分类: 推荐阅读

智能手机掌握用户更多秘密 比 PC 更受黑客青睐

据 CNET 网站报道,智能手机对用户的了解程度超过用户自己。智能手机随时知道用户的位置,知道用户与哪些人通了电话,甚至是通话内容。它存储有用户家人的照片、宠物的照片,甚至是用户使用的密码等等。对于黑客来说,智能手机就是一本数字通行证,能获得了解一个人所需要的所有信息。 安全研究人员称,这就是针对智能手机的攻击日益猖獗的原因。 在墨西哥举行的卡巴斯基安全分析师峰会上,来自移动安全公司 Lookout 的研究人员安德鲁·布莱希(Andrew Blaich)和电子前沿基金会的网络安全主管伊娃·戈尔佩林(Eva Galperin)发表了他们关于 Dark Caracal——针对移动设备的全球性恶意件,感染了逾 20 个国家的数以千计的用户——的调查结果。 通过追踪技术,他们发现 Dark Caracal “发源地”是贝鲁特一幢属于黎巴嫩安全总局的建筑物。Dark Caracal 利用了与真正应用几乎完全相同的虚假应用,诱骗数以千计的用户把它安装在手机上。一旦 Dark Caracal 安装到用户的手机上,黑客就能访问手机上的任何信息。 研究人员称,这次攻击非常严重,但它只是未来发生的攻击的预演。它颠覆了传统看法:即 PC 才是最受黑客青睐的攻击目标。对手机发动攻击变得越来越容易,攻击它们可以获得更大的回报,人们使用智能手机的时间远远超过电脑。对于黑客来说,攻击手机是一个显而易见的选择。 戈尔佩林表示,“入侵非常个人化的个人设备,就像了解了设备主人的想法一样。” 低门槛 高回报 Dark Caracal 专注于收集用户个人信息,不需要利用任何新的漏洞就能完成其任务。该恶意件使黑客能拍照、发现用户所处位置、录制音频,通过把自己伪装成 Signal 和 WhatsApp 等消息应用进行传播。 CNET 表示,允许 Dark Caracal 完成各种恶意任务的不是漏洞,而是用户自己。它会像其他应用那样要求获得一些权限,对于毫无戒心的用户来说,这些请求没有任何异常。 毕竟,Instagram 和 Facebook 等应用也会请求获得拍照、使用用户位置信息和录制音频的权限。如果用户下载了恶意件,但他或她却认为是一款真正的应用,这些权限不会引起用户警觉。 谷歌和苹果的安全补丁能堵上最新的漏洞,但它们挡不住用户受骗。恶意件安装到手机上,没有利用软件中的漏洞,利用的是人的弱点。 布莱希表示,“黑客没有在研究软件漏洞方面花费大量时间和精力,只是利用了一款获得过高权限的应用。如果不尝试利用软件漏洞,应用通过安全应用这一关并不难。” 虽然谷歌和苹果应用商店打击恶意应用的力度还是相当大的,但第三方应用商店就是另外一回事了。布莱希解释说,这是 Dark Caracal 能够传播的原因。 这款虚假应用在一个名为“ Secure Android ”的网站上“打广告”,称它自己的 WhatsApp 和 Signal 版本比原版应用更安全。黑客在激进分子和记者群中推广这一网页,因为恶意件的目标就是窃取这两类用户的信息。 虽然防止恶意件入侵的最好建议是,永远不要通过不正规方法安装应用,一些应用可能不能在美国之外的地区使用。例如,谷歌 Play 就不能在中国大陆地区使用。2014 年,中国大陆地区活跃 Android 用户数量为 3.86 亿。 补丁服务 为了提高移动操作系统的安全性,苹果和谷歌做了大量工作。苹果安全飞地(Secure Enclave)和加密技术能很好地保护用户数据,以至于美国联邦调查局愿意花 90 万美元解锁涉嫌制造圣贝纳迪诺枪击案的恐怖分子的 iPhone 手机。 谷歌通过 Project Treble 和 Play Protect 提高应用的安全性,封堵系统漏洞。 但是,鉴于部分补丁软件很少能被实际安装在手机上,这些措施还很不够。 2 月 28 日,美国联邦贸易委员会发表报告称,手机没有足够高效地获得安全更新包。美国联邦贸易委员会收集了苹果、谷歌、微软、三星、摩托罗拉、LG、HTC 和黑莓有关安全补丁安装过程的信息,结果并不令人乐观。 部分手机从未安装过任何更新包。美国联邦贸易委员会隐私和身份保护部门律师埃莉莎·吉尔森(Elisa Jillson)说,“支持期限从零到 3 或 4 年。” CNET 称,问题在于,安全更新通常与更广泛的软件更新捆绑在一起,这意味着某些型号手机从不会安装补丁,而其他型号手机可能需要等上几个月。美国联邦贸易委员会建议将这两种类型更新分开,提高为手机发布更新包的频次。谷歌 Project Treble 已经在这样做。 在 Project Treble 实施前,谷歌的安全更新包只面向运行最近版本 Android 的手机。高达 42% 的 Android 手机用户运行的不是最新版本操作系统,鉴于全球有 20 亿名 Android 用户,这意味着 8.46 亿部手机可能面临恶意件攻击。 戈尔佩林说,“绝大多数受害者都不是因零日漏洞受到攻击的。他们是因早已被发现的漏洞受到攻击的,他们只是没有安装补丁软件而已。” 布莱希表示,随着手机攻击越来越多,它将超过针对计算机的攻击。 在 Dark Carcal 兴风作浪期间,Lookout 和电子前沿基金会发现另外一个针对 Windows 计算机的攻击。与受到攻击的手机数量相比,Windows恶意件显得相形见绌。 吉尔森说,“这是一个已知的问题,设备没有安装更新包,因此,对于任何黑客来说,这都是一个敞开的窗口。” 稿源:腾讯数码,封面源自网络;

