内容转载

= ̄ω ̄= 内容转载

卡巴斯基:安卓恶意软件 Skygofree 监控能力前所未有

 1 月 17 日凌晨消息,近期,网络安全问题日益突出,恶意软件开发者们也不断竞争,有研究人员发现了一个新的 Android 监视平台,监视内容包括基于位置的录音信息,该平台还拥有其他以前未曾见过的功能。 根据卡巴斯基实验室于周二公布的一份报告,“ Skygofree ” 很有可能是一个具有侵略性的安全类软件,该软件是由一家位于意大利的专门售卖监控软件的公司出售的。该软件自 2014 年开始一直持续在进行开发。它依赖于五个不同的技术来获得特权访问权限,可以绕过 Android 自身的安全机制。Skygofree 可以从设备的存储芯片中获取通话记录、文字短信、位置信息、日程活动、和一些与商业相关的信息,还能获取拍照和录像的权限。 Skygofree 还具有这样一个功能,当用于处在特定的位置时就自动开启受攻击手机的录音功能,能记录对话和环境噪声。还有一个新功能,那就是通过滥用 Android 系统给残障人士提供的辅助工具来偷取用户的 WhatsApp 聊天记录。另一个功能就是能使受攻击手机连接由攻击者控制的无线局域网。 卡巴斯基的研究员在报告中写道:“ Skygofree Android 应用程序是我们见过的最强大的监控软件之一。经过多次迭代开发,它具有了很多的功能。” 该报告称此恶意软件已经感染了很多意大利的 Android 手机用户。该恶意软件是通过伪造虚假网站来传播的。 稿源: 新浪科技,封面源自网络;

德国央行主管:监管比特币必须全球联手

媒体 1 月 16 日上午消息,德国中央银行一名主管本周一表示,如果想监管加密货币(比如比特币),必须全球统一行动,因为国家或者区域法规很难在无边界虚拟社区推行。比特币与加密货币交易突然爆发,全球——特别是亚洲——各国的监管机构踩下 “ 刹车 ”,试图遏制交易。 不过德国联邦银行( Bundesbank,即德国的央行)董事会成员约阿希姆·武勒梅林( Joachim Wuermeling )认为,加密货币交易已是全球化现象,想用国家规定来控制可能很难。 武勒梅林说:“只有尽最大可能展开国际合作,才能对虚拟货币进行有效监管,因为国家的监管权力存在局限性。” 中国已经禁止 ICO ,关闭了本国的加密货币交易所,限制比特币采矿,尽管如此,各种活动还是借助其它替代渠道继续进行。在韩国,投机交易仍然盛行,韩国正在制定政策,准备禁止虚拟货币交易。 上个月,欧盟成员国和立法者达成一致,决定加大监管力度,打击洗钱和恐怖主义融资活动,这些活动往往通过交易平台以比特币及其它虚拟货币的形式来进行。 稿源:cnBeta、新浪科技,封面源自网络;

美国一家医院遭到勒索软件攻击后依靠纸和笔运行

另一家美国医院已经成为勒索软件攻击的受害者。上个星期,一个勒索攻击设法感染了印第安纳州汉考克地区医院系统,要求医院支付不确定数量的比特币以提供解锁密钥。袭击发生在 1 月 11 日,影响了医疗中心的电子邮件,电子病历和其他内部操作系统。 医院强调,没有病人记录被从网络中删除,病人护理没有受到重大影响。该机构关闭了一些系统,以防止进一步的感染,并联系了联邦调查局和国家信息技术安全公司。截至周六上午,这些系统还未恢复正常,医院员工并继续使用笔和纸来更新患者的医疗数据。 以前一些勒索软件通过员工打开恶意电子邮件或网站链接进入医院系统,但汉考克健康医院的首席执行官史蒂夫·龙( Steve Long )说,在这种情况下情况并非如此。这家医院发言人表示,我们和其他医院一样,一直都在进行灾难演习,所以这一切都与我们多年来一直在进行的演练有关,当系统故障或系统违规时,如何继续提供世界一流的医疗和护理是我们多年来一直准备的事宜。 去年,堪萨斯心脏病医院和好莱坞长老会医疗中心遭到勒索软件袭击。 稿源:cnBeta,封面源自网络;

