分类: 今日推送

大量 Mega 帐户的登录信息遭泄露并暴露了用户文件

据外媒 ZDNet 报道,Mega —— 这家于新西兰成立并提供在线云存储和文件托管服务的公司,目前被发现其平台中有成千上万的帐号凭证信息已在网上被公开发布。 被泄露的信息以文本文件形式提供,据了解这份文本文件包含超过 15,500 条用户名、密码和文件名的数据,这意味着这些帐号都曾出现异常登录的情况,并且帐号中的文件名也被爬取了。 这份文本文件最早由 Digita Security 公司的首席研究官和联合创始人 Patrick Wardle 于6月份在恶意软件分析网站 VirusTotal 上发现,而这份文件是在几个月前由一名据称在越南的用户上传的。 Wardle 提供的数据截图 ZDNet 表示他们已验证这些帐号,确认这些数据来自 Mega,通过联系多位用户,还确定这些电子邮件、密码和一些文件都是在 Mega 上使用的。 据”Have I Been Pwned”网站的管理员 Troy Hunt 分析,这些数据并不是通过直接入侵 Mega 而获取的,而是被撞库了。他说文件中 98% 的电子邮件地址已经存在于他的数据库中(于先前的漏洞中收集)。ZDNet 也表示,在他们联系的人中,有五人说他们在不同的网站上使用过相同的密码。 目前还不知道是谁创建的这份列表,也不知道这些数据是如何被爬取到的。虽然 Mega 提供端到端加密,但登录时没有使用双因素身份认证方式,因此攻击者只需使用登录凭据便可登录每个帐户,并抓取帐号中文件的文件名。 Mega 董事长 Stephen Hall 表示,Mega 不能通过检查文件内容来充当审查员的角色,因为它在被上传到 Mega 之前已在用户的设备上被加密,除了在技术上不可行之外,Mega 和其他主要云存储提供商实际上也做不到,毕竟每秒上传 100 多个文件。 这不是 Mega 第一次遇到安全问题。2016年,黑客声称通过利用其服务器中的安全漏洞获取了内部 Mega 文档。黑客还表示获取了与管理帐户关联的七个电子邮件地址。 Stephen Hal 表示当时没有任何用户数据遭到破坏。   稿源:开源中国,封面源自网络;

Ubuntu Launchpad 被爆安全漏洞:卸硬盘能绕过锁屏界面

6月中旬,Ubuntu Launchpad被爆存在安全BUG;任意用户只要卸下硬盘就能绕过锁屏界面。该漏洞确认影响Ubuntu 16.04.4,但不确认其他Ubuntu版本是否受到影响。整个攻击流程基本如下:用户启动进入Linux之后,打开程序和文件,然后机器暂停并进入低功耗模式后,写入设备状态到内存中。 一旦此时攻击者移除硬盘并唤醒系统,虽然会调到锁屏界面,但是用户能够输入任意密码进行访问。虽然有时会出现拒绝访问的情况,但是只要快速按下物理电源关键就能获取访问,而且如果没有跳出锁屏界面而是黑屏,可以尝试之前的步骤重新进入。 Canonical的安全工程师Marc Deslauriers表示:“我们不大可能会修复这个问题。物理访问意味着攻击者能够简单的访问硬盘,或者替换密码并解锁设备。” 此外也有用户透露屏保软件能够解决这个问题:“我相信屏保能够解决这个意外,即使底层库有问题也能阻止未经授权的访问。”   稿源:cnBeta,封面源自网络;

