内容转载

= ̄ω ̄= 内容转载

美联社:谷歌在偷偷记录你的位置数据 即使你拒绝

(原标题:AP Exclusive: Google tracks your movements, like it or not) 网易科技讯 8 月 14 日消息,据美联社报道,谷歌非常想知道你要去哪里,以至于它会记录你的活动,即使你明确告诉它不要那样做。美联社的调查发现,Android 设备和 iPhone 上的许多谷歌服务都会存储用户的位置数据,即使你使用了隐私设置,也无法阻止谷歌这样做。(many Google services on Android devices and iPhones store your location data even if you’ve used a privacy setting that says it will prevent Google from doing so.) 消息一出,众多美国媒体跟进报道,毕竟在美国,个人隐私是一件“天大”的事。 在美联社的要求下,美国普林斯顿大学的计算机科学研究人员证实了这些发现。在大多数情况下,谷歌会请求许可使用你的位置信息。像谷歌地图这样的应用会提醒你,如果你用它导航,它就会访问位置信息。如果你同意让它记录你的位置,谷歌地图会在一个“时间轴”中为你显示历史,它会记录你的日常活动。而其他应用也会如此记录,最终你会在你的谷歌账号中查询到。 美联社称,存储你每分钟的旅行记录会带来隐私风险,并且已经被警方用来确定嫌疑人的位置。比如去年北卡罗来纳州罗利市的警方使用的搜查令,利用谷歌记录位置功能在谋杀现场附近寻找设备。 不过,谷歌称其推出了名为“位置历史”的设置,声称能停止记录你去过哪里。谷歌在支持页面上发表声明:“你可以随时关闭位置历史记录。如果没有位置历史记录,你去的地方就不再被储存了。”然而,事实并非如此。即使“位置历史”设置被暂停,许多谷歌应用程序也会自动存储有时间戳的位置数据,而无需询问用户。 例如,谷歌只需要打开地图应用程序,就能显示你的位置。Android 手机每天自动更新天气信息,也可以准确定位你的位置。还有些与位置无关的搜索,比如“巧克力饼干”或“儿童科学工具包”,可以确认你所在位置的精确纬度和经度,并保存到你的谷歌账户中。 美联社做了实验,用一部关闭了位置记录的安卓手机正常活动,最后导出Google帐户。几天内去过的地点清晰可见。 隐私问题影响了约 20 亿使用谷歌 Android 操作系统的设备用户,以及全球数亿依赖谷歌进行地图导航或搜索的 iPhone 用户。普林斯顿大学计算机科学家、美国联邦通信委员会(FCC)执法局前首席技术专家乔纳森·迈耶(Jonathan Mayer)说,存储违反用户喜好的位置数据是错误的。 谷歌发言人承认:“有许多不同的方式,谷歌可能使用位置信息来提高人们的体验,包括位置历史、Web 和应用活动,并通过设备级的位置服务。我们为这些工具提供了清晰的描述和强大的控制权,这样人们就能在任何时候打开或关闭它们,并删除相关记录。”       稿源:网易科技,封面源自网络;

