分类: 推荐阅读

智能泰迪熊玩具泄露 200 多万条亲子聊天记录

互联网填充智能玩具 CloudPets (泰迪熊)暴露了 200 多万条儿童与父母的录音、以及超过 80 万个帐户的电子邮件地址和密码。 安全研究员 Troy Hunt 发现,这些用户数据存储在一个公开的 CloudPets 数据库中,没有被密码或者防火墙保护,攻击者无需身份验证即可访问。此外,有证据表明已经有攻击者访问了数据库,还删除了数据并索要赎金。Hunt 称至少联系了 CloudPets 泰迪熊智能玩具的制造商 Spiral Toys 四次告知数据库漏洞,但没有收到回复。 这已经不是第一次提到智能玩具泄露用户的隐私数据。此前,德国政府监管机构联邦网络局就发出警告,家长应尽快销毁一些为他们孩子设计的可连接互联网的智能玩具。起因就是因 My Friend Cayla 严重缺乏安全功能可被黑客控制,并泄露儿童隐私信息。 家长因谨慎使用智能玩具保护孩子的隐私。此外,玩具厂商因提高网络安全意识并加强安全保护措施切实维护好消费者的“利益”。监管机构也应制定相应的规范制度并督促改进。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Avecto 年度报告:94% 微软高危漏洞可通过关闭管理权限消除

根据端点安全公司 Avecto 的年度微软漏洞报告结论:94% 的微软软件高危漏洞可通过关闭管理权限消除;对于浏览器而言,100% 的 Internet Explorer 和 Edge 漏洞可通过关闭关闭管理权限消除。 2016 年微软软件报告了 530 个漏洞,其中 36% (189) 被归类为高危漏洞;Windows 10 系统发现的漏洞最多,有 395 个,93% 的 Windows 10 漏洞可通过关闭管理权限消除;Microsoft Office 发现了 79 个漏洞,其中 17 个高危。 稿源:cnBeta;封面源自网络

Google E2EMail 加密电子邮件代码宣告开源

Google 一直擅长分享其丰富的信息,包括将其全部捐赠给开源社区。这一次轮到了 E2EMail,一个实验性质的端到端加密系统。E2EMail 由 Google 开发,内置 JavaScript 内部开发的 JavaScript 加密库。它提供了一种通过 Chrome 扩展程序将 OpenPGP 集成到 Gmail 中的方法。消息的明文单独保留在客户端上。 E2EMail 在谷歌当前一个中央密钥服务器上进行测试,根据最近的密钥透明度公告显示,OpenPGP 方式的核心密钥坚实,可扩展,因此这种解决方案,取代了传统上与 PGP 一起使用的有问题的网络信任模型。 E2EMail 代码目前已经上传到 GitHub,每个人都可以访问查看代码。端到端加密被视为所有隐私问题的解决方案,可以避免政府监控,中间人攻击等。即使公司也可以通过尽可能最好地保护他们的通信来保护他们免受工业间谍侵害。 在过去几年中,尤其是在爱德华·斯诺登提供有关美国国家安全局的监听密码之后,越来越多的服务实施了端到端的加密服务,包括像 WhatsApp 和 Signal 这样相当知名的消息应用程序。 电子邮件服务,应用程序和社交网络都已开始关闭其数据流,以帮助用户和保护他们免受监视和网络威胁。话虽如此,端到端加密还没有到达互联网的所有角落。 稿源:cnBeta;封面源自网络

SHA1 碰撞攻击的第一位受害者:WebKit 版本控制系统

SHA1 碰撞攻击出现了第一位受害者:WebKit 项目使用的开源版本控制系统 Apache SVN(或 SVN)。在某人上传 Google 公布的两个 SHA-1 值相同但内容不同的 PDF 文件后,版本控制系统出现严重问题。SVN 使用 SHA1 去跟踪和合并重复的文件。SVN 维护者已经释出了一个脚本工具拒绝 SHA1 碰撞攻击所生成的  PDF 文件。 与此同时,版本控制系统 Git 的作者 Linus Torvalds 在其 Google+ 账号上称,天没有塌下来,Git 确实需要替换 SHA1,这需要时间,并不需要现在就去做。 稿源:cnBeta;封面源自网络

