分类: 国际动态

FBI 将 FaceApp 视作俄罗斯的潜在威胁

作为一款受欢迎的 AI 人脸编辑器,FaceApp 的趣味性已经被大量用户给证实。然而美国联邦调查局(FBI)却担心,该应用或对国家安全造成潜在的威胁。11 月 25 日,FBI 助理主任 Jill Tyson 在致纽约民主党参议员 Chuck Schumer 的信中称:该机构正在调查 FaceApp 与俄罗斯之间的联系 —— 因为这款 App 来自俄罗斯,且俄方可访问境内的数据。 (截图 via App Store) 实际上,FBI 的这番回答,是针对 Chuck Schumer 在 7 月 17 日发来的一封信的回应。 当时这款应用引发了病毒式传播,就连乔纳斯兄弟(Jonas Brothers)和勒布朗·詹姆斯(LeBron James)等名人都在用 FaceApp 来拍摄自己的“AI 老年照”。 一些持怀疑态度的人在仔细研究了 FaceApp 的服务条款之后,发现其隐私政策允许应用开发者获得图像的永久权利和向广告商提供数据,并据此提出了他们的担忧。 (截图 via Cnet) 7 月份的时候,移动安全公司 Guardian 首席执行官 Will Strafach 对该应用进行了分析,并对 FBI 的评估感到过虑。 Strafach 表示:“我们没有观察到 FaceApp 中有恶意行为的证据,即便是草率的开发实践,也已经通过弹出式对话框而得到解决。无证据表明有外国情报威胁,且 FBI 的这种说法,对海外开发商是相当不公平的”。 显然,比起应用程序本身的安全性,FBI 更关注 App 的起源地。该机构并未在信用引用任何 FaceApp 掩盖进行间谍或影响政治选举的证据,但指出俄罗斯的数据保留法案,允许政府向境内运营的企业索取相关公民数据。 对于此事,FaceApp 和 FBI 方面均未予置评。     (稿源:cnBeta,封面源自网络。)

美国司法部修正无人机法案 要求进行网络安全评估

本周三美国司法部发布了无人机修正法案,旨在取代2015年的政策指南。据悉新政策沿用了旧版的规范和法规,并重点针对网络安全和隐私保护添加了一些关键内容。在新修正案中,要求相关部门出于网络安全风险的需求对无人航空载具(UAS)企业的并购进行严苛审查,以防范针对供应链和DOJ网络的潜在威胁。   此外新修正案中,美国司法部(DOJ)将会和美国联邦航空局(FAA)围绕制定空中交通支持等规范进行协调。此外新政策中特别提及无人机相机和传感器中收集的信息,表示将会权衡“潜在侵扰性以及对公民隐私和自由的影响”和政府利益之间的关系。 新政策仍然要求对无人机使用进行年度隐私审查,并在个人识别数据上保留 180 天的数据曲线,除非确定保留信息是出于授权目的所必需的,或者保留在《隐私法》系统中记录。 上个月,由于涉及无人机捕获的镜头的网络安全问题,美国内政部将所有 800 架无人机(无人飞行器)停飞。内政部的无人机用于扑灭森林大火,检查土地受损,监测水坝和观察濒危物种,但有人担心包含机密信息的无人机镜头可能落入错误的人手中。   (稿源:cnBeta,封面源自网络)    

美商务部拟对外国 IT 设备潜在的国家安全风险制定新规

据外媒报道,美国商务部正在进一步确定如何评估和应对外国电信设备给其带来的国家安全风险。当地时间周二公布的拟议规则将让该部门根据具体情况决定某一事件是对国家安全构成不可接受的风险还是对美国人的安全和保障构成不可接受的风险以及是否禁止该行为。 美国商务部长威尔伯·罗斯表示,拟议中的规则将“展示我们保护数字经济的承诺,同时还将兑现特朗普总统对我们数字基础设施的承诺”。 未来,商务部长将根据国土安全部部长和国家情报总监提供的评估做出决定。现在,美商务部正就未来30天内的拟议规则征求意见。   (稿源:cnBeta,封面源自网络。)

