内容转载

= ̄ω ̄= 内容转载

漏洞中介为 Signal 、WhatsApp 和微信漏洞开出最高 50 万美元报价

根据 0day 中介公司 Zerodium 周三公布的最新收购报价,该公司向流行消息应用 Signal、FB Messager、iMessage、Viber、WhatsApp 、微信和  Telegram 的远程代码执行和本地提权漏洞开出了最高 50 万美元的报价。如图所示,该公司对 iPhone 越狱方法开出了最高 150 万美元(零用户交互)和 100 万美元的收购价。 这两个报价还是在 2016 年和 2015 年宣布的。对流行消息应用和默认电子邮件应用漏洞的高价悬赏显示了对移动用户的攻击正日益流行。去年,阿联酋被发现将以色列公司  NSO Group 开发的间谍软件秘密安装到该国人权活动人士的 iPhone 手机上,而根据NSO Group 的价格表,300个 许可证需要花费 800 万美元。 稿源:cnBeta、solidot,封面源自网络;

前程序员因操纵彩票中奖号码被判 25 年徒刑

2015 年 4 月美国前跨州彩票协会信息安全负责人 Eddie Raymond Tipton 被控纂改生成随机数的电脑,操纵中奖号码使其自己多次中彩,赢得了数千万美元的彩票奖金。 据悉,Tipton 在生成随机数的电脑上安装了一个动态链接库(DLL),这个程序设计在特定条件满足后触发,这些特定条件与彩票开奖日期有关。在条件满足之后程序将重定向生成器不生成随机数,而是使用一个 Tipton 能提前预测的算法产生中奖号码。本周,他被判 25 年徒刑。Tipton 称他真的很后悔,对所有他伤害的人表示歉意。 稿源:solidot奇客,封面源自网络;

苹果机器学习博客在线分享 3 篇有关 Siri 技术的最新文章

今年 7 月,苹果推出了 “ Apple Machine Learning Journal ” 在线博客。这个博客会定期分享苹果在机器学习、AI 和其他相关领域的进展。苹果分享的文章全部由苹果工程师写出,这也给予了他们分享自己进度以及与其他研究人员、工程师沟通的方式。 苹果于 8 月 24 日在机器学习博客分享了 3 篇新文章,都是关于 Siri 技术的。对于普通用户来说,第一篇文章可读性更高一些,主要涉及 iOS 11 中 Siri 语音助手的深度学习。 另外两篇文章主要提到了日期、时间和其他数字的呈现技术,以及 Siri 如何支持更多语言。 苹果机器学习播客在线分享的 3 篇文章包括: ○ 《 Deep Learning for Siri’s Voice: On-device Deep Mixture Density Networks for Hybrid Unit Selection Synthesis 》 ○ 《 Inverse Text Normalization as a Labeling Problem 》 ○ 《 Improving Neural Network Acoustic Models by Cross-bandwidth and Cross-lingual Initialization 》 稿源:cnBeta、威锋网,封面源自网络;  

黑客组织曝光足坛涉 “ 禁药 ” 名单,特维斯库伊特等名将在列

据英国《 泰晤士报 》于 8 月 23 日报道,黑客组织 “ 奇幻熊 ” 从足球管理机构以及足球协会的往来邮件中截取一批足坛涉 “ 禁药 ” 运动员名单并在线曝光。目前,泄露出来的名单有在 2010 年南非世界杯期间,被相关机构允许使用违禁药物的 25 人,其中包括特维斯、贝隆、库伊特、海因策、马里奥·戈麦斯等知名球员。 据悉,这些球员使用的药物包括倍他米松、地塞米松、沙丁胺醇等,不过这些运动员都是因为出于治疗的目的,经过申请后获得了使用这些药物的豁免权。此外,该组织还透露,在 2015 年,足坛共有 160 名运动员被检测出药物阳性。在被曝光的信息中,包括英足总发送给国际足联有关的四起反兴奋剂案件,其中有两起案件还在处理当中。 对此,英足总表示,“那些机密信息被公之于众很令人沮丧,那些进行中的案件的信息,直到最后调查结束之前,都不应该被公开泄露 ”。早于去年 9 月,这个名为 “ 奇幻熊 ” 的网络黑客组织就开始入侵体育管理机构和反兴奋剂机构的网络数据,并向外界公布大量通过申请药物豁免权以服用 “ 禁药 ” 照常参赛的运动员名单。 在此之前,包括英国长跑名将莫·法拉赫、日本乒乓球选手福原爱、捷克网球名将科维托娃、美国网球选手威廉姆斯姐妹等等,都在名单当中。此外,西班牙网球天王纳达尔也是其中之一,他曾表示,自己服用违禁药物获得了世界反兴奋剂组织的准许,“并没有什么好隐藏的”。 稿源:东方体育、澎湃新闻网,封面源自网络;