工信部组织开展电信和互联网行业网络安全检查

新浪科技讯 8 月 13 日下午消息,工信部印发关于开展 2018 年电信和互联网行业网络安全检查工作的通知,以强化电信和互联网行业网络安全风险防范和责任落实,提升行业网络安全保障水平。 检查对象为依法获得电信主管部门许可的基础电信企业、互联网企业、域名注册管理和服务机构建设与运营的网络和系统。重点是电信和互联网行业网络基础设施、用户信息和网络数据收集、集中存储与处理的系统、企业门户网站和计费系统、域名系统、电子邮件系统、移动应用商店、移动应用程序及后台系统、公共云服务平台、公众无线局域网、公众视频监控摄像头等重点物联网平台、网约车信息服务平台、车联网信息服务平台等。 重点检查网络运行单位落实《中华人民共和国网络安全法》《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》等法律法规情况,电信和互联网安全防护体系系列标准符合情况,可能存在的弱口令、中高危漏洞和其他网络安全风险隐患等。 以下为通知原文:        工业和信息化部办公厅关于开展2018年电信和互联网行业网络安全检查工作的通知 工信厅网安函〔2018〕261号 各省、自治区、直辖市通信管理局,中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国广播电视网络有限公司,互联网域名注册管理和服务机构,互联网企业,有关单位: 为深入贯彻习近平总书记在全国网络安全和信息化工作会议上的重要讲话精神,落实关键信息基础设施防护责任,提高电信和互联网行业网络安全防护水平,根据《中华人民共和国网络安全法》、《通信网络安全防护管理办法》(工业和信息化部令第 11 号)、《电信和互联网用户个人信息保护规定》(工业和信息化部令第 24 号),决定组织开展 2018 年电信和互联网行业网络安全检查工作。现将有关要求通知如下: 一、总体要求 紧紧围绕加快推进网络强国建设战略目标,深入学习领会习近平总书记关于网络安全的系列重要讲话精神,加快落实《中华人民共和国网络安全法》,坚持以查促建、以查促管、以查促防、以查促改,以防攻击、防病毒、防入侵、防篡改、防泄密为重点,加强网络安全检查,认清风险现状,排查漏洞隐患,通报检查结果,督促整改问题,强化电信和互联网行业网络安全风险防范和责任落实,全面提升行业网络安全保障水平,保障公共互联网安全、稳定运行。 二、检查重点 (一)重点检查对象。检查对象为依法获得电信主管部门许可的基础电信企业、互联网企业、域名注册管理和服务机构(以下统称网络运行单位)建设与运营的网络和系统。重点是电信和互联网行业网络基础设施、用户信息和网络数据收集、集中存储与处理的系统、企业门户网站和计费系统、域名系统、电子邮件系统、移动应用商店、移动应用程序及后台系统、公共云服务平台、公众无线局域网、公众视频监控摄像头等重点物联网平台、网约车信息服务平台、车联网信息服务平台等。 (二)重点检查内容。重点检查网络运行单位落实《中华人民共和国网络安全法》《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》等法律法规情况,电信和互联网安全防护体系系列标准符合情况,可能存在的弱口令、中高危漏洞和其他网络安全风险隐患等(法律法规和标准依据详见附件)。 三、工作安排 (一)定级备案。各网络运行单位要按照《通信网络安全防护管理办法》的规定,在工业和信息化部“通信网络安全防护管理系统”(https://www.mii-aqfh.cn)对本单位所有正式上线运行的网络和系统进行定级备案或变更备案。 (二)自查整改。各网络运行单位要对照法律法规和本次检查重点,对本单位网络安全工作进行自查自纠,对自查发现的安全问题逐一做好记录,能立即整改的,要边查边改,无法立即整改的,要采取防范措施,制定整改计划,确保整改落实。2018 年 9 月 31 日前,基础电信企业集团公司、域名注册管理和服务机构应将本单位自查工作总结报告报部(网络安全管理局),基础电信企业省级公司和互联网公司形成自查工作总结报告报当地通信管理局。 (三)开展抽查。电信主管部门选取部分网络和系统,委托专业技术机构采取现场询问、查阅资料、现场检测、远程渗透、代码检测等方式进行检查。对省级基础电信企业和专业公司网络和系统的检查分别按照《 2018 年省级基础电信企业网络与信息安全工作考核要点与评分标准》《2018 年基础电信企业专业公司网络与信息安全工作考核要点与评分标准》进行量化评分,评分结果分别作为 2018 年省级基础电信企业和专业公司网络与信息安全责任考核依据。各地通信管理局除抽查省级基础电信企业外,至少抽查当地十家以上增值电信企业,将检查工作总结报告于 10 月 31 日前报部(网络安全管理局)。 四、工作要求 (一)加强领导,落实责任。各地电信主管部门、网络运行单位应严格落实工作责任制,精心组织制定工作方案,落实机构、队伍和工作经费,确保检查工作不走过场,确保检查发现的问题得到及时有效整改。发现问题的单位要举一反三,健全网络安全问题闭环管理机制,加强定期巡查、整改核验、考核问责,以检查为契机,不断完善电信和互联网行业网络安全保障体系。 (二)规范检查,严明纪律。各单位要规范检查方法和程序,避免检查工作影响网络和系统的正常运行,检查工作中发现重大问题应及时报我部。采用随机抽取检查对象、随机选派检查队伍的“双随机”方式安排实施检查。任何部门不得向被检查单位收取费用,不得要求被检查单位购买、使用指定的产品和服务。委托专业技术机构进行安全检查,要进行严格审查,签订保密承诺书,并明确专业技术机构及人员的安全责任。要严格遵守有关保密规定,检查结果除按规定报送外,不得提供给其他单位和个人。 (三)加强防范,及时整改。专业检测机构对检查发现的薄弱环节、安全漏洞和安全风险,要现场告知网络运行单位,并指导其防范整改。抽查发现的重大网络安全风险和隐患,电信主管部门可通过《网络安全问题整改通知书》等形式书面向网络运行单位通报,督促其限期整改。网络运行单位要对检查发现的薄弱环节和安全风险进行深入整改,对相关责任部门和责任人进行问责处理,并及时向电信主管部门报告问题整改和问责情况。 (四)强化协同,协调配合。各地通信管理局要强化与网信、公安等部门的协调沟通,按照网络安全工作责任制和中央网信办《关于加强和规范网络安全检查工作的通知》(中网办发文〔2015〕7号)要求,坚持跨部门、跨行业的网络安全检查应由当地网信部门统筹协调,其他部门对电信和互联网行业的网络安全检查应当会同电信主管部门进行,加强协同沟通,提倡开展联合检查,避免交叉重复,基础电信企业向非电信主管部门提供网络安全相关资料和数据的,应征得当地通信管理局同意,或由通信管理局统一协调提供。 特此通知。 工业和信息化部办公厅 2018 年 8 月 6 日         稿源:新浪科技,封面来源于网络;

