分类: 推荐阅读

WordPress 插件出售后被加入后门,影响逾 20 万网站正常使用

据外媒报道,一款名叫 Display Widget 的 WordPress 插件出售后被新拥有者加入后门。Display Widget 原功能是被 WordPress 网站用于控制 Widget 的展示,而目前在被 WordPress.org 团队移除时超过 20 万网站使用。 Stephanie Wells 是插件的最早开发者,她在将精力集中到高级版的插件之后,将开源版本出售。插件的新拥有者在 6 月 21 日释出一个新版本,很快这个新版本被发现会从第三方服务器下载 38MB 的代码并收集网站的用户访问数据。不过,好在用户投诉之后,WordPress.org 将其移除。 据悉,拥有者在设法恢复插件并在释出另一新版本 v2.6.1 后,再次被投诉再次被移除。随后,拥有者又再次设法发布新版本 2.6.2,最后一个版本是 9 月 2 日释出的 2.6.3。 稿源:solidot奇客,封面源自网络;

美国土安全部宣布国家机构禁用卡巴斯基安全产品

据华盛顿邮报报道,美国国土安全部发布消息称,美国所有国家机构停止使用卡巴斯基实验室的产品,其原因是俄罗斯政府方面可能进入该系统。在一个具有约束力的指令中,代理国土安全秘书 Elaine Duke 命令联邦民事机构在其网络上识别卡巴斯基实验室软件。 90 天后,除非另有指示,否则他们必须移除软件,理由是该公司与俄罗斯政府有联系,其软件构成安全隐患。消息中称:“该举动是因为卡巴斯基产品对联邦信息系统的信息安全造成风险,国土安全部对卡巴斯基某些代表与俄罗斯情报部门的关系感到不安,此外俄罗斯的法律规定,俄罗斯情报部门可以要求或者强迫卡巴斯基提供帮助,拦截那些通过俄罗斯网络传达的信息。” 另据俄罗斯卫星通讯社消息,美国国土安全部要求美国所有国家机构在 30 天内删除卡巴斯基的软件,并在 60 天内制定过渡到其它软件的计划,在 3 个月的期限内开始落实计划。目前,国土安全部没有展示出任何卡巴斯基与俄罗斯政府有关系的证据。国土安全部还表示,俄罗斯公司可以对美国政府有关不准使用在联邦部门使用该公司产品的禁令提出异议。 稿源:cnBeta,封面源自网络;

因边境未授权电子设备搜查行为,ACLU/EFF 将美国土安全局告上法庭

据外媒报道,美国公民自由联盟(ACLU)和电子前沿基金会(EFF)日前针对发生在边境未经授权的笔记本、智能手机搜查行为将美国土安全局(DHS)告上了法庭。获悉,两家机构以 11 个人的名义起诉了 DHS,其中 10 名为美国公民,另 1 名为绿卡持有者。 ACLU 和 EFF 在马萨诸塞州提出了这一诉讼,在它们看来,这种未经授权的边境搜查已经违宪。据悉,这 11 名个体来自各行各业,他们当中有记者、工程师、艺术家、学生、退伍军人、企业主。部分人的设备被边境警员没收并被扣留好几个月时间。 对于边境警员的这些行为,ACLU 非常担心隐私问题,因为他们不仅在未经授权的情况下搜查设备而且还可能下载来自设备的数据并将其保留以便未来的搜查。除此之外,如果被搜查的人携带设备储存有公司或机构的重要信息那么这也就意味着公司或机构的数据也存在曝光风险。而对于其他一些人来说,这些搜查和扣押将致其好几周甚至好几月都用不上手机、平板或笔记本。 稿源:cnBeta,封面源自网络;