谷歌从 Google Play 上移除逾 500 款恶意应用

8 月 23 日上午消息,出于对间谍软件的恐慌,谷歌从其在线应用程序商店删除超过 500 款应用程序。本周,网络安全公司 Lookout 研究人员透露,发现超过 500 款应用程序可通过 Google Play 进入用户手机传播间谍软件。在应用程序中使用的某些软件,可在不提醒应用程序制造商的情况下,秘密将用户的个人数据转移到其设备上。 目前,多数应用程序开发人员可能并不知道这些安全漏洞的存在。Lookout 列举了两款受影响的应用程序——Lucky Cash 和 SelfieCity,两者随后均被锁定。虽然该公司没有透露其他受影响的应用程序,但他们表示,其中包括面向青少年的手机游戏、天气应用程序、在线电台、照片编辑、教育、健康、健身和家庭摄像机应用程序。 所有受影响的应用程序都使用了同一软件开发工具包(SDK),它可以帮助公司根据用户喜好对应用程序中的广告进行定向,收集用户数据。Lookout 人员发现,嵌入在应用程序中的 Igexin 广告 SDK 能够使这些应用程序与外界服务器进行交流,安全公司说,后者曾经向人们提供过恶意软件。 尽管应用程序偶尔与这些服务器进行通信的情况并不少见,但 Lookout 研究人员注意到一个奇怪的例子——其中一个应用程序似乎正在 “ 从这些服务器下载大型加密文件 ”。这一行动提示研究人员,黑客正在利用 SDK 中的一个漏洞。当应用程序被安装在设备上后,可能向外传播恶意软件。 虽然应用程序开发商有义务告知用户他们收集数据的方法,但 Lookout 指出,开发商可能并不知道的 Igexin SDK 可以为恶意软件大开方便之门。研究人员称,他们已将发现的安全楼道内通知谷歌公司,后者随后立即采取行动,在应用商店里删除了这些应用,或更换到不存在同样网络安全漏洞的新版本。 稿源:cnBeta、新浪科技,封面源自网络;

中国公司提供的广告 SDK 被发现内置后门

安全公司 Lookout Security Intelligence 研究人员近期发布报告,宣称浙江每日互动网络科技股份有限公司(个推)提供的个信广告 SDK 被内置后门,允许下载与执行任意代码。 据悉,用户最初下载的应用也许是干净的,但广告 SDK 通过向个信服务器发送请求后悄悄下载加密文件、引入恶意功能、收集用户个人数据。此外,个信广告还可以随时引入恶意间谍软件。研究人员表示,不是所有版本的个信广告 SDK 都含有后门,包含后门的恶意版本实现了一个插件框架允许客户端加载恶意代码。 目前,在 Google 官方应用商店 Google Play,超过 500 款应用使用了恶意版本的个信广告 SDK,这些应用的下载量超过一亿次。Google 在接到通知后从官方商店移除了恶意版本,或者更新到了使用非侵入式 广告 SDK的版本。 稿源:solidot奇客,封面源自网络;

黑客使用 .fish 域名网站骗取法国银行客户凭证

网络安全公司 Netcraft 发现黑客使用 .fish 域名网站伪装成法国银行官网瞄准客户进行钓鱼式攻击。当用户访问 parser.fish 时,他们将被重定向到一个伪装成法国银行 BRED 的越南网站,同时试图盗取用户银行证书。 经调查发现,Parser.fish 域名在多伦多的托管服务 Tucows 上匿名注册,这并非不平常,但这几乎不可能找出谁是网站拥有者,以及它是如何被黑,最有可能的解释是该网站遭到黑客入侵。幸运的是,目前该网站已被清除恶意代码。 .fish 成为顶级域名已经有一段时间,它是几个新顶级域名之一。如 .sexy、.tech 与 .xyz,它们和地理位置没有关系,.fish 顶级域名主要针对那些对水生生物感兴趣的用户。根据 Netcraft 的说法,访问量前 100 万位的网站当中只有有一个网站采用 .fish 和一个网站采用 .fishing 域名,目前大约有 6000 个网站 .fish 域名。 稿源:cnBeta,封面源自网络;

