分类: 今日推送

145 个应用感染恶意程序 谷歌紧急下架

安全公司 Palo Alto 的一份报告指出,有 145 个 Google Play 应用程序被恶意的 Windows 可执行文件感染,在其向 Google 安全小组报告了调查结果后,谷歌从 Google Play 中删除了所有受感染的应用。 值得注意的是,受感染的 APK 文件不会对 Android 设备本身构成任何威胁,因为这些嵌入式 Windows 可执行二进制文件只能在 Windows 系统上运行。而这些 APK 文件之所以会被感染,原因在于 APK 开发者所使用的 Windows 系统已经被恶意程序感染,也就是说开发者在被感染后,不知不觉将恶意程序感染到其开发的 APP 上了。这种通过在开发生命周期中隐藏恶意程序,利用软件开发人员来实施大规模攻击的策略,在此之前已经有过案例,如 KeRanger、XcodeGhost 和 NotPetya 等,对软件供应链构成严重威胁。 大多数受感染的 APP 上架于 2017 年 10 月到 11 月之间,这意味着恶意程序已经潜伏了半年多。在这些受感染的 APP 中,有几个甚至有超过 1000 的安装量和 4 星评价。 报告中指出,在这些受感染的应用程序中,一个 APK 可能包含多个不同位置的恶意 PE(Portable Executable)可执行文件,它们的文件名不同,并且还以“Android.exe”、“my music.exe”、“COPY_DOKKEP.exe”、“js.exe”、“gallery.exe”与“images.exe”之类的名称­蒙混过关。而其中有两个 PE 文件比较突出,仅它们就覆盖了所有受感染 APK,主要功能是记录键盘输入,以获取信用卡号、社会保险号和密码等敏感信息。 读者也不用过于担心,Palo Alto 已经分析出了恶意 PE 文件在 Windows 系统上执行时会产生以下可疑活动: 在 Windows 系统文件夹中创建可执行文件和隐藏文件,包括复制自身 更改 Windows 注册表以在重启系统后进行自启动 试图长时间进入睡眼状态 通过 IP 地址 87.98.185.184:8829 进行可疑的网络连接活动 如果在自己的电脑中发现这些可疑行为,那么请及早排查,避免进一步受伤害。   稿源:开源中国社区,封面源自网络;

GitHub 推出 Python 安全警告,识别依赖包的安全漏洞

GitHub 宣布了 Python 安全警告,使 Python 用户可以访问依赖图,并在他们的库所依赖的包存在安全漏洞时收到警告。 安全警告首次发布是在 2017 年 10 月,为了跟踪 Ruby 和 JavaScript 程序包中的安全漏洞。据 GitHub 介绍,从那时起,数以百万计的漏洞被发现,推动了许多补丁的发布。 GitHub 会根据 MITRE 的公共漏洞列表(CVE)来跟踪 Ruby gems、NPM 和Python 程序包中的公共安全漏洞。CVE 是一个条目列表;每个条目都包含一个标识号、一段描述以及至少一项公共参考。这非常有助于促使管理员快速响应、通过移除易受攻击的依赖或迁移到安全版本来修复漏洞。 当 GitHub 收到新发布的漏洞通知,它就会扫描公共库(已经选择加入的私有库也会被扫描)。当发现漏洞时,就会向受影响的库的所有者和有管理员权限的用户发送安全警告。在默认情况下,用户每周都会收到一封邮件,其中包含多达 10 个库的安全警告。用户也可以自己选择通过电子邮件、每日摘要电子邮件、Web 通知或 GitHub 用户界面来接收安全警告。用户可以在通知设置页面调整通知频率。 在某些情况下,对于发现的每个漏洞,GitHub 会尝试使用机器学习提供修复建议。针对易受攻击的依赖的安全警告包含一个安全级别和一个指向项目受影响文件的链接,如果有的话,它还会提供 CVE 记录的链接和修复建议。通用漏洞评分系统(CVSS)定义了四种可能的等级,分别是低、中、高和严重。 据 GitHub 介绍,开始的时候,安全警告只会涵盖最新的漏洞,并在接下来的数周内添加更多 Python 历史漏洞。此外,GitHub 永远不会公开披露任何库中发现的漏洞。 依赖图列出了项目的所有依赖,用户可以从中看出安全警告影响的项目。要查看依赖图,在项目中点击 Insights,然后点击 Dependency graph。 要在 Python 项目中使用依赖图,需要在 requirements.txt 或 pipfile.lock 文件中定义项目依赖。GitHub 强烈建议用户在 requirements.txt 文件中定义依赖。 要了解更多信息,请查看 GitHub文档。   稿源:开源中国社区,封面源自网络;