英国安全专家采用改装后的 USB-C 苹果充电器来劫持设备

据外媒 Techspot 报道,MacBook Pro 等许多最新的笔记本电脑使用USB-C端口进行充电,这是一种方便快捷的为笔记本电池充电的方法,但似乎这种充电方法可能被黑客利用。BBC 近日报道了一位正在演示其最新“成就”的安全专家 – 能够采用 USB-C 苹果充电器来劫持设备。 这位 USB 安全漏洞方面的专家被称为 “MG” ,他开发了许多 USB 附件,这些附件危及设备安全,包括 Wi-Fi 摄像头到智能手机。 近日 “MG” 展示了插入 USB-C 端口的笔记本电脑充电器如何被用来劫持计算机。 “MG” 目前的项目涉及到一个相当熟悉的苹果充电器,并用他自己的硬件替换内部电源电路。这个充电器仍将正常运行,并且能在为计算机充电时部署恶意软件 – 无论是 Mac 还是 PC。据 “MG” 称,这可以“注入恶意软件,可能是恶意的 root 工具包和持续存在的感染类型”。虽然 “MG” 此次改装的是苹果充电器,但这适用于任何配备 USB-C 插孔的电源砖。只是苹果充电器是目前最常见的。 这个概念本身在手机专家中是众所周知的,并以“充电座盗取数据 ”(juice jacking) 的名字命名。       稿源:cnBeta.COM,封面源自网络;