黑莓发布无人车网络安全软件 Jarvis 可扫描软件漏洞

媒体 1 月 16 日早间消息,加拿大软件制造商黑莓本周一发布了一个新的网络安全软件,它能够辨识无人驾驶汽车所使用的程序中所含有的漏洞。这个软件名为 Jarvis,除了无人驾驶汽车之外,它还可以被用在医疗健康以及工业自动化领域。黑莓公司希望凭借这个软件完成从手机制造商到软件制造商的转型。 黑莓公司表示,汽车制造商可以使用这个软件在软件开发的各个阶段对软件代码进行扫描,以此来寻找代码中的漏洞。 去年在世界范围内爆发的 WannaCry 勒索软件让黑莓的安全软件业务受到了人们的注意,黑莓的这项业务专注于移动设备上的安全连接。 黑莓表示他们已经与于著名汽车制造商塔塔汽车旗下的捷豹路虎一起对 Jarvis 进行了测试。捷豹路虎 CEO 表示,Jarvis 能够让代码审核所需要的时间从 30 天减少到 7 分钟。 去年 9 月,黑莓还宣布他们将于汽车零部件制造商德尔福一起开发无人驾驶汽车软件操作系统。本月早些时候,黑莓与百度签署了一项协议,双方将联合开发无人驾驶技术。除此之外,黑莓最近还与芯片制造商高通、汽车零部件制造商电装以及福特汽车公司签署了与汽车相关的协议。 稿源:cnBeta、新浪科技,封面源自网络;

安全公司 Fidus 披露 OnePlus 海外官网被黑客攻破 信用卡资料被窃取

根据 thenextweb 报道,任何使用信用卡从公司官方网站购买新款 OnePlus 手机的人都应该立即联系他们的银行:黑客可能会偷走他们的资金。Thenextweb 报道,网络安全公司 Fidus 针对一群 OnePlus 用户可能发生的信用卡欺诈事件调查之后,发现了一个漏洞,可能允许恶意代理人从 OnePlus 网站上扫描敏感的信用卡数据。 到目前为止,数百名受影响的用户已经到 Reddit 和 OnePlus 官方论坛报告其信用卡上的可疑活动。据不少报道,第一次欺诈的尝试是在用户使用信用卡从OnePlus网站上购买物品一年之内。Fidus表示尽管这些攻击似乎是真实的,但他们的研究显示,并没有以任何方式证实 OnePlus 网站被破坏。相反,它表明攻击可能来自最薄弱的环节 – Magento 电子商务平台。 这位网络安全专家说,以前曾多次遭到黑客入侵的付款整合往往是恶意行为者的攻击目标。通过 OnePlus 网站上的付款流程分析显示,请求客户卡详细信息的支付页面在现场被托管, 这意味着输入的所有付款细节尽管简单,但却可以通过 OnePlus 网站流入,并且可以被攻击者拦截。 虽然支付细节在提交表单时被发送给第三方提供商,但是恶意代码可以利用其中一个窗口能够在数据被加密之前窃取信用卡细节。虽然 OnePlus 尚未发布有关这一事件的官方声明,但在其论坛上的版主对 Fidus 的研究准确性持怀疑态度,认为所提出的攻击载体与证据不一致。 稿源:cnBeta,封面源自网络

美国财政部长:比特币不应该成为瑞士银行账户的货币

据外媒 phys.org 报道,美国财政部长努钦上周五表示:比特币作为数字货币中主导地位的币种,不应该被允许成为瑞士银行账户的货币,以防止这些账户被用来进行地下非法活动。努钦表示,其将承诺与包括 20 国集团在内的世界主要经济体合作,监控数字货币的大规模投资,防止比特币等加密货币成为匿名瑞士银行账户的货币。 他希望确保:坏人不能用这些数字货币做坏事。 美国的法规要求在美国的比特币账户提供客户的个人信息,以防止洗钱等非法活动。 努钦承认包括美联储在内的一些国家的中央银行正在研究发行数字货币代替现钞的可能性,但 “美联储和我们都认为现在没有必要这样做 ”。 当被问及俄罗斯可能将创建自己的虚拟货币规避国际金融制裁时,努钦回答说:“ 我不认为这是一个问题 ”。 相关阅读: 韩国政府澄清:没有下达比特币禁令 以太坊骗局数据库可以帮助用户避免加密货币骗子 稿源:cnBeta、快科技,封面源自网络;