惠普将向黑客支付高达 1 万美元赏金以寻找其打印机漏洞

周二,惠普宣布了第一个专门针对其打印机的 bug 赏金计划,为能够在其机器上发现漏洞的黑客提供高达1万美元的奖励。Bug 赏金是公司发现安全漏洞的常见方式,对于严重漏洞酬金支付可高达 10 万美元。在恶意使用漏洞之前,黑客已经能够在大公司获得一个全职工作来软件并报告错误。像谷歌和 Facebook 这样的公司已经将漏洞奖金作为加强其产品安全性的一种方式。 惠普在5月份悄然启动了计划,有 34 名研究人员报名参加。该公司负责打印机安全的首席技术专家 Shivaun Albright 上周接受采访时说,它已经向一名发现其打印机存在严重缺陷的黑客支付了 1 万美元。她说,由于物联网设备的漏洞,该公司专注于打印机安全性。 Albright 说,虽然人们非常关注连接设备及其安全漏洞,但它通常用于网络摄像头,智能电视或灯泡,而不是打印机。惠普技术专家指出,打印机可能是人们拥有的最古老,最常见的物联网设备。它们已经存在了很长一段时间,甚至在“物联网“一词出现之前,问题是,为什么客户不将打印机视为物联网? 2016 年,Mirai 僵尸网络 – 一个庞大的黑客攻击设备网络,曾经在网上造成严重破坏 – 导致网络中断,导致 Twitter,Netflix 和 Reddit 等热门网站遭遇破坏。 Albright 说,僵尸网络使用黑客入侵的物联网设备,如网络摄像头和 DVR,但打印机也是这种组合的一部分。 HP 的 bug 赏金计划将通过 Bugcrowd 运行,这是一个促进支付和邀请的平台。该程序目前是私有的,邀请研究人员加入。奥尔布赖特表示惠普有意将其公开,但目前仍在关闭状态以更好地管理发现的漏洞。受邀研究人员可以从他们家里的电脑上远程访问 15 台打印机,这些打印机在惠普的办公室中被隔离,他们可以窥探这些打印机,找到隐藏的漏洞。Albright 表示,对于 1 万美元的支付,研究人员必须找到严重的缺陷,例如远程代码执行,这将允许攻击者完全控制打印机。如果他们发现并报告任何缺陷,HP 将支付他们的发现费用,然后在下次更新时开始修复。   稿源:cnBeta.COM,封面源自网络;

谷歌推双重认证安全密匙硬件产品 Titan

据外媒报道,昨日,谷歌公布了一项惊人的统计数据,这家公司指出,自 2017 年年初开始,其 8.5 万名职工的工作账号未曾遭到过泄露。作为一家全球性的互联网巨头公司,按理说它会是钓鱼攻击的主要目标之一,那这家公司究竟是如何做到这点的呢? 这是因为谷歌开始要求其员工使用硬件安全密匙进行双重身份认证。 如今,双重认证已经变得非常普遍,但并非所有方法都是一样安全的。像基于 SMS 的双重认证,其肯定比只使用密码保护账号更安全,但它却存在漏洞。而物理密匙现在则被广泛认为是一种更加安全的双重认证,谷歌于昨日提出的主张就支持了这一观点。 对此,当看到谷歌开始涉足安全密匙业务领域也就不足为奇了。今日,这家公司发布了一款叫做 Titan 的新产品,这是一款兼容 FIDO 的物理密匙,它可用来保护支持该硬件的账号。眼下,来自世界各地的大型网站都已经支持通过安全密匙进行双重认证的方式,包括 Facebook、Twitter。 据了解,Titan 将有两个版本:USB 版和蓝牙版。USB 版,很显然需要将设备插到电脑的 USB 端口展开认证,而蓝牙版则用于移动设备的无线认证。获悉,两款密匙设备的套装价将在 50 美元左右,单独购买的话售价大概是 20 美元或 25 美元。 目前,Titan 只适用于 Google Cloud 用户–他们可以在注册后免费试用–但谷歌表示,他们将很快通过 Google Store 向所有人提供这项服务。   稿源:cnBeta.COM,封面源自网络;  