外媒:移动 POS 存在漏洞 个人信息有暴露风险

【环球网科技 记者 樊俊卿】近日,有驻华外媒发表文章称,近年来在中国日常生活中不断出现的在小型便携式信用卡读卡器(通常被称为移动 POS 机)存在着极大的安全隐患。 有消息显示,目前,该领域的设备主要由四家公司所提供—— Suqare、SumUp、iZettle 和 PayPal 。随着设备的普及,其身上存在的安全漏洞也逐渐显现,在用户进行刷卡交易时,不法分子可以通过这些漏洞盗取你的个人信息,甚至是盗刷你的银行卡。 来自安全公司 Positive Technologies 的 Leigh-Anne Galloway 和 Tim Yunusov 总共研究了七款移动销售点设备。他们发现的这些设备并不如宣传的那么完美:其中存在的漏洞,能够被他们使用蓝牙或移动应用来操作命令,修改磁条刷卡交易中的支付金额,甚至获得销售点设备的完全遥控。 我们面临的一个非常简单的问题是,一个成本不到 50 美元的设备到底拥有多少安全性?” Galloway 说。“考虑到这一点,我们从两个供应商和两款读卡器开始研究,但是它很快发展成为一个更大的项目。” 所有四家制造商都在解决这个问题,当然,并非所有型号都容易受到这些漏洞的影响。以 Square 和 PayPal 为例,漏洞是在一家名为 Miura 的公司制造的第三方硬件中发现的。研究人员于本周四在黑帽安全会议上公布了他们的发现。 研究人员发现,他们可以利用蓝牙和移动应用连接到设备的漏洞来拦截交易或修改命令。这些漏洞可能允许攻击者禁用基于芯片的交易,迫使顾客使用不太安全的磁条刷卡,使得更容易窃取数据和克隆客户卡。 此外,流氓商家可以让 mPOS 设备看起来是被拒绝交易一样,从而让用户重复多次刷卡,或者将磁条交易的总额更改为 5 万美元的上线。通过拦截流量并秘密修改付款的数值,攻击者可能会让客户批准一项看起来正常的交易,但这项交易的金额会高得多。在这些类型的欺诈中,客户依靠他们的银行和信用卡发行商来保障他们的损失,但是磁条卡是一个过时的协议,继续使用它的企业现在需要承担责任。 研究人员还报告了固件验证和降级方面的问题,这些问题可能允许攻击者安装旧的或受污染的固件版本,进一步暴露器件。 研究人员发现,在 Miura M010 读卡器中,他们可以利用连接漏洞在读卡器中获得完整的远程代码执行和文件系统访问权。 Galloway 指出,第三方攻击者可能特别希望使用此控件将 PIN 码的模式从加密更改为明文,即“命令模式”,从而用于观察和收集客户 PIN 码。 研究人员评估了美国和欧洲地区使用的账户和设备,因为它们在每个地方的配置有所不同。虽然研究人员测试的所有终端都包含一些漏洞,但最糟糕的只限于其中几个而已。 “Miura M010 读卡器是第三方信用卡芯片读卡器,我们最初提供它作为权宜之计,现在只有几百个 Square 卖家使用。当我们察觉到存在一个影响 Miura 读卡器的漏洞时,我们加快了现有计划,放弃了对 M010 读卡器的支持,”一位 Square 发言人表示。“今天,在 Square 生态系统中不再可能使用 Miura 读卡器了。” “SumUp 可以证实,从未有人试图通过其终端使用本报告概述的基于磁条的方法进行欺诈,”一位 SumUp 发言人表示。“尽管如此,研究人员一联系我们,我们的团队就成功地排除了将来出现这种欺诈企图的可能性。” “我们认识到研究人员和我们的用户社区在帮助保持 PayPal 安全方面发挥的重要作用,”一位发言人在一份声明中表示。“ PayPal的系统没有受到影响,我们的团队已经解决了这些问题。” iZettle 没有回复评论请求,但是研究人员表示,该公司也在修复这些漏洞。 Galloway 和 Yunusov 对供应商的积极回应感到满意。然而,他们希望,他们的发现将提高人们对将安全性作为低成本嵌入式设备发展优先事项这一更广泛问题的认识。 “我们在这个市场基础上看到的问题可以更广泛地应用于物联网,” Galloway 说。“像读卡器这样的东西,作为消费者或企业所有者,你会对某种程度的安全性有所期待。但是其中许多公司存在的时间并没有那么长,产品本身也不太成熟。安全性不一定会嵌入到开发过程中。”   稿源:环球网,封面源自网络;