被盗的 Apple ID 在“ 暗网 ”黑市上售价为 15 美元

国外网站对秘密的“ 暗网 ”黑市进行了调查,结果发现,对于网络犯罪者来说,想要购买一个人的完整在线身份只需要花费不到 1200 美元。在这些在线身份中,Apple ID 苹果账户的售价为 15.39 美元。与其他账户相比,Apple ID 的售价还是很高的。 拥有 Apple ID 后,可以访问 Apple Music,以及 iCloud 等。暗网将 Apple ID 列为“娱乐登陆信息”,Netflix 的账户为 8.32 美元,Twitch 账户的价格为 2.08 美元,Ticketmaster 账户的价格为 2.07 美元。 社交媒体方面,脸书 FB 的价格最高,5.2 美元。领英、推特、Instagram 账户分别是 2.07、1.66 和 1.28 美元。Gmail 和雅虎账户的价格都是 1.04 美元,AOL 账户的价格却很高,达到了 4.16 美元。 其他方面,在线购物网站的账户价格也很高,梅西百货的账户为 15.34 美元,eBay 和 Amazon 的价格分别是 12.48 和 9 美元。最后就是金融服务了,Paypal 账户登陆价格高达 247 美元,西联登陆账户为 101 美元。其他在线银行、信用卡、借记卡信息都在 50-160.15 美元之间不等。 稿源:cnBeta、MacX,封面源自网络;

Windows 10 隐私控制更新 有望缓解对“ 内置键盘记录器 ”的顾虑

为了进一步改进用户隐私体验,微软已经在 Windows 10 上作出了诸多的调整。在今日向 Insider 测试者们推送的新版本中,其提供了修改操作系统隐私收集行为的控制选项。尽管大多数隐私设置都被限制在一个有繁杂选项的屏幕上,微软也在测试各种即将改变的新方法。很多人都吐槽过 Windows 10 中内置的“键盘记录器”,因为操作系统需要收集输入数据来赶紧自动填充、单词预测、以及拼接检查。 在即将到来的春季更新中,Windows 10 将引入一个单独的屏幕来启用“改进书写与打字识别”、以及允许用户选择退出“向微软发送手写和输入数据”的选项。 此外,微软还打算测试向 Windows 10 用户提供七个单独的隐私控制屏幕,并且积极听取来自 Insider 测试者的反馈,以找到最合适的平衡点。 与本次隐私设置变动一同到来的,还有一个单独的 Windows 诊断数据查看器。 为改进操作系统和做出产品决策,微软从用户那里收集了大量的匿名数据,而这款查看器可方便用户概览被发送到微软服务器的本地数据。 稿源:cnBeta,封面源自网络;

