分类: 推荐阅读

数百 Android 应用使用超声信号跟踪用户

德国 Brunswick Technical University 的一组研究人员发现数百个 Android 应用使用超声信号跨设备跟踪用户。 过去三年,超声信号跨设备跟踪日益流行起来,这项技术利用嵌入在广告代码或 JavaScript 代码中的超声波信号联络附近的平板和手机。虽然超声的声音耳朵听不见,但智能设备能探测到。利用这一方法,跟踪代码可以将单一用户与多台设备配对起来,跟踪用户在不同设备上看到的广告。 最新研究得到了德国政府的资助,研究人员在两座欧洲城市的四个商店发现了超声跟踪技术 Shopkick,但用户需要打开嵌入Shopkick SDK 的应用才会被跟踪。他们同时发现了 234 个使用超声跟踪的 Android 应用,部分应用下载量多达数百万次,属于麦当劳和卡卡圈坊这样的大公司。 稿源:Solidot奇客,封面源自网络

慕尼黑工业大学开发出Wi-Fi全息投射技术

慕尼黑工业大学(Technical University of Munich)开发了一种利用 Wi-Fi 信号发射器的微波辐射分散创建 3D 全息图像的技术,其精确度可达厘米级。据慕尼黑工业大学研究沃尔特肖特基学院量子传感器 Emmy Noether 研究组的主管 Friedemann Reinhard 介绍道,这种技术所需装置十分简单,除了 Wi-Fi 发射器只需一个固定和一个移动的天线即可,远比光学全息投射设备简单易行的多。 Friedemann Reinhard 称“使用这种技术,我们能够在 Wi-Fi 发射器的周围空间创造出 3D 全息图像,就好像能让我们眼睛看见微波辐射一样。”而且由于 Wi-Fi 信号能够穿透墙壁,这意味着该技术能够用于搜救定位坍塌建筑中被埋葬的受害幸存者。该技术目前仍处于早期开发阶段,移动天线所需的部署空间较大,因此很难顾及隐私。目前该技术的研究成果已经出版发布在学术期刊上。 稿源:cnBeta,封面源自网络

谷歌在线文档 Docs 遭大规模钓鱼攻击,情况现已被遏制

谷歌于 5 月 3 日及时解决针对谷歌 Docs 服务用户的一起大规模钓鱼攻击。据悉,这起钓鱼骗局在网络上快速传播,试图入侵用户的谷歌账号。许多用户表示,这起骗局的设计非常精巧,令人难以防范。谷歌向用户发出建议,即不要点击陌生链接。随后,谷歌发布 Twitter 消息称,局面已经得到了控制。钓鱼攻击并不新颖,而谷歌用户也常常成为被钓鱼的目标。 2014 年,类似的骗局瞄准了谷歌 Docs 和 Drive 用户。有报道称,此次的攻击瞄准记者和教育行业人士。但此次骗局略有不同,其目的是获得用户帐号的访问权限,而不是直接窃取用户名和密码。攻击者开发了一款看起来类似谷歌 Docs 的应用,让没有防范的受害者主动给予某些权限。 赛门铁克信息安全技术和响应集团总监林·奥莫楚( Lin O ‘ Murchu )表示,给予 Gmail 帐号权限 “ 相当于提供了用户名和密码 ”。这意味着,即使用户没有输入密码,他们也可能成为钓鱼攻击的受害者。在入侵成功后,钓鱼应用会向用户的通讯录好友发送电子邮件,从而实现传播。谷歌随后禁用了这一钓鱼应用。 稿源:cnBeta、新浪科技,封面源自网络

自动化网络机制薄弱,工业机器人极易被黑

据外媒 cnet 报道,等到 2018 年,全球的工厂将拥有 130 万台机器人— 130 万台可能会遭到黑客攻击的机器人。从咖啡师到匹萨厨师,自动化正在快速占领经济,它将可能要在 2021 年从美国人手中抢走 6% 的工作岗位。制造手机、汽车、飞机的工厂现都已经高度依赖自动组装设备。虽然人类无法跟上机器人的速度、力量以及耐力,但他们却能通过网络攻击的方式 “ 打败 ” 它们。 网络安全公司 Trend Micro 近期对 ABB 、发那科、三菱、川崎、安川机器人进行的一系列测试发现,工厂机器人的网络安全机制非常薄弱,一些用的则是非常简单的用户名和密码并且还无法进行更改,一些甚至连密码都没有。 报告显示,工业机器人的系统保护措施也非常差,一些则还在使用已经过时的系统。Trend Micro 发现,上万台机器人使用的 IP 地址都是公开的,这显然加大了遭黑客攻破的风险。 据了解,工厂操作工和程序员通过远程连接技术管理机器人、通过电脑或手机向机器人发送指令,而如果这时连接无法保证安全的话,那么黑客将能劫持机器人,这样他们就能随意更改操作进而导致产品出现缺陷或损坏的情况。 研究人员对 ABB 一台用于画直线的机器人进行了测试。他们通过对该机器人的 RobotWare 控制程序以及 RobotStudio 软件的逆向编程黑进了机器人网络并让它画出了偏离原定路线的线条。由于机器人经常要执行高精密的工作,所以一个小小的误判都可能会造成灾难性的后果。 虽然 ABB 已经解决了 Trend Micro 发现的缺陷,但后者的发现还是引起了人们对未来自动化安全的关注。这家网络安全公司建议,每家公司在部署自动化之前最好要建立一套工业机器人网络安全标准。 稿源:cnBeta,封面源自网络

