分类: 推荐阅读

苹果:将通过软件更新修复 Siri 读取锁屏隐藏信息的 Bug

近日爆出 iOS 11 存在 Siri 可以读取第三方 App 锁屏隐藏信息的 Bug,今天早些时候苹果已经确认此事并将通过软件更新进行修复。苹果在声明中表示,已经意识到问题的存在并将通过一次软件更新将其修复。如果按照目前状况分析,这次更新很可能指的就是 iOS 11.3,不过也有可能苹果会通过一次小幅更新来尽快解决此事,比如 iOS 11.2.7。 之前巴西一家网站曝光了 Siri 的这个泄露隐私的问题,Siri 并不会朗读苹果自家信息应用的锁屏隐藏消息,但会朗读第三方的,比如 Facebook Messenger、WhatsApp 和 Gmail。由于 Siri 并不区分用户的声音,所以任何人都可以通过 Siri 来窥探机主的隐私信息。 值得一提的是,虽然 Siri 无法读取信息应用的锁屏隐藏信息,但可以读取邮件应用的主题。 稿源:cnBeta、MacX,封面源自网络;

[信息图]企业传统防御方式已跟不上新型网络威胁

最新报告指出诸如勒索软件之类的攻击之所以能够绕过传统的安全解决方案,是因为这些组织往往忽略了补丁、更新或者更迭当前产品和服务的重要性。根据网络安全公司 Webroot 最新的研究报告称:自 2017 年 9 月份以来,已经有超过 5000 家网站被 JavaScript 加密货币矿工 CoinHive  劫持用于挖取 Monero 币。 Webroot首席技术官Hal Lonas说道:“从过去一年的新闻头条中,我们可以明显感觉到攻击者变得越来越有攻击性,且攻击方式更加的灵活。劫持来挖取加密货币的攻击方式已经成为新的威胁,它达到了攻击者的攻击预期:匿名性、易部署性、低风险和高回报。企业需要使用实时威胁情报来检测这种新威胁,并且在形成进一步伤害之前检测到这些恶意行为。” 从调查数据来看Windows 10的安全性几乎是Windows 7的两倍。但是迁移率非常的低,在2017年年底只有32%的企业设备已经升级至更新的操作系统。 此外钓鱼网络攻击也变得更有针对性,开始利用社会工程学和IP掩码方式来提高入侵成功率。平均计算下来,钓鱼网站在线时间只有4-8个小时,意味着它们正在规避传统的反钓鱼策略。 稿源:cnBeta,封面源自网络;