卡巴斯基实验室指网络犯罪分子通过恶意挖矿软件在 2017 年获利数百万美元

去年,我们看到了近期历史上最严重的勒索软件攻击之一,这要归功于 WannaCry。网络犯罪分子甚至为他们的恶意软件采用了“ as-a-service ”模式,以此来欺骗人们赚更多的钱。但根据卡巴斯基实验室的研究人员,这绝不是单纯的收入来源。 据卡巴斯基实验室的网络威胁研究和报告存储库安全列表称,网络犯罪分子利用在浏览器中执行恶意脚本,利用受害者的电脑硬件资源挖掘加密虚拟货币,另外他们还使用另一种技术即流程挖空。 简而言之,黑客使用合法应用程序作为容纳恶意代码的容器,从而通过受害者电脑系统的防御。其中的恶意装程序使用合法的 Windows 实用程序 msiexec,从远程服务器下载并执行恶意模块。在下一步中,它会安装一个恶意的调度程序任务,这会向系统注入挖矿程序,它将自己打扮成合法系统进程,并使用进程空洞技术。如果受害者试图终止此进程,则 Windows 系统将重新启动。 根据卡巴斯基实验室的数据,2016 年至 2017 年,这类攻击增加了近 1.5 倍。此外,在 2017 年的最后六个月中,网络犯罪分子通过以上 2 种方式已经赚取超过 700 万美元。 稿源:cnbeta.com,封面源自网络

苹果警告消费者要警惕新一轮的 App Store 钓鱼邮件

据外媒 BGR 报道,在访问不熟悉的网站或从无法识别的来源打开电子邮件时,通常是再小心也不为过,但有时很难分辨真假。例如,最近几周,App Store 用户的收件箱中出现了令人信服的新型网络钓鱼骗局,虽然它不是特别具有创新性,但它显然已经成为一个苹果觉得有必要警告其客户的问题。 9to5Mac 在周二分享了其中一个钓鱼电子邮件的副本,该副本显示为用户实际没有注册的服务的订阅确认。在电子邮件中,用户会收到警告,他们已经注册了 YouTube Red 的 30 天免费试用版,并且一旦试用期结束,他们将被收取 144.99 美元/月的费用。 这个骗局的关键是让用户点击链接取消订阅(他们从未真正注册过)。一旦他们点击,他们会被要求提供一系列敏感信息,从 Apple ID 到信用卡详情。 为了应对此类网络钓鱼尝试,苹果公司在其网站上发布了一个页面,解释如何识别来自假冒的 App Store 或 iTunes Store 电子邮件。以下是用户在看到苹果发送的电子邮件时需要注意的事项: 如果您收到一封关于 App Store 或 iTunes Store 购买的电子邮件,并且您不确定它是否属实,那么您可以查找一些可帮助确认该消息是否来自苹果的信息。 从 App Store、iTunes Store、iBooks Store 或 Apple Music 购买的正版购物收据包含您当前的帐单邮寄地址,这些骗子不太可能拥有。您还可以查看您的 App Store、iTunes Store、iBooks Store 或 Apple Music 购买记录。 有关您的 App Store、iTunes Store、iBooks Store 或 Apple Music 购买的电子邮件绝不会要求您通过电子邮件提供此类信息: 社会安全号码 母亲的娘家姓 完整的信用卡号码 信用卡 CCV 码 稿源:cnBeta,封面源自网络;

AT&T 高管谈“ 网络中立 ”废除必要性: 付费优先能提高自动驾驶安全性

据外媒 thenextweb 报道,日前,AT&T 对外与法律事务高级副总裁 Bob Quinn 在公司博客刊文称,人们对公司的快速通道和节流上存在错误看法,“没有哪个网络中立的讨论能够脱离对付费优先权话题的问题解决。首先我要说的是,付费优先问题一直都是模糊的、理论性的。” 然而实际上,对于付费优先级这个问题并不存在任何模糊或是停留在理论层面的问题。FCC 早在 2015 年的网络中立法中规定,ISP 可以在不违法付费优先级禁令的前提下为一些应用预留宽带。 所以,Quinn 的这一说法并不能站得住脚,另外他还在文章中指出,公司对为某位客户创建快速或慢速通道毫无兴趣,他们关心的则是自动驾驶汽车、远程手术、增强第一反应者通讯、虚拟现实服务等创新技术。在其看来 ,这些技术的应用都离不开端到端的管理,因为它们都是实时交互式的服务。 这就像是在告诉人们,AT&T 以往的网络都是瘫痪的,现在它们终于能够为创新技术提供网络支持了。不过让福特、雪佛兰、日产、特斯拉、保时捷、宝马、谷歌、苹果、英伟达以及其他 AI 公司依靠 AT&T 消费级宽带套餐来支持它们的自动驾驶汽车成败听起来似乎非常可笑。 因为自动驾驶汽车依靠的是它们自己的传感器,而不是由网络提供的信息。即便大家选择认同 Quinn 的这一说法,那么废除网络中立就能为该领域的发展带来改变?这同样值得人们思考。 而对于像谷歌等这样的大型科技公司,相信即便还有网络中立规定,AT&T 等 ISP 不可能无力帮助它们。 稿源:cnBeta,封面源自网络;

