个、Retail 的 31 个与 PeopleSoft 的 24 个。本次甲骨文只修复了 Java SE 上的 12 个漏洞,有 11 个可通过远程进行利用。这是甲骨文 2018 年的最后一次修复更新,也让今年漏洞的总修复量达到了 1119 个。 被列为最高优先级需要修复的漏洞是 CVE-2018-2913 —— 影响了 Oracle GoldenGate,Oracle GoldenGate 是业内成熟的数据容灾与复制产品,也是基于日志的结构化数据复制备份软件。该漏洞属于堆栈缓冲区溢出漏洞,允许未经授权的黑客通过远程进行入侵。相关安全人士指出,相关攻击并不复杂,再加上攻击活动可通过远程执行且不需凭证,黑客还可通过它入侵 GoldenGate,从而影响企业中的其它产品,让情况更加恶化,呼吁企业谨慎对待该漏洞。 还有安全人士指出,甲骨文本季度所修复的 Java 漏洞绝大多数都是针对 Java 8 及更早的版本,只有少数的修复是针对 Java 9,Java 10 与 Java 11;此外,尽管甲骨文即将要在明年 1 月终止对 Java 8 的公开支持,但有大量的企业应用仍在使用 Java 8,如果不升级的话,这些企业未来可能会因此而陷入困境。 最后,甲骨文还是一如继往地鼓励用户立即更新产品,以防黑客利用这些已被公开的安全漏洞。   稿源:开源中国,封面源自网络;

3000 万用户隐私被泄露 FB 认为垃圾邮件制造者是推手

新浪科技讯 北京时间10月18日上午消息,据MarketWatch报道,知情人士透露,Facebook认为获取其3000万用户隐私信息的黑客其实是垃圾信息散布者,其目的是通过这些信息来投放欺诈广告谋利。 知情人士表示,这项初步发现认为,这些黑客并没有与任何国家机构存在关系。Facebook的安全团队从9月25日就开始展开调查,他们当时发现有人下载了这家社交网络的大量数字访问令牌。 该公司之前并未披露攻击的幕后黑手,只是称之为该公司历史上最大的安全事件。当他们最早宣布此次攻击时,Facebook高管表示可能永远无法确定黑客身份。 内部调查认为,此次攻击是一群Facebook和Instagram垃圾信息散布者所为,他们伪装成数字营销公司,但其之前的行为就已经被Facebook安全团队所知。Facebook之前曾经表示,他们正在配合美国联邦调查局对此展开刑事调查。   稿源:新浪科技,封面源自网络;

Alphabet 被投资者起诉 隐瞒 Google+ 隐私漏洞

新浪科技讯 北京时间10月17日晚间消息,谷歌母公司Alphabet日前因隐瞒Google+安全漏洞而被投资者告上法庭。同时,Alphabet CEO拉里·佩奇(Larry Page)和谷歌CEO桑达尔·皮查伊(Sundar Pichai)也成为被告。 原告在起诉书中称,Google+所曝出的安全漏洞影响用户的个人数据,尤其是将用户没有设置为公开的数据暴露在风险之中,但Alphabet高管却反复作出虚假和有误导性的声明。 该案件已交由加州北区地方法院审理。除了Alphabet,原告还将Alphabet CEO佩奇、谷歌CEO皮查伊和谷歌CFO鲁斯·波拉特(Ruth Porat)列为被告。如今,法院已向上述三位高管发出传票,他们有21天的响应时间。 谷歌上周一在公司博客中宣布,将关闭旗下社交网站Google+消费者版本。原因是,Google+在长达两年多时间里存在一个软件漏洞,导致最多50万名用户的数据可能曝露给了外部开发者。 据《华尔街日报》援引谷歌内部人士的话称,Google+的该漏洞使得外部开发人员可以在2015年至2018年3月间访问用户的Google+个人信息,包括用户姓名、电子邮件地址、出生日期、性别、个人资料照片、居住地、职业和婚姻状况等。 谷歌称,公司今年3月就已发现这个漏洞,并推出补丁加以修复。谷歌表示,没有证据表明用户数据被滥用,也并无证据表明任何开发者明知或利用了这个漏洞。 据《华尔街日报》报道,谷歌选择不对外公开该漏洞,部分原因是担心被监管审查。但事实上,谷歌似乎并未躲过此劫。到目前为止,至少有美国的两个州、以及欧盟的两个成员国对谷歌Google+泄露用户信息事件展开了调查。 根据谷歌的计划,Google+将于2019年8月关闭。业内人士称,此举是谷歌针对该漏洞所采取的一个安全措施,但同时也表明,Google+也是一款比较失败的产品,并未吸引太多的用户使用,其使用量远低于Facebook和Twitter。   稿源:新浪科技,封面源自网络;