谷歌或对 Android 做出重大修改 以防被欧盟处以重罚

《华盛顿邮报》近日刊文称,谷歌可能面临来自欧洲监管机构的惩戒性罚款,因其强迫在自己和其它 OEM 设备制造商的 Android 智能手机上部署搜索和网络浏览工具。迫于压力,这可能导致这款全球市占率最高的移动操作系统,发生有史以来最重大的改变。知情人士 Margrethe Vestager 表示,预计罚款金额高达 数十亿美元。 她指出,这是多年以来,该地区反垄断机构第二次发现谷歌威胁到了它的企业竞争对手和消费者。 争议的核心,就是谷歌迫使 Android 设备制造商(手机/平板电脑)预装自己家的应用程序。 在欧盟看来,HTC 和三星等设备制造商面临着反竞争的选择 —— 将谷歌搜索设置为默认搜索引擎、并提供谷歌的 Chrome 浏览器,否则它们就无法访问 Android 热门应用程序商店。 如果缺乏该门户,Android 智能手机/平板电脑的使用者们,就无法轻松下载第三方商提供的游戏/其它应用,其中也包括谷歌竞争对手提供的服务。 Vestager 认为,这些安排旨在确保谷歌户籍保持互联网生态系统的主导地位。 即将作出的裁定,可能会禁止谷歌与设备制造商达成类似的应用安装协议。此外欧盟可能会迫使该公司为消费者提供一种更轻松的方式,以在手机或平板电脑上切换搜索引擎等服务。 对于此事,Vestager 发言人与谷歌方面都拒绝发表评论。不过谷歌发言人指出,当欧盟在 2016 年宣布调查是,该公司总法律顾问已经评价过: Android 带来了新一代的创新和跨平台竞争,无论如何,它是移动计算平台中最开放、最灵活、且最具差异性的。 对谷歌来说,制裁的后果是相当巨大的。毕竟搜索等包装工具,可为该公司提供捕获用户数据的方法,并向他们展示更多的广告。 消除了利润和洞察力的途径,可能促使谷歌重新考虑整个 Android 生态系统,向设备制造商免费授权以确保其被广泛使用,同时避开苹果等竞争对手。 代表谷歌的计算机与通信行业协会下属的竞争与欧盟监管政策副总裁 Jakob Kucharczyk 表示: 没有人会强迫你使用谷歌的应用,但如果你需要其中某一些、就必须全盘接受,这可确保谷歌从一开始就其提供开源资金支持。 欧盟的惩罚和调查,与美国形成了鲜明的对比。2013 年的时候,美国联邦监管机构对谷歌进行了更有限的调查,而不要求该公司做出重大改变。 Vestager 及其欧盟同僚,最近还因涉嫌逃税和范围隐私承诺,而对苹果和 Facebook 处以巨额罚金等惩戒措施。 不过苹果没有因为在其手机预装 app 而受到列斯审查,部分原因是它自行制造了设备。作为对比,Google 自家的 Pixel 手机,仅在 Android 市场中占有极少的份额。 曾对政府进行游说,希望对谷歌进行强有力的反垄断监管的 Yelp 公共政策高级副总裁 Luther Lowe 表示:“我们现在遇到的情况是,欧洲消费者有望享受比美国更好的保护”。 如果欧盟开始敲打 Android,那么美国反垄断机构(包括联邦贸易委员会 FTC 在内),或许也会迫于政治压力,而在此点燃对谷歌的调查。 谷歌坚持认为,该公司会确保 Android 作为一款开源操作系统,即便用户更换了设备,也能向他们提供一致的体验。但 Vestager 在 2016 年就表示,这妨碍了消费者寻找潜在更好的替代品。   稿源:网易科技,封面源自网络;

