内容转载

= ̄ω ̄= 内容转载

Messenger 发音频安全吗?FB 承认曾转录用户音频

北京时间8月14日早间消息,知情人士透露称,Facebook付费聘请几百名外部承包商,让他们转录音频片段,这些音频来自使用Facebook服务的用户。 一位因为担心丢掉工作而不愿意透露姓名的知情人士称,这份工作让承包商感到不安,他们不知道音频是在哪里录制的,Facebook又是如何获取的,他们只负责转录。知情者还说,承包商会倾听Facebook用户的对话,有时里面包含低俗内容,至于为何要转录这些音频,他们不知道原因。 其它科技企业也曾有过同样的行为,后来因为遭受批评而终止,Facebook证实曾经转录过用户音频,但是项目已经终止。Facebook在声明中表示:“就像苹果谷歌一样,在一周多以前我们已经终止人工音频审核工作。”Facebook还说,受到影响的用户在Facebook Messenger App中自愿选择,允许Facebook转录音频。承包商负责检查,看看Facebook AI是否能正确解读信息内容,这些信息以匿名形式存在。 亚马逊、苹果等大型科技公司也曾收集音频片段,这些音频来自消费者使用的计算设备,收集音频之后,科技公司再请人核查,这种行为因为涉嫌侵犯隐私招来批评。 4月份,彭博社报道称亚马逊组建一个团队,里面有几千名员工,他们遍及全球,负责倾听Alexa音频,亚马逊这样做主要是想改进软件;苹果Siri、谷歌助手也组建相似的人力团队,核查音频。 事件曝光之后,苹果、谷歌终止项目,亚马逊则说用户拥有选择权,可以允许亚马逊核查音频,也可以禁止。 Facebook并没有告诉用户第三方将会核查他们的音频,正因如此,一些承包商觉得自己的工作不道德。 知情人士透露说,加州圣塔莫尼卡(Santa Monica)的TaskUs公司是Facebook的承包商,Facebook是TaskUs最大最重要的客户之一,TaskUs禁止员工公开谈论自己为谁工作,他们用代号代表客户。 Facebook还让TaskUs审核可能违反政策的内容。在TaskUs内部本来有一些团队从事选举筹备、政治广告筛选工作,但最近其中一些员工转移到新成立的转录团队。 之前Facebook曾说过,会自动处理用户提交的内容和通信信息,分析语境,看看里面有什么。但Facebook从没有说过会请人筛选审核内容。Facebook承认自己与第三方分享信息,但它没有提到过转录团队的存在,它只是说会有一些承包商、服务提供商支持Facebook工作,为Facebook分析产品使用情况。 Facebook聘请人力员工分析录音,说明AI识别单词、语音模式时存在限制。机器的识别能力的确在增强,但有时还是会碰到麻烦。从2015年开始,Messenger用户就可以将音频交给Facebook,让它转录。当时负责Messenger业务的高管大卫·马库斯(David Marcus)曾说:“我们想尽千方百计,力求让Messenger变得更实用。”   (稿源:新浪科技,封面源自网络。)

这款 MOD 能将特斯拉 Model S 变成移动的监控设备

为了能够让自动驾驶汽车根据路况做出自主决策,开发团队往往需要为其装备复杂的计算机大脑和丰富的传感器。上周末在拉斯维加斯举办的Defcon 27黑客大会上,安全研究人员Truman Kain通过研制的MOD将特斯拉Model S转换成为移动的监控设备。 这款MOD的组成基本上就是一台NVIDIA Jetson Xavier迷你电脑,通过汽车的USB端口进行连接,能够收集汽车周围看到的所有东西。利用Model S现有的Autopilot和哨兵模式(Sentry Mode),以及开源框架该MOD能够识别车辆型号,甚至能够收集和记录车牌信息。 或许很多人认为这个MOD并没有太大的杀伤力,不过安全研究专家Kain并不这么认为,他在Defcon 27黑客大会上现场演示了已经改装好的Model S,不仅能够识别车辆型号,识别重复出现的目标,标记看到对方所在的位置,从而了解更多有关车主的相关信息。   (稿源:cnBeta,封面源自网络。)