反洗钱组织 FATF 研讨防范虚拟货币洗钱、恐怖主义融资风险

近期反洗钱金融行动特别工作组(Financial Action Task Force on Money Laundering — FATF)聚集 37 个成员召开了第二次全体会议,讨论全球范围内的反洗钱和打击恐怖主义融资(AML/CFT)问题,其中也包括如何应对虚拟货币。  据外媒报道,FATF 听取了不同国家和地区对虚拟货币领域的监管措施,以及不同国家采取的 FinTech 和 RegTech 创新举措,并探讨科技在提高反洗钱和反恐融资工作效率方面的可能性。 公开资料显示, FATF 是西方七国为专门研究洗钱的危害、预防洗钱并协调反洗钱国际行动而于 1989 年在巴黎成立的政府间国际组织,是目前世界上最具影响力的国际反洗钱和反恐融资领域最具权威性的国际组织之一。其成员国遍布各大洲主要金融中心。其制定的反洗钱四十项建议和反恐融资九项特别建议(简称 FATF 40+9 项建议),是世界上反洗钱和反恐融资的最权威文件。 早在 2014 年,FATF 就已经关注到虚拟货币,并出具了一份报告厘清虚拟货币定义和分析潜在的 AML/CFT 风险。当是时,工作人员表示,他们正在讨论匿名性、有限身份确认、去中心化机制,他们认为执法机构和官员有必要认清可能的风险。 在本次会议上,韩国金融监管机构介绍了他们的监管政策。金融服务委员会(FSC)强制全面禁止加密货币的匿名交易,并推出了一种“真实交易系统”,要求加密货币投资者的加密账户和银行账户必须使用真实姓名。实际上,从 1 月 30 日起,买卖任何一笔加密货币均要求发起方和接收方遵守(KYC)原则。 事实上,韩国金融监管机构已公开表示,政府将支持 “ 加密货币的正常(非匿名)交易 ”,甚至要求加密货币在该国“正常化(normalization)”。 韩国金融监督管理局(FSS)主席崔香植(Choe Heung-sik)上周对媒体表示:“全球现在正在制定针对加密货币的法规,因此(政府)应该更多地关注正常化而不是增加监管。” 稿源:cnBeta、雷锋网,封面源自网络;

反对废除网络中立 Reddit 和 Tumblr 将于本周发起 #OneMoreVote

尽管 FCC 强行推动着废除网络中立政策,但科技行业仍处于抗争的第一线。据外媒报道,“ 为未来而战 ”、Demand Progress、新闻自由基金会等组织,以及 Reddit、Tumblr、Etsy、Medium 等网站,将于 2 月 27 日发起 # OneMoreVote 抗议活动。其旨在联合企业和用户的力量,鼓励向议员们拨打更多的电话、发送更多的邮件、提起更多的法律诉讼,以期在新政落地前的 60 天倒计时内扭转局势。 美国联邦通讯委员会(FCC)在 2017 年 12 月举行了废除现有网络中立政策的投票,而 #OneMoreVote 旨在引起参议员们的注意,以阻绝新政策通过国会审议。 稿源:cnBeta,封面源自网络;