iOS 11.4.1想防止被美警方破解,却留下了新漏洞

网易科技讯 7月10日消息,据国外媒体报道,苹果于今天早上发布了iOS 11.4.1操作系统,引入了一种新的软件机制,以阻止了执法部门所惯用的密码破解工具。这款名为USB限制模式的工具可让iPhone手机在屏幕锁定一小时后无法访问任何类型的第三方软件。这样,恶意第三方或执法机构就无法使用GrayKey等密码破解工具来破解手机。 然而,网络安全公司ElcomSoft的研究人员发现了一个漏洞,只要你将USB配件插入iPhone的Lightning端口,无论手机过去是否连接过该配件就可以重置一小时计时器。 ElcomSoft公司的Oleg Afonin表示:“我们进行了多次测试,现在可以确认USB限制模式并不受设备重新启动或恢复设置的影响。换句话说,一旦USB限制模式已经被激活,并没有什么好方法可以破解USB限制模式。但我们发现,在将iPhone连接到USB配件后,即便其之前从未与iPhone连接过,iOS系统也将重置USB限制模式的倒数计时器。换句话说,一旦警察获得了iPhone,他们就需要立即将iPhone连接到兼容的USB配件,以防止USB限制模式在一小时后激活,从而锁定手机。重要的是,这只有在iPhone尚未进入USB限制模式时才有用。” Afonin说,苹果自己的Lightning转USB 3.0相机适配器就起效,该适配器在该公司的网上商店售价39美元。(Afonin同时指出,售价9美元的Lightning转3.5mm适配器就不起作用。)ElcomSoft显然正在测试其他适配器,包括廉价的第三方适配器,看看还有哪个能够重置计时器。 这似乎不是一个严重的漏洞,只是苹果公司的一个错误。 Afonin说这“可能仅仅是一种疏忽。”然而,这确实意味着执法部门完全可以绕过这个工具,并继续使用像GrayKey这样的破解工具。 “随着iOS 11.4.1的发布,正确扣押和运输iPhone设备的程序可能会被改变。在iOS 11.4.1之前,警察要做的只是将iPhone放入防静电袋,并将其连接到外接电池,就足以将其安全地运送到实验室,“Afonin总结道。   稿源:网易科技,封面源自网络;