研究人员曝 iOS 版天气应用 AccuWeather 在禁用定位时仍偷发数据

信息安全研究人员 Will Strafach 近期刊文,指出著名气象预报公司 AccuWeather 的 iOS 应用偷发 GPS 坐标至合作的三方数据商 Reveal Mobile,即使在系统关闭定位分享权限时,AccuWeather 应用仍会向其发送用户无线路由 BSSID、蓝牙状态等。 由于在用户关闭定位服务时,AccuWeather 仍会向 Reveal Mobile 发送无线路由名称和 BSSID,因此 Strafach 怀疑该偷发数据用来监控用户定位。在 Strafach 36小时的测试时间内,未在测试 iPhone 前台运行的 AccuWeather 应用总共向 Reveal Mobile 发送了 16次 信息,几乎每个数小时就会发送。 Reveal 是一家向各出版商、开发者或媒体提供用户数据信息服务的公司。Reveal 通过app、gps、或蓝牙 beacon 三种途径监测用户数据。AccuWeather 是其合作应用,含有 Reveal 的监控 SDK。 作为回应,Reveal 声称所有数据的采集均是匿名、用户细分的,无意采集设备的个人定位信息,而且该公司的 SDK 并未在设备禁用定位服务的情况下,逆向工程收集用户设备的定位信息,Reveal 调查当前版本 SDK 的行为后,确实发现令人误解的行为,Reveal 会发布新版本的 SDK,确保在禁用定位服务时不再发送任何用户设备信息。 AccuWeather 也和 Reveal 发布联合回应,称应用并不会在禁用定位服务或者禁用授权的情况下,收集用户的 GPS 坐标信息。在禁用定位服务时发送的用户无线路由名称和 BSSID 是 Reveal SDK 的行为,AccuWeather 并不知情。而且 Reveal 确保该数据并不会用于记录用户定位,而且在新版本 SDK 中会取消。 稿源:cnBeta,封面源自网络;

研究报告:家用机器人极易遭到攻击并成为攻击者监视器

据外媒报道,或许人们需要一段时间才能让机器人为他们的生活带来真正的便捷,但等到那个时候,持有者必须要确保他的机器人是安全的才行。日前,来自西雅图的网络安全公司 IOAcitve 展示了如何攻击大量热门机器人–包括 Pepper 的技术。 被攻破的机器人将会变为一台监控设备,将向攻击者传输来自持有者的语音、视频,或是远程控制机器人对持有者进行伤害。 图:机器人 Pepper 研究人员表示,由于机器人 Alpha 2 个头娇小,因此持有者可以快速避开它的攻击,但随着技术的不断进步发展,未来势必会有更大型的机器人出现,而这对于人类来说将可能会成为一个威胁。除了 Pepper、Alpha、Nao等家用机器人之外,IOAcitve 还攻破了由 Universal Robotics 制造的工业机械臂。一旦它们被不法分子利用,那么就很有可能会对它们的人类同事造成伤害。IOAcitve 告诉媒体,Universal Robotics 机械臂拥有强大力量,即便它在非常慢的速度下运行,它的力量仍足够造成颅骨骨折。 稿源:cnBeta,封面源自网络;

