内容转载

= ̄ω ̄= 内容转载

美国大学用手机监控数十万名学生的位置 督促学习

12月26日消息,据外媒报道,通过使用短程手机传感器和覆盖整个校园的WiFi网络,美国各地大学能够比以往任何时候都更精确地跟踪数十万名学生位置。如今,数十所美国大学正使用这种技术来监控学生的学习表现,分析他们的行为或评估他们的心理健康情况。 以雪城大学为例,当新生走进杰夫·鲁宾教授(Jeff Rubin)的信息技术导论课时,格兰特礼堂报告厅周围隐藏的七个蓝牙信标会与他们智能手机上的一款应用程序SpotterEDU相连,以此督促他们出勤。SpotterEDU还会记录学生逃课情况,将他们的缺席记录传到校园数据库中,这可能会降低他们的成绩。这款应用还能提醒鲁宾教授联系学生,询问他们去了哪里。 鲁宾表示:“我的课程很少有人缺席。学生们想要获得学分,他们知道我在关注他们,并会对此采取行动。所以,他们会主动改变自己的行为。” 对于校园跟踪系统是否侵犯隐私,学生们意见不一,有些人认为他们没有什么可隐瞒的。但有的学生抱怨称:“我们都是成年人了,真的需要被继续追踪吗?这有什么必要呢?对我们有什么好处?这种情况会持续下去,直到我们每分每秒都得到微观管理吗?“ 不论是否支持校园跟踪系统,几乎所有人都有这样的感觉:这项技术正在变得无处不在,而被监控的人实际上对此无能为力。 许多教育倡导者认为,这些监控系统代表了新的侵入性技术,大规模侵犯了学生的隐私。他们担心,这种追踪系统会让学生在他们长大成人的地方显得幼稚,导致他们把监控视为生活的正常部分,不管他们喜欢与否。此外,这也会破坏学生的独立性,阻止他们培养业余兴趣爱好,因为他们担心自己时刻受到监视。     (稿源:网易科技,封面源自网络。)

SQLite 漏洞 Magellan 2.0 允许黑客在Chrome浏览器上远程运行恶意程序

近日腾讯刀锋(Tencent Blade)安全团队发现了一组名为“Magellan 2.0”的SQLite漏洞,允许黑客在Chrome浏览器上远程运行各种恶意程序。这组漏洞共有5个,编号分别为CVE-2019-13734、CVE-2019-13750、CVE-2019-13751、CVE-2019- 13752和CVE-2019-13753,所有使用SQLite数据库的应用均会受到Magellan 2.0攻击影响。 Magellan 2.0(麦哲伦)是一组存在于SQLite的漏洞。它由Tencent Blade Team发现,并验证可利用在基于Chromium内核的浏览器的Render进程中实现远程代码执行。作为知名开源数据库SQLite已经被应用于所有主流操作系统和软件中,因此该漏洞影响十分广泛。经测试,Chrome浏览器也受此漏洞影响,目前Google与SQLite官方已确认并修复了此漏洞。 根据腾讯刀锋安全团队官方博文,除了所有基于Chromium的浏览器和Google Home智能音箱设备受到影响之外,苹果旗下iPhone, iPad, MacBook,, Apple Watch, Apple TV等多款热门产品也受到影响。 SQLite漏洞是Tencent Blade Team在安全研究中,通过人工代码审计与自动化测试发现的。这一组漏洞被团队命名为“Magellan(麦哲伦)”。根据SQLite的官方提交记录,麦哲伦漏洞中危害严重的漏洞可能已经存在8年之久。利用麦哲伦漏洞,攻击者可以在用户电脑上远程运行恶意代码,导致程序内存泄露或程序崩溃。 目前,Tencent Blade Team已联合Google、Apple、Facebook、Microsoft及SQLite官方安全团推动漏洞修复进展。与此同时,Tencent Blade Team也提醒用户及时关注系统与软件更新通知,需将SQLite升级到目前最新的3.26.0 版本。 上周发布的谷歌Chrome 71,也已经修补该漏洞。Vivaldi和Brave等基于Chromium的浏览器,都采用最新版本的Chromium。但Opera仍在运行较老版本的Chromium,因此仍会受到影响。 另外,虽然并不支持Web SQL,但Firefox也会受到这个漏洞的影响,原因在于他们使用了可以在本地访问的SQLite数据库,因此本地攻击者也可以使用这个漏洞执行代码。腾讯Blade安全团队建议,使用Chromium系产品的团队,请尽快更新至官方稳定版本71.0.3578.80,如果使用产品中涉及SQLite,请更新到3.26.0. 另外,如暂时没有条件采用官方提供的修补方案,也有一些应急建议方案: 关闭SQLite中的fts3功能; 禁用WebSQL:编译时不编译third-party的sqlite组件。由于WebSQL没有任何规范,目前仅有Chrome、Safari支持。 最后,验证方法:重新编译后的内核应无法在控制台调用openDatabase函数。   (稿源:cnBeta,封面源自网络。)