因个人账户被封 以色列网络监控公司 NSO 的员工起诉 Facebook

据路透社报道,以色列网络监控公司NSO Group的一群员工周二对Facebook提起诉讼,称这家社交媒体巨头在上个月起诉NSO时不公平地删除了其个人帐户。Facebook旗下的消息服务WhatsApp上个月在一起法律诉讼中指控NSO,称这家公司帮助政府间谍窃取了1400名Facebook用户信息,其攻击目标包括外交官、政治异议人士、记者和政府高级官员等。 NSO员工表示,他们的Facebook和Instagram帐户以及此前的员工和家庭成员的帐户已被封。他们向特拉维夫地方法院请愿,要求Facebook解封这些帐户,他们声称这是突然发生的,在此之前并未收到通知。 Facebook在一份声明中表示,在将“复杂的网络攻击”归因于NSO Group及其员工之后,其已禁用了“相关帐户”。该公司表示,出于安全考虑,继续这些行动“是必要的,包括防止其他攻击。”该公司补充说,它已通过上诉程序重新启用了一些帐户。 NSO员工在声明中表示,由于Facebook针对NSO进行的法律程序,Facebook选择关闭个人帐户而施加了“集体惩罚”。他们还表示,他们的诉讼是在他们多次向Facebook提出要求而未得到答复之后才提出的。 声明指出:“关闭我们的个人帐户是Facebook的一种伤害性且不公正的举动。搜索和使用个人数据的想法对我们非常困扰”。这些员工表示,他们将继续“通过我们正在开发的技术,帮助世界各国政府预防犯罪和恐怖主义”。 WhatsApp指责NSO促进了20个国家/地区的政府黑客行为。唯一确定的国家是墨西哥,阿联酋和巴林。NSO则否认了这些指控。 周一在特拉维夫举行的一次技术会议上,NSO总裁Shiri Dolev为该公司辩护,称NSO技术使整个世界更加安全。Dolev还表示,她希望NSO可以公开谈论其在帮助执法机构抓捕恐怖分子方面所发挥的作用。 她表示:“恐怖分子和罪犯每天都在使用社交平台和应用程序……”Dolev补充说,NSO不会将该技术用于入侵手机。她表示:“我们开发了专门卖给政府情报机构的技术。”   (稿源:cnBeta,封面源自网络。)

印度政府:法律允许政府机构监控公民设备

据外媒报道,当地时间周二,印度内政部部长G. Kishan Reddy引用《2000年信息技术法》第69章节、《1885年电信法》第5章节内容称,为了国家安全或跟外国保持友好关系,政府有权拦截、监控或解密公民设备上生成、传输、接收或存储的任何数字通信。 据悉,Reddy的这番言论则是对印度议会的回应,一名议员询问政府是否监听了公民的WhatsApp、Messenger、Viber和谷歌电话和信息。 本月早些时候,印度19名活动人士、记者、政界人士和隐私维权人士披露,他们的WhatsApp通讯可能遭到了网络攻击。 WhatsApp表示,以色列间谍软件制造商NSO的工具被用于向1400名用户发送恶意软件。这家Facebook旗下的公司在最近几周已经就此事通知了受影响用户。本月早些时候,该家社交巨头公司起诉NSO,称其工具被用来黑WhatsApp用户的账号。 不过NSO坚称,它只向政府和情报机构出售工具,很显然,这一说法引发了人们的担忧,他们担心政府可能在背后支持针对上述19人–或者更多–的行动。 虽然Reddy没有直接回答这些问题,但他在一份概括性的书面声明中表示授权机构根据正当法律程序行事且受规则规定的保障措施的约束,它们可以拦截、监控或解密来自该国任何计算机资源的任何信息。 另外他还补充道,每一个这样的拦截案件都必须得到联邦内政大臣(联邦政府案件下)和邦内政大臣(邦政府案件下)的批准才行。 而据位于新德里的软件法律与自由中心(SFLC)发布日前发布的一份报告显示,仅印度联邦政府每年就存在超10万个电话窃听的情况。“再加上邦政府发布的监听命令,很明显,印度以惊人的规模监听公民的通信。” 这个非营利组织补充称,现行法律允许执法机构对公民的私人通信进行监控,但这种方式是不透明的,因为它们完全由政府的执行部门管理而没有对监控过程的独立监督做出任何规定。   (稿源:cnBeta,封面源自网络。)