拦截无线电信号可揭示无人机是否在监视你

随着消费型无人机变得越来越普遍,人们也担心无人机机主可能会试图用它们进行窥探。研究人员现在已经开发了一种方法来发现类似的活动。他们想出一种方法来拦截无人机的无线电信号,并告诉它是否拍摄了不应该拍摄的内容。 这项技术是由以色列的内盖夫本 – 古里安大学的研究人员开发的,它将第一人称视角( FPV )无线电信号从机载无人机传送回控制器。由于知道这些无人机用来传输视频的信号会随着视觉刺激而改变,所以这个研究小组设置了 “ 陷阱 ” 来捕捉窥探隐私的无人机。 在一个实验中,这个团队演示了一个使用大疆 Mavic 无人机拍摄邻居房屋的场景。一种智能薄层被放置在窗户的表面上,这允许窗户在不透明和透明之间切换。这种闪烁导致了无人机无线电信号的比特率的变化,然后可以由团队的概念验证系统来获取。 该校软件和信息系统工程系的博士生 Ben Nassi 表示:“ 这项研究的优点是,某人只使用笔记本电脑和闪烁物体就可以检测到是否有人使用无人机监视他们。虽然已经有可能检测到无人机,但现在有人也可以判断是否在录制你所处位置或其他东西的视频。” 在另一个演示中,研究团队利用 LED 灯条在一个穿着白色衬衫的人身上创造了类似的效果,在拦截的无线电信号中发现了一个不寻常的尖峰,证明无人机正在拍摄该特定的物体。该团队表示,该技术不需要任何先进的黑客技能,可以在任何运行 Linux 操作系统的笔记本电脑上使用。” Nassi 表示:“ 这项研究打破了人们普遍认为的使用加密来保护 FPV 频道的做法,防止有人知道他们正在被跟踪。我们的方法背后的秘密是强制控制的物理变化,以捕获目标,影响比特率(数据)在 FPV 频道传输。随着无人机使用的增加,我们的研究结果可能有助于防止隐私入侵攻击。这对军队和消费者将造成重大影响,因为受害者现在可以证明邻居侵犯了他们的隐私。” 稿源:cnBeta,封面源自网络;

美众议院通过《网络漏洞公开报告法案》

据外媒报道,本周,美国众议院通过了《网络漏洞公开报告法案 ( Cyber Vulnerability Disclosure Reporting Act ) 》。虽然这一法案的适用范围非常有限,但电子前沿基金会 ( EFF) 对此还是表示支持并希望参议院也能为其亮绿灯。 据悉,H.R.3202 是一个简短且简单的法案,由议员 Jackson Lee 发起,其将要求国土安全局 ( DHS ) 向国会提交关于政府如何处理公开漏洞的相关报告。具体点来说,报告内容分为两个部分:DHS 为协调网络漏洞公开而制定的政策和程序描述;可能为机密属性的 “ 附件 ”,包括一些特定实例的描述。 或许这一法案最好的地方就在于它能彰显政府确实如其长期以来所说的那样公开了大量漏洞。截止到目前,关于这方面的证据一直不多。所以假设政府有意公开报告和机密附件,那么公众对政府防御能力的信心极有可能会得到增强。 稿源:cnBeta,封面源自网络;

谷歌虚拟运营商服务 Project Fi 出问题,致多国用户无法联网

Project Fi 是谷歌在2015年推出虚拟运营商服务项目,但是目前,它貌似遇到了麻烦。来自 Reddit 传出的消息,这周末谷歌的 Project Fi 在世界上许多国家和地区无法联网,这些地方包括加拿大、德国、中国香港、印度和日本。 一些用户说当重启手机或者切换飞行模式的时候,Project Fi 可以暂时能用,但是不超过2分钟又无法上网了。谷歌的团队已经意识到这个问题的出现,但是故障已经持续一天没有解决了。如此规模的数据终端发生的机会很小,但是对正在旅行的用户影响非常大。 谷歌 Project Fi 能够在蜂窝网络和 WiFi 热点之间切换,从而控制数据使用,并降低话费。 它会选择最强信号,在 Sprint、T-Mobile 两大网络以及逾 100 万个免费开放的 WiFi 热点间切换。服务的包月费为 20 美元,外加每 10 美元/1GB 的数据使用费。 稿源:cnBeta、快科技,封面源自网络

iPhone 6/6S 升 iOS 11.2.2 后性能大幅缩水

苹果刚刚通过调低官换电池的价格,企图挽回 iPhone 降速门的负面影响,但随着 Spectre 和 Meltdown 两个超级漏洞席卷全球,iPhone/iPad/Mac 等受到波及。最新的 iOS 11.2.2 中添加了相关修复,不过就像 Intel 处理器打上补丁之后性能下降一样,iPhone 的 A 系列芯片也没有好到哪儿去。 1 月 13 日,GSMarena 对 iPhone 6S/7/8 升级修复更新前后的性能进行了对比,结果如下。 iPhone 8 Plus 升级前后 从 iOS 11.1.2 升级到 11.2.2 后,A11 芯片的跑分下降了 0.5% 左右。 iPhone 7 升级前后 A11 在安兔兔中的跑分居然在升级后上升了 3% iPhone 6s 升级前后 A9 芯片在安兔兔中性能下降了 12% 这个问题之所以引人注目是因为,此前荷兰网站 Melvin Mughal 测得,iPhone 6 的 A8 芯片在升级 iOS 11.2.2 后,性能跑分居然暴跌 41% 之多。 仅从这份测试来看,A10/A11 在修复漏洞后的性能损失可忽略,不过较老的 A9/A8 似乎是不容乐观。 相关阅读: 修复 CPU 漏洞后 i7 版 Surface Book 重伤:SSD 性能腰斩 稿源:cnBeta、快科技,封面源自网络;