Linus Torvalds 回应 SHA-1 碰撞攻击“不必过于担忧”

Google 与 CWI Institute 合作演示了对 SHA-1 的碰撞攻击,公布了两个 SHA-1 哈希值相同但内容不同的PDF 文件。这一消息在 Git 社区引发了 Git 对象碰撞攻击可能性。 Git 作者 Linus Torvalds 对此回应称 Git 不用担忧 SHA-1 碰撞攻击。他解释说,git 不只是哈希数据,还预留一个类型/长度字段,增加了碰撞攻击的难度,相比之下 pdf 文件使用了一个固定的头,为了实现相同的哈希值攻击者可以在里面加入任意的静默数据。所以 pdf 文件的不透明数据格式使其更容易成为攻击目标。git 也有不透明数据,但都属于次要的。他表示,git 可以很容易加入额外的完备性检查抵抗碰撞攻击,它并不面临迫在眉睫的危险。 稿源:solidot奇客;封面源自网络

Google 宣布攻破 SHA-1 加密:证明哈希值可与 PDF 文件内容冲突

经过 2 年的研究,Google 表示其已成功破解了 SHA-1 加密。尽管暂未披露其首次达阵的任何细节,该公司还是放出了一个概念验证。根据既往的信息披露政策,谷歌将在 90 天后披露详情。在此期间,你可以看看 Google 晒出的两份特制 PDF 文档,虽然它们拥有相同的 SHA-1 哈希值,但内容上却不尽相同(定义冲突)。 需要指出的是,SHA-1 曾一度非常流行,但现在已经不太常见。因为专家们很早前就预测过,这项技术将很快被破解。近年来,业内已经逐渐疏远这项加密方法,转而采用更安全的替代品,比如 SHA-256。 谷歌希望通过对 SHA-1 的实际攻击,能让业界认识到将 SHA-1 替换成更安全的方案已经迫在眉睫。 当然,想要达成 Google 这样的“成就”并非易事,因之实际上共执行了 9,223,372,036,854,775,808 次 SHA-1 计算(9×10^18);一阶段攻击需要耗费 6500 年的 CPU 计算时间;二阶段攻击也需要 110 年的 GPU 计算时间。 稿源:cnbeta,有删改,封面来源于网络

Chrome 安全警告:部分网站内容乱码,提示下载字体,实为恶意攻击

近日,部分谷歌 Chrome 浏览器用户遭遇到了新的黑客诈骗攻击方式,安全专家提醒各位用户提高警惕。网络安全公司 NeoSmart Technologies 首先在一家 WordPress 架构的网站发现此类陷阱式攻击方式,WordPress 最新版本存在着问题让用户无法及时更新安全补丁,为黑客留下了可乘之机。 此类攻击隐藏的非常好,JS 脚本首先将会篡改被感染的 WP 网站文本渲染呈现方式,导致用户在使用 Chrome 时看上去非常混乱,随后脚本会提示用户缺乏某个特定字体,建议用户升级 Chrome 字体包来解决问题,但下载的字体文件其实含有恶意软件。弹出的对话窗口看上去非常逼真,其甚至巧妙地模仿了按钮按下时的阴影高光细节。 当然,这种骗局也有破绽:首先他仅会提示你正在使用 Chrome 53 版本(非该版本的用户也会如此提升),另外信息提示你会下载“ Chrome_Font.exe ”,但是实际下载的文件名为“ Chrome Font v7.5.1.exe ”。目前谷歌尚未将该文件标识为“恶意软件”,用户需要特别注意。 稿源:cnbeta,有删改,封面来源于网络