美国自动语音话务公司数以千计的选民信息遭曝光

据外媒ZDNet报道,一家位于弗吉尼亚州的主营政治竞选的自动语音话务公司Robocent的选民信息记录遭到外泄, 约有2600条选民的个人信息遭到曝光,记录包含选民的姓名、住址和政治倾向以及音频通话记录。 Kromtech信息安全公司的安全研究员 Bob Diachenko率先在个人博客中披露了其数据遭到曝光,并向媒体分享了经过隐私处理的数据记录截图,除了上述信息还包括选民的性别、电话、年龄和出生年月,邮编,民族,语言和教育水平。经过“计算”的政治倾向,例如“弱支持民主党”“坚定支持共和党”或“摇摆”。尽管美国大部分州的选民注册信息属于公开记录,但这些数据严格限于特定的目的,有些州严格防止选民数据用于商业用途。 Robocent 的联合创始人Travis Trawick确认公司的数据被安全保管,被曝光的数据记录来自于2013-2016年的公司统计,在过去两年中并未被使用。目前公司正在调查被公开数据,“所有曝光的数据都是公开访问信息,如果’法律需要’他会联系受影响的用户”。   稿源:cnBeta,封面源自网络;

欧盟对谷歌处50亿美元罚款 利用Android巩固搜索地位

新浪科技讯 北京时间7月18日晚间消息,欧盟委员会今日对谷歌处以43.4亿欧元(约合50.4亿美元)的反垄断罚款。自2011年以来,谷歌凭借其在互联网搜索市场的主导地位,对Android设备厂商和移动运营商做出了一些非法限制。 在未来90天内,谷歌必须要有效地结束这种行为,否则最高将面临其母公司Alphabet全球日平均营收额5%的罚款。 欧盟反垄断专员玛格丽特·维斯塔格(Margrethe Vestager)对此表示:“如今,移动互联网占到了全球互联网流量的50%多。它改变了欧盟数百万消费者的生活。这场官司涉及到谷歌对Android设备厂商和移动运营商作出的三方面限制,以确保Android设备上的流量流向谷歌自家搜索引擎。谷歌的这种行为把Android作为一款工具来强化其在搜索市场的主导地位,这种行为限制了竞争对手的竞争和创新能力,影响了欧盟消费者享受移动市场竞争所带来的裨益。这违反了欧盟的反垄断法规。” 谷歌对Android设备厂商和移动运营商作出的三方面限制,包括, 要求Android设备厂商预装谷歌搜索App和Chrome浏览器,作为授权谷歌Play Store应用商店的条件; 向特定大型Android设备厂商和移动运营商支付费用,要求他们独家预装谷歌搜索App; 阻止预装谷歌应用的设备厂商销售预装“分叉版”Android的智能设备。 谷歌的战略及欧盟委员会的调查范围: 谷歌通过其旗舰产品——谷歌搜索引擎——来获取绝大部分营收。谷歌意识到,从台式机向移动互联网的转移将给谷歌搜索带来根本性的改变。为此,谷歌基于此开发了一套战略,以确保消费者在其移动设备上继续使用谷歌搜索。 2005年,谷歌收购了Android移动操作系统的原始开发者,并继续开发Android系统。如今,欧洲、乃至全球约80%的移动智能设备都运行在Android平台上。 当谷歌开发出新版Android,会将其源代码公布到互联网上。这原则上允许第三方下载,并修改源代码来创建“分叉版”Android。这些开放的源代码只涉及到Android系统的基本功能,而不包括谷歌专属的Android应用和服务。设备厂商要想获得谷歌的专属Android应用和服务,需要与谷歌签署协议。但在签署协议时,谷歌会作出许多限制。 谷歌主要对Android设备厂商和移动运营商作出了三方面限制,这让欧盟委员会感到担忧。谷歌的这种行为相当于把Android作为一款工具来强化其在搜索市场的主导地位。换言之,欧盟的该裁决并不是在质疑谷歌的开源模式或Android操作系统。 谷歌的主导地位: 欧盟委员会的调查结果显示,谷歌在互联网搜索市场、移动操作系统和Android应用商店市场处于主导地位。 谷歌搜索服务 在欧洲经济区,谷歌搜索处于主导地位。在欧洲经济区的大部分成员国,谷歌的搜索市场份额超过90%。