分类: 国际动态

Facebook 致信美国司法部长 将不会从其消息传递应用中删除加密技术

据外媒The Verge报道,Facebook高管对美国司法部长威廉·巴尔(William Barr)表示,在周二参议院就加密问题进行听证会之前,该公司不会向执法部门提供对其加密消息产品的调查访问。 在一封信中,WhatsApp和Messenger负责人Will Cathcart和Stan Chudnovsky分别表示,不良行为者可能出于恶意目的利用任何“后门”访问Facebook为执法而创建的产品。因此,Facebook拒绝了巴尔使其产品更易于使用的请求。 “您要求执法部门进行的’后门’访问将是对罪犯、黑客和镇压政权的礼物,为他们提供了一种进入系统的方式,并使我们平台上的每个人都更容易遭受现实生活的伤害,” Facebook高管写道。“人们的私人信息将不太安全,真正的赢家将是任何试图利用这种弱化的安全性的人。那不是我们准备做的事情。” 今年早些时候,Facebook首席执行官马克·扎克伯格(Mark Zuckerberg)宣布,该公司将大力发展端到端的加密消息服务。它的三个消息传递产品(Instagram,WhatsApp和Messenger)的底层基础结构将被捆绑在一起并变得更加私密。 十月份,司法部就这一隐私声明与Facebook发生了争执,暗示该公司的计划将使罪犯(主要是性贩子和恋童癖者)受益。巴尔表示:“公司不应故意设计其系统,以防止以任何形式访问内容,甚至是为了预防或调查最严重的犯罪。” Facebook 周二的信是为回应巴尔十月份的询问而发出的,并且是在参议院司法部门关于加密的听证会之前发出。主席Lindsey Graham(R-SC)告诉苹果和Facebook代表,他赞赏“人们无法侵入我的手机这一事实”,但是加密的设备和消息传递为罪犯和剥削儿童提供了“避风港”。 在听证会上,Facebook消息传递隐私总监Jay Sullivan告诉参议员,该公司认为“美国公司在安全和加密消息传递领域处于领先地位至关重要”,因为如果不是这样,国外的公司将提供相同的服务。Sullivan建议,如果是这样的话,这些公司将遥不可及,并且可能不会与美国执法人员合作。Facebook和其他大型科技公司在针对涉及数据隐私和内容审查的更广泛的监管威胁时,一再对外国政府做出类似的声明。   (稿源:cnBeta,封面源自网络。)

超过 75.2 万美国人出生证明泄露 受影响人数还在不断增加

一家允许美国人获取出生/死亡证明的在线公司被爆信息泄露事件。目前在Amazon Web Services (AWS) 储存库中发现了超过75.2万美国人的出生证明副本,此外的还有90400个死亡证明申请,不过无法访问或者下载。 该储存库没有进行密码保护,任何人都可以通过非常容易猜测的URL网址来访问这些数据。虽然美国各个州的申请流程各不相同,但都会执行一项相同的任务:允许美国人向该州的记录保存机构(通常是州卫生部门)提出申请,以获取其历史记录的副本。我们审查的申请书包含申请人的姓名,出生日期,当前家庭住址,电子邮件地址,电话号码和历史个人信息,包括过去的地址,家庭成员的姓名和申请理由(例如申请护照)或研究家族史。 根据对数据的调查,发现这些申请最早可以追溯到2017年年末,并且该储存库每天都处于更新状态。在短短一周时间内,该公司向该储存库中添加了将近9000条申请记录。总部位于英国的渗透测试公司Fidus Information Security发现了暴露的数据。 TechCrunch通过将名称和地址与公共记录进行匹配来验证数据。 外媒已经与当地数据保护机构联系,以警告安全漏洞,但它没有立即发表评论。   (稿源:cnBeta,封面源自网络。)