黑客称可通过“合成点击”绕开 macOS 安全警报

8 月 13 日消息,据国外媒体报道,在拉斯维加斯周日举行的防御黑客大会(DefCon hacker conference)上,美国国家安全局前雇员、知名 Mac 电脑黑客帕特里克·沃德尔(Patrick Wardle)对苹果 macOS 操作系统进行安全攻击,其通过所谓的“合成点击”(synthetic click)让恶意软件轻而易举地通过了系统安全警报。 沃德尔认为,这种绕过 macOS 操作系统安全机制的方法或许能够窃取用户电脑中存在的联系人,甚至于进入操作系统内核,完全控制电脑。 据悉,操作系统常常通过让用户选择“允许”或“拒绝”程序访问敏感数据或功能,从而创建一个检查点,阻止恶意软件,同时让正常的应用程序通过。但沃德尔的方法能够帮助恶意软件渗透到计算机的安全层内。 作为 Digita 安全公司的一名安全研究员,沃德尔表示,“如果你有一种方法与系统发出的警报进行综合交互,你就拥有了一种可以绕开安全机制的强大方法。” 但是,沃德尔的合成点击方法绕过的弹窗提示对用户来说仍然可见,苹果 macOS 操作系统依旧会提示用户电脑上存在恶意软件。但沃德尔表示,恶意软件可以等待用户离开机器的时候再去触发并绕过弹窗提示。 沃德尔承认,他的“合成点击”攻击并不能直接侵入Mac操作系统内部或控制电脑。但在某些黑客手中,它们可能是一个危险的工具,让老练的攻击者从计算机中窃取更多数据或获得更深层控制。     稿源:网易科技,封面源自网络;