恶意 Android 应用借知名色情站点之名肆虐互联网

作为色情网站中的佼佼者,P**hub 显然备受各类病毒 / 欺诈钓鱼 / 恶意软件制作者们的青睐。网络安全公司 ESET 的研究人员刚刚发现,一轮针对毫无戒心的受害者的网络攻击正在兴起,而它们的主要手段,就是将自己伪装成知名的 P**hub Android 移动应用程序。这家反病毒软件公司称,虽然谷歌会不时从 Play Store 上撤下恶意软件,但仍然难以杜绝李鬼们的登场。 P**hub 确实有一款官方 Android 应用,但当前它在 Play Store 上处于不可用的状态。因为谷歌禁止色情应用在自家软件分发平台上出现,导致用户不得不通过第三方途径寻找“替代品”,然而这是一个充满了危机的旅程。 一旦被安装,这款恶意应用会先拒绝点播任何视频,除非它先“执行病毒检查”。但你别以为它有那么好心,因其实际上在偷偷地安装会锁住用户设备的勒索软件。到了这一步,这款恶意 P**hub 应用终于暴露了自己的真面目,勒索用户交出价值 100 美元比特币的赎金。 不过 ESET 也发布了一份自救指南(仅供参考): ● 首先将以‘安全模式’启动设备 — 此时第三方应用已被即刻阻止 — 以便用户轻松清除恶意软件; ● 其次如果恶意应用已被授予了设备管理员权限,请务必在删除该 app 前撤销它的权限。 ● 如果恶意软件篡改了设备的锁屏功能,自救操作就更加复杂,或许需要通过谷歌的‘安卓设备管理器’(或其它替代解决方案)来重置锁屏。 ● 为防以上措施均未起效,最后的大招是通过‘恢复出厂设置’功能彻底重置手机。 稿源:cnBeta;封面源自网络(PS)

Google 希望在澳大利亚雇佣“黑客”填补岗位空白

谷歌正在澳大利亚寻找能力强、技术高明的“黑客”,并邀请其加入公司。谷歌认为澳大利亚是一片滋生网络安全人才的沃土,澳大利亚学校为学生提供了广泛的 IT 知识课程,营造出很好的 IT 氛围,有助于培训出网络安全专业人士。Google 安全专家 Parisa Tabriz 表示正在寻找的理想目标是:拥有很强的渗透入侵能力但不做恶,而是为了让系统更安全而努力的技术人才。 然而,科技巨头的举措可能加剧澳大利亚各政府机构 IT 技术人才短缺的普遍现象。澳大利亚情报机构的官员 Michael Scott 表示私营公司正在和政府竞争网络安全人才,由于薪资和福利等问题,政府往往处于劣势。 新南威尔士大学教授 Richard Buckland 表示:现阶段是培养了一些人才,但相比于市场需求来说这远远不够。此外,最重要的一个问题是,尽管学校提供了各种课程,但似乎并没有那么多学生有兴趣参加课程,学校需要改变课程的教学方式。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Google 分享企业电子邮件受攻击数据

根据 Google 数据分析,企业电子邮箱比个人电子邮箱更容易受到恶意软件,网络诈骗和垃圾邮件的攻击。 Google 的 Gmail 服务已拥有超过 10 亿的活跃用户,该公司表示,它每周都会阻止数百亿次针对这些帐户的攻击。 在本周的 RSA 会议上,搜索巨头分享了本公司收件箱受到的攻击情况,并将这些数据与其他账户类型进行了对比。 迄今收集到的数据显示,与个人邮箱相比,企业电子邮箱收到恶意软件的可能性高出 4.3 倍,收到网络钓鱼邮件的可能性高出 6.2 倍,而接收垃圾邮件的可能性高出 0.4 倍。 以上为 2017 年上半年收恶意软件攻击最多的部门 虽然企业帐户似乎是攻击者最喜欢的目标,但相比之下,非营利、教育和政府组织似乎更容易发现恶意软件攻击。娱乐,IT 和住房部门是垃圾邮件最有针对性的目标,而网络钓鱼更有可能针对金融和保险部门。 当谈到恶意软件攻击,房地产难逃一劫。 稿源:bccn,有删改,封面来源于网络