FBI 将 FaceApp 视作俄罗斯的潜在威胁

作为一款受欢迎的 AI 人脸编辑器,FaceApp 的趣味性已经被大量用户给证实。然而美国联邦调查局(FBI)却担心,该应用或对国家安全造成潜在的威胁。11 月 25 日,FBI 助理主任 Jill Tyson 在致纽约民主党参议员 Chuck Schumer 的信中称:该机构正在调查 FaceApp 与俄罗斯之间的联系 —— 因为这款 App 来自俄罗斯,且俄方可访问境内的数据。 (截图 via App Store) 实际上,FBI 的这番回答,是针对 Chuck Schumer 在 7 月 17 日发来的一封信的回应。 当时这款应用引发了病毒式传播,就连乔纳斯兄弟(Jonas Brothers)和勒布朗·詹姆斯(LeBron James)等名人都在用 FaceApp 来拍摄自己的“AI 老年照”。 一些持怀疑态度的人在仔细研究了 FaceApp 的服务条款之后,发现其隐私政策允许应用开发者获得图像的永久权利和向广告商提供数据,并据此提出了他们的担忧。 (截图 via Cnet) 7 月份的时候,移动安全公司 Guardian 首席执行官 Will Strafach 对该应用进行了分析,并对 FBI 的评估感到过虑。 Strafach 表示:“我们没有观察到 FaceApp 中有恶意行为的证据,即便是草率的开发实践,也已经通过弹出式对话框而得到解决。无证据表明有外国情报威胁,且 FBI 的这种说法,对海外开发商是相当不公平的”。 显然,比起应用程序本身的安全性,FBI 更关注 App 的起源地。该机构并未在信用引用任何 FaceApp 掩盖进行间谍或影响政治选举的证据,但指出俄罗斯的数据保留法案,允许政府向境内运营的企业索取相关公民数据。 对于此事,FaceApp 和 FBI 方面均未予置评。     (稿源:cnBeta,封面源自网络。)

美国司法部修正无人机法案 要求进行网络安全评估

本周三美国司法部发布了无人机修正法案,旨在取代2015年的政策指南。据悉新政策沿用了旧版的规范和法规,并重点针对网络安全和隐私保护添加了一些关键内容。在新修正案中,要求相关部门出于网络安全风险的需求对无人航空载具(UAS)企业的并购进行严苛审查,以防范针对供应链和DOJ网络的潜在威胁。   此外新修正案中,美国司法部(DOJ)将会和美国联邦航空局(FAA)围绕制定空中交通支持等规范进行协调。此外新政策中特别提及无人机相机和传感器中收集的信息,表示将会权衡“潜在侵扰性以及对公民隐私和自由的影响”和政府利益之间的关系。 新政策仍然要求对无人机使用进行年度隐私审查,并在个人识别数据上保留 180 天的数据曲线,除非确定保留信息是出于授权目的所必需的,或者保留在《隐私法》系统中记录。 上个月,由于涉及无人机捕获的镜头的网络安全问题,美国内政部将所有 800 架无人机(无人飞行器)停飞。内政部的无人机用于扑灭森林大火,检查土地受损,监测水坝和观察濒危物种,但有人担心包含机密信息的无人机镜头可能落入错误的人手中。   (稿源:cnBeta,封面源自网络)    

美商务部拟对外国 IT 设备潜在的国家安全风险制定新规

据外媒报道,美国商务部正在进一步确定如何评估和应对外国电信设备给其带来的国家安全风险。当地时间周二公布的拟议规则将让该部门根据具体情况决定某一事件是对国家安全构成不可接受的风险还是对美国人的安全和保障构成不可接受的风险以及是否禁止该行为。 美国商务部长威尔伯·罗斯表示,拟议中的规则将“展示我们保护数字经济的承诺,同时还将兑现特朗普总统对我们数字基础设施的承诺”。 未来,商务部长将根据国土安全部部长和国家情报总监提供的评估做出决定。现在,美商务部正就未来30天内的拟议规则征求意见。   (稿源:cnBeta,封面源自网络。)

因个人账户被封 以色列网络监控公司 NSO 的员工起诉 Facebook

据路透社报道,以色列网络监控公司NSO Group的一群员工周二对Facebook提起诉讼,称这家社交媒体巨头在上个月起诉NSO时不公平地删除了其个人帐户。Facebook旗下的消息服务WhatsApp上个月在一起法律诉讼中指控NSO,称这家公司帮助政府间谍窃取了1400名Facebook用户信息,其攻击目标包括外交官、政治异议人士、记者和政府高级官员等。 NSO员工表示,他们的Facebook和Instagram帐户以及此前的员工和家庭成员的帐户已被封。他们向特拉维夫地方法院请愿,要求Facebook解封这些帐户,他们声称这是突然发生的,在此之前并未收到通知。 Facebook在一份声明中表示,在将“复杂的网络攻击”归因于NSO Group及其员工之后,其已禁用了“相关帐户”。该公司表示,出于安全考虑,继续这些行动“是必要的,包括防止其他攻击。”该公司补充说,它已通过上诉程序重新启用了一些帐户。 NSO员工在声明中表示,由于Facebook针对NSO进行的法律程序,Facebook选择关闭个人帐户而施加了“集体惩罚”。他们还表示,他们的诉讼是在他们多次向Facebook提出要求而未得到答复之后才提出的。 声明指出:“关闭我们的个人帐户是Facebook的一种伤害性且不公正的举动。搜索和使用个人数据的想法对我们非常困扰”。这些员工表示,他们将继续“通过我们正在开发的技术,帮助世界各国政府预防犯罪和恐怖主义”。 WhatsApp指责NSO促进了20个国家/地区的政府黑客行为。唯一确定的国家是墨西哥,阿联酋和巴林。NSO则否认了这些指控。 周一在特拉维夫举行的一次技术会议上,NSO总裁Shiri Dolev为该公司辩护,称NSO技术使整个世界更加安全。Dolev还表示,她希望NSO可以公开谈论其在帮助执法机构抓捕恐怖分子方面所发挥的作用。 她表示:“恐怖分子和罪犯每天都在使用社交平台和应用程序……”Dolev补充说,NSO不会将该技术用于入侵手机。她表示:“我们开发了专门卖给政府情报机构的技术。”   (稿源:cnBeta,封面源自网络。)