这就为其他竞争对手进入该市场设置了较高的壁垒。 移动操作系统 Android是一款可授权的智能移动操作系统,这意味着第三方设备厂商可授权和运行Android。通过对Android的控制,谷歌在全球可授权智能移动操作系统市场(中国除外)的份额高达95%以上。这就为竞争对手设置了较高的进入壁垒。 Android应用商店 谷歌主导着全球(中国除外)Android应用商店市场,Play Store占到了全球Android应用下载量的90%以上。这同样为竞争对手的进入设置了较高的壁垒。 违反欧盟反垄断法: 谷歌的这种市场垄断行为违反了欧盟的反垄断法。谷歌对Android设备厂商和移动运营商作出了三方面限制,全都是为了进一步巩固其在搜索市场的主导地位。 1)非法捆绑谷歌搜索和谷歌浏览器 谷歌要求Android设备厂商预装谷歌搜索App和Chrome浏览器,作为授权谷歌Play Store应用商店的条件。 欧盟的调查结果显示,设备厂商承认,Play Store应用商店属于“必要”应用,但另外两种捆绑行为属于非法行为,即捆绑谷歌搜索应用Google Search和Google Chrome浏览器。 预装会给谷歌带来先天优势。通常,用户发现设备上预装搜索或浏览器应用,就会坚持使用它们。 例如,欧盟的调查结果显示,2016年通过Android设备(预装谷歌搜索和浏览器)进行的搜索,95%以上通过谷歌搜索进行的。 而在没有预装谷歌搜索和浏览器的Windows Mobile设备上,不到25%的搜索是通过谷歌搜索进行的,75%是通过微软必应搜索进行的,后者预装在Windows Mobile设备上。 与此同时,委员会还仔细评估了谷歌所谓的“绑定谷歌搜索应用和Chrome浏览器是有必要的”这一辩解,评估尤其侧重这样的捆绑可以允许谷歌从其在Android上的投资获利,并而后总结谷歌的这些辩解缺乏事实依据。谷歌仅靠Google Play Store这一项获得的年收入就高达数十亿美元,并从Android设备上收集大量对谷歌搜索和广告业务十分有价值的数据,并且公司仍旧可以不受限制地从搜索广告中获益。 2)基于独家预安装谷歌搜索的非法支付 谷歌为一些大型的设备制造商以及移动网络运营商提供了显著的金融激励措施,条件是他们在整个Android设备产品线中独家预安装谷歌搜索。通过大幅减少他们预安装竞争性搜索应用的动力,这极大地损害了竞争。 委员会的调查显示,竞争对手的的搜索引擎将无法在赔偿设备制造商或移动网络运营商损失的谷歌收益分成后仍然保持盈利。这是因为,即便竞争性搜索引擎预先安装在少数设备之上,他们仍必须向设备制造商或移动网络运营商赔偿他们所损失的谷歌为所有设备向其支付的收益分成。根据最近欧盟法院对英特尔的裁决,委员会在其他因素之外,一并考虑了给予了激励的条件、他们的金额、这些协议覆盖的市场份额以及持续时间等。 基于此,委员会认为,谷歌的行为在2011年到2014年期间已违法。2013年(在委员会着手调查此事之后),谷歌开始逐步解除这一要求。该违法行为于2014年有效终止。 委员会还仔细评估了谷歌所谓的“为整个的Android设备产品线独家预安装谷歌搜索给予金融激励是有必要的”这一辩解。对此,委员会驳回了谷歌的说法,即排他性的支付对于说服设备制造商和移动网络运营商为Android生态系统生产设备是必要的。 3)非法阻碍竞争性Android操作系统的开发和分销 谷歌一项不允许设备制造商使用任何未经谷歌许可的Android替代版本系统。为了能在他们的设备上预安装谷歌的专有应用,包括Play Store和谷歌搜索,制造商必须承诺不开发或销售任何运行Android替代版本系统的设备,哪怕就一台也不行。委员会发现,该行为在2011年影响恶劣,当时谷歌的Android移动操作系统在应用商店市场占据主导地位。 此举减少了开发和销售运行Android替代版本系统之设备的机会。比如,委员会发现有证据表明,谷歌的行为妨碍了许多大型制造商开发和销售运行亚马逊之Android替代版本系统——“Fire OS”——的设备。 