CrowdStrike 全球威胁报告指出:勒索和数据武器化等已成网络犯罪主流

先进攻击战略的传播已经模糊了治国方略和谍报技术之间的界限,使威胁局面超越了传统安全措施的防御能力。根据 2018 年 “ CrowdStrike 全球威胁报告 “显示:通过分析 176 个国家每天 1000 亿件事件的综合威胁数据发现,勒索和数据武器化已成为网络犯罪分子的主流,严重影响了政府、医疗以及其他行业。导致这种情况的部分原因是由于与国家有关的网络攻击活动和有针对性的勒索软件数量正在增加,不过也有可能受到地缘政治甚至是军国主义剥削目的的影响。 此外,供应链泄露、加密欺诈以及采矿业务为国家资助者和网络犯罪人士提供了新的攻击手段。 CrowdStrike 的联合创始人兼首席技术官 Dmitri Alperovitch 表示:“ 我们已经看到网络对手发起了大规模的破坏性攻击,导致机构组织在数天或数周内无法正常运营。在未来的一段时间内,安全团队很可能在及时发现、调查和防御攻击方面面临着更大的压力。” 除此之外,报告还显示,一些已经建立的、资源充足的网络操作不断创新,例如探索分发犯罪软件的新方法,并采用先进的战术渗透,从而摧毁系统。 以 2017 年为例,CrowdStrike 观察到 ,约有 39%的攻击活动中传统防病毒软件无法检测到恶意软件的入侵,其中制造业、服务业和制药行业面临着最多数的恶意软件威胁。目前根据 CrowdStrike 统计, 2017 年的平均 “ 突破时间 ” 为 1 小时 58 分钟(突破时间表示攻击者从入侵的初始系统横向移动到网络中的其他机器所花费的时间——译者注)。 CrowdStrike 情报副总裁 Adam Meyers 表示:“ 现在各国与网络犯罪人士之间的界限日益模糊,以至于威胁的复杂性提升到了一个新的高度。” 消息来源:infosecurity,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

发改委:今年至少在 5 个城市开展 5G 网络建设

近日,国家发改委官网发布了《 2018 年新一代信息基础设施建设工程拟支持项目名单》,中国电信、中国移动、中国联通的 5G 规模组网建设及应用示范工程进入名单。此前国家发改委曾指出,2018 年将重点支持 5G 规模组网建设及应用示范工程,在不少于 5 个城市开展 5G 网络建设。 此次共有 8 个项目入选 2018 年新一代信息基础设施建设工程拟支持项目名单,分别是: 中国电信股份有限公司贵州分公司“百兆乡村”示范及配套支撑工程; 中国移动通信集团湖南有线公司“百兆乡村”示范及配套支撑工程; 中国电信股份有限公司广西分公司“百兆乡村”示范及配套支撑工程; 陕西广电网络传媒(集团)股份有限公司“百兆乡村”示范及配套支撑工程; 中国电信股份有限公司 5G 规模组网建设及应用示范工程; 中国移动通信有限公司 5G 规模组网建设及应用示范工程; 中国联合网络通信有限公司 5G 规模组网建设及应用示范工程; 国科量子通信网络有限公司国家广域量子保密通信骨干网络建设工程。 2017 年 11 月,国家发改委印发《关于组织实施 2018 年新一代信息基础设施建设工程的通知》指出,为深入贯彻党的十九大报告提出的加强信息基础设施网络建设的重大部署要求,有效支撑网络强国、数字中国建设和数字经济发展,2018 年,国家发展改革委继续组织实施新一代信息基础设施建设工程。其中,重点支持 5G  规模组网建设及应用示范工程、“百兆乡村”示范及配套支撑工程以及国家广域量子保密通信骨干网络建设一期工程。 该通知表示,5G 规模组网建设的开展以直辖市、省会城市及珠三角、长三角、京津冀区域主要城市等为重点。5G 网络应至少覆盖复杂城区及室内环境,形成连续覆盖,实现端到端典型应用场景的应用示范。 同时,5G 规模组网建设及应用示范工程的指标要求包括: (1)  明确在 6GHz 以下频段,在不少于 5 个城市开展 5G 网络建设,每个城市 5G 基站数量不少 50 个,形成密集城区连续覆盖; (2) 全网 5G 终端数量不少于 500 个; (3)向用户提供不低于 100Mbps、毫秒级时延 5G 宽带数据业务; (4)至少开展 4K 高清、增强现实、虚拟现实、无人机等 2 类典型 5G 业务及应用。 更多阅读: * 中国 5G 技术研发试验第三阶段测试拉开序幕  * 空客、达美航空同美国电信公司结盟 开发航空 5G 稿源:cnBeta、人民网,封面源自网络;