2018 开源代码安全报告:每个代码库平均包含 64 个漏洞

Synopsys 公司近日发布了“2018 年开源代码安全和风险分析” Black Duck(黑鸭)报告,深入考察了商业软件中开源安全性,许可证合规以及代码质量风险的状况。本次报告讨论的是从 2017 年审计的超过 1,100 个商业代码库中的匿名数据所得出的结果,行业包括汽车、大数据(主要是人工智能和商业智能)、网络安全、企业软件、金融服务、医疗保健、物联网(IoT)、制造业和移动应用市场。 开源软件与定制代码相比,既不是更不安全,也不是更安全。但是,开源软件的某些特性使得流行组件中的漏洞对攻击者非常有吸引力。Black Duck(黑鸭)审计结果显示,现在,开源代码在商业应用和内部应用中无处不在,这在漏洞被披露时为攻击者提供了目标非常丰富的环境。漏洞以及对漏洞的利用通常是通过全国漏洞数据库(NVD,National Vulnerability Database)、邮件列表和项目主页等来源进行披露的。 商业软件把更新自动推送给用户,而开源软件与之不同,后者采用一种拉动支持(pull support)模式,即:用户自行负责跟踪他们所使用的开源软件的漏洞、修复和更新。开源代码可以通过多种方式进入代码库,不仅可以通过第三方供应商和外部开发团队进入,也可以通过内部开发人员进入。如果一个组织机构不了解其所使用的所有开源代码,它就不可能抵御针对这些组件中已知漏洞的常见攻击,并且它自己也会暴露在许可证合规风险之中。 2017 年,Black Duck On-Demand(黑鸭按需)审计在每个代码库中发现了 257 个开源组件。到 2018 年,每个代码库中开源组件的数量增长了约 75%。审计发现,96% 的被扫描应用中存在开源组件,这一比例与去年的报告相似。而在被扫描的应用的代码库中,开源代码的平均比例从去年的 36% 增长到 57%,这表明开源代码的使用量在持续大幅度增长,同时也表明,目前大量的应用所包含的开源代码要多于专有代码。 某些开源组件对开发人员来说非常重要,以至于这些组件在极大部分的应用中都能找到。今年,用于开发 HTML、CSS 和 JavaScript 的开源工具包 Bootstrap 出现在 40% 的全部被扫描应用中;紧随其后的是 jQuery,有36%的应用包括该开源组件。在各行业常见的组件中,值得注意的是 Lodash,这是一个为编程任务提供实用函数的 JavaScript 库。Lodash 是诸如医疗保健、物联网、互联网、市场营销、电子商务和电信等 行业所采用的应用中最经常使用的开源组件。 审计还发现,每个代码库中开源漏洞的数量增长了 134%,而 78% 的被检查代码库中包含至少一个漏洞,每个代码库平均包含 64 个漏洞。这一高增长率部分归因于2017年报告的创记录的漏洞数量。仅美国国家漏洞数据库(NVD,National Vulnerability Database)就列出了超过 14,700 个漏洞,而 2016 年仅列出 6,400 个漏洞。其他报告给出的漏洞总数超过 2 万个,其中近8000 是 NVD 报告未列出的。这些数字说明了 2017 年所报告的所有已知漏洞的情况,但其中超过 4,800 个是开源漏洞,这延续了已知开源漏洞为期五年的增长趋势。过去 17 年来,已经有超过 40,000 个开源漏洞被报道。 扫描揭示的另一个重要数据点是,所发现的漏洞的平均年龄正在增加。平均而言,审计中发现的漏洞大约在六年前已经被披露了,而在 2017 年报告则显示是四年前被披露。这表明,负责修复工作的人员需要花费更长时间才能完成修复(如果他们确实正在着手修复的话),这就使得越来越多的漏洞在代码库中积累起来。 此外,这些开源组件还广泛存在许可证问题,企业不太可能使用传统的电子表格方法来跟踪这么大量的许可证义务,而如果没有一套自动化流程的话,这可能就是件不可能的工作。这也导致 74% 的被审计代码库中包含存在许可证冲突的组件,其中最常见的是违反 GPL 许可证协议,存在于 44% 的代码库中。该报告进行审计的代码库中,85% 或存在许可证冲突,或包含不具备许可证的组件。 其中,互联网和软件基础设施垂直行业的应用包含高风险开源漏洞的比例最高,为 67%;其次是互联网和移动应用行业,比例为 60%。具有讽刺意味的是,网络安全行业的仍然被发现存在很高比例的高风险开源漏洞,虽然低于去年的59%,但依然高达41%,这使得该垂直行业处于第四高的位置。 在金融服务和金融科技市场中,34% 的被扫描应用包含高风险漏洞,而医疗保健、健康技术和生命科学垂直行业中的应用紧随其后,有 31% 的应用包含高风险漏洞。制造业、工业和机器人技术在这方面的比例最低,为 9%,这可能是由于 OEM(制造商)对整个软件供应链上的供应商施加压力,要求后者提供经过审查的、干净的代码。相反,制造业垂直行业在所有垂直行业中占据了第三大许可证冲突的位置,比例高达  91%。 事实上,根据黑鸭按需审计集团(Black Duck On-Demand)提供的审计数据,所有垂直行业的企业都应该关注开源许可证问题,也应该关注由于未能遵守开源许可证协议而导致的代码知识产权诉讼或侵权(compromise)所带来的潜在风险。存在许可证冲突的应用在各个行业分布情况互不相同:在零售和电子商务行业中低至 61%,而在电信和无线行业则很高 – 他们 100% 的被扫描代码都存在某种形式的开源许可冲突。 负责分析此报告的由 Synopsys 开源研究与创新中心(COSRI)表示,再争辩是否应该使用开源代码已经没有什么意义了。可以证明的是,目前,大多数应用程序代码都是开源的。在经过审计的包含开源代码的代码库中,这些代码库中平均 57% 的代码都是开源组件,这就证明,目前许多应用中所包含的开源代码要多于自有代码。随着开放源代码使用量的增长,风险也如影随形,主要原因在于企业缺乏适当的工具来识别他们内部的以及面向公众的应用程序中使用了多少或者什么样的开源组件。通过将策略、流程和自动化的解决方案集成到软件开发生命周期中,以便识别、管理和保护开源代码,企业才能够最大限度地发挥开源的优势,同时有效管理漏洞和许可风险。   稿源:开源中国,封面源自网络;

