内容转载

= ̄ω ̄= 内容转载

Skype 已修复漏洞公开:不解锁也能访问手机数据

近日安全专家发现了新的Skype漏洞,允许用户在不输入解锁密码的情况下访问手机数据。目前Android端Skype已经确认受该漏洞影响,允许用户查看照片、联系人甚至是启动浏览器窗口。该漏洞最初由Florian Kunushevci发现,后者又向微软报告了这个漏洞。 Kunushevci表示该漏洞可以在不解锁手机的情况下,接通Skype来电之后能够访问照片、查看联系人、发送短信,甚至可以点击发送信息的URL链接打开网页。他在去年10月份向微软报告了这个问题,虽然微软官方并未发布关于该漏洞的声明,但是在Skype最新版本中已经修复该漏洞。 演示视频:https://player.youku.com/embed/XNDAwMDM2MjkzNg==   稿源:cnBeta,封面源自网络;

打造更加安全的物联网:黑莓向智能家居设备制造商开放技术授权

近年来,智能家居设备已经变得日渐普及。但是安装专家们频频发出警告,物联网基础设施存在着巨大的安全隐患。好消息是,为了让物联网世界变得更加安全,曾经在智能手机领域叱咤多年的黑莓(BlackBerry),已决定向智能家居设备制造商们,开放自家的安全技术授权。在激烈的市场竞争下,消费者已经能够享受到包括灯泡、冰箱、电视等在内的“物美价廉”的智能产品。不过黑莓提供的付费安全技术(BlackBerry Secure),能够为你的体验加上一道“放心锁”。 随着黑莓逐渐远离智能手机制造这项“主营业务”,此举标志着该公司移动技术的一次重大转型。 黑莓高级副总裁、兼移动解决方案经理 Alex Thurber 在一份声明中称 ——  2019 将是消费者开始用钱包投票,寻找更高的安全性和数据隐私性的一年。 BlackBerry 的其中一项产品,是在制造时,为智能小工具嵌入微处理器的加密密钥 —— 如遭受黑客攻击,芯片会改变其密钥,并导致设备停止工作。 此外,黑莓还发布了一款软件,能够阻止未经批准的代码在设备上运行。2016 年的时候,全球曾爆发过针对物联网设备的 Mirai 攻击。 当时黑客将大量的联网设备(比如家用路由器和安防摄像头)纳入了僵尸网络,以便将一台重要的互联网服务器搞得宕机。不过黑莓的安全方案,有望阻止类似事件的再次发生。 此外,黑莓还为工厂或企业环境里的设备,提供了一套管理服务。其旨在让企业更加严格地控制存储在设备上的信息,制定允许设备通过 Wi-Fi 或蓝牙等协议进行通信的规则。 当然,黑莓并不是这方面的先行者。早在 4 月份的时候,微软就已经发布了 Azure Sphere 微芯片。 其允许企业在联网设备上部署安全芯片和软件,此外亚马逊和谷歌也提供了各自的解决方案(Android IoT / AWS IoT),以便为联网设备提供充分的防护。 不过,对于黑莓及其合作伙伴来说,目前正是一个不错的介入时机。 在经历了 2018 年的 Facebook 数据收集、谷歌隐私、以及前一年的大规模 Equifax 漏洞之后,消费者终将渴望寻求更加安全的替代品。 物联网市场分析机构 J. Gold Associates 负责人 Jack Gold 表示: 鉴于黑莓手机的‘安全性’已深深植入每个人的脑海,该公司显然可以顺水推舟,将这一标签打向物联网世界。   稿源:cnBeta,封面源自网络;

印度当局要求该国社交网络使用微软的 PhotoDNA 扫描所有图片

微软的PhotoDNA是一种数字指纹识别工具,可以通过预先筛选用户上传的内容,帮助在线服务清除虐待儿童的图像。PhotoDNA创建图像的独特数字签名(称为“散列”),然后将其与其他照片的签名进行比较,以查找同一图像的副本。当与包含先前识别的非法图像的哈希的数据库匹配时,PhotoDNA可帮助检测,破坏和报告虐童材料的分布。 据报道,印度中央调查局CBI要求社交网络开始使用该工具扫描他们的用户照片集,该决定目前正在印度引发争议。反对者认为,似乎CBI正在请求社交网络找到可能在其集合中没有滥用迹象的特定图片,反过来这又是一种滥用识别工具的行为。 CBI此前声明称“为了协助调查,社交网络需要对照片进行PhotoDNA扫描,社交媒体公司需使用侵入式照片技术跟踪嫌疑人,警方非常迫切需要这些信息。” 而反对声音也一样强烈:“如果任何警察或调查机构正在使用PhotoDNA进行一般性犯罪调查,则严重违反了该技术的预期目的,因为技术的初衷仅用于检查儿童性虐待案件。“互联网自由基金会执行主任阿帕尔·古普塔说。 用户也抱怨说,如此广泛搜索一般人的照片会侵犯他们的隐私权,Facebook和Twitter似乎也不太愿意遵守这一要求。   稿源:cnBeta,封面源自网络;