研究称数百万 Android 设备出货时便存在固件漏洞

据《连线》网站报道,研究人员发现,数以百万计的 Android 设备出货之时便存在固件漏洞,容易受到攻击,用户可以说防不胜防。智能手机因安全问题而崩溃往往是自己造成的:你点击了错误的链接,或者安装了有问题的应用。但对于数以百万计的 Android 设备来说,这些漏洞早就潜藏于固件当中,被利用只是迟早的问题。这是谁造成的呢?在某种程度上,制造设备的制造商和销售设备的运营商都有责任。 这是移动安全公司 Kryptowire 的最新研究分析得出的主要结论。Kryptowire 详细列出了在美国主流运营商销售的 10 款设备中预装的漏洞。Kryptowire 首席执行官安杰罗斯·斯塔夫鲁(Angelos Stavrou)和研究总监莱恩·约翰逊(Ryan Johnson)将在周五的 Black Hat 安全会议上展示他们的研究成果。该项研究是由美国国土安全部资助的。 这些漏洞的潜在后果可大可小,比如锁住设备让机主无法使用,秘密访问设备的麦克风和其他的功能。       “这个问题不会消失。”—— Kryptowire首席执行官安杰罗斯·斯塔夫鲁 Android 操作系统允许第三方公司根据自己的喜好改动代码和进行定制,而那些固件漏洞正是这种开放性的副产品。开放本身没有什么问题;它让厂商能够寻求差异化,给人们带来更多的选择。谷歌将在今年秋天正式推出 Android 9 Pie ,但最终该新系统将会有各种各样的版本。 不过,那些代码改动会带来一些令人头痛的问题,其中包括安全更新推送的延迟问题。正如斯塔夫鲁和他的团队所发现的,它们还可能会导致固件漏洞,将用户置于危险当中。 “这个问题不会消失,因为供应链中的许多人都希望能够添加自己的应用程序,自定义定制,以及添加自己的代码。这增加了可被攻击的范围,增加了软件出错的可能性。”斯塔夫鲁指出,“他们让终端用户暴露于终端用户无法应对的漏洞当中。” Kryptowire 在 Black Hat 上的讲话聚焦于来自华硕、LG、Essential 和中兴通讯的设备。 Kryptowire 的研究关注的并不是制造商的意图,而是整个 Android 生态系统的参与者共同造成的广泛存在的代码低劣问题。 以华硕 ZenFone V Live 为例,Kryptowire 发现,该款手机的整个系统都被接管控制,包括对用户屏幕的截图和视频录像、打电话、浏览和修改短信等等。 “华硕意识到最近 ZenFone 的安全问题,正努力通过软件更新来加快解决问题,软件更新将无线推送给 ZenFone 用户。”华硕在一份声明中表示,“华硕致力于保障用户的安全和隐私,我们强烈建议所有的用户更新到最新的 ZenFone 软件,以确保获得安全的用户体验。” 现阶段,要解决自己造成的烂摊子,推送更新是华硕唯一能够做的。但斯塔夫鲁对这种修补过程的有效性表示怀疑。“用户必须要接受并安装这个补丁。所以即使他们把它推送到用户的手机上,用户可能也不会去安装更新。”他说道。他还指出,在 Kryptowire 测试的一些机型上,更新过程本身就被中断了。这一发现也得到了德国安全公司 Security Research Labs 最近的一项研究的支持。 Kryptowire 所详述的攻击基本上都需要用户去安装应用。然而,虽然正常来说可以通过一个不错的方法来规避潜在的攻击,即坚持使用谷歌官方应用商店 Google Play 来下载应用,但斯塔夫鲁指出,让这些漏洞变得如此有害的是那些应用程序在安装时并不需要授予特别的权限。换句话说,应用程序不必诱使你提供访问你的短信和通话记录的权限。得益于存在缺陷的固件,它可以轻而易举地、悄无声息地获取你的短信和通话记录。 攻击最终可能会导致各种各样的后果,具体要看你使用的是什么设备。就中兴 Blade Spark 和 Blade Vantage 而言,固件缺陷会允许任何应用程序访问短信、通话数据和所谓的日志记录(收集各种系统消息,可能包括电子邮件地址、GPS 坐标等敏感信息)。在 LG G6(Kryptowire的研究报告中最流行的一款机型)上,漏洞可能会暴露日志记录,或者被用来锁定设备让机主无法访问。攻击者还可能会重置 Essential Phone 手机,清除它的数据和缓存。 “在我们意识到这个漏洞以后,我们的团队立即进行了修复。” Essential 公关主管莎丽·多尔蒂(Shari Doherty)说道。          你完全无法自己去解决问题,也无法早早发现问题的存在。 LG 似乎已经解决了一些潜在的问题,但还没有完全解决。“ LG 此前了解到了这些漏洞,并已经发布了安全更新来解决这些问题。事实上,报告提到的漏洞大多数都已经被修补,或者已经被纳入即将到来的与安全风险无关的定期维护更新。”该公司发表声明称。 至于中兴通讯,该公司在一份声明中表示,它“已经推送安全更新,今天也在与运营商合作推送修复这些问题的维护更新。中兴通讯将继续与技术合作伙伴和运营商客户合作,未来持续提供维护更新,继续保护消费者的设备。” AT&T 的一位发言人证实,该运营商已经“部署了制造商的软件补丁来解决这个问题”。Verizon 和 Sprint 没有回复记者的置评请求。 这一连串的声明显示出了进展,但也凸显了一个关键的问题。斯塔夫鲁说,这些更新可能需要几个月的时间来创建和测试,需要经过从制造商到运营商再到客户的多重检验。在你等待更新的过程中,你完全无法自己去解决问题,也无法早早发现问题的存在。 “有一点是可以确定的,那就是没有人保障消费者的安全。”斯塔夫鲁指出,“该漏洞问题在系统中根深蒂固,消费者可能无法判断它是否存在。即使他们意识到它的存在,他们也毫无办法,只能等待制造商、运营商或任何更新固件的人来提供帮助。” 与此同时,这一发现只是 Kryptowire 最终将公开的诸多发现中的第一个发现。(为了让各家企业足够的时间做出反应,它还没有公开全部的发现。) “我们要感谢 Kryptowire 的安全研究人员为加强 Android 生态系统的安全性所做的努力。他们所概述的问题并不影响 Android 操作系统本身,但是会影响设备上的第三方代码和应用程序。”谷歌发言人在声明中称。 第三方代码和那些应用程序短期内似乎还不会消失。只要它们还在那里,那些令人头痛的潜藏隐患就还会存在。     稿源:网易科技,封面源自网络;

