分类: 推荐阅读

抓住隐私法案废除契机:Verizon 推出预装应用收集用户信息

美国国会众议院 28 日投票废除奥巴马时期出台的一条互联网隐私法规;该法规要求网络宽带服务提供商要先征得用户允许,才能将个人信息共享出去,其中包括定位数据。抓住这个契机,美国最大电信运营商 Verizon 宣布推出名为 AppFlash 的全新预安装应用程序,通过调取相关数据来向你发送有针对性的广告。 援引外媒 TechCrunch 报道,这款名为 AppFlash 的预安装应用希望成为 Android 操作系统的移动搜索中心,可以在主屏幕通过向左滑动来呼出。在试运行阶段这款软件会预安装在 LG K20 V 这一款设备上,不过 Verizon 表示这款应用会提供相关的选项,消费者能够轻易的进行关闭。Verizon认为它能够用于搜索从餐馆、音乐和移动应用的所有内容,不过该应用的主要功能还是为了收集用户数据。的 AppFlash 的隐私策略就根据消费者的移动号码、正在使用的设备以及已经安装的应用上收集信息。在得到消费者的许可之后还能监控物理定位和联系人信息。所有这些信息都会同“ Verizon 系列公司”进行分享,从而帮助提供更精准的广告信息。这个系列公司包括 AOL 、雅虎等等。 稿源:cnBeta,封面源自网络

新骗局:诈骗者谎称用户 iCloud 账号被盗并借此获取登录权限

近日,有外媒曝出,近段时间出现了一种新的 iPhone 手机诈骗手段。据称,诈骗分子假装成苹果技术支持部门的员工然后打电话给 iPhone 用户告诉他们其 iCloud 遭到攻击,而实际上,这些用户的 iCloud 账号此时非常安全。据了解,已经有相当一部分用户遭殃,他们将自己的遭遇分享到了社交媒体平台上。 这位叫做 steff 的 Twitter 用户就很不幸地沦为受害者,她表示自己账号里的钱都被盗走了。 据披露,诈骗分子会要求用户向他们提供验证身份的信息,这也就意味着他们能够轻而易举地获得这些用户账号的登录权限。 此外,诈骗分子还可能执意要求为目标的电脑安装所谓的杀毒软件来盗取受害者的数据。 对于苹果用户来说,或许在怀疑自己 iCloud 账号遭到攻击的时候最好在一台安全的设备上更改密码并启用两步认证登录方式,或自己联系苹果技术支持工作人员来帮助解决这一问题。 稿源:cnBeta;封面源自网络

赛门铁克警告 Switch 模拟器下载链接实为垃圾站点

此前有流言称国外黑客已经攻破 Switch ,模拟器内测版流出可以模拟 Switch 大作《塞尔达传说》,并且在 YouTube 频道上放出了演示视频,给出了免费下载链接。安全公司赛门铁克周四发出警告,千万不要相信此类传言,其宣称的 Switch 模拟器链接其实是通向垃圾信息站点,恶意病毒的。 其利用仿制的任天堂站点,向玩家推送虚假的下载链接,点开后是无尽的垃圾信息站点和烦人的调查问卷,调查问卷宣称完成后通过解锁码能够免费得到一台 Switch,这是一个被恶意垃圾信息标志的站点。 稿源:cnBeta;封面源自网络

90% 的智能电视能被恶意电视信号远程劫持

瑞士的安全研究员 Rafael Scheel 在一个安全会议上报告了针对智能电视的新型攻击方法,这种攻击方法允许一位恶意人士通过发送恶意的数字视频地面广播 ( DVB-T ) 信号远程控制设备,获得智能电视的 root 访问权限,然后可以为所欲为,包括发动 DDoS 攻击到监视电视用户。 这种攻击具有高度的危险性,因为攻击者可以在远程发动攻击,不需要电视用户的交互,可在后台运行,在电视被入侵后用户可能会毫不知情。攻击针对的是宽带混合型电视 ( Hybrid Broadcast Broadband TV )标准,今天出售的约 90% 的智能电视都支持这一标准。Scheel 称,任何人花费 $50-$150 就可以设立一个定制的 DVB-T 发射机,广播 DVB-T 信号。 稿源:Solidot奇客;封面源自网络

广告软件改写 Google 搜索结果中科技公司的电话信息

为了推动技术支持骗局,名叫 Crusader 的新广告软件家族会改写 Google 搜索结果中安全公司和科技公司的联络信息。Crusader 通过浏览器插件、免费软件和捆绑软件的形式安装到用户电脑。当执行该软件时,它会要求授予读取和改变你所访问的网站信息的权限。如果用户授予了该权限,那么他们的网络流量就面临遭到纂改或操纵的风险。 Crusader 会接受位于印度的服务器上的指令,包括弹出广告,展示横幅广告,替代现有横幅,将用户重定向到特定网址。当用户在搜索引擎上输入“ Quickbook support ”,Crusader 会展示广告诱导到欺骗性的域名。但最有意思的一点是,它会改写安全公司和科技公司的联络信息。比如输入“ Dell support number ”或“ Norton support number ”,返回的电话号码指向的是技术支持骗局操作者的呼叫中心。 Crusader 可能出于测试阶段,其代码中多处引用“ demo ”,此外还有占位符设置。 稿源:solidot 奇客;封面源自网络