有恶意软件以支持瑞典环保少女 Greta Thunberg 的名义进行传播

Proofpoint 网络安全研究人员刚刚发现,有一款名叫 Emotet 的恶意软件,正在以“支持 Greta Thunberg.doc”的名义进行传播。尽管看似一封电子邮件,但其本质上是一款窃取 Windows PC 上金融信息的网银木马。攻击者试图以这位瑞典环保少女的名义,邀请受害者参加圣诞前夕的气候变化抗议活动。 早些时候,Greta Thunberg 因一系列旨在提升全球环保意识的活动,被《时代》杂志评为了 2019 年度人物。 对于那些毫无戒心的网友们来说,需要对这类基于电子邮件的恶意软件传播活动提高警惕。 Proofpoint 安全研究人员指出,这轮攻击主要针对美国、欧洲和亚洲地区拥有 .edu 电子邮件地址的学生群体,甚至出现了使用多种语言的版本。 Proofpoint 补充道:“我们发现受攻击的 .edu 域名数量超过与任何特定国家 / 地区相关的域名。鉴于 Thunberg 得到了学生和年轻人群体的有力支持,黑客的套路也是有些讲究的”。 遗憾的是,转发此电子邮件,并不会对缓解气候危机有任何帮助,反而只会让更多计算机不小心感染上 Emotet 恶意软件。 这款网银木马伪装成了微软 Word 文档附件,并且使用了与邮件主题相同的“支持 Greta Thunberg.doc”文件名。 Proofpoint 提醒道:“假日期间,攻击者会毫不犹豫地瞄准和利用人们的善意,也算是一种另类的公益意识晴雨表了”。   (稿源:cnBeta,封面源自网络。)

研究员利用 Twitter 应用漏洞将 1700 万个电话号码跟用户账号配对

据外媒报道,一名安全研究员日前表示,他通过利用Twitter Android应用中的一个漏洞将1700万个电话号码跟Twitter用户的账号户匹配了起来。这位名叫Ibrahim Balic的研究人员发现可以通过Twitter的联系人上传功能上传生成的完整的电话号码列表。换言之,如果用户在Twitter上上传了自己的电话号码那么平台就会获取用户数据。 Balic指出,Twitter的联系人上传功能不接受连续格式的电话号码列表,这可能就是为了阻止上面的这种匹配。然而,Balic生成了20多亿个电话号码,一个接一个,然后随机分配这些号码并通过Android应用将它们上传到Twitter上,而基于web的上传功能中不存在这个漏洞。 Balic称,在两个多月的时间里,他匹配了来自以色列、土耳其、伊朗、希腊、亚美尼亚、法国和德国的用户记录,但在Twitter于12月20日对这一漏洞做出反应之后他停止了这种行为。尽管他没有提醒Twitter注意这一漏洞,但他将许多知名Twitter用户(包括政界人士和官员)的电话号码转至WhatsApp群组中以便直接警告用户。 对此,Twitter方面表示,他们正在努力确保不让这个漏洞再次遭到利用。“在得知这个漏洞后,我们暂停了那些非法获取个人信息的账号。保护Twitter用户的隐私和安全是我们的首要任务,我们仍致力于快速阻止垃圾邮件和来自Twitter API的滥用。” 据悉,Balic此前因在2013年发现影响苹果开发中心的安全漏洞而出名。   (稿源:cnBeta,封面源自网络。)