Twitter 声称账户劫持漏洞已修复 黑客:胡扯

新浪科技讯 北京时间12月29日上午消息,Twitter平台出现一个漏洞,由伦敦安全研究人员组成的团队说,利用漏洞,他们可以在无授权条件下通过英国名人、记者的账户发布消息。后来Twitter发声明称漏洞已经修复。不过发现漏洞的黑客却说,Twitter睁眼说瞎话,漏洞根本没有修复。 周五时,Twitter新闻发言人告诉记者,他们已经修复漏洞,通过漏洞,黑客可以瞄准与英国手机号码挂钩的特定账户,利用账户发送欺诈信息。然而,在Twitter发表声明之后,黑客仍然可以继续利用名人账户发送未授权信息。 媒体追问Twitter,公司回应称正在进行调查,以确保账户安全协议能够如预期一样生效。   稿源:新浪科技,封面源自网络;

安全人员公布 Microsoft Edge 的最新远程漏洞

可让Microsoft Edge Web浏览器实现远程代码执行的概念证明代码已在线发布,该漏洞来源于Edge的访问内存出错,代码今天由一位研究人员发布,该错误会影响Chakra,它是支持Edge的JavaScript引擎。漏洞将允许攻击者使用与登录用户相同的权限在计算机上运行任意代码。 概念验证代码有71行,导致越界(OOB)内存读取泄漏,但代码可仅需要简单的重新设计就可以获得更有害的结果。 微软在12月的补丁中解决了这个问题,强烈建议用户安装最新的累积更新,以确保浏览器和系统免受攻击。 了解更多: https://github.com/phoenhex/files/blob/master/pocs/cve-2018-8629-chakra.js   稿源:cnBeta,封面源自网络;

苹果商城发现恶意 Alexa 应用:下架前工具类 App 排行第六

近期国外安全专家在App Store上发现了一款名为“Setup for Amazon Alexa”的恶意APP,在下架之前它在工具类榜单中排行第6,在所有免费APP中排行第60。目前尚不清楚这款APP的真实意图,但显然这并非是由亚马逊官方制作的。 虽然这款恶意APP已经从App Store下架,但在背后依然存在很多的疑问。首先包含如此明显关键词的APP是如何通过审核上架的?目前外媒编辑在查询后发现App Store上还有两款不太和谐的应用程序,一个为Any Font for Instagram,而另一个为Marketplace  –  Buy / Sell,整体设计非常类似于Facebook。 这款名为“Setup for Amazon Alexa”的APP是由One World Software的,会向用户提交IP地址、序列号和名称。如果你的序列号和IP地址被泄露,那么最终可能会导致第三方恶意干扰。   稿源:cnBeta,封面源自网络;

卡巴斯基:明年将会出现盗用生物识别数据的攻击行动

新浪科技讯 12月27日下午消息,据台湾地区科技媒体iThome报道,俄罗斯安全企业卡巴斯基实验室(Kaspersky Lab)上个月公布了针对金融机构的2019年安全预测,指出明年将会出现首起盗用生物识别数据的攻击行动。 卡巴斯基指出,愈来愈多的金融机构开始支持生物识别系统,用来识别和认证用户。而到目前为止,已经发生了多起生物识别数据泄露的意外。这两个因素加在一起,让明年极有可能出现首例利用外泄的生物识别数据进行攻击的事件。 由于电子支付在印度、巴基斯坦、东南亚以及中欧等发展中国家日益普及,但这些国家金融组织的保护机制相对不成熟,因此在这些国家和地区可能会出现新的黑客集团。 而针对金融机构供应链的攻击也将延续到2019年,通常这些供应链上的软件供应链规模较小、安全措施也比较不足,黑客可能会借此渗透到供应链攻击汇款系统、银行及交易中心。 鉴于许多金融机构都缺乏实体的安全性以及对联网装置的控制,黑客只要利用联网装置就能入侵银行的内部网路。 研究人员建议金融卡的用户最好使用芯片金融卡,并设定双重认证,才不会成为黑客的头号目标;企业用的移动金融程序也有很大的机会成为黑客觊觎的对象;金融机构及企业的员工也将持续成为黑客的网络钓鱼目标以便进行诈骗行为。   稿源:新浪科技,封面源自网络;