黑产公民信息报价单:地下市场手机账单信息最贵

(原标题:地下市场手机账单信息最贵) IT 时报报道,腾讯安全团队发布了一份黑产公民信息报价单,涉及十三项公民信息种类,报价最低 1 元一条,最高达到 3000 元。报价最高的是手机话费账单(详单),每一份的报价高达 2000 元~ 3000 元。 一位业内人士透露,由于话费账单中可能涉及各类商务往来的关键信息,因此经常流通于私家侦探业务市场以及非法讨债公司之间,甚至会有商业间谍依托查询竞争对手的手机通话信息来获取关键突破信息,牟取暴利。 目前,这一类信息在地下黑市的报价最高。其次是公民银行流水单,每份的报价为 1000 元~ 3000 元,其中最大的买主同样是来自私家侦探业务以及非法讨债公司。这两大逐步形成成熟交易链条的行业是目前地下黑产最为稳定且主流的交易 “伙伴”,而随着国家对地下黑产市场的严打,敏感调查对象的价格正在水涨船高。身份证户籍信息、制作假文凭、假证书、开房记录、手机基站位置等信息在地下黑产的报价相对较低,平均在 10~500 元之间不等。报道声称,黑客主要是通过内部人士以及通过攻击网站获取公民信息。 稿源:solidot 奇客;封面源自网络

Let’s Encrypt 向 PayPal 钓鱼网站签发了超过 1.4 万个证书

过去一年,Let’s Encrypt CA 被发现向含有 PayPal 一词的域名或证书标识签发了 15,270 个 SSL 证书,其中 14,766 (96.7%)个证书是签发给了托管在钓鱼网站上的域名。 Let’s Encrypt CA 不是唯一一个向钓鱼网站签发 SSL 证书的 CA,其它 CA 也存在这一问题,但数量要比提供免费服务的 Let’s Encrypt CA 低几个数量级(只有几百个)。钓鱼者较少其它 CA 的一个原因是这些 CA 提供的是商业服务,会拒绝含有热词如 PayPal 的证书申请,而 Let’s Encrypt CA 的证书签发是自动化的并没有专人审查。 Let’s Encrypt CA 旨在推动更安全的 HTTPS 网站的普及,它认为自己没有责任去检查网站是钓鱼网站还是合法网站。 稿源:solidot 奇客;封面源自网络  

诈骗分子利用 GiftGhostBot 僵尸网络窃取零售商礼品卡余额

Distil Networks 安全专家称,网络犯罪分子正利用僵尸网络 GiftGhostBot 窃取全球主要零售商提供的礼品卡余额。 GiftGhostBot 是一种专门用于礼品卡诈骗的新型僵尸网络,攻击目标为面向消费者提供礼品卡消费途径的所有网站,如奢侈品零售商、超级市场、咖啡店网站等。 据悉,诈骗分子不仅利用该僵尸网络对全球范围内近 1000 个网站发起攻击,还公然窃取合法消费者礼品卡余额。他们通过暴力攻击每小时测试多达 170 万张礼品卡帐号并查询账号余额。一旦礼品卡帐号与余额匹配正确,诈骗分子无需任何身份验证即可自动登录受害者账号。由于诈骗分子成功获取余额后即迅速潜入黑市转售帐号或直接消费,追踪此类犯罪行为具有较大难度。 Distil Networks 首席执行官 Rami Essaid 称,像其他复杂网络攻击一样,为了逃避检测,GiftGhostBots 僵尸网络正通过全球托管服务提供商、互联网服务提供商和数据中心执行 JavaScript ,模拟常规浏览器。因此,任何提供礼品卡的零售商都可能受到攻击。为防止资源流失,个人和企业必须共同努力将危害范围控制到最小程度。 原作者:Wang Wei, 译者:青楚,校对:Liuf 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

安装量最高 PC 程序排行出炉:Chrome 居首、Flash 播放器和 Java 均上榜

近日安全公司 Avast 发布了其全球安装量最高的 PC 程序排行榜,谷歌的 Chrome  浏览器位居榜首,二三名分别是Adobe Reader 阅读器和 Flash 播放器( Active X 版本),火狐浏览器和 Flash 插件随后。令人堪忧的是,许多PC用户使用着较老版本的火狐浏览器、Flash 或 Java 程序,极易遭受黑客攻击。 排行榜前十位完整榜单: 尽管大部分流行应用经常推出安全更新,但 Avast 指出相当比例的用户事实上并未安装软件的最新版本,使得大部分 PC 脆弱且容易遭受攻击。Avast 指出,使用率高、与安全性相关的关键应用中(如火狐、Flash 和 Java ),超过 52% 的版本是未及时更新的旧版本。用户长期忽视更新,或者新版本通常不能正常运行等原因,导致了此情况。过时的软件版本有大量漏洞为攻击者敞开后门。 稿源:cnBeta;封面源自网络

微软解释:收集用户键击信息是为了改善输入和语音识别

相比较备受诟病的 Windows 8/8.1 系统,Windows 10 在很多方面得到了用户的肯定和支持,但依然有不少用户吐槽隐私设置。在即将来的 Windows 10 Creators Update 中,尽管微软向用户开放了更多的隐私控制权限,但默认激活的方式依然惹恼了不少用户。日前,知名社区 Reddit 上“ Keylogger ”(键盘记录器)成为 Windows 10 用户讨论的焦点话题。 在评论中很多 Reddit 用户抱怨 Windows 10 隐私设置的默认选项,尤其是“ 输入和手写信息用于改善打字和写入服务”的追踪服务,且默认处于激活状态。对此微软在 FAQ 中解释道在 Windows 10 系统中收集用户键盘敲击,是为了改善输入和语音识别,并不是为了监视当前用户做了哪些操作。 如果你不希望你在键盘上敲入的字符都被记录,那么可以根据 Reddit 用户提供的方式进行设置,访问设置》隐私》通用,然后取消选中“ Send Microsoft info about how I write to help us improve typing and writing in the future ”的复选框。 不过根据 Myce 报道,部分用户发现无法关闭这项功能,而且在 Windows Update 更新之后又会重新激活这个选项。 稿源:cnBeta ,封面源自网络