黑客在黑帽安全会议上展示直接入侵一台联网的全新 MacBook

苹果的设备一直被认为相当具有安全性,但是它可能并非完全如此。虽然 Windows 可能容易受到攻击,但 macOS 好像也不那么安全,例如一台全新的 MacBook 就城门大开,很容易被黑客入侵。本周在拉斯维加斯举行的黑帽安全会议上有安全专家展示了该威胁。 问题出现在针对使用 Apple 的设备注册计划及其移动设备管理平台的 MacBook 上。设计这种功能的想法主要是为了方便企业当中的设备管理:将 MacBook 直接发送给员工,以便他们可以在办公室或家中设置设备。 Fleetsmith 的首席安全官 Jesse Endahl 和 Dropbox 的工程师 MaxBélanger 发现了这些设置工具中的一个错误,可以利用它来获得罕见的远程 Mac 访问。 我们发现了一个错误,允许我们在用户第一次登录之前破坏设备并安装恶意软件。当他们登录时,当他们看到桌面时,计算机已经受到损害。 – 杰西恩塔尔 研究人员已经向苹果通报了这个漏洞,并且该公司上个月已经发布了 macOS High Sierra 10.13.6 的修复程序。但是,上个月之前制造的设备仍然容易受到攻击,组织需要更新操作系统以确保漏洞。 苹果没有评论该公司推出的错误或修复程序。   稿源:cnBeta.COM,封面源自网络;

Vade Secure 揭开近期“性勒索邮件诈骗”细节 密码或泄露于十年前

上个月的时候,外媒曾报道一种新型电子邮件诈骗。其以收件人的真实密码为证据,让受害者误相信自己的在线数据遭到了黑客的攻击。但是作为骗局的一部分,敲诈者希望从受害者身上榨出更多的油水 —— 其扬言,如果不满足它们提出的要求,就曝光所谓的受害者访问色情网站时的视频内容。 安全公司 Vade Secure 近日发布的一份新报告,就披露了这场仍在肆虐的性勒索骗局的更多细节。在深入了解后,研究人员发现 —— 勒索者发出的密码,很可能是在 10 年前发生的多次入侵中获得的。遗憾的是,许多受害者都没有意识到这一点。 该公司提供了针对此类网络钓鱼欺诈邮件的过滤服务。在过去几个月里,其引擎过滤了大约 60 万封性勒索邮件。在审视了这些电子邮件后,Vade Secure 发现其中 90% 都是用英文输入的,但有一小部分的翻译语法写得很烂。 此外,在大多数情况下,发件人的地址是随机的 Hotmail 或 Outlook,但这可能是自动生成的(如上图所示)。还有人指出,黑客利用了此前入侵物联网产品、网站、路由器等设备的数据,再将其用于本轮性勒索诈骗。这种形式的网络钓鱼,不需要用到 Web 版的邮件客户端,而是通过 IoT 产品上的 Linux 操作系统的命令行,就可以发起类似目的的行动。 Vade Secure 技术专家 Sebastien Gest 警告称,这个骗局正在愈演愈真:我们的启发式过滤器,每天都可以看到这些性勒索骗局的最新版本。但黑客似乎正在分析攻击的效用、并对消息文字进行调整,以避免其被电邮安全产品给检测到。 需要指出的是,在 60 万封已发现的性勒索邮件中,许多都包含了接收赎金的不同比特币钱包地址。但也有一些使用了轻微的变化,比如用几个星号(*)来模糊具体的比特币地址、或者给出了提供进一步付款指令的 E-mail 地址。 最后,在分析了性勒索邮件中存在的一些比特币地址后,安全公司发现 —— 到目前为止,不法分子已经拿到了总计 30100 美元的赎金。我们在此发出提醒,鉴于这种骗局是持续且反复的,网友们应该定期更改密码、并避免在未知网站上注册。     稿源:cnBeta.COM,编译自:Neowin ,封面源自网络;