这样一来,谷歌也阻断了竞争对手引入应用和服务的重要渠道,尤其是可以预安装在Android替代版本系统上的一般搜索服务。因此,谷歌的行为对用户造成了直接影响,使他们无法获得运行Android替代版本操作系统的进一步创新和智能移动设备。换句话说,由于这种行为,事实上,有效决定哪种操作系统可以繁荣发展的并非用户、应用开发商和市场,而是谷歌。 委员会还仔细评估了谷歌所谓的“这些限制对防止Android生态系统的碎片化是有必要的”这一辩解,并认为这些辩解也缺乏事实依据。首先,谷歌可以确保使用谷歌专有应用和服务的Android设备符合谷歌的技术要求,而不是阻碍Android替代版本系统的出现。其次,谷歌并未提供任何可信证据证明Android替代版本系统或可受技术故障影响或无法支持应用的使用。 委员会之决定总结认为,在移动互联网之重要性显著增长之际,这三种类型的违法行为构成了谷歌整体战略的一部分,从而以巩固谷歌在互联网搜索中的优势地位。 首先,谷歌的行为剥夺了竞争性搜索引擎与之竞争的可能性。捆绑行为确保了谷歌的搜索引擎和浏览器得以预先安装到几乎所有的谷歌Android设备上,而排他性支付严重打击了预安装竞争性搜索引擎的积极性。谷歌也妨碍了Android替代版本系统的开发,后者本可以为竞争性搜索引擎提供发展平台。谷歌的战略还阻止了竞争性搜索引擎从智能移动设备上收集更多数据,包括搜索和移动定位数据,此举帮助谷歌巩固了其在搜索引擎方面的优势地位。 此外,谷歌的行为也损害了互联网搜搜领域以外,更广泛的移动领域中的竞争和进一步创新。这是因为他们阻碍了其他移动浏览器与预安装的谷歌Chrome浏览器进行有效竞争。最后,谷歌妨碍了Android替代版本系统的开发,后者本也可以为其他应用开发商提供发展平台。 决定后果 鉴于违法行为的持续时间和严重程度,委员会决定对谷歌处以4,342,865,000欧元罚款。根据委员会2006年罚款准则,罚款根据谷歌在欧洲经济区(EEA)从Android设备上之搜索广告服务取得的收入价值来计算。 委员会的决定要求谷歌在作出决定后的九十天内以有效方式终止其非法行为。 至少,谷歌必须停止并不再重蹈以上三种类型之行为的任何一种。该决定还要求谷歌避免再采取具有与上述行为一致或相当的目标或效果的任何措施。 决定并未阻止谷歌建立一个合理、公平且客观的体系,以确保当前使用谷歌专有应用和服务的Android设备正常运行,但不应影响设备制造商生产运行Android替代版本系统之设备的自由。 谷歌须自行确保遵守委员会的决定。委员会将密切关注谷歌的合规性,并且谷歌有义务随时向委员会通报其将如何履行其义务。 若谷歌未能确保遵守委员会的决定,则谷歌须支付高达谷歌母公司Alphabet之全球平均日营业额5%的违约费。委员会或将另外决定此类违约费,费用从违约发生开始时计算。 最后,谷歌或可面临任何受其反竞争行为影响之个人和企业在欧盟成员国法院提起赔偿民事诉讼。新的欧盟反垄断赔偿指令如今可让反竞争行为受害者更加容易地获得赔偿。 其他的谷歌案件 2017年6月,委员会就谷歌向其自有的比较购物服务提供非法优势而滥用公司在搜索引擎领域的优势地位,对谷歌处以24.2亿欧元罚款。委员会目前仍在积极监督谷歌对该决定的遵守情况。 委员会还将继续调查谷歌对某些第三方网站展示来自谷歌竞争对手之搜索广告的能力的限制(即AdSense一案)。2016年7月,委员会得出初步结论,认为在涉及AdSense的一案中谷歌有滥用其优势地位之嫌。 背景 今天的决定主要针对Google LLC(前Google Inc.)和谷歌的母公司Alphabet。委员会曾于2015年4月就谷歌对Android操作系统和应用程序采取的行为提起诉讼,并于2016年4月向谷歌发出“异议声明”(Statement of Objections)。 《欧洲联盟运作条约》(TFEU)第102条和《欧洲经济区协议》第54条均命令禁止滥用优势地位。更多关于本调查的信息可参考欧盟委员会的竞争网站。   稿源:新浪科技,封面源自网络;