这些看似合法的 iPhone Lightning 数据线将劫持您的电脑

被称为MG的安全研究人员在年度Def Con黑客大会上展示并且演示了他开发的iPhone Lightning数据线,这种恶意数据线内含额外的恶意组件,包括恶意硬件和恶意软件载荷,可以在受害者将数据线插入电脑时发动无线攻击。 MG表示,这条数据线看起来像一个合法产品,可以正常连接电脑和iOS设备,甚至被连接的电脑不会注意到差异。但是攻击者可以通过无线方式控制数据线进而控制受害者的电脑。MG在他自己的手机浏览器上键入恶意数据线的IP地址,并显示了一个选项列表,并且可以在连接的Mac上远程打开一个终端。从这里,黑客可以在受害者的电脑上运行各种工具。 这种恶意Lightning数据线带有各种有效负载,攻击者可以在受害者机器上运行的脚本和命令。黑客还可以远程“杀死”恶意Lightning数据线当中的植入物,以隐藏或者销毁攻击证据。MG目前以200美元的价格出售这些恶意恶意Lightning数据线。 MG表示,无线有效攻击距离达到300英尺,如果必要,黑客可以使用更强的天线进一步延伸攻击距离,如果该无线网络具有互联网连接,则攻击距离基本上变得无限制。现在MG希望批量生产这种数据线作为合法的安全工具。MG表示,这些数据线将从头开始制造,而不是改装苹果Lightning数据线。   (稿源:cnBeta,封面源自网络。)

英国:科技公司不删除有害视频 可能会被罚款

英国政府正计划向数字监管机构Ofcom提供新的临时权力,允许其向YouTube,Instagram或Facebook这样的高科技公司实施监管,如若这些公司未能及时删除儿童可能看到的有害内容,如色情和暴力,将面临罚款。根据计划,Ofcom将从2020年9月19日起获得这些权力。新的权力只是暂时的,直到“在线危害监管机构可以承担责任”。 《电讯报》报道,Ofcom将能够对不包括严格年龄检查或者,阻止儿童看到不当内容的父母控制功能失效的公司进行罚款,这些内容被描述为“损害他们的身体、心理或道德发展”。 ” 儿童安全慈善机构NSPCC和Ofcom都对新措施表示欢迎, NSPCC的儿童安全在线政策主管Andy Burrows说: “直播的直接性使得儿童更容易被滥用者强迫,他们可能会捕捉镜头,分享并将其用作勒索。该指令使英国政府有机会对其欧洲总部设在这里的科技公司采取强硬措施。至关重要的是,这是一个真正的机会,可以在即将出台的‘网络危害法案’生效之前就完成保护,如果他们将儿童置于危险境地,最终还是要对网站本身进行追究。” 与此同时,Ofcom认为这些规则是规范在线视频共享的“重要的第一步”,他们将与政府密切合作以提供保障。同时,Ofcom还支持更广泛的立法,以引入更多保护措施,包括一项措施,即公司对其用户负有“关注责任”。   (稿源:cnBeta,封面源自网络。)  

安全研究人员称中兴 4G 热点可能成为黑客的温床

据外媒CNET报道,安全研究人员发现了一系列影响中兴通讯4G热点的漏洞,该公司还没有为所有受影响的设备提供修复。研究人员表示,安全漏洞可能让潜在的黑客将流量从热点重定向到其他恶意网站。 周六安全研究人员在拉斯维加斯举行的黑客大会Defcon上披露了这些漏洞。一位名为“Dave Null”的Pen Test Partners研究人员详细描述了中兴通讯的安全问题,以及他对该公司如何回应的担忧。 Null表示,漏洞很容易实现 – 攻击者只需要受害者使用中兴通讯的一个热点访问恶意网站。研究人员发现,热点模型会泄露设备的密码。 “所以你要求一把钥匙,它会返回价值,”Null在Defcon之前的一次采访中说道。“它几乎没有安全保障。” 一旦攻击者获得了热点的密码,就有很多选择可以进一步攻击。黑客可以开始记录一个人的网络活动,使用热点作为攻击与其连接的设备的方式,并将网络流量重定向到更多恶意网站。 例如,黑客可以将受害者从合法的银行网站重定向到虚假版本的页面,在那里他们可以输入财务信息而不知道他们的资料已被盗取。 中兴通讯在2月份发布了针对漏洞的安全通告,但仅针对其MF910和MF65 +产品。在其公告中,该公司没有发布修复补丁,称其在2017年9月停止了这两个4G热点,但确实修复了更新的MF920和MF65M2型号的漏洞。 目前这些已停产的型号仍然在该公司的网站上列出。 Null说道,这些漏洞可能适用于“MF”系列中更多的中兴通讯产品。他发现,由于它的许多设备共享相同的密码,除非它们被修复,否则它们会共享相同的漏洞。虽然中兴通讯认为MF910已经过时,但更新后的MF920型号存在同样的问题。Null询问了哪些其他热点会共享相同的密码,但中兴通讯拒绝提供这些信息。 “他们似乎并没有主动寻找对付漏洞,”Null说道。   (稿源:cnBeta,封面源自网络。)

