内容转载

= ̄ω ̄= 内容转载

美国五角大楼仍在使用已开发 22 年的微软 Windows 95 系统

据外媒报道,微软 Windows 95 至今已开发 22 年,而为纪念这一里程碑,TheNextWeb 近期详细介绍了该款操作系统。 1995 年,微软向公众发布 Windows 95。这是公司的一个重要时刻,它支付了滚石乐队 300 万美元,在这个革命性的新操作系统营销活动中使用滚石乐队的歌曲 Start Me Up。可能大多数人会觉得令人惊讶的是 Windows 95 在美国军队当中仍被广泛使用。 根据 2017 年 4 月 Softpedia 发表的文章显示,五角大楼控制系统的 75% 仍在运行 Windows XP 或其他长期停产的操作系统。五角大楼发言人表示:“很多系统仍然是 Windows 95 或 98,没关系,这些操作系统未连接互联网 ”。尽管 Windows 95 已经 22 岁,并且在十六年之内缺乏微软支持,但这款操作系统仍然在网上和小众群体当中继续活跃下去。 稿源:cnBeta,封面源自网络;

漏洞中介为 Signal 、WhatsApp 和微信漏洞开出最高 50 万美元报价

根据 0day 中介公司 Zerodium 周三公布的最新收购报价,该公司向流行消息应用 Signal、FB Messager、iMessage、Viber、WhatsApp 、微信和  Telegram 的远程代码执行和本地提权漏洞开出了最高 50 万美元的报价。如图所示,该公司对 iPhone 越狱方法开出了最高 150 万美元(零用户交互)和 100 万美元的收购价。 这两个报价还是在 2016 年和 2015 年宣布的。对流行消息应用和默认电子邮件应用漏洞的高价悬赏显示了对移动用户的攻击正日益流行。去年,阿联酋被发现将以色列公司  NSO Group 开发的间谍软件秘密安装到该国人权活动人士的 iPhone 手机上,而根据NSO Group 的价格表,300个 许可证需要花费 800 万美元。 稿源:cnBeta、solidot,封面源自网络;

前程序员因操纵彩票中奖号码被判 25 年徒刑

2015 年 4 月美国前跨州彩票协会信息安全负责人 Eddie Raymond Tipton 被控纂改生成随机数的电脑,操纵中奖号码使其自己多次中彩,赢得了数千万美元的彩票奖金。 据悉,Tipton 在生成随机数的电脑上安装了一个动态链接库(DLL),这个程序设计在特定条件满足后触发,这些特定条件与彩票开奖日期有关。在条件满足之后程序将重定向生成器不生成随机数,而是使用一个 Tipton 能提前预测的算法产生中奖号码。本周,他被判 25 年徒刑。Tipton 称他真的很后悔,对所有他伤害的人表示歉意。 稿源:solidot奇客,封面源自网络;

苹果机器学习博客在线分享 3 篇有关 Siri 技术的最新文章

今年 7 月,苹果推出了 “ Apple Machine Learning Journal ” 在线博客。这个博客会定期分享苹果在机器学习、AI 和其他相关领域的进展。苹果分享的文章全部由苹果工程师写出,这也给予了他们分享自己进度以及与其他研究人员、工程师沟通的方式。 苹果于 8 月 24 日在机器学习博客分享了 3 篇新文章,都是关于 Siri 技术的。对于普通用户来说,第一篇文章可读性更高一些,主要涉及 iOS 11 中 Siri 语音助手的深度学习。 另外两篇文章主要提到了日期、时间和其他数字的呈现技术,以及 Siri 如何支持更多语言。 苹果机器学习播客在线分享的 3 篇文章包括: ○ 《 Deep Learning for Siri’s Voice: On-device Deep Mixture Density Networks for Hybrid Unit Selection Synthesis 》 ○ 《 Inverse Text Normalization as a Labeling Problem 》 ○ 《 Improving Neural Network Acoustic Models by Cross-bandwidth and Cross-lingual Initialization 》 稿源:cnBeta、威锋网,封面源自网络;  