当心!勒索病毒 WannaCry 仍然潜藏在世界各地的电脑上

新浪科技讯 12月27日下午消息,据台湾地区科技媒体iThome报道,安全公司Kryptos Logic中负责安全与威胁情报研究的Jamie Hankins上周在Twitter上表示,造成全球重大经济损失的勒索病毒WannaCry,至今仍然潜藏在世界各地的电脑上。 WannaCry利用EternalBlue攻击工具对微软Windows操作系统的服务器信息区块(SMB)漏洞展开攻击,而EternalBlue为美国国家安全局(NSA)所开发。 2017年5月12日,WannaCry在欧洲市场率先发难,加密被黑电脑上的文件并勒索赎金,并能主动侦测及入侵网络上其他有漏洞的设备,因此在短短的两天内,便在全球超过150个国家迅速感染了数十万台电脑。此外,今年造成台积电大规模停产的元凶也是WannaCry的变种。 减缓WannaCry肆虐的主要功臣是安全公司Kryptos Logic的研究人员Marcus Hutchins,他发现了WannaCry的勒索元件有一个“销毁”机制,即WannaCry会连至一个网络域名。如果WannaCry未发现该域名则加密电脑文件。换而言之,如果WannaCry连接到了该网络域名,则不会加密受感染电脑上的文件。 幸运的是,该域名竟然没人注册,随后Hutchins便注册了该域名,维持该域名的运作,成功阻止了WannaCry的勒索能力。 目前此一用来支撑“销毁”机制的域名由Cloudflare负责维护,有鉴于那些已感染WannaCry的电脑还是会定期连接到“销毁”域名,这让Kryptos Logic得以持续观察感染情况。 根据Jamie Hankins12月21日在Twitter上张贴的数据,他们当天的前24小时侦测到184个国家的22万个独立IP超过270万次连结到该“销毁”域名,前一周则有来自194个国家的63万个独立IP超过1700万次连结到该“销毁”域名。 不过,Hankins也说明这些独立IP无法代表实际的感染数量,只是这样的流量仍然很惊人。前五大流量来自中国、印尼、越南、印度及俄罗斯。 依然潜伏在电脑中的WannaCry还是有爆发的风险,例如一旦网络断线,或是无法连接“销毁”域名,WannaCry的勒索元件就会再度执行。 企业或者用户可通过Kryptos Logic免费提供的Telltale服务来侦测电脑上包括WannaCry在内的安全威胁。   稿源:新浪科技,封面源自网络;

新的 Google Chrome 攻击可能会让 Windows 10 设备发生假死

Google Chrome 中发现了一种可能完全冻结 Windows 10 设备的新漏洞。新的错误被用于技术支持骗局,让 Windows 10 出现假死,然后告诉用户他们的设备被病毒感染。新发现的错误使用 Javascript 代码创建循环,这使得无法关闭选项卡或浏览器。该弹出窗口还声称来自官方微软支持网站并声称该电脑感染了病毒,这可能会危及用户的密码,浏览器历史记录,信用卡信息和其他数据。 由于它是一个循环,每次用户尝试关闭它时,它几乎会立即再次打开,并将你的资源使用率推到 100%,这将最终让电脑死机。虽然这看起来像是一个操作系统问题,但它只是一个骗局,用户可以通过以下步骤轻松修复电脑。 从任务栏打开任务管理器,转到“进程”选项卡,点击 Google Chrome(或GoogleChrome.exe) 单击右下角的“结束任务”按钮。此外,请确保您尚未将 Google Chrome 设置为还原旧标签,因为这会再次打开欺诈网站。避免技术支持骗局的一种好方法是在支付任何钱修复您的设备之前对对方信息进行仔细核实。 这不是第一次确定针对谷歌浏览器的技术支持骗局。今年早些时候,我们报道了一个下载炸弹漏洞利用主要针对主要的网络浏览器,只有微软边缘可以应对这次攻击。防止被骗的一个很好的规则是要记住,公司通常不会要求用户付钱,除非他们彻底检查了设备并发现了问题。     稿源:cnBeta.COM,封面源自网络;

印度将允许执法与情报机构监控境内电脑上的任何信息

新浪科技讯 12月25日下午消息,据台湾地区科技媒体iThome报道,印度内政部下属的网络及信息安全部门在上周发布了一项命令,将允许印度的10个执法与情报机构可拦截、监控及解密境内任何电脑上所储存或接收的信息。 据报道,被赋予监控权限的单位包括情报局、麻醉品管制局、执法局、中央税务局、税收情报署、中央调查局、国家调查局、内阁秘书处、信号情报处及警务处处长。而服务供应商或电脑所有人则必须遵循这一命令,提供上述单位所要求的信息,否则必须支付罚款,或者面临最高7年的有期徒刑。 根据印度内政部的说明,这一命令是源自于该国的《信息科技法案》(Information Technology Act),该法案中的第69节阐明了当印度的主权、国防、国家安全、外交、公共秩序受到危害,或者为了避免受到危害时,可以要求任何机构监控运算装置。 印度通讯与信息科技部部长Ravi Shankar Prasad表示,上述单位肩负着国家安全的责任,但它们也必须得到内政部的批准,才能进行监控。 反对者则批评印度政府是在未经议会讨论下就偷偷地引入了这一侵犯民众隐私的权力,将把印度变成一个监控国家。   稿源:新浪科技,封面源自网络;