恶意软件伪装成《堡垒之夜》作弊外挂 作弊者遭感染被投送恶意广告

《绝地求生》《堡垒之夜》这些现象级游戏背后最令人厌恶的非作弊行为莫属,近日有尝试使用作弊外挂的《堡垒之夜》玩家感染恶意软件被劫持用于中间人攻击,注入各类恶意广告,而他们都曾经尝试过下载一款伪装成自瞄功能的外挂软件。 近日,据串流软游戏软件Rainway报道,从6月26日开始他们收到了超过38.1万起错误报告。通过发掘日志公司工程师发现,这些用户尽管有者不同的硬件和IP,但他们都曾经在平台串流玩过《堡垒之夜》,而造成这一异常错误报告现象的原因是这些感染了恶意软件的玩家,发起中间人攻击试图通过Rainway服务器代理向多个广告平台发起连接请求。由于Rainway采用了内部白名单,这些无法连接的请求产生了许多错误报告。工程师通过网址追踪到了这一恶意软件的源头,并且对比数千种外挂插件,找到了使用相同URL的《堡垒之夜》外挂插件。这一外挂插件号称能够提供自瞄功能,并且获得免费的V货币。 而起真实的目的是让作弊者劫持发动中间人攻击,投送多个广告或者恶意网址。工程师发现这一伪装成作弊外挂的恶意软件已经被下载了超过7.8万次。   稿源:cnBeta,封面源自网络;

欧盟最快7月18日对谷歌 Android 进行巨额反垄断罚款

新浪科技讯 北京时间7月4日早间消息,谷歌即将面临新一轮巨额反垄断罚款。在美国总统特朗普访问布鲁塞尔后,欧盟委员会最快可能于7月18日公布决定。 此次罚款数额可能将吸引媒体关注。去年,谷歌遭到了创纪录的24亿欧元(28亿美元)罚款。然而,持续最久的影响可能在于,谷歌如何解决人们对其Android系统的担忧。 消息人士透露,欧盟可能会要求谷歌调整手机业务的运作方式。谷歌可能将被迫解释,要如何做才能带来更多竞争。消息称,监管部门尚未就如何解决这方面问题与谷歌展开实质性讨论。 对于欧盟即将做出的决定,谷歌很可能通过欧盟法院提出挑战。这是阻止欧盟委员会决定生效的唯一途径,也将使局面产生更大的不确定性。谷歌可能会要求,欧盟关于Android的决定暂缓执行,直到上诉流程走完。这可能需要数年的时间。 消息人士透露,欧盟的公告可能会在7月18日左右公布。这是本月欧盟委员会四场会议之一召开的日期,欧盟委员通常会在这些会议上批准重要决定。欧盟监管部门可能希望避免在7月4日美国独立日,以及7月11日美国总统特朗普前往布鲁塞尔出席北约峰会时宣布决定,处罚美国最重要的公司之一,以免引发贸易纠纷。 谷歌和欧盟委员会拒绝就关于Android处罚的日期和内容发表评论。 凭借在Android生态内的中心地位,谷歌建立起了庞大的横幅广告和视频广告业务。市场研究公司eMarketer的数据显示,2018年谷歌在全球移动广告市场的份额将达到1/3,在美国以外该公司的销售额将约为400亿美元。如果被迫在Android业务上做出让步,那么谷歌可能会受到巨大损失。 布鲁塞尔欧盟消费者组织BEUC的奥古斯汀·雷纳(Agustin Reyna)表示:“消费者在移动搜索市场几乎看不到任何竞争。试图进入谷歌主导市场的公司会发现,由于无法匹配谷歌持有的数据量,因此很难参与竞争。”   稿源:新浪科技,封面源自网络;