黑客组织曝光足坛涉 “ 禁药 ” 名单,特维斯库伊特等名将在列

据英国《 泰晤士报 》于 8 月 23 日报道,黑客组织 “ 奇幻熊 ” 从足球管理机构以及足球协会的往来邮件中截取一批足坛涉 “ 禁药 ” 运动员名单并在线曝光。目前,泄露出来的名单有在 2010 年南非世界杯期间,被相关机构允许使用违禁药物的 25 人,其中包括特维斯、贝隆、库伊特、海因策、马里奥·戈麦斯等知名球员。 据悉,这些球员使用的药物包括倍他米松、地塞米松、沙丁胺醇等,不过这些运动员都是因为出于治疗的目的,经过申请后获得了使用这些药物的豁免权。此外,该组织还透露,在 2015 年,足坛共有 160 名运动员被检测出药物阳性。在被曝光的信息中,包括英足总发送给国际足联有关的四起反兴奋剂案件,其中有两起案件还在处理当中。 对此,英足总表示,“那些机密信息被公之于众很令人沮丧,那些进行中的案件的信息,直到最后调查结束之前,都不应该被公开泄露 ”。早于去年 9 月,这个名为 “ 奇幻熊 ” 的网络黑客组织就开始入侵体育管理机构和反兴奋剂机构的网络数据,并向外界公布大量通过申请药物豁免权以服用 “ 禁药 ” 照常参赛的运动员名单。 在此之前,包括英国长跑名将莫·法拉赫、日本乒乓球选手福原爱、捷克网球名将科维托娃、美国网球选手威廉姆斯姐妹等等,都在名单当中。此外,西班牙网球天王纳达尔也是其中之一,他曾表示,自己服用违禁药物获得了世界反兴奋剂组织的准许,“并没有什么好隐藏的”。 稿源:东方体育、澎湃新闻网,封面源自网络;

谷歌从 Google Play 上移除逾 500 款恶意应用

8 月 23 日上午消息,出于对间谍软件的恐慌,谷歌从其在线应用程序商店删除超过 500 款应用程序。本周,网络安全公司 Lookout 研究人员透露,发现超过 500 款应用程序可通过 Google Play 进入用户手机传播间谍软件。在应用程序中使用的某些软件,可在不提醒应用程序制造商的情况下,秘密将用户的个人数据转移到其设备上。 目前,多数应用程序开发人员可能并不知道这些安全漏洞的存在。Lookout 列举了两款受影响的应用程序——Lucky Cash 和 SelfieCity,两者随后均被锁定。虽然该公司没有透露其他受影响的应用程序,但他们表示,其中包括面向青少年的手机游戏、天气应用程序、在线电台、照片编辑、教育、健康、健身和家庭摄像机应用程序。 所有受影响的应用程序都使用了同一软件开发工具包(SDK),它可以帮助公司根据用户喜好对应用程序中的广告进行定向,收集用户数据。Lookout 人员发现,嵌入在应用程序中的 Igexin 广告 SDK 能够使这些应用程序与外界服务器进行交流,安全公司说,后者曾经向人们提供过恶意软件。 尽管应用程序偶尔与这些服务器进行通信的情况并不少见,但 Lookout 研究人员注意到一个奇怪的例子——其中一个应用程序似乎正在 “ 从这些服务器下载大型加密文件 ”。这一行动提示研究人员,黑客正在利用 SDK 中的一个漏洞。当应用程序被安装在设备上后,可能向外传播恶意软件。 虽然应用程序开发商有义务告知用户他们收集数据的方法,但 Lookout 指出,开发商可能并不知道的 Igexin SDK 可以为恶意软件大开方便之门。研究人员称,他们已将发现的安全楼道内通知谷歌公司,后者随后立即采取行动,在应用商店里删除了这些应用,或更换到不存在同样网络安全漏洞的新版本。 稿源:cnBeta、新浪科技,封面源自网络;

中国公司提供的广告 SDK 被发现内置后门

安全公司 Lookout Security Intelligence 研究人员近期发布报告,宣称浙江每日互动网络科技股份有限公司(个推)提供的个信广告 SDK 被内置后门,允许下载与执行任意代码。 据悉,用户最初下载的应用也许是干净的,但广告 SDK 通过向个信服务器发送请求后悄悄下载加密文件、引入恶意功能、收集用户个人数据。此外,个信广告还可以随时引入恶意间谍软件。研究人员表示,不是所有版本的个信广告 SDK 都含有后门,包含后门的恶意版本实现了一个插件框架允许客户端加载恶意代码。 目前,在 Google 官方应用商店 Google Play,超过 500 款应用使用了恶意版本的个信广告 SDK,这些应用的下载量超过一亿次。Google 在接到通知后从官方商店移除了恶意版本,或者更新到了使用非侵入式 广告 SDK的版本。 稿源:solidot奇客,封面源自网络;