研究称卫星有漏洞:黑客可让卫星过度充电令其损害

(原标题:Warning over satellite security bugs) 网易科技讯 8 月 10 日消息,据国外媒体报道,一名安全研究人员警告称,飞机、舰船和军方使用的卫星系统中均含有可能让黑客控制它们的安全漏洞。 最严重的漏洞可能会让攻击者向卫星天线过度充电,从而损害设备或损害运营商利益。研究人员表示,其他漏洞可能会被用来泄露军事力量在特定地区的确切位置。 发现了这些漏洞的 IOActive 公司表示,其正在与制造商合作,以加强设备抵御攻击的能力。 “这些漏洞的后果令人震惊,” IOActive 公司的鲁本桑塔玛塔 (Ruben Santamarta) 在一份声明中指出。有关漏洞的相关细节将于当地时间周四晚些时候在拉斯维加斯举行的黑帽安全会议上公布。 桑塔玛塔表示,商用飞机上使用的是最容易受到攻击的设备。 他说,影响飞机的一些安全漏洞需要攻击者自己身处那架飞机上,但他也发现了“数百个”可以通过互联网远程访问的脆弱设备。 然而,其中没有一个漏洞能让攻击者访问用于控制飞行的航空电子系统。 桑塔玛塔同时表示,在船上和美国军事基地的卫星地面站中也发现了其他安全漏洞。 他说,在船舶系统上,攻击者极有可能会获得对卫星接收器的控制,从而能够进行窃听或通过提高天线的功率输出来破坏天线。 桑塔玛塔表示,自己通过控制代码中的后门获得了卫星通信系统的使用权。 其明确指出,这种后门并非恶意插入,但可能是在软件开发过程中添加的。 IOActive 表示,它推迟了公布调查结果的细节,而制造商则采取行动来消除这些漏洞。 据悉,早在 2014 年桑塔玛塔开始进行相关研究,当时发现了卫星通信系统和设备中的潜在问题。     稿源: 网易科技,封面源自网络;

微软宣布面向决策者的“网络安全政策框架”白皮书

过去几年,网络攻击变得越来越普遍。除了传统的恶意团体,甚至还冒出了一些“更具背景”的幕后主使者的身影。在新形势下,这使得高层决策者难以通过制定法律来对抗这些威胁。而为了化解这一困境,微软刚刚发布了一份名为《网络安全政策框架》的白皮书。在长达 44 页的篇幅中,微软概述了决策者如何制定有效的政策、而无需经理不必要的障碍。 访问: 微软中国官方商城 – 首页 微软强调称,白皮书本身并不是一部完整的“网络安全法律”草案,反而更像是一份“伞状文件”,呈现了网络政策更加高级、抽象的一面。 具体说来,该文件侧重于以下方面: ● 国家级网络安全战略; ● 如何建立国家级网络机构; ● 如何制定和更新网络犯罪法案; ● 如何开发和更新关键基础设施的保护措施; ● 全球性网络安全战略。 微软表示,即便该公司已经与各国政策制定者合作多年,但本白皮书中的信息在其它地方并不易获得。 微软网络安全政策主管 Angela McKay 补充道: 鉴于技术的变化和创新是始终持续的,为应对网络安全所带来的影响,我司已经且将永远有更多的工作要做。 今天,我们很高兴将这一资源用于支持新一代的决策者们、并期待与其展开合作,以共同应对未来将面临的新挑战。 微软“网络安全政策框架白皮书”: 引用页 |(PDF)       稿源:cnBeta.COM,编译自:Neowin ,封面源自网络;