天府杯 2019 网络安全大赛落幕 浏览器接受新一轮零日漏洞挑战

近日,顶尖白帽黑客集聚成都,对当前业内主流软件展开一系列的凌日测试。在周末(11 月 16-17 日)的天府杯 2019 国际网络安全大赛中,安全研究人员们争相对目标软件展开攻击,以斩获丰厚的积分、奖励和声誉。据悉,天府杯的规则,与全球顶级黑客大赛 Pwn2Own 类似。不过随着国内安全研究团队名声鹊起,天府杯也应运而生。 赛程安排(题图 via ZDNet) 在 2018 年秋季举办的大赛期间,研究人员成功破解了 Edge、Chrome、Safari、iOS、VirtualBox 等应用程序,以及来自多个移动设备制造商的产品。 本届大赛的第一天,参赛团队攻破了 Chrome、Edge、Safari、Office 365 等应用程序,其中包括 —— 针对经典版 Microsoft Edge 浏览器的三个成功利用、Chrome(两项)、Safari(一项)、Office 365(一项)、Adobe PDF Reader(两项)、D-Link DIR-878路由器(三项)、qemu-kvm + Ubuntu(一项)。 第一天结束的时候,曾拿下 Pwn2Own 冠军的 360Vulcan 团队处于领先地位。 在零日漏洞曝光后,软件供应商通常会在几分钟至数小时内发布对应的修补程序。 大赛第二天,安全研究人员们迎来了 16 场比赛。尽管只有一半能顺利进行下去,但还是得出了 7 个有效的攻击漏洞。其中包括针对 D-Link DIR-878 路由器的攻击(四项)、Adobe PDF Reader(两项)、以及 VMWare Workstation(一项)。 最终,360Vulcan 以绝对优势赢得了比赛 —— 成功地攻破了 Microsoft Edge、Office 365、qemu + Ubuntu、Adobe PDF Reader 和 VMWare Workstation 等应用程序,并拿到了 38.25 万美元的奖金。 VMWare和qemu + Ubuntu漏洞在赢得比赛中发挥了重要作用,分别带来了200,000美元和80,000美元的收入。   (稿源:cnBeta,封面源自网络。)

美两党议员力推《面部识别技术授权法案》限制联邦机构滥用

本周四,两名参议员提出了一项法案,以限制美国联邦政府对面部识别技术的使用。作为两党关注的一个重要议题,其已引发了民众对于面部识别相关的监视和隐私自由等问题的舆论。由特拉华州民主党参议员 Chris Coons 与犹他州共和党参议员 Mike Lee 提出的《面部识别技术授权法案》,旨在限制联邦调查局、移民与海关执法局等机构通过面部识别技术展开的持续监视。比如在未申得逮捕令的前提下,针对个人的追踪不得超过 72 小时。 Chris Coons 在一份声明中称:“当前联邦政府在面部识别技术的使用方式、时间和地点等方面缺乏统一规范,这项两党法案旨在确保执法部门拥有必要的工具来确保公众的安全,同时也保障《第四修正案》赋予的公民隐私权利,在两方面达成适当的平衡”。 拟议中的这项法案,还规定了面部识别技术的各种用途,以最大限度地减少针对个人的数据收集。此前,联邦政府对人脸识别技术的使用几乎不受管制,这使得相关机构能够收集人像数据库。 美联邦调查局(FBI)拥有最大的面部识别数据库之一,其从驾驶执照和护照中收集了超过 6.41 亿张美国公民画像。该数据通常可供执法人员访问,而无需给出任何原因或申请授权。 美移民与海关执法局(ICE)也一直在扫描数以百万计的美国人的证件照片,以进行面部识别搜索。Mike Lee 在声明中称:“面部识别技术可称为执法人员的有力工具,但这项权力也容易被滥用。这也是美国公民应受到保护,免受技术滥用所造成的影响的原因”。 不过也有批评者认为,提案中并未充分限制面部识别技术的使用,而是仅针对监视技术施加了狭窄的规定。 为未来而战(Fighting for the Future)副手 Evan Greer 表示:“此前面部识别技术存在着巨大的漏洞,可在缺乏适当司法监督的情况下被滥用。很高兴国会有意解决这个问题,但这项法案本身做得远远不够”。     (稿源:cnBeta,封面源自网络。)

5G 新漏洞可被用于位置追踪和散布虚假警报

尽管 5G 比 4G 更快、更安全,但新研究表明它仍存在一些漏洞,导致手机用户面临一定的风险。普渡大学和爱荷华大学的安全研究人员们发现了将近十二个漏洞,称其可被用于实时追踪受害者的位置、散步欺骗性的应急警报、引发恐慌或悄无声息地断开手机与 5G 网路之间的连接。实际上,5G 的安全性只是相对于已知的攻击而言,比如抵御脆弱的 2G / 3G 蜂窝网络协议攻击。 研究截图(原文 PDF 链接) 然而最新的研究发现,5G 网络依然存在着一定的风险,或对用户的隐私安全造成威胁。更糟糕的是,其中一些新手段,还可照搬到 4G 网络上去利用。 据悉,研究人员扩展了他们先前的发现,打造了一款名叫 5GReasoner 的新工具,并发现了 11 个新漏洞。通过设立恶意的无线电基站,攻击者能够对目标展开监视、破坏、甚至多次攻击。 在某次攻击实验中,研究人员顺利获得了受害者手机的新旧临时网络标识符,然后借此对其位置展开追踪。甚至劫持寻呼信道,向受害者广播虚假的应急警报。 若该漏洞被别有用心的人所利用,或导致人为制造的混乱局面。此前,科罗拉多博尔德分校的研究人员们,已经在 4G 协议中发现了类似的漏洞。 第二种漏洞攻击,是对来自蜂窝网络的目标电话创建“长时间”的拒绝服务条件。 在某些情况下,这一缺陷会被用来让蜂窝连接降级到不太安全的旧标准。执法人员和有能力的黑客,均可在专业设备的帮助下,向目标设备发起监视攻击。 新论文合著者之一的 Syed Rafiul Hussain 表示,所有具有 4G 和 5G 网络实践知识、并具有低成本软件无线电技能的人,都可对上述新型攻击加以利用。 鉴于漏洞的性质太过敏感,研究人员没有公开发布其概念验证的漏洞利用代码,而是选择直接向 GSMA 协会通报了此事。 尴尬的是,尽管新研究得到了 GSMA 移动安全名人堂的认可,但发言人 Claire Cranton 仍坚称这些漏洞在实践中被利用的可能性小到几乎为零。至于何时展开修复,GSMA 尚未公布确切的时间表。   (稿源:cnBeta,封面源自网络。)