NSA 2016 年总共收集 1.51 亿条公民电话记录

据外媒报道,美国国家情报总监办公室最新公布的报告显示,即便国会已出台遏制国安局 ( NSA ) 大规模收集电话记录的新法系统,但是这个机构仍旧在去年收集了 1.51 亿多条美国公民的电话记录。 据了解,国家情报总监办公室制作这样一份报告主要是为了评估针对联邦政府大规模收集电话记录出台的《 2015 年美国自由法案( USA Freedom Act of 2015 ) 》的影响力。最终发现,虽然法院在 2016 年仅针对 42 名恐怖主义嫌疑人下达了使用电话收集系统,但 NSA 在这一年仍旧收集了大量电话记录。 这份报告还将成为国会是否重新批准《外国情报监视法案》的 Section 702 的依据。获悉,该部分法律将在今年年底过期,它赋予了联邦机构收集美国公民以及跟美国公民存有联系的外国人信息的权力。 NSA 表示,他们这样大规模的收集一部分原因则是因为数据的重复性,据其披露,一个单独的电话可能会为两家不同的公司记录两次。而就在这份报告发表前几日,NSA 表明了已经停止对跟外国情报目标存有关联的美国公民邮件和信息的无授权收集行为。 稿源:cnBeta 整理 ,封面源自网络

Graph 理论应用新发现,暗网或由分散、孤立仓库组成

来自美国麻省理工学院新加坡 SMART 实验室的安全专家团队近期利用 Graph 理论深究暗网构造并发布一份有趣的研究论文,指出该隐秘空间似乎由一系列分散、孤立仓库组成。 在麻省理工学院 Senseable 城市实验室主任 Carlo Ratti 的带领下,该团队利用 Graph 理论对暗网 ( “ dark web ” 又名 “ onionweb ” )信息进行采集与分析后发现,这些图表与万维网超链接图表存在显著差异。值得一提的是,专家们使用基于 tor2web 代理 onion.link 的爬虫对 Tor 网络(当下最流行的暗网之一)进行重点分析,尽管 Tor 网络仅代表部分暗网。 据悉,该团队除使用商业服务 scrapinghub.com 搜索 onion.link 以外,还试图通过优先搜索访问两个热门暗网列表中的所有链接页面。分析结果仅收录有回应的网站,排除无效服务。研究人员表示,对于发现的域名 v 页面链接在经过 2016 年 11 月至 2017 年 2 月 10 次以上尝试后仍无法访问域名 v 的情况,也会将节点 v 与所有连接至节点 v 的所有边一并删除。其中,删除未响应域名前发现 13,117 个节点与 39,283 条边;删除之后,仅剩 7,178 个节点与 25,104 条边(分别占原数量的 55% 和 64% )。 调查表明,首个差异与活跃域名 .onion 数量有关。Tor Project Inc. 运维人员指出,Tor 网络目前托管约 60,000 个不同的 .onion 活跃地址,而专家却仅发现 7,178 个活动域名。研究人员将这种高度差异归因于各种消息服务的存在,特别是 TorChat、Tor Messenger 与 Ricochet,因为每个用户都由独一无二的域名标识。 Graph 理论结果显示,约 30% 域名仅有一个接入链接,其中 62% 来自五大输出 hub 之一。此外,78% 节点至少可从这五大输出 hub 接收一个链接。最有趣的是,87% 网站无法链接至其他任何网站,这一发现对所有 Graph 理论测量均具有重要影响。 由此得出结论,“ 暗网 ” 之 “ 网 ” 字属用词不当。更准确的说法是将暗网视为一系列分散、孤立的秘密仓库。在暗网图表中,每个顶点代表一个域名,从 u→v 的每条边意味着域名 u 页面存在一个通往域名 v 页面的链接。而上述边的权重则是链接至域名 v 页面的域名 u 页面数量总和。 据悉,该项研究可能是未来工作的一个起点,Ratti 团队以及其他研究人员将进一步探究暗网构造,分析对象不仅局限于 Tor 网络。此外,Ratti 团队正着手定义用于未来研究工作的新模型。 原作者:Pierluigi Paganini, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