数十个含恶意软件的《星战9》种子资源正出现在多个网站中

每当备受期待的节目或电影上映甚至临近上映时,盗版内容就会开始泛滥。成千上万的人开始寻找免费在线观看最新内容的方法,而一些不良行为者总是很快就可以利用这一趋势。例如去年,恶意软件伪装成《权力的游戏》等剧集,该剧的种子资源病毒泛滥,占比高达17%。 由于剧集非常受欢迎,骗子借此机会将病毒和其他危险软件与伪造甚至真实的视频文件一起传播。 现在,似乎骗子再次利用了这些策略。在迪士尼发行《星球大战:天行者崛起》电影之后,似乎很多互联网用户已经成为“以星球大战为主题的恶意软件攻击的受害者”。据报道,卡巴斯基实验室在2019年发现了285103次这类攻击。 就其本身而言,这是一个惊人的数字,但据报道,最近,该公司在“ 30多个”网站和社交媒体帐户中发现了65个恶意软件“活动”。所有这些活动旨在针对希望免费下载最新《星球大战》电影的个人。对于更精通技术的用户而言,这些“活动”中的大多数显然都是可疑的,并且很容易避免。 但是,对于那些缺乏网络经验的人来说,很容易就可以从表面上获得这些太过真实的提议,这些人似乎经常成为此类陷阱的受害者。 在接下来的几周内,虚假的《星球大战》下载“活动”的数量可能只会增加,因此卡巴斯基建议用户保持警惕,并最好前往影院观看电影。另外,也可以等待其登陆官方流媒体或下载平台,例如Amazon,Disney +或其他平台。   (稿源:cnBeta,封面源自网络。)

黑客攻击飞机维修网络导致阿拉斯加部分航班取消

网络黑客发起了一次针对RavnAir航空公司的网络攻击,最终导致飞机维修等关键系统关闭,迫使RavnAir航空公司取消了在阿拉斯加的一系列航班。KTUU的一份报告显示,这次恶意网络攻击是在周六被发现的,但是这份报告没有提供发起攻击的黑客具体细节。然而,有6家航班被取消,大约有260名乘客受到直接影响。 当RavnAir航空公司发现攻击之后,它立即采取行动,关闭了飞机维修系统。它表示,所有Dash 8飞机的航班都被取消。该公司在一份声明中说:“我们将在未来两天内努力增加航班数量。我们尽可能帮助受影响的乘客改订其他航班。”目前,RavnAir航空公司正在与FBI和网络安全专家合作,以恢复系统并调查网络攻击。 本月早些时候,一名前Jet2 IT承包商在访问关键系统并删除数据,导致航空公司网络下线12个小时后,被判处10个月监禁。该人使用他在公司工作期间获得的凭据,连接到关键系统并删除了所有用户帐户。这位27岁男子还设法闯入了Jet2首席执行官Steve Heapey电子邮件帐户。他的网络攻击造成了16万5千英镑的损失。   (稿源:cnBeta,封面源自网络。)