黑客使用 .fish 域名网站骗取法国银行客户凭证

网络安全公司 Netcraft 发现黑客使用 .fish 域名网站伪装成法国银行官网瞄准客户进行钓鱼式攻击。当用户访问 parser.fish 时,他们将被重定向到一个伪装成法国银行 BRED 的越南网站,同时试图盗取用户银行证书。 经调查发现,Parser.fish 域名在多伦多的托管服务 Tucows 上匿名注册,这并非不平常,但这几乎不可能找出谁是网站拥有者,以及它是如何被黑,最有可能的解释是该网站遭到黑客入侵。幸运的是,目前该网站已被清除恶意代码。 .fish 成为顶级域名已经有一段时间,它是几个新顶级域名之一。如 .sexy、.tech 与 .xyz,它们和地理位置没有关系,.fish 顶级域名主要针对那些对水生生物感兴趣的用户。根据 Netcraft 的说法,访问量前 100 万位的网站当中只有有一个网站采用 .fish 和一个网站采用 .fishing 域名,目前大约有 6000 个网站 .fish 域名。 稿源:cnBeta,封面源自网络;

研究人员曝 iOS 版天气应用 AccuWeather 在禁用定位时仍偷发数据

信息安全研究人员 Will Strafach 近期刊文,指出著名气象预报公司 AccuWeather 的 iOS 应用偷发 GPS 坐标至合作的三方数据商 Reveal Mobile,即使在系统关闭定位分享权限时,AccuWeather 应用仍会向其发送用户无线路由 BSSID、蓝牙状态等。 由于在用户关闭定位服务时,AccuWeather 仍会向 Reveal Mobile 发送无线路由名称和 BSSID,因此 Strafach 怀疑该偷发数据用来监控用户定位。在 Strafach 36小时的测试时间内,未在测试 iPhone 前台运行的 AccuWeather 应用总共向 Reveal Mobile 发送了 16次 信息,几乎每个数小时就会发送。 Reveal 是一家向各出版商、开发者或媒体提供用户数据信息服务的公司。Reveal 通过app、gps、或蓝牙 beacon 三种途径监测用户数据。AccuWeather 是其合作应用,含有 Reveal 的监控 SDK。 作为回应,Reveal 声称所有数据的采集均是匿名、用户细分的,无意采集设备的个人定位信息,而且该公司的 SDK 并未在设备禁用定位服务的情况下,逆向工程收集用户设备的定位信息,Reveal 调查当前版本 SDK 的行为后,确实发现令人误解的行为,Reveal 会发布新版本的 SDK,确保在禁用定位服务时不再发送任何用户设备信息。 AccuWeather 也和 Reveal 发布联合回应,称应用并不会在禁用定位服务或者禁用授权的情况下,收集用户的 GPS 坐标信息。在禁用定位服务时发送的用户无线路由名称和 BSSID 是 Reveal SDK 的行为,AccuWeather 并不知情。而且 Reveal 确保该数据并不会用于记录用户定位,而且在新版本 SDK 中会取消。 稿源:cnBeta,封面源自网络;

研究报告:家用机器人极易遭到攻击并成为攻击者监视器

据外媒报道,或许人们需要一段时间才能让机器人为他们的生活带来真正的便捷,但等到那个时候,持有者必须要确保他的机器人是安全的才行。日前,来自西雅图的网络安全公司 IOAcitve 展示了如何攻击大量热门机器人–包括 Pepper 的技术。 被攻破的机器人将会变为一台监控设备,将向攻击者传输来自持有者的语音、视频,或是远程控制机器人对持有者进行伤害。 图:机器人 Pepper 研究人员表示,由于机器人 Alpha 2 个头娇小,因此持有者可以快速避开它的攻击,但随着技术的不断进步发展,未来势必会有更大型的机器人出现,而这对于人类来说将可能会成为一个威胁。除了 Pepper、Alpha、Nao等家用机器人之外,IOAcitve 还攻破了由 Universal Robotics 制造的工业机械臂。一旦它们被不法分子利用,那么就很有可能会对它们的人类同事造成伤害。IOAcitve 告诉媒体,Universal Robotics 机械臂拥有强大力量,即便它在非常慢的速度下运行,它的力量仍足够造成颅骨骨折。 稿源:cnBeta,封面源自网络;