马斯克领衔全球百名 AI 专家致信联合国《特定常规武器公约》会议

近年来,随着人工智能概念的走红,相关的应用构想也呈井喷之势伴随而来,其中最重要也是最会被公众所忽视的一个领域就是军事。目前,世界上的主要军事强国都在投入巨大的精力到智能自动化武器之中,各类无人车、无人机和无人船等新式装备层出不穷。而与此同时,这种军事技术的升级仿佛并没有使人们感受到一丝安全的气息,更多的反而是对于“大规模战争”、“机器人失控”等可能发生的事件忧心忡忡。 8 月 21 日,在澳大利亚墨尔本举办的 2017 年国际人工智能联合会议的开幕致辞上,以伊隆·马斯克(Elon Musk)与 DeepMind 联合创始人 Mustafa Suleyman 所牵头的来自 26 个国家的 116 名专家正式向联合国发表公开信,呼吁采取相关的措施来制止围绕“智能武器”而展开的军备竞赛。可能的话,还应该将这类武器纳入联合国的特定常规武器公约(CCW)的武器禁用名单。 图一:伊隆·马斯克 新南威尔士大学的人工智能教授 Toby Walsh 就说到:“所有技术都有两面性,AI 也不例外。它能帮助我们解决诸如贫困、气候变化、金融危机等许多当前面临的社会问题。但同样的技术用到武器上,也会让战争机器变得更加血腥。我们需要在当下做出决定,到底要利用人工智能来做什么? 正因如此,专家们在公开信中言辞激烈,甚至发出了严正的警告,认为当下发生在军事领域中的技术浪潮将是继火药和核武器之后“人类战争形式的第三次革命”。在这样的时代,一旦发生战争,其结果将是毁灭性的。不仅战争的规模将会是空前的,就连战争推进的速度都将快的超乎人类的想象。更有甚者,万一这类武器落入到恐怖分子或黑客的手中,那无疑将是对整个人类文明的巨大威胁。难怪有人惊呼:“留给我们的时间不多了,只要这个恐怖的潘多拉魔盒一打开,想再关上就难上加难了。” 图二:新南威尔士大学的人工智能教授 Toby Walsh 而从现实的角度来看,这种担心绝非是杞人忧天。战争机器人的概念已不仅仅停留在科幻电影中了,实际的发展比人们预想来得要快。当下,已经有大量的智能武器被发明出来并投入使用了。例如韩国三星公司的研发十年之久的 SGR-A1 机器人哨兵就拥有自主射击的能力,造价约 20 万美元,很有可能会部署在朝韩边境。 根据了解,这型自动武器系统的功能十分强大,不仅可以通过内置的摄像头、热量传感器和运动传感器来执行监视、声音识别等任务。甚至还可以对目标进行自动射击和发射榴弹攻击,其原型设备也可以适配在海陆空三军的武器平台上。但令人感到恐怖的是,SGR-A1 目前尚不能区分敌我的身份,轻易投入战场将会带来难以预估的灾难。 图三:SGR-A1 并不能很好地区分敌我 陆地作战力量的发展远不止于此,俄罗斯、美国和其他国家正在开发具有自主操作系统的坦克车辆,最具代表性的就是俄罗斯的天王星-9(Uran-9)多功能无人战车。还有越来越多的传统坦克战车将加载自主操作系统。与此同时,军用无人机的发展在最近几年也达到了一个高潮,例如英国 BAE 公司所研发的雷神无人机(Taranis drone)就可以搭载空空导弹和空地导弹进行自主飞行。其飞翼式的气动布局设计十分符合隐身的需要,常规的雷达将很难监测的到,预计会在 2030 年前后成为英国皇家空军的重要组成部分。 在海军方面,美军于 2016 年推出的无人战舰“海上猎手”号(Sea Hunter)最具代表性。它不仅能够在无人操控的情况下连续航行两三个月,最高时速可以达到 27 节,而且它还具有极强的反潜能力。此外,波音公司研发的无人水下航行器 Echo Voyager 也被会被美军用于军事用途。 图四:俄罗斯的 Uran-9 多功能无人战车 这一切都印证了众多人工智能专家此前的警告,即随着 AI 技术的快速发展,那种完全自动化的智能武器将在几年之内就成为部队的标配。也许有人会说,让机器人来代替人作战,不是会大大降低士兵的伤亡吗?但结果可能恰恰相反,人工智能技术的成熟以及智能作战机器人的普及意味着战争的门槛将被大大降低,任何人都可以操纵一支部队来挑起一场战争,由此带来的人类的伤亡恐怕只会越来越多。 实际上,这已经不是第一次有人公开呼吁要禁止智能武器的发展,早在两年前,以马斯克和霍金为代表的上千名人工智能及机器人行业的专家就提出了类似的公开信,而这在当时也引起了联合国的重视,推动了对禁止智能武器等相关问题的讨论。 图五:马斯克和扎克伯格 时至今日,围绕人工智能的争论一直没有休止,以马斯克和扎克伯格为代表的两方人士对 AI 的发展纷纷提出了自己的观点和看法。虽然其中的是非对错我们目前还无法做出准确的判断,但可以肯定的是,无论是什么技术,只要是为战争服务的,就必将成为人类为文明毁灭“自掘的坟墓”。 稿源:搜狐sohu,封面源自网络;