Equifax 再陷风波:一门户网站管理员密码竟是 admin/admin

据外媒报道,又一个 Equifax 门户网站被指存在安全协议问题。最先发现这个的 Hold Security LLC 指出,一个负责管理信用报告纠纷(内含个人信息)的新 Equifax 门户网站使用的用户名和密码都为 admin。该门户网站叫 Veraz,来自阿根廷,目前已下线,然而它是在 Equifax 获得潜在安全漏洞报告后才采取的行动。 除了管理员用户名和密码都极其简单外,研究人员还从安全公司提供的页面看到,该网站职工的登录也非常简单,他们所有人的用户名和密码都以纯文本的格式储存在网页中。而这么做并非因为他们的用户名或密码有多么难,相反,很简单–用户名和密码都是员工的姓氏。 或许用户名和密码很好破解可以让人理解,但是,这个网站的设置也异常脆弱。实际上,它使用的还是上世纪 90 年代初所用的安全级别。登入网站后可以找到 Equifax 用户大量信息,包括姓名、DNI(阿根廷社保号)、投诉和/或决议。据了解,该门户网站总共有 14000 页内容,其中 750 页为消费者投诉信息。 稿源:cnBeta,封面源自网络;

苹果 iOS 11 将禁止政府在无密码情况下镜像设备

据外媒报道,评估苹果 iOS 11 早期版本的安全专家称,苹果加强了隐私保护功能,禁止执法机构在没有密码的情况下镜像设备。 苹果 iOS 11 的另一个隐私保护功能是按电源键五次后可选择关闭 Touch ID。当 iOS 设备连接到电脑时,它会弹出是否信任这台计算机的提示,然后还要求输入密码。这意味着执法部门和边检将无法像以前那样访问被扣押设备的完整镜像。乔治华盛顿大学法学教授 Orin Kerr 认为,政府仍然能手动搜索手机,但将会更困难。 稿源:solidot奇客,封面源自网络;

Google 公布 Chrome 不信任赛门铁克证书的时间表

因为发现赛门铁克签发了大量有问题的证书,Google 官方博客公布了 Chrome 浏览器不信任赛门铁克证书的时间表: 2017 年 10 月发布的 Chrome 62 将在 DevTools 中加入对即将不受信任的赛门铁克证书的警告; 2017 年 12 月 1 日,DigiCert 将接手赛门铁克的证书签发业务; 2018 年 4 月 17 日发布的 Chrome 66 将不信任 2016 年 6 月 1 日之前签发的证书; 2018 年 10 月 23 日发布的 Chrome 70 将停止信任赛门铁克的旧证书。 受影响的赛门铁克 CA 品牌包括 Thawte、VeriSign、Equifax、GeoTrust 和 RapidSSL,几个独立运作密钥不受赛门铁克控制的次级 CA 得到了豁免,其中包括苹果和 Google。Google 建议使用赛门铁克证书的网站及时更新到受信任证书。 稿源:solidot奇客,封面源自网络;

Equifax 应用已从 App Store 和 Google Play 中下架

据外媒报道,美国征信企业巨头 Equifax 的移动应用已从苹果 App Store 和 Google Play 应用商店下架。根据 AppAnnie 的数据显示,应用是在 Equifax 证实安全漏洞的同一天( 9 月 7 日)下架。现在 Equifax 客户不能访问 Equifax Mobile。 该公司上周表示, 几个月来黑客利用网站漏洞获取了某些文件,这可能使恶意的第三方获得上亿美国人的个人资料,包括社会保障号码,地址和信用卡信息等。为了帮助公众了解他们是否受到黑客攻击,Equifax 推出一个独立网站,但是这要求用户输入六位数的社会保障号码。 更重要的是,这个网站是否能给用户提供准确信息目前尚不清楚。 多名用户已经报告称在他们多次将信息输入该网站后,收到关于是否受到安全漏洞的影响的不同答案。其他人甚至还尝试输入错误的社会保障号码,如 “ 123456 ”,也会被告知他们的数据可能会受到影响。 现在 Equifax 应用程序已经从 App Store下架。例如,当 iOS 用户尝试访问应用程序时,他们会收到弹窗,要求他们更新应用。弹窗将用户引导到 App Store,通知他们 Equifax 应用程序不再可用。 另外 Fast Company 已经确认苹果公司没有参与将 Equifax 从 App Store 中下架的决定。 稿源:cnBeta,封面源自网络;