印度政府:法律允许政府机构监控公民设备

据外媒报道,当地时间周二,印度内政部部长G. Kishan Reddy引用《2000年信息技术法》第69章节、《1885年电信法》第5章节内容称,为了国家安全或跟外国保持友好关系,政府有权拦截、监控或解密公民设备上生成、传输、接收或存储的任何数字通信。 据悉,Reddy的这番言论则是对印度议会的回应,一名议员询问政府是否监听了公民的WhatsApp、Messenger、Viber和谷歌电话和信息。 本月早些时候,印度19名活动人士、记者、政界人士和隐私维权人士披露,他们的WhatsApp通讯可能遭到了网络攻击。 WhatsApp表示,以色列间谍软件制造商NSO的工具被用于向1400名用户发送恶意软件。这家Facebook旗下的公司在最近几周已经就此事通知了受影响用户。本月早些时候,该家社交巨头公司起诉NSO,称其工具被用来黑WhatsApp用户的账号。 不过NSO坚称,它只向政府和情报机构出售工具,很显然,这一说法引发了人们的担忧,他们担心政府可能在背后支持针对上述19人–或者更多–的行动。 虽然Reddy没有直接回答这些问题,但他在一份概括性的书面声明中表示授权机构根据正当法律程序行事且受规则规定的保障措施的约束,它们可以拦截、监控或解密来自该国任何计算机资源的任何信息。 另外他还补充道,每一个这样的拦截案件都必须得到联邦内政大臣(联邦政府案件下)和邦内政大臣(邦政府案件下)的批准才行。 而据位于新德里的软件法律与自由中心(SFLC)发布日前发布的一份报告显示,仅印度联邦政府每年就存在超10万个电话窃听的情况。“再加上邦政府发布的监听命令,很明显,印度以惊人的规模监听公民的通信。” 这个非营利组织补充称,现行法律允许执法机构对公民的私人通信进行监控,但这种方式是不透明的,因为它们完全由政府的执行部门管理而没有对监控过程的独立监督做出任何规定。   (稿源:cnBeta,封面源自网络。)

天府杯 2019 网络安全大赛落幕 浏览器接受新一轮零日漏洞挑战

近日,顶尖白帽黑客集聚成都,对当前业内主流软件展开一系列的凌日测试。在周末(11 月 16-17 日)的天府杯 2019 国际网络安全大赛中,安全研究人员们争相对目标软件展开攻击,以斩获丰厚的积分、奖励和声誉。据悉,天府杯的规则,与全球顶级黑客大赛 Pwn2Own 类似。不过随着国内安全研究团队名声鹊起,天府杯也应运而生。 赛程安排(题图 via ZDNet) 在 2018 年秋季举办的大赛期间,研究人员成功破解了 Edge、Chrome、Safari、iOS、VirtualBox 等应用程序,以及来自多个移动设备制造商的产品。 本届大赛的第一天,参赛团队攻破了 Chrome、Edge、Safari、Office 365 等应用程序,其中包括 —— 针对经典版 Microsoft Edge 浏览器的三个成功利用、Chrome(两项)、Safari(一项)、Office 365(一项)、Adobe PDF Reader(两项)、D-Link DIR-878路由器(三项)、qemu-kvm + Ubuntu(一项)。 第一天结束的时候,曾拿下 Pwn2Own 冠军的 360Vulcan 团队处于领先地位。 在零日漏洞曝光后,软件供应商通常会在几分钟至数小时内发布对应的修补程序。 大赛第二天,安全研究人员们迎来了 16 场比赛。尽管只有一半能顺利进行下去,但还是得出了 7 个有效的攻击漏洞。其中包括针对 D-Link DIR-878 路由器的攻击(四项)、Adobe PDF Reader(两项)、以及 VMWare Workstation(一项)。 最终,360Vulcan 以绝对优势赢得了比赛 —— 成功地攻破了 Microsoft Edge、Office 365、qemu + Ubuntu、Adobe PDF Reader 和 VMWare Workstation 等应用程序,并拿到了 38.25 万美元的奖金。 VMWare和qemu + Ubuntu漏洞在赢得比赛中发挥了重要作用,分别带来了200,000美元和80,000美元的收入。   (稿源:cnBeta,封面源自网络。)

