内容转载

= ̄ω ̄= 内容转载

被用于传播 Stuxnet 的 Windows 漏洞仍被广泛利用

根据卡巴斯基的一份报告,被用于传播 Stuxnet 蠕虫的 Windows 漏洞过去两年仍然是利用率最高的软件 bug。该漏洞编号为 CVE-2010-2568,微软早已释出了补丁修复。漏洞存在于显示 U 盘图标的.LNK文件中,通过在.LNK 文件中隐藏恶意代码,一个恶意的 U 盘可用于自动的感染联网的电脑,即使电脑关闭了自动运行。 它被用于在伊朗的铀浓缩工厂传播 Stuxnet 蠕虫,微软是在 2010 年 8 月释出了修复补丁。排在该漏洞之后的利用率第二高的漏洞是用于在 Android 设备上获取 root 权限的漏洞。 稿源:cnBeta;封面源自网络

Bose Connect 应用因收集用户数据被集体诉讼

Bose 专有蓝牙系统可能收集的数据远远超过被允许的范围。近日提出的集体诉讼声称,Bose 的 Connect 应用程序正在收集和分享用户聆听习惯的信息。根据《 财富 》杂志报道,Bose 官方声称 Connect 应用程序旨在改善音乐源和 Bose 扬声器,耳机之间的配对,并且由于它位于播放器和扬声器之间,因此该应用程序可以轻松访问每个正在流式传输歌曲的基本数据。 据原告表示,Connect 未经同意或通知收集流式歌曲和播客的标题,并与名为 Segment.io 的分析和定位公司分享了该信息。结合注册信息,原告认为这些数据可能用于非常有利可图的定位广告。原告认为,这个案例展示了我们全部生活的新世界,消费者去购买耳机,并转变为数据挖掘者的利润中心。 Connect 应用程序并非使用 Bose 公司扬声器和耳机的必需品,但它提供了传统的蓝牙配对无法提供的功能,如配对设备之间的简化切换等等。专有的蓝牙系统在消费者设备中越来越普遍,包括苹果在 iPhone 7 中引入的 W1 系统。 如果批准,集体诉讼将适用于所有由 Bose Connect 收集其数据的客户。然而,原告并没有提供 Bose 与 Segment.io 共享数据的明确证据,2 家公司之间的关系仍不清楚。 Bose 目前没有评论这起集体诉讼。 稿源:cnBeta ;封面源自网络

Google 同意在俄罗斯向其它搜索引擎开放 Android

Google 与俄罗斯监管机构达成了 780 万美元的反垄断和解协议,搜索巨人同意放松对 Android 内置搜索引擎的限制,同意与俄罗斯本土搜索引擎分享移动搜索市场的蛋糕。 Android 系统由两部分构成,开源的 AOSP 和闭源的 Google 服务,为了加强控制 Google 将越来越多的系统功能转移到 Google 服务中。俄罗斯反垄断机构在 2015 年裁决 Google 违反了法律。 这一裁决是俄罗斯本土搜索引擎 Yandex 投诉的结果。根据和解协议,Google 将允许 Android 用户改变默认搜索引擎。Google 还放宽了对 Android 默认应用的控制。 稿源:Solidot奇客;封面源自网络