Facebook 承认向 61 家公司提供用户数据特殊访问权限

凤凰网科技讯 据CNBC北京时间7月2日报道,Facebook承认,即使在2015年宣布限制对此类数据的访问后,它仍然允许61家公司访问用户数据。 《华尔街日报》刊文称,当地时间上周五,Facebook向美国国会提交了747页文档。Facebook在文档中承认,它“一次性”给予AOL、耐克、UPS和约会应用Hinge等公司6个月时间,使它们有时间适应公司在用户数据方面政策的修改。Facebook称,另外,至少其他5家公司可能访问了有限的用户数据,原因是Facebook在一次试验中授予了它们数据访问权限。 Facebook 2015年宣称已经禁止开发者访问其用户以及用户好友的数据。 数月前,政治咨询公司剑桥分析不当利用8700万名Facebook用户的个人信息被媒体曝光,在社会上引起轩然大波。 这一事件导致公众呼吁议会通过立法,迫使Facebook为其数据管理行为负责。Facebook股价因此在3月份下跌近20%,不过后来出现反弹。 Facebook未就此置评。   稿源:凤凰网科技,封面源自网络;

美国国安局称其已删除数亿未授权使用的通话记录

据外媒The Verge报道,美国国家安全局(NSA)近日表示,该机构在确定电信公司提供的一些信息包含未被授权使用的信息后,已于5月开始删除“通话详细记录”。据《纽约时报》报道,记录的数量可能是“数亿”。 该机构表示,这些记录可以追溯到2015年,并且该机构在意识到这些记录中有些可能没有被授权使用后,于5月23日开始删除记录后- 这些通话和信息数据的所有者可能永远不会与该机构监控的人员联系。该机构表示,“识别和隔离正确生成的数据”是“不可行的”,并选择销毁这些记录。 美国国家安全局总顾问Glenn S. Gerstell告诉《纽约时报》,由于“一些复杂的技术故障”,来自“一个或多个”电信公司的问题提供了太多的信息。他表示,美国国家安全局已经与这些公司合作纠正这个问题。 美国国家安全局被授权根据2001年的《美国爱国者法案》(USA PATRIOT Act)从电信公司中收集通话和文本记录,以试图找到恐怖主义嫌犯。尽管2015年签署的《美国自由法案》(USA Freedom Act)对国安局搜集美国民众信息的行为做出了一些限制,但该机构在2016年收集了超过1.51亿条记录,并在2017年收集了5.34亿条记录。该机构的秘密数据收集计划于2013年由斯诺登揭露,引发隐私权倡导者的哗然,并促使2015年法律的制定。   稿源:cnBeta,封面源自网络;

加州通过数据隐私法案 增强用户对信息控制权

新浪科技讯 北京时间6月29日上午消息,美国加州州长杰瑞·布朗(Jerry Brown)周四签署了一项数据隐私法案,目的是让用户对公司收集和管理个人信息的方式有更多控制权。此前,谷歌和其他大公司抗议这项立法造成了过多的障碍。 根据立法草案,从2020年开始,掌握超过5万人信息的公司必须允许用户查阅自己被收集的数据,要求删除数据,以及选择不将数据出售给第三方。公司必须依法为行使这种权利的用户提供平等的服务。 每次违法行为将被处以7500美元的罚款。这项法律将适用于加州用户。 加州民主党参议员鲍勃·赫茨伯格(Bob Hertzberg)表示:“对加州来说,这是迈出的一大步。这同时也是美国迈出的一大步。” 在布朗签署这项法案的几小时前,加州议会两院一致通过了这项立法。 这项措施将影响几乎所有大企业,尤其是在网络通信和商业中扮演越来越重要角色的大型科技公司。近期,Facebook、Uber和其他公司的数据泄露事故加大了监管介入的压力。 谷歌此前曾警告称,这项立法可能会造成意料之外的后果,但没有明确说明是什么样的后果。谷歌高级副总裁斯里达尔·拉马斯瓦米(Sridhar Ramaswamy)周二表示:“我们认为,存在一系列难以理解的分歧。对用户的隐私保护需要进行很好的平衡,以适应合法的商业需要。”   稿源:新浪科技,封面源自网络;