谷歌警告印度用户:Chrome 79 可能存在泄漏网站密码 bug

据外媒报道,作为浏览器的升级版,Chrome 79有望降低CPU使用率并提高安全性。然而,它还为用户们带来了一些意想不到的东西。实际上,谷歌已经对印度Chrome用户发出相关警告,即Chrome 79被发现有存在泄露密码的情况并要求他们立即更改密码。 当地时间上周四,印度成千上万的谷歌Chrome用户在看到他们的桌面屏幕弹出的消息后感到震惊。该消息提醒用户注意数据泄露并建议他们更改某些网站的密码。谷歌则是在上周修复Chrome 79漏洞后并重新发布后发出了该警告。 一位Chromium工程师在回复谷歌线程上发布的问题时,回复并发布了一份公开声明 –“我们目前正在讨论解决这个问题的正确策略,其中之一是: 继续迁移,将丢失的文件转移到它们的新位置; 通过将转移的文件移动到其原来的位置来恢复更改。 我们很快会让你知道这两个选项中的哪一个会被选中。” 此前,谷歌曾担心有50%左右的Chrome用户可能受了到影响,但调查结果显示,只有15%的Chrome用户受到了影响。尽管如此,是否有可能恢复丢失的用户数据仍有待观察。 除了漏洞报告之外,Chromium页面还提供了一些技术细节信息。 据悉,Chrome 79已经恢复在桌面客户端和移动平台推出,谷歌Chrome发布博客也证实了这一点。截止到目前,谷歌Chrome更新一直是一个无缝行动,但看起来这家科技巨头这次犯了一个错误。   (稿源:cnBeta,封面源自网络。)

加州新法允许互联网用户删个性数据 影响有多大

12月21日消息,据《财富》网站报道,到2020年,许多美国人将得到一个强大工具来保护他们的在线隐私。美国加州出台了一项新法律,将要求企业告诉消费者它们收集了消费者哪些数据,而且消费者可要求删除这些数据。 这部被称为《加州消费者隐私法》(CCPA)的法律可能会对网络经济造成严重破坏,因为很多公司——从科技巨头到普通零售商——都依赖定向推送广告。如果人们要求公司删除他们的数据,这些广告的效果就会下滑。 例如,由于在线广告不再像以前那样个性化,沃尔玛可能会错过一些销售机会。与此同时,谷歌面临着失去一大部分收入的风险,因为普通广告的价格远远低于利用个人数据的定向推送广告。 加州这部法律正在被美国其它24个州效仿,其影响可能是巨大的。但只有在明年1月1日新法律生效后,人们才会行使自己的新权利。而且考虑到虽然欧洲2018年就实施了被称为《通用数据保护条例》(GDPR)类似法律,但利用该法律维权的人数并不很多,因此加州这部法律究竟会带来怎样影响,目前很大程度上只是个猜测。 德勤咨询公司(Deloitte)企业风险专家克里斯·梅(Chris May)表示:“这对数千、数十万还是数百万的人来说是件大事?我们还不知道。” 然而,对于受到这部隐私保护法律影响的企业来说,遵守规则的负担是非常现实的。例如,这部法律要求,企业要求消费者提供数据或消费者要求删除自己的数据,企业要给消费者提供两种方式,如在线表格和免费电话号码。加州司法部长委托撰写的一份无党派报告称,加州的企业将不得不额外支出550亿美元的前期成本,包括法律咨询和更改系统等,就单个企业而言,其额外支出将从5.5万至200万美元。 虽然《加州消费者隐私法》是加州的地方法律,但美国大多数大公司都在加州做生意,因此都会受到影响。很少有企业能承担退出这个美国最大市场的代价。 为了树立更好的名声,一些大公司,如微软,以及一些小公司,包括波士顿的互联网服务提供商Starry,已经表示他们将自愿在美国所有的50个州遵守这部法律。Starry首席执行官查特·卡诺加(Chet Kanojia)称,到目前为止,只有少数客户要求删除他们的数据,还有几十人写信给公司,感谢给了他们这样做的选择。 其他人,如美国商会(U.S. Chamber of Commerce)副会长蒂姆·戴恩(Tim Day)则对这部法律不那么乐观。他警告称,这部法律将使成千上万的小型企业陷入困境,比如花店和小型酿酒厂。 加州的这部法律豁免了大多数销售额低于2500万美元的公司。但是,那些拥有至少5万用户数据的公司——例如,收集客户电子邮件地址的公司很容易达到这个门槛——必须遵守新的规则。 戴恩表示:“大企业有能力解决这个问题,但对于小企业来说,这是一个极端沉重的负担,而小企业是美国经济的支柱。” 因此,克里斯·梅预测,美国许多中小企业可能不会遵守这部法律,因为他们认为自己不会受到惩罚,或者受到的任何惩罚会比遵守这部法律的成本更低。这部法律规定了6个月的宽限期,加州司法部将于7月1日开始执行这项法律。克里斯·梅表示,小型花店和酿酒厂不太可能成为这部法律的主要目标。 加州司法部长泽维尔·贝塞拉(Xavier Becerra)在一封电子邮件中表示:“我们被赋予了执行这部法律的责任,所以我们要做的就是尽我们所能与消费者和企业合作,确保他们遵守这部法律。” 然而,这可能不是最后的结论,因为美国商会正在游说美国国会通过一部联邦法律来取代加州的这部法律。美国科技行业早些时候的一次尝试失败了,但戴恩表示,美国商会的这次推动不同于以往,因为该组织希望保留加州法律的广泛原则,尤其是要求和删除大部分个人数据的权利,同时更多地保护中小企业。 在美国国会,民主党和共和党罕见地就通过这样一部法律达成了一致,尽管两党对哪个部门应该执行这项法律,以及联邦法律是否应该优先于州级隐私法存在分歧。许多人认为在2020年总统大选之前不太可能出台新的立法,但美国智库布鲁金斯学会(Brookings Institution)的隐私专家卡梅伦?克里(Cameron Kerry)认为,美国对隐私的态度已经发生了巨大变化,可能会在2020年总统大选之前通过一项法律。 克里说:“随着越来越多的国会议员将更多时间花在网络上,并担心数据隐私对他们的后代带来影响,情况已发生变化。”   (稿源:网易科技,封面源自网络。)