普京提议与美国成立信息安全合作组织,调查涉美大选指控

在周一备受争议的赫尔辛基峰会期间,俄罗斯总统普京提出一项议程。从表面上看,这将促使美国和俄罗斯结盟。这意味着两国将形成非常奇怪的关系。就在几天前,美国司法部还以 2016 年民主党全国委员会遭黑客攻击为由, 起诉了俄罗斯的 12 名情报官员 。 但无论如何,俄罗斯总统都试图重启美俄之间关于信息安全事务的合作讨论。对任何关心美国信息安全利益的人来说,这样的提议都将是全球两个大国领导人之间令人困惑的亲密关系的最糟糕结局。一年前,特朗普曾在 Twitter 上对这样的提议表示称赞。 普京在赫尔辛基表示:“特朗普总统再次提到美国大选期间所谓俄罗斯干涉的问题。我不得不重复已经说过多次的话……” “对于任何具体材料,如果有这样的东西存在,我们都准备好一起去分析。例如,我们可以通过信息安全联合工作组来展开分析。在此前的接触中,我们讨论过成立这样的组织。” 普京还表示,俄罗斯支持“在反恐和保障信息安全方面的继续合作”。 “最近的一个案例是在刚刚结束的世界杯期间的运营合作。”普京说,“一般来说,情报部门的接触应该建立在全系统基础上,引入至系统框架。我提醒特朗普总统关于重建反恐工作组的建议。” 去年,特朗普提议与俄罗斯合作建立“无法渗透的信息安全部门”,但遭到了美国两党的强烈反对。此后,特朗普做出了让步,称这些观点纯属假设。无论这样的提议能否真的实现,这个想法都明显背离美国的国家安全准则,被认为是引狼入室,尤其考虑到许多证据表明,在信息安全领域俄罗斯是美国的对手,无论是现在还是过去。 2017 年,美国情报界发布了 明确的声明 : 俄罗斯试图影响 2016 年美国大选的做法,是莫斯科长期以来试图破坏以美国为首的自由民主秩序的最新体现。但与以往的做法相比,这些活动在直接程度、活跃水平,以及措施范围等方面都有明显的升级。 报告指出,这些信息来源广泛。“包括具体的信息安全行动在内,关于俄罗斯行为的信息以及俄罗斯对美国关键参与者的看法,都源于多个确证的来源。” 参与调查 2016 年民主党全国委员会黑客事件的信息安全公司 CrowdStrike 将俄罗斯列入了“值得注意的国家对手”名单。其他进入名单的还有朝鲜和伊朗等国。 就在几天前,美国国家情报负责人丹·科茨(Dan Coats)还表示,关于对美国联邦、各州和地方政府部门的黑客攻击,“警告灯再次开始闪烁红灯”。科茨指出,俄罗斯、伊朗和朝鲜是针对美国的信息安全攻击者,“而毫无疑问俄罗斯是最具侵略性的外国势力”。 目前还不清楚,美国能否从这样的协议中获利。美国可能会从中受到损失,因为俄罗斯 仍然有兴趣去影响美国大选 。普京在赫尔辛基的言论表明,这种行为的精神依然存在,尽管可能受到了误导。   稿源:TechCrunch,翻译:维金,封面源自网络;