Safari 现支持 NFC、USB 和 Lightning FIDO2 兼容的安全密钥

在面向开发者和公测用户的iOS 13.3版本更新中,允许Safari浏览器支持NFC、USB和Lightning FIDO2兼容的安全密钥。该功能事实上在iOS 13.3的首个开发者Beta版本中已经启用,不过在今天发布的Beta 2提供了更详细的信息。在苹果官方支持文档中写道:“现在在具备必要硬件功能的设备上,Safari、SFSafariViewController、以及使用WebAuthn标准的ASWebAuthenticationSession中支持NFC、USB和Lightning FIDO2兼容的安全密钥。” 在iOS 13.3更新中,Safari将支持物理安全密钥,例如配备了Lightning的YubiKey,可用于更安全的两因素身份验证。Yubico早在8月份就宣布了YubiKey 5Ci,但在发布之时,它的功能有限,因为它虽然不能与Safari,Chrome或其他主要浏览器一起使用,但兼容1Password等应用。 在得到Safari的支持之后,YubiKey 5Ci就成为了一个合法有用的工具。由于不需要输入安全密码,因此它比基于软件的双因素身份认证更方便,你只需要将它插入到iPhone或者Mac设备上就能完成身份认证。在macOS的Safari 13此前已经添加了对使用WebAuthn的FIDO2兼容USB安全密钥的支持。 在iOS 13.3更新之后,其他基于NFC,USB和基于Lightning的安全密钥也将与Safari一起使用。目前尚不清楚iOS 13.3何时正式发布,不过在经过数周的Beta测试之后我们有望在12月看到正式版。   (稿源:cnBeta,封面源自网络。)

黑客发现亚马逊和三星产品漏洞 获数十万美元奖金

(原标题:Team of ‘white hat’ hackers found bugs in Amazon Echo and Galaxy S10) 图:阿马特·卡马(Amat Cama,左)和理查德·朱(Richard Zhu)组成的Team Fluoroacetate 网易科技讯 11月11日消息,据外媒报道,今年在日本东京举行的Pwn2Own黑客竞赛中,两名安全研究人员因发现亚马逊智能助手Alexa驱动的智能设备Amazon Echo和三星Galaxy S10中的漏洞,获得“顶级黑客”的殊荣。 阿马特·卡马(Amat Cama)和理查德·朱(Richard Zhu)组成了所谓的Team Fluoroacetate,他们在最新的Amazon Echo Show 5(基于Alexa的智能显示器)发现漏洞,为此获得了6万美元的奖金。 两名研究人员发现,这款设备使用的是谷歌开源浏览器项目Chromium的较旧版本,新发现的漏洞允许他们在设备连接到恶意Wi-Fi热点时“完全控制”该设备。研究人员在射频屏蔽外壳中测试了他们的发现,以防止任何外部干扰。 亚马逊已经表示,该公司正在“调查这项研究”,并将在必要时采取行动进行修复,但亚马逊没有提供修补漏洞的时间表。 与此同时,卡马和理查德还利用Java Script中的一个漏洞获取了三星Galaxy S10上的照片,为此他们赢得了3万美元奖金。在对三星电视和小米笔记本电脑进行漏洞测试后,他们总共获得了19.5万美元奖金。 现在,提供这些设备的公司有90天时间通过软件更新来修复漏洞,然后才会向公众公布细节。 Pwn2Own活动由Zero Day Initiative(零日攻击防御计划)组织主办,主要邀请“白帽”黑客寻找大型科技公司产品中发现以前未知的漏洞,并可以因此获得高额报酬。 Team Fluoroacetate已经连续第三年被授予最高称号,即“Pwn大师”。 今年早些时候,卡马和理查德在特斯拉Model 3软件上发现漏洞,他们为此获得了37.5万美元奖金。特斯拉很快就通过无线升级修复了这个问题。   (稿源:网易科技,封面源自网络。)