美国海军因担忧安全问题而禁止其军事人员使用 TikTok

据报道,由于担心网络安全问题,美国海军已禁止TikTok应用程序工作在由政府配发的移动设备之上。路透社周五报道,美国海军在本周初发布在Facebook页面上的军事人员公告中表示,那些未删除该短视频应用程序的人将被海军内部网络拒绝访问。 海军和TikTok都没有立即回应置评请求,但五角大楼发言人在接受路透社采访时说,该禁令是“解决现有威胁和新兴威胁”举措的一部分。 发言人说,该公告“确认了与使用TikTok应用程序相关的潜在风险,并指导员工采取适当措施以保护其个人信息。”但是,海军不会透露TikTok会带来什么危险的细节。 TikTok由总部位于北京的字节跳动(ByteDance)拥有,美国官员一段时间以来对中国科技公司的产品充满了担忧,称其可能会被用于间谍活动和其他威胁性活动。 路透社指出,在参议员查克·舒默(Chuck Schumer)对使用该应用程序的陆军招募工作表示担忧之后,上个月,美国陆军已先行禁止学员使用TikTok。   (稿源:cnBeta,封面源自网络。)

iOS 13.3 越狱有望:安全专家确认发现新 tfp0 漏洞

对于越狱社区来说,当有人发现能越狱新设备和iOS新版本的漏洞之时,往往会令破解者和开发者充满兴奋。由@08Tc3wBB分享,随后由安全研究人员@RazMashat验证,在苹果最新、最卓越的iOS 13.3固件更新中发现了tfp0漏洞,即“task for pid 0”(即内核任务端口)的简称,包括A13处理器在内的iPhone均受影响。 外媒报道称,这个漏洞同样存在于A12(X)设备中,通过uncOver可以对最高iOS 12.4.1;通过Chimera可以对12.4进行越狱。目前唯一适用于iOS 13的越狱漏洞是checkra1n,并且仅适用于iPhone X及以下的A7-A11设备。 相关演示视频链接:https://www.bilibili.com/video/av80177899?zw 目前@08Tc3wBB并未披露关于该漏洞的详细细节。值得关注的是,确认漏洞有效的安全研究人员@RazMashat在后续推文中表示,这个漏洞已经得到了包括Chronic和Pwn20wnd在内的值得信任的黑客的关注。此外@RazMashat还表示,@08Tc3wBB尚未决定是否要公开发布tfp0错误,还是先向苹果披露以获取金钱奖励。   (稿源:cnBeta,封面源自网络。)