大量 Mega 帐户的登录信息遭泄露并暴露了用户文件

据外媒 ZDNet 报道,Mega —— 这家于新西兰成立并提供在线云存储和文件托管服务的公司,目前被发现其平台中有成千上万的帐号凭证信息已在网上被公开发布。 被泄露的信息以文本文件形式提供,据了解这份文本文件包含超过 15,500 条用户名、密码和文件名的数据,这意味着这些帐号都曾出现异常登录的情况,并且帐号中的文件名也被爬取了。 这份文本文件最早由 Digita Security 公司的首席研究官和联合创始人 Patrick Wardle 于6月份在恶意软件分析网站 VirusTotal 上发现,而这份文件是在几个月前由一名据称在越南的用户上传的。 Wardle 提供的数据截图 ZDNet 表示他们已验证这些帐号,确认这些数据来自 Mega,通过联系多位用户,还确定这些电子邮件、密码和一些文件都是在 Mega 上使用的。 据”Have I Been Pwned”网站的管理员 Troy Hunt 分析,这些数据并不是通过直接入侵 Mega 而获取的,而是被撞库了。他说文件中 98% 的电子邮件地址已经存在于他的数据库中(于先前的漏洞中收集)。ZDNet 也表示,在他们联系的人中,有五人说他们在不同的网站上使用过相同的密码。 目前还不知道是谁创建的这份列表,也不知道这些数据是如何被爬取到的。虽然 Mega 提供端到端加密,但登录时没有使用双因素身份认证方式,因此攻击者只需使用登录凭据便可登录每个帐户,并抓取帐号中文件的文件名。 Mega 董事长 Stephen Hall 表示,Mega 不能通过检查文件内容来充当审查员的角色,因为它在被上传到 Mega 之前已在用户的设备上被加密,除了在技术上不可行之外,Mega 和其他主要云存储提供商实际上也做不到,毕竟每秒上传 100 多个文件。 这不是 Mega 第一次遇到安全问题。2016年,黑客声称通过利用其服务器中的安全漏洞获取了内部 Mega 文档。黑客还表示获取了与管理帐户关联的七个电子邮件地址。 Stephen Hal 表示当时没有任何用户数据遭到破坏。   稿源:开源中国,封面源自网络;

Ubuntu Launchpad 被爆安全漏洞:卸硬盘能绕过锁屏界面

6月中旬,Ubuntu Launchpad被爆存在安全BUG;任意用户只要卸下硬盘就能绕过锁屏界面。该漏洞确认影响Ubuntu 16.04.4,但不确认其他Ubuntu版本是否受到影响。整个攻击流程基本如下:用户启动进入Linux之后,打开程序和文件,然后机器暂停并进入低功耗模式后,写入设备状态到内存中。 一旦此时攻击者移除硬盘并唤醒系统,虽然会调到锁屏界面,但是用户能够输入任意密码进行访问。虽然有时会出现拒绝访问的情况,但是只要快速按下物理电源关键就能获取访问,而且如果没有跳出锁屏界面而是黑屏,可以尝试之前的步骤重新进入。 Canonical的安全工程师Marc Deslauriers表示:“我们不大可能会修复这个问题。物理访问意味着攻击者能够简单的访问硬盘,或者替换密码并解锁设备。” 此外也有用户透露屏保软件能够解决这个问题:“我相信屏保能够解决这个意外,即使底层库有问题也能阻止未经授权的访问。”   稿源:cnBeta,封面源自网络;