美两党议员力推《面部识别技术授权法案》限制联邦机构滥用

本周四,两名参议员提出了一项法案,以限制美国联邦政府对面部识别技术的使用。作为两党关注的一个重要议题,其已引发了民众对于面部识别相关的监视和隐私自由等问题的舆论。由特拉华州民主党参议员 Chris Coons 与犹他州共和党参议员 Mike Lee 提出的《面部识别技术授权法案》,旨在限制联邦调查局、移民与海关执法局等机构通过面部识别技术展开的持续监视。比如在未申得逮捕令的前提下,针对个人的追踪不得超过 72 小时。 Chris Coons 在一份声明中称:“当前联邦政府在面部识别技术的使用方式、时间和地点等方面缺乏统一规范,这项两党法案旨在确保执法部门拥有必要的工具来确保公众的安全,同时也保障《第四修正案》赋予的公民隐私权利,在两方面达成适当的平衡”。 拟议中的这项法案,还规定了面部识别技术的各种用途,以最大限度地减少针对个人的数据收集。此前,联邦政府对人脸识别技术的使用几乎不受管制,这使得相关机构能够收集人像数据库。 美联邦调查局(FBI)拥有最大的面部识别数据库之一,其从驾驶执照和护照中收集了超过 6.41 亿张美国公民画像。该数据通常可供执法人员访问,而无需给出任何原因或申请授权。 美移民与海关执法局(ICE)也一直在扫描数以百万计的美国人的证件照片,以进行面部识别搜索。Mike Lee 在声明中称:“面部识别技术可称为执法人员的有力工具,但这项权力也容易被滥用。这也是美国公民应受到保护,免受技术滥用所造成的影响的原因”。 不过也有批评者认为,提案中并未充分限制面部识别技术的使用,而是仅针对监视技术施加了狭窄的规定。 为未来而战(Fighting for the Future)副手 Evan Greer 表示:“此前面部识别技术存在着巨大的漏洞,可在缺乏适当司法监督的情况下被滥用。很高兴国会有意解决这个问题,但这项法案本身做得远远不够”。     (稿源:cnBeta,封面源自网络。)

5G 新漏洞可被用于位置追踪和散布虚假警报

尽管 5G 比 4G 更快、更安全,但新研究表明它仍存在一些漏洞,导致手机用户面临一定的风险。普渡大学和爱荷华大学的安全研究人员们发现了将近十二个漏洞,称其可被用于实时追踪受害者的位置、散步欺骗性的应急警报、引发恐慌或悄无声息地断开手机与 5G 网路之间的连接。实际上,5G 的安全性只是相对于已知的攻击而言,比如抵御脆弱的 2G / 3G 蜂窝网络协议攻击。 研究截图(原文 PDF 链接) 然而最新的研究发现,5G 网络依然存在着一定的风险,或对用户的隐私安全造成威胁。更糟糕的是,其中一些新手段,还可照搬到 4G 网络上去利用。 据悉,研究人员扩展了他们先前的发现,打造了一款名叫 5GReasoner 的新工具,并发现了 11 个新漏洞。通过设立恶意的无线电基站,攻击者能够对目标展开监视、破坏、甚至多次攻击。 在某次攻击实验中,研究人员顺利获得了受害者手机的新旧临时网络标识符,然后借此对其位置展开追踪。甚至劫持寻呼信道,向受害者广播虚假的应急警报。 若该漏洞被别有用心的人所利用,或导致人为制造的混乱局面。此前,科罗拉多博尔德分校的研究人员们,已经在 4G 协议中发现了类似的漏洞。 第二种漏洞攻击,是对来自蜂窝网络的目标电话创建“长时间”的拒绝服务条件。 在某些情况下,这一缺陷会被用来让蜂窝连接降级到不太安全的旧标准。执法人员和有能力的黑客,均可在专业设备的帮助下,向目标设备发起监视攻击。 新论文合著者之一的 Syed Rafiul Hussain 表示,所有具有 4G 和 5G 网络实践知识、并具有低成本软件无线电技能的人,都可对上述新型攻击加以利用。 鉴于漏洞的性质太过敏感,研究人员没有公开发布其概念验证的漏洞利用代码,而是选择直接向 GSMA 协会通报了此事。 尴尬的是,尽管新研究得到了 GSMA 移动安全名人堂的认可,但发言人 Claire Cranton 仍坚称这些漏洞在实践中被利用的可能性小到几乎为零。至于何时展开修复,GSMA 尚未公布确切的时间表。   (稿源:cnBeta,封面源自网络。)