因机器配置问题 黑客们难以在 Defcon 上查找原型投票机的漏洞

在近日于拉斯维加斯举办的 Defcon 安全会议上,DARPA 设立了一台价值 1000 万美元的投票机原型,并欢迎各路人员寻找该机器的安全漏洞。然而由于一个意外的错误,导致大家难以向它发起测试。据悉,原因不在于研发团队花了四个月时间去完善机器的安全功能,而是因为机器在安装过程中遇到了技术难题。 (题图 via Cnet / Alfred Ng) 政府承包商首席科学家 Joe Kiniry 表示:由于机器配置错误,导致急切的安全大会参与者们无法访问这台原型投票机的系统,更谈不上为它发现漏洞了。Galois 带来了五台机器,但每台都在设置过程中遇到了问题。 Voting Village 联合创始人 HarrisHursti 称:“他们似乎遇到了无数种不同的问题。不幸的是,当你想要推动技术发展的时候,总会发生一些这样或那样的问题”。 直到周日早上“投票村”开放,与会者才终于有机会寻找这几台投票机上的漏洞。Kiniry 表示,其团队能够解决三个问题,并在 Defcon 大会结束前搞定后两个。 作为自 2017 年以来的一个保留项目,“投票村”场地旨在鼓励人们对大选用的投票机发起找茬活动。由于一些机器相当过时,有些黑客团队甚至能够在几分钟内发现漏洞。 随着 2020 美总统大选即将开启,人们对于投票机的安全意识也日渐提升。今年 3 月份的时候,Galois 获得了 DARPA 的 1000 万美元奖金,以打造一套能够防止被黑客篡改的开源投票机。 其原型机支持人们通过触屏进行操作、打印出他们的选票、并将之插入验证机器,从而确保投票的结果安全有效。尴尬的是,为了确保安全,原型机将外部接口都取消掉了,导致黑客无法展开必要的测试。 一台机器无法连接到任何网络,另一台没有运行必备的测试套件,第三台机器甚至无法上线。Galois 一直在 Defcon 上努力设置机器,但其对于周日的情况感到相当乐观。 对于 Galois 来说,较晚的起步确实令人失望。不过 Kiniry 表示:“这是我们在这些机器上获得可靠性的第一天”。 据悉,为了打造这套原型装置,开发团队回溯了过去 20 年来的投票机 bug,然后遵从国防部相应的安全标准来构建。 为了尽可能地完善原型投票机,Galois 甚至故意包含了一些漏洞,以了解系统是如何防范的。最后,该团队已经做好了在 2020 年重返 Defcon 的准备。   (稿源:cnBeta,封面源自网络。)

最新安全报告:单反相机已成为勒索软件攻击目标

恶意勒索软件近年来已经成为计算机系统的主要威胁,在成功入侵个人电脑,医院、企业、机构和政府部门的系统之后就会进行加密锁定,只有用户交付一定的赎金才能解锁。不过现在安全研究人员发现了单反相机同样存在这项的安全风险。援引安全软件公司Check Point今天发布的一份报告,详细说明了如何在数码单反相机中远程安装恶意程序。研究人员Eyal Itkin发现,黑客可以轻易地在数码相机上植入恶意软件。 他表示标准化的图片传输协议是传递恶意软件的理想途径,因为它是未经身份验证的,可以与WiFi和USB一起使用。该报告中指出通过黑客可以在热门景点部署有风险的WiFi热点,只要单反连接到这些热点之后就能进行攻击,从而进一步感染用户的PC。 在一段视频中,Itkin展示了他如何通过WiFi入侵Canon E0S 80D并加密SD卡上的图像,以便用户无法访问它们。他还指出,相机对于黑客来说可能是一个特别有价值的目标:毕竟相机中可能会存在很大用户不想要删除的影像资料。而且在真正的勒索软件攻击中,黑客设定的赎金往往不会太高,因此很多人会愿意交付赎金来摆脱不便。 Check Point表示它在3月份披露了佳能的漏洞,并且两人于5月份开始工作以开发补丁。上周,佳能发布了安全公告,告诉人们避免使用不安全的WiFi网络,在不使用时关闭网络功能,并在相机上更新并安装新的安全补丁。 Itkin表示目前他们只对佳能设备进行了测试,但是他告诉The Verge:“由于协议的复杂性,我们还认为其他供应商也可能容易受到这种攻击,但这取决于他们各自的实施情况。”   (稿源:cnBeta,封面源自网络。)