谷歌或对 Android 做出重大修改 以防被欧盟处以重罚

《华盛顿邮报》近日刊文称,谷歌可能面临来自欧洲监管机构的惩戒性罚款,因其强迫在自己和其它 OEM 设备制造商的 Android 智能手机上部署搜索和网络浏览工具。迫于压力,这可能导致这款全球市占率最高的移动操作系统,发生有史以来最重大的改变。知情人士 Margrethe Vestager 表示,预计罚款金额高达 数十亿美元。 她指出,这是多年以来,该地区反垄断机构第二次发现谷歌威胁到了它的企业竞争对手和消费者。 争议的核心,就是谷歌迫使 Android 设备制造商(手机/平板电脑)预装自己家的应用程序。 在欧盟看来,HTC 和三星等设备制造商面临着反竞争的选择 —— 将谷歌搜索设置为默认搜索引擎、并提供谷歌的 Chrome 浏览器,否则它们就无法访问 Android 热门应用程序商店。 如果缺乏该门户,Android 智能手机/平板电脑的使用者们,就无法轻松下载第三方商提供的游戏/其它应用,其中也包括谷歌竞争对手提供的服务。 Vestager 认为,这些安排旨在确保谷歌户籍保持互联网生态系统的主导地位。 即将作出的裁定,可能会禁止谷歌与设备制造商达成类似的应用安装协议。此外欧盟可能会迫使该公司为消费者提供一种更轻松的方式,以在手机或平板电脑上切换搜索引擎等服务。 对于此事,Vestager 发言人与谷歌方面都拒绝发表评论。不过谷歌发言人指出,当欧盟在 2016 年宣布调查是,该公司总法律顾问已经评价过: Android 带来了新一代的创新和跨平台竞争,无论如何,它是移动计算平台中最开放、最灵活、且最具差异性的。 对谷歌来说,制裁的后果是相当巨大的。毕竟搜索等包装工具,可为该公司提供捕获用户数据的方法,并向他们展示更多的广告。 消除了利润和洞察力的途径,可能促使谷歌重新考虑整个 Android 生态系统,向设备制造商免费授权以确保其被广泛使用,同时避开苹果等竞争对手。 代表谷歌的计算机与通信行业协会下属的竞争与欧盟监管政策副总裁 Jakob Kucharczyk 表示: 没有人会强迫你使用谷歌的应用,但如果你需要其中某一些、就必须全盘接受,这可确保谷歌从一开始就其提供开源资金支持。 欧盟的惩罚和调查,与美国形成了鲜明的对比。2013 年的时候,美国联邦监管机构对谷歌进行了更有限的调查,而不要求该公司做出重大改变。 Vestager 及其欧盟同僚,最近还因涉嫌逃税和范围隐私承诺,而对苹果和 Facebook 处以巨额罚金等惩戒措施。 不过苹果没有因为在其手机预装 app 而受到列斯审查,部分原因是它自行制造了设备。作为对比,Google 自家的 Pixel 手机,仅在 Android 市场中占有极少的份额。 曾对政府进行游说,希望对谷歌进行强有力的反垄断监管的 Yelp 公共政策高级副总裁 Luther Lowe 表示:“我们现在遇到的情况是,欧洲消费者有望享受比美国更好的保护”。 如果欧盟开始敲打 Android,那么美国反垄断机构(包括联邦贸易委员会 FTC 在内),或许也会迫于政治压力,而在此点燃对谷歌的调查。 谷歌坚持认为,该公司会确保 Android 作为一款开源操作系统,即便用户更换了设备,也能向他们提供一致的体验。但 Vestager 在 2016 年就表示,这妨碍了消费者寻找潜在更好的替代品。   稿源:网易科技,封面源自网络;