G20 将加密货币定义为资产 中国支持加强协调监管

阿根廷担任二十国集团(G20)主席国后的首次 G20 财长和央行行长会议日前在阿根廷布宜诺斯艾利斯举行,周小川最后一次以中国央行行长的身份率团出席了该会议。周小川在会上表示,中国支持就加密资产和数字货币问题在 G20 下加强政策协调。 据了解,本次会议形成了 G20 联合公报,公报将加密货币定义为资产而非货币,承认其提高金融经济效率和包容性的优势,但也对其逃税、洗钱、恐怖融资等问题表示关注。 不过,本次会议暂未达成对加密货币的监管共识,各国同意以 2018 年 7 月作为时间节点,在此之前研究好政策出台所需要的数据和信息。 中国支持在 G20 下加强政策协调 自去年以来,比特币暴涨暴跌,经历数轮过山车行情,引发了全球主要央行的注意。自 G20 法国峰会开始,包括美国、德国和日本等多个国家和地区的监管部门都曾表示,应当在 G20 会议中就加密货币的监管达成国际合作,希望 G20 峰会成员国对此进行深层次讨论。 周小川表示,加密资产可能引发系列挑战和问题,如非法交易、洗钱和恐怖融资,可能会影响货币政策的传导。加密资产虽然规模仍然较小,但社会影响较大,不容忽视。中国一直强调,金融部门要更好地服务实体经济,目前看加密资产对实体经济的支持作用存疑。 周小川强调,应继续加强以国际货币基金组织(IMF)为核心的全球金融安全网建设。回顾全球金融危机后,G20 两次推动 IMF 增资以及对 IMF 进行份额和治理改革的历程,周小川呼吁各方牢记历史,并考虑构建更加有效率和中心化的全球金融安全网。同时,IMF 在资本流动、国际储备货币体系等领域开展了大量有意义的工作,这些工作有必要继续。中方欢迎全球金融治理名人小组近期开展的工作,并愿与各方一起推动就全球金融治理改革的许多问题开展进一步研究。 中国对于加密货币的监管态度自去年 8 月开始的那场监管风暴已经亮明。ICO(首次代币发行)、比特币交易平台先后被叫停,今年开始,央行继续整治经过“改头换面”、“出海”的那些平台。在刚刚结束的全国两会期间,周小川在央行新闻发布会上接连回答了三个关于加密货币和数字货币的问题,也表现出了监管层对这一焦点问题的关注。 周小川表示,中国央行较早就已经关注了包括区块链和分布式记账技术等金融科技领域的新技术。这些技术研发应该慎重,否则如比特币等分叉产品发展过快,会给消费者带来负面的影响,甚至会对金融稳定、货币政策传导等都产生不可预测的作用。 周小川还表示,中国对比特币的监管是动态的,取决于技术的成熟程度,也取决于最后测试试验、评估情况。“我们不太喜欢那种创造一种可投机的产品,让人家都有一夜暴富的幻想,这不是一件什么好事,而是强调要服务实体经济。” 协同监管“大限”在 7 月 不过,是否对加密货币进行监管在本次会议上仍然悬而未决,会后阿根廷央行主席弗雷德里克·斯特泽尼格(FredericoSturzenegger)在记者会上表示,在加密货币任何政策出台之前,还需要更多信息和数据,各国同意以 2018 年 7 月作为一个时间点,在此之前研究好政策出台所需要的数据和信息。 此消息一出,虚拟货币价格止跌回升。 会议亦表示,将继续密切关注金融系统中出现的新风险,继续承诺及时、全面和一致地落实金融部门改革,并评估改革措施的影响。在肯定加密资产底层技术潜力的同时,强调加密资产不具备主权货币的关键属性,引发了消费者保护、市场诚信、避税、洗钱和恐怖融资等一系列问题,并可能会影响金融稳定。为此,将加强监测,评估采取多边应对措施的必要性。 比特币已经引起了全球越来越多国家的关注,并且引发监管部门出手整顿。 美国商品期货交易委员会 1 月 19 日宣布,已经针对三家虚拟货币交易平台提出了联邦民事执法诉讼。监管机构提出的指控包括欺诈、误导用户、非法侵吞等。这是该机构自允许在美国进行比特币期货交易以来,第一次采取执法措施。 迄今为止,美国国会方面也开展了三场关于虚拟货币的讨论。3 月 14 日,美国众议院金融服务委员会的小组委员会举行了主题为“审视虚拟货币和 ICO 市场”的听证会,尽管在媒体看来,此次听证会的严厉程度并没有达到预期,但仍旧触发了虚拟货币继续全线下跌。 2018 年 2 月初,法国经济和财政部长布鲁诺·勒梅尔表示,法国和德国会向 G20 提议对比特币实施监管,并提出一些具体措施。 法国等一些国家在此次会议上提出具体措施,例如将“加密资产服务提供商”的合法地位作为监管部门的第一个着眼点。 即便是此前对比特币一直持有较为宽容态度的日本,自去年以来,对比特币的监管态度也愈加强硬起来。今年 3 月上旬,日本金融厅宣布,已经对六家交易所进行处罚,并向两家加密货币交易所 FSHO 和 BitStation 发出了暂停交易指令,有效期为一个月。并且责令 Coincheck 调整管理结构,完善反洗钱程序,须在 3 月 22 日前反馈报告。 但并非所有国家都持有相同的态度。巴西央行行长戈尔德法因(IlanGoldfajn)3 月 19 日表示,他们国家的加密货币不会被监管,巴西不一定非要遵循 G20 制定的相关规则。 金融稳定委员会主席、英国央行行长马克·卡尼(MarkCarney)此前也表示,在会前曾写信告诉各国财长和央行行长,加密资产目前还没有对全球金融稳定构成威胁。 在他看来,加密资产即便在价格最高点,也达不到全球 GDP 的 1%。再加上加密货币不能代替真的货币,在实体经济、金融交易中的用途也极少,这就意味着与金融系统的关联非常有限。 稿源:cnBeta、第一财经日报,封面源自网络;

苹果公司解决 WebKit 框架中的 HSTS 用户跟踪问题

苹果公司为 WebKit 框架添加了新的保护措施,以防止可能滥用 HTTP 严格传输安全(HSTS)安全标准来跟踪用户。HSTS 提供了一种机制,通过这种机制,网站只能通过安全连接和直接浏览器访问安全版本所在的位置来声明自己。 基本上,当用户尝试连接到网站的不安全版本时,HSTS 强制浏览器转到网站的 HTTPS 版本。 由于 HSTS 告诉网络浏览器在被重定向到安全位置时记住并且将来自动去那里,可以创建一个“超级 cookie”,并且它可以被跨站点跟踪器读取。攻击者可以利用用户的  HSTS 缓存在设备上存储一位信息。 通过注册大量域并强制从受控子域中加载资源,攻击者“可以创建足够大的比特向量来唯一地表示每个站点访问者。” 在 HSTS 规范中描述了这个问题:“对于那些控制一个或多个 HSTS 主机的人来说,将信息编码成他们控制的域名是可能的,并且使得这些 UA 缓存这些信息当然是在注意 HSTS 的过程中 主办。 这些信息可以由其他主机通过巧妙构建和加载的网络资源来检索,导致 UA 发送查询到(变体)编码的域名。“ 缓解这种跟踪攻击并不容易,因为它需要平衡安全和隐私目标。 但是,由于 HSTS 的隐私风险仅作为理论追踪向量呈现,但尚未提供实际恶意滥用协议的证据,因此浏览器将遵守网站提供的所有 HSTS 指令。 苹果最近意识到这种理论攻击已经开始针对 Safari 用户进行部署。 这促使这家科技巨头开创了一个既保护安全网络流量又减少跟踪的解决方案。由于 HSTS 漏洞需要创建一个初始跟踪标识符并读取它,苹果建议对攻击双方进行缓解。 一方面,苹果公司修改了网络堆栈,只允许为加载的主机名或顶级域 + 1 设置 HSTS 状态。因此,跟踪器不能再有效地在大量不同的位上设置 HSTS,但需要单独 访问跟踪标识符中具有活动位的每个域。 WebKit 还限制了可以链接在一起的重定向数量,从而限制了可以设置的位数。另一方面,当动态 HSTS 导致一个不安全的第三方子资源从被阻塞的 cookie 升级到认证连接的域中加载时,苹果还修改了 WebKit 以忽略 HSTS 升级请求(并使用原始 URL)。 在内部回归测试,公共种子和最终的公共软件发布期间收集的遥测数据表明,上述两种缓解成功地阻止了 HSTS 超级 cookie 的创建和阅读,同时又不会使第一方内容的安全目标退步。 我们相信他们符合最佳实践,并保持 HSTS 提供的重要安全保护。 稿源:东方安全,封面源自网络;