微软为数据存储研究购买了 1000 万条 DNA

去年,微软宣布与 Twist Bioscience 合作,购买 1000 万条 DNA 用于数字存储研究。今天,2 家公司宣布扩大合作范围,其中还包括华盛顿大学的研究人员,因为微软正在为其研究购买另外 1000 万条长链寡核苷酸。Twist Bioscience 今天表示,双方研究已经改善了存储密度,在每条 DNA 当中编码更多数据,提高 DNA 生产的吞吐量来降低 DNA 数字数据存储的成本。 研究团队在工作开始后的几个月内透露,他们已经成功地将 200 兆字节的数据存储在 DNA 上,在编码和解码数据方面具有 100% 的准确性。但是,他们并不是唯一正在探索 DNA 数据存储潜力的研究团队。 哥伦比亚大学的研究人员上个月透露,他们能够在 DNA 上存储和检索整个操作系统,视频短片和其他文件,能够以在 1 克 DNA 当存储高达 215 PB 的数据。成本仍然是现在的重大障碍,哥伦比亚大学的研究人员花了 7000 美元来合成可以存储 2MB 数据的 DNA ,读取这些数据又花费了 2000 美元。 与其他新兴技术一样,这种障碍可能会随着时间的推移而下降,特别是考虑到 DNA 存储的诸多优点,包括其令人难以置信的长寿。科学家认为,数据可以存储在 DNA 当中长达数千年时间,仍然可以准确读取。 微软高级研究员 Karin Strauss 表示,尽管我们对迄今为止完成的工作感到鼓舞,但仍然存在许多挑战。数据存储需求一直在逐步增长,需要存储大量数据的组织和消费者(例如医疗数据或个人视频)将受益于新的长期存储解决方案,我们认为 DNA 可能提供答案。 稿源:cnBeta ;封面源自网络

Shadow Brokers 最新泄密暴露 NSA 与 Stuxnet 的可能联系

神秘黑客组织 Shadow Brokers 上周公开了一批新的 NSA 黑客工具和漏洞利用代码。安全研究人员在其中发现了 NSA 与 Stuxnet 蠕虫存在联系的证据,虽然证据并非确凿无疑。 Stuxnet 蠕虫被称为是世界上第一种数字武器,它设计破坏伊朗 Natanz 铀浓缩工厂的离心机,增加其故障率,放缓伊朗核武器发展脚步。Stuxnet 被认为由 NSA 和以色列合作开发。 赛门铁克的研究员 Liam O’Murchu 在最新曝光的代码中发现了 Windows MOF 文件的漏洞利用脚本,该脚本最早是在 Stuxnet 中发现的,之后被逆向工程加入到开源黑客工具 Metasploit 中,但 Shadow Brokers 公开的 MOF 文件漏洞利用工具的最后编译日期是 2010 年 9 月 9 日,早在脚本被加入到 Metasploit 之前。 其他安全研究人员也从中发现了 NSA 与 Stuxnet 存在联系的其他证据,如一个 ASCII 艺术图的名字叫 WON THE GOLD MEDAL,Stuxnet 行动的官方代号据称是 Olympic Games。 稿源:Solidot奇客;封面源自网络

外媒:朝鲜导弹发射失败或因美国网络攻击

随着美国总统特朗普 13 日强调了“处理”朝鲜“问题”的意愿,朝美关系紧张程度创下新高,平壤对这次试射寄予厚望。就朝方的意图,有观点认为,朝鲜试射导弹,意在对美国进行“武力示威”。 据法新社 4 月 16 日报道,美军太平洋司令部发言人戴夫·贝纳姆发表声明称:“夏威夷时间 4 月 15 日 11 时 21 分(北京时间 4 月 16 日 5 时 21 分),美军太平洋司令部发现了我们所认为的朝鲜导弹发射并对此保持关注。导弹几乎是一发射就爆炸了。” 对于朝鲜从东海岸发射导弹失败一事,美国总统特朗普非同寻常地保持了沉默。美国国防部长马蒂斯当地时间 15 日在华盛顿发表声明称,特朗普及其军事团队“已获悉朝鲜发射导弹失败一事,总统未就此事进一步评论”。 专家认为,美国可能利用电磁波传播或网络袭击对朝鲜导弹实施了“主动抑制发射”的攻击,其中包括影响导弹上的电子设备,干扰其指挥、控制或瞄准系统。   稿源:据 凤凰资讯 整理,封面源自网络