加州理工已开发出可瞬间存储数据的光量子内存芯片

据外媒报道,加州理工大学的研究人员已经开发出一款能够以 “ 光的形式 ”、“ 纳米级速度 ” 存储量子信息的计算机芯片。这标志着量子计算机和网络的一项最新突破,即在更小的设备上实现更快的信息处理和数据传输。据称,传统计算机系统中的内存部件,只能将信息以 “ 0 ” 或 “ 1 ” 的形式存储。尽管仍处于实验阶段,但量子计算机的基本原理还是一样的,即以 “ 量子比特 ” 存储数据 —— 除了 “ 0 ” 和 “ 1 ”,量子比特还允许两种状态共存。 Caltech 光量子内存芯片的想象图 类似 Caltech 开发的这种光量子设备,能够以光子的形式存储和携带信息。因其没有电荷或质量,所以更快速、更安全。论文一作 Tian Zhong 表示: 这项技术不仅可以让量子内存设备极小化,还能够更好地控制单个光子和原子之间的交互。 该芯片由一列内存模组构成,每一格的长度为 15 微米、宽度为 0.7 微米,大小与红细胞相当。这些模块包含了由掺杂稀土离子的晶体所造的 “ 光学共振腔 ”(optical cavities),是专为捕捉和控制光子而设计的。 在将模块降温至 0.5 开尔文(-272.7℃ / -458.8℉)之后,研究团队借助一道重度过滤激光束,将单个光子发射到每个模块中(然后它们被稀土离子所吸收)。 光子会在那里被保持 75 纳秒的时间,然后被再度释放。之后研究人员们检查了这些光子,看它们是否仍携带相同的信息。研究团队称,其错误率仅 3% 。 为了让这种芯片成为量子网络中远距离传输信息的一种切实选择,研究人员们还需要将数据的存储时间持续至少 1 毫秒。 这是他们下一步的主要工作,此外也会寻找将芯片集成到其它电路中的方法。论文通讯作者 Andrei Faraon 表示: 可用来传输量子信息的这类设备,是未来研发光量子网络不可或缺的部件。 有关这项研究的详情,已经发表在近日出版的《 科学 》期刊上。 稿源:cnBeta,封面源自网络;

安全公司发现间谍程序 Xsser mRAT 新变种 xRAT

移动安全公司 Lookout 研究人员近期发表报告,指出与间谍程序 Xsser mRAT 有关的先进移动恶意程序 xRAT。2014 年发现的 mRAT 主要攻击目标是香港抗议者。新发现的 xRAT 与 mRAT 有着相同的代码结构、解密密钥、共享探试与命名约定,显示它们由同一团队开发。xRAT 的指令控制中心还与 Windows 恶意程序相关,意味着这是一个跨平台攻击行动。 xRAT 包含了更先进的功能,如动态加载额外代码,探测躲避、删除应用和文件、搜索 QQ 和微信通信数据。攻击者能实时的远程控制大部分功能。它能收集浏览器历史、短信、通讯录和呼叫历史、电子邮件数据库和账号密码,QQ 和微信数据,下载指定文件保存到指定位置,用 MD5 哈希数据搜索外置储存设备的特定文件。 如果发现则收集,拨打电话、记录音频、以 root 权限执行特定指令,从 hiapk[.]com 下载木马版的 QQ 应用。xRAT 还包含自我删除功能,能够删除攻击者指定的文件如输入法。 稿源:solidot奇客,封面源自网络;

Apache Struts 项目团队发表声明:与美国征信企业 Equifax 泄露事件无关

美国征信企业 Equifax 上周承认多达 1.43 亿用户的敏感信息外泄,Apache Struts Web 框架也在同一时间曝出了一个有九年历史的漏洞,该漏洞编号为 CVE-2017-9805。Equifax 声称黑客利用 Web 应用的漏洞访问某些文件,而 Apache Struts 项目被人怀疑与此有关。 Apache Struts 项目今年曝出两个漏洞,一个是在 3 月,另一个就是在上周。目前并不清楚黑客究竟利用了什么漏洞,Apache Struts 项目为此发表声明澄清有关传言。它解释称,在九年之后发现漏洞和已经知道漏洞几年是有重大区别的。如果是后者,开发团队将需要非常困难的给出足够好的解释为什么没有更早修复漏洞。但这里的情况并非如此,在接到漏洞报告之后,他们尽可能快的修复漏洞。而该漏洞是一个常见的软件工程问题,开发者写代码去实现某个想要的功能,但并未意识到某些不想要的副作用。 稿源:solidot奇客,封面源自网络;