鸿蒙安全吗?余承东:微内核单独加锁 安全达最高级

8月9日下午消息,华为开发者大会今日举行,华为消费者业务CEO余承东正式宣布发布自有操作系统:鸿蒙。 鸿蒙系统安全吗?余承东称,鸿蒙采取微内核,天然无Root,细粒度权限控制从源头提升系统安全。 具体而言,安卓系统有Root权限,而鸿蒙无Root,“微内核可以把每一个单独枷锁,不可能一个钥匙攻破所有地方”,余承东说,外核的相互隔离更加安全也更加高效。 “从全球最权威的安全机构评测看,现在外面的操作系统只能达到二三级,而我们的系统能达到5和5+最高级别。这是最高级别的安全OS”,余承东说道。   (稿源:新浪科技,封面源自网络。)

尽管谷歌已修复漏洞 网站仍会检测 Chrome 是否处于隐身模式

针对启用了无痕模式的 Chrome 用户仍会被不守规矩的网站强行检测一事,谷歌方面已经修复了一处漏洞。尴尬的是,这场利益攻防战并没有就此结束,因为聪明的网站仍会通过其它方法来检测 Chrome 76 是否启用了隐私浏览模式。其实 Chromium 团队自身也意识到存在这种可能,毕竟浏览器还提供了一些其它必要的应用程序接口(API)。 (题图 via Techdows) 默认情况下,Google 会在 Chrome 浏览器启用无痕模式时禁用文件系统 API,以防止将浏览历史记录保存到磁盘上。 反之,网站可以通过 Filesystem API,对用户浏览器的当前模式进行判断。然后强行要求用户登录或创建免费账户,以继续浏览完整的内容。 在意识到这个漏洞之后,谷歌引入了一个新的标记(flag),以便在无痕模式下启用 了 FileSystem API,Chrome 76 中已经默认打开。 谷歌在一篇博客文章中写到,其已经修复了某些网站不当利用 FileSystem API 的一个漏洞。 遗憾的是,即便急用了这个标记,《纽约时报》网站仍会检测到该模式是否已开启(如上图所示)。 近日有一位安全研究人员透露,Chrome 浏览器未能真的做到应对无痕模式的检测防御,因为网站仍可通过 Quota Management API 来检测。 另一位名叫 Jesse Li 的开发者,更是给出了一个技术概念验证,表明网站仍可通过评估 Filesystem API的 写入速度,来检测无痕模式。 当然,Chromium 开发团队仍可通过其它措施,来修复针对 Chrome 无痕模式的反向检测,比如可从配额和计时方面着手。   (稿源:cnBeta,封面源自网络。)

CheckPoint 吐槽微软对影响 Azure 的远程桌面协议漏洞重视程度不够

微软一直吹嘘自家 Azure 云基础设施的安全性,但近期的一份报告称,它还是很容易受到网络攻击。Check Point Research 指出,其在常用协议中发现了大约 12 个漏洞,导致数以百万计的微软云用户暴露在潜在的网络攻击之下。在本周早些时候举办的黑帽安全会议上,该公司指出远程桌面协议(RDP)漏洞或被别有用心的攻击者利用。 (来自:Check Point,via MSPU) 黑客能够利用 RDP 漏洞来查看、更改和删除数据,或在受害者系统上创建具有完全管理权限的新账户。尽管 RDP 最初是由微软开发的,但也有几款 Linux 和 Mac 应用程序使用了该协议。 Check Point Research 补充道,其在 Hyper-V 管理器中发现了另一个漏洞,它允许用户在 Windows 上创建和管理虚拟机。 任何连接到云端的 Windows 计算机、在其中工作的用户、或使用微软本地 Hyper-V 虚拟机的用户,都有可能成为其描述和演示的攻击者的目标。 参考木桶原理,一套系统的安全性,取决于防护措施最不到位的那一环。换言之,通过依赖其它软件库,Hyper-V 管理器可以继承 RDP 中任何其它软件库中的所有安全漏洞。 尽管开源社区很快就对此做出了反应,并修补了相应漏洞,但微软仍未修补最初的 mstc.exe 。其辩称,尽管这些漏洞很是严重,但它并未达到该公司的‘服务标准’。 然而该公司确实在 Check Point 向其发出通知后,发布了一个涉及 Hyper-V 管理器问题的补丁、以及常见漏洞披露(CVE)警告。 (图自:Check Point Research | PDF) Eyal Itkin 表示,Check Point 对微软最初的反应感到失望。庆幸的是,在他们告诉其有关 Hyper-V 产品的联系后,该公司立即就给出了不同的响应。最终他们意识到这算是一个漏洞,并发布了一个补丁。 据悉,微软在 7 月份发布了相关安全更新,启用 Windows Update 自动更新的客户将受到保护。如果未能及时部署,还请手动检查一下。   (稿源:cnBeta,封面源自网络。)