中移动称发现“ 彩信推广 ”病毒,数万用户已中招

17 日,中国移动对外宣布,近日发现数万名安卓手机客户感染了一种“ 彩信推广 ”类手机恶意软件,造成话费损失。据介绍,该软件伪装成手机系统升级链接,诱导客户下载安装,用户下载后,将在手机应用列表增加“ Google 升级设置 ”或其他类似应用文件。 中国移动表示,用户一旦不小心安装该软件,手机就被会不法分子操控,连接恶意控制端地址获取不良内容和目标号码,并使用客户话费发送涉及淘宝代刷、赌博等不良内容的彩信。 中国移动称,中国移动手机恶意软件集中监控系统监测到该软件后,全网共拦截相关垃圾彩信近 10 万条,阻断恶意控制端地址访问次数达 200 万次,及时遏制了该类恶意软件的传播。 中国移动建议,广大客户进一步提高个人信息安全防护意识,不要点击短信中的可疑链接,即便是熟人发送的短信,也要先行确认;不随意接入陌生 WiFi,不轻易提供个人隐私信息;选择可信渠道下载手机应用。 稿源:cnBeta;封面源自网络

央视调查:近半智能手机存安全漏洞 云平台风险高

智能手机与我们的生活越来越紧密,目前我国手机网民已将近 7 亿,但智能手机的信息安全问题不容忽视。昨日国家质检总局发布的智能手机产品信息安全专项风险警示显示,智能手机在手机系统、应用软件和云平台等方面,存在安全风险。 日前,国家质检总局组织了一次智能手机产品信息安全的专项风险监测,测试机型包括了市场上大部分高中低端的手机产品,共 40 批次。 经过大量测试,总共 40 批次智能手机当中,共发现 18 批次的产品存在不符合项,占比高达 45%。涉及的项目包括智能手机的后端信息系统、预置应用软件安全等。最后,经过 20 名风险评估专家的分析和打分,此次智能手机的信息安全风险等级被评估为中等风险。专家建议,针对智能手机的安全标准建设要加快日程,以保护信息安全。 稿源:据 网易新闻、央视 内容节选,封面源自网络

Android 7.1.2 致 Pixel、Nexus 指纹解锁瘫痪:录入功能也挂了

昨天,欧美安卓垂直网站被一条新闻刷屏,升级 Android 7.1.2正式版后,一些 Pixel/Nexus 手机的指纹功能挂了。具体来说,Pixel/Pixel XL/Nexus 5X/Nexus 6P 用户都纷纷报告中招,不过,7.1.2 新增的指纹手势(如下滑打开通知栏)倒是可用,但无法解锁手机。 更糟的是,有用户尝试进入指纹功能删除旧指纹,添加新指纹,居然提示无法成功录入。看起来这像是一个软件 BUG,目前谷歌尚未回应。资料显示,谷歌于 4 月 3 日开始推送 Android 7.1.2 正式版,从此版本开始, Nexus 6/9 被谷歌正式放弃。 新功能方面,Nexus 6P 获得指纹手势支持(继 Pixel/XL、Nexus 5X 之后等到),Pixel C 平板正式启用 Pixel Launcher。 稿源:cnBeta;封面源自网络

卡巴斯基实验室扩展漏洞赏金计划,奖金提至 5000 美元

俄罗斯跨国网络安全公司和防病毒提供商卡巴斯基实验室已经宣布扩大漏洞奖金计划, 在新闻稿中,该公司指出,这项计划开始于 2016 年 8 月 1 日,卡巴斯基和平台提供商 HackerOne 合作,并持续六个月,目前已经在两个产品Kaspersky Internet Security 2017 和 Kaspersky Endpoint Security 10当中发现了 20 个漏洞。 扩展后的错误奖赏计划将发现远程代码执行漏洞的奖金从最高 2000 美元提升至最高 5000 美元,并且将另外一款产品 Kaspersky Password Manager 8 添加到目标产品的阵容当中。与第一阶段相反,现在“合格的个人和组织”可以提交关于三种 Kasperksy 产品的漏洞报告。 卡巴斯基正在招募测试者,在 Windows 8.1 或更新的微软桌面操作系统上测试这三种产品,具体意图是查找本地权限提升,用户数据泄密和远程代码执行方面的漏洞。平均来说,这些方面的漏洞奖金分别为 1000 美元,2000 美元和 5000 美元。 稿源:cnBeta,封面源自网络