泄露《女子监狱》剧集内容的黑客组织宣称还持有 36 部影视作品资源

据外媒报道,上周末,一个叫做 The Dark Overlord ( TDO )的黑客组织在海盗湾( The Pirate Bay )上公布了《女子监狱》第五季前 10 集的内容–总长为 13 集。据称,该组织要求 Netflix 向他们付钱,否则的话,他们将公布该公司的其他内容。 黑客声称去年十二月从 Larson Studios 窃取了数百 GB 的数据,Larson Studios 最初在 1 月 31 日同意支付 50 比特币的勒索金,双方甚至签署了合同,但黑客用了希特勒的名字 Adolf Hitler 签名,结果工作室可能认为这是一个恶作剧,因此没有支付赎金。因为未能勒索 Larson Studios,黑客随后转向了上映这部剧集的流媒体公司 Netflix,但 Netflix 也不愿意支付赎金。作为警告,黑客先是放出了第一集,随后又公开了九集。 黑客声称其手中还有其他电影工作室或有线电视网的电影或电视剧,相关的电视网包括 FOX、IFC、NAT GEO 和 ABC,电影电视剧包括《Celebrity Apprentice》、 《NCIS Los Angeles》、《New Girl》和《XXX The return of Xander Cage》。 稿源:cnBeta、solidot奇客 整理 ,封面源自网络

应用程序设计不善致使数百万台手机面临安全风险

密西根大学安全研究人员发现 Google 商店数百款应用程序存在安全漏洞,黑客可利用移动设备创建虫洞漏洞窃取安全凭证、隐私数据等、甚至可在众多 Android 设备上传送恶意代码。专家强调,不安全的移动应用程序使数百万智能手机开放端口面临安全风险。 报道称,这一漏洞将会影响开放端口的所有应用程序,并且由于开发团队不安全的编码习惯而无法正确管理这些应用程序。对此研究人员设计了一款名为 OPAnalyzer 的工具,通过扫描市面上超过 100,000 个 Android 应用程序发现有 410 个存在安全威胁,最终确认了 57 个应用程序的漏洞。 调查显示,这些应用程序已被下载 10 万 – 5000 万次,潜在影响较为严重,而其中至少有一款移动应用程序属于手机预装软件。安全专家发布的研究论文中表示这些漏洞或被利用于远程窃取私人信息、安全凭证或执行敏感操作(如安装和执行恶意代码等)。 原作者:Pierluigi Paganini, 译者:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

英国安全机构破解恐怖袭击枪手的加密 WhatsApp 信息

3 月 22 日,英国出生的穆斯林 Khalid Masood 在英国议会大厦外杀死四个人前发送了一段加密消息。他使用的消息应用是 WhatsApp,而 WhatsApp 采用了端对端加密,这意味着即使 WhatsApp 也不知道用户发送的信息。 英国内政大臣 Amber Rudd 曾表示科技公司应该配合执法机构,停止向恐怖分子提供秘密通信的加密消息应用。但现在,英国安全机构设法破解了 Masood 的加密 WhatsApp 信息,出于安全理由破解的技术细节没有披露,这一技术将可以用于未来的加密信息破解。 稿源:solidot奇客,封面源自网络

在图片中加入噪点就能骗过 Google 最顶尖的图像识别 AI

近期,一群来自华盛顿大学网络安全实验室( NSL )的计算机专家发现,恶意攻击者可以欺骗 Google 的 CloudVision API ,这将导致 API 对用户提交的图片进行错误地分类。 近些年来,基于 AI 的图片分类系统变得越来越热门了,而这项研究针对的就是这种图片分类系统。现在,很多在线服务都会采用这种系统来捕捉或屏蔽某些特殊类型的图片,例如那些具有暴力性质或色情性质的图片,而基于 AI 的图片分类系统可以阻止用户提交并发布违禁图片。 虽然这种分类系统使用了高度复杂的机器学习算法,但是研究人员表示,他们发现了一种非常简单的方法来欺骗 Google 的 Cloud Vision 服务。 Google 的 Cloud Vision API 存在漏洞 他们所设计出的攻击技术其实非常简单,只需要在一张图片中添加少量噪点即可成功欺骗 Google 的 Cloud Vision API。其中的噪点等级可以在 10% 到 30% 范围内浮动,同时也可以保证图片的清晰度,而且这足以欺骗Google的图片分类 AI 了。 向图片中添加噪点其实也非常的简单,整个过程并不需要多么高端的技术,一切只需要一个图片编辑软件即可实现。 研究人员认为,网络犯罪分子可以利用这种技术来传播暴力图片、色情图片或恐怖主义宣传图片。除此之外,Google 自己的图片搜索系统也使用了这个 API,这也就意味着,当用户使用Google进行图片搜索时,很可能会搜索到意料之外的图片。 解决这个问题的方法很简单 研究人员表示,修复这个问题其实跟攻击过程一样的简单,所以Google的工程师们完全没必要紧张。 为了防止这种攻击,Google 只需要在运行其图片分类算法之前,对图片中的噪点进行过滤就可以了。研究人员通过测试发现,在噪点过滤器的帮助下,Google 的 Cloud Vision API 完全可以对图片进行适当的分类。 后话 研究人员已经将这种攻击的完整技术细节在其发表的论文中进行了描述,感兴趣的用户可以阅读这篇论文【传送门】。已经值得注意的是,这群研究人员在此之前也使用过类似的方法来欺骗 Google 的 Cloud Video Intelligence API【参考资料】。注:他们在一个视频中每两秒就插入一张相同的图片,最后 Google 的视频分类 AI 会根据这张不断重复出现的图片来对视频进行分类,而分类的依据并不是视频本身的内容。 文章转载自:FreeBuf.com,FB 小编 Alpha_h4ck 编译