Chrome 扩展程序可防止基于 JavaScript 的 CPU 旁路攻击

据外媒报道,某学术团队创建了一个名为 Chrome Zero 的 Chrome 扩展程序,据称可阻止使用 JavaScript 代码从计算机中的 RAM 或 CPU 泄露数据的旁路攻击。目前该扩展程序仅在 GitHub 上提供,并且不能通过 Chrome 官方网上商店下载。 安全专家表示,目前有 11 种最先进的旁路攻击可以通过在浏览器中运行的 JavaScript 代码执行。 根据对这些先进的旁路攻击进行研究之后,研究人员确定了 JavaScript 旁路攻击试图利用的 5 种主要数据/特性:JS 可恢复的内存地址、精确的时间信息、浏览器的多线程支持、JS 代码线程共享的数据以及来自设备传感器的数据。 针对以上情况,Chrome Zero 试图通过拦截 Chrome 浏览器应执行的 JavaScript 代码,重写封装器中的某些 JavaScript 函数、属性以及对象来抵御旁路攻击。 尤其值得注意的是,安全专家表示 Chrome Zero 不仅能够消除旁路攻击,并且还具有最低的性能影响。此外,自 Chrome 49 发布以后,Chrome Zero 将能够阻止 50% 的 Chrome  0day 攻击。 消息来源:bleepingcomputer.,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

G20 财政监管机构:不会对加密货币采取措施

据媒体报道,负责在经济危机之后对金融和市场进行改革的监管部门表示,他们将会对现有规则进行重申,而不是专注于制定新的规则。 金融稳定委员会(FSB)是负责 G20 成员国的财政监管机构,对于一些成员国呼吁对比特币等加密货币进行监管,FSB 表达了反对立场。去年人们对加密货币的兴趣大涨,其价格也一路飙升,但是几个月前加密货币价格突然下落,这也引起了一些国家监管机构的注意。 FSB 主席马克·卡尔尼 FSB 主席马克·卡尔尼(Mark Carney)在一封发给 G20 中央银行家和财政部长的信用表示:“ FSB 的初步评估认为,目前虚拟加密资产尚未对全球的金融稳定性造成风险。” 双方将于本周一和本周二在布宜诺斯艾利斯进行会面。 卡尔尼将于明年卸任 FSB 主席一职,他表示其继任者将会专注于对现有规则进行审核,而不是推出新的规则与标准。他说到:“ 随着财政危机接近尾声,FSB 的任务是继续修补现有规则的缺陷,而不再是设计新的政策。” 稿源:新浪科技,封面源自网络;

向警方举报切尔西·曼宁的著名黑客阿德里安·拉莫去世,年仅 37 岁

据外媒 Cnet 报道,著名黑客阿德里安·拉莫(Adrian Lamo)被证实已经死亡,年仅 37 岁。这名黑客曾因入侵微软等公司而出名,后来在收到切尔西·曼宁的文件后向美国联邦调查局举报其行踪。目前尚不清楚拉莫的死亡原因。 据 ZDNet 报道,堪萨斯州塞奇威克县的验尸官证实了拉莫的死讯,但没有提供进一步的细节 。 拉莫的父亲马里奥·拉莫周五在 Facebook“2600 | The Hacker Quarterly”中写道:“一个拥有智慧和富有同情心的灵魂已经离开了,他是我亲爱的儿子。” 阿德里安·拉莫曾被称为“无家可归的黑客”。 2003 年他曾成为联邦调查局追捕的对象。他在使用公共互联网破解各大公司网站后被通缉,包括未经授权访问《纽约时报》,微软和 LexisNexis。在拉莫自首之后,其被判处六个月的家庭禁闭和 2 年的缓刑,以及六万美元的罚款。 拉莫在 2010 年向美国政府举报曼宁后,收到了各种在线死亡威胁。曼宁因拉莫的举报被逮捕,并被判处 35 年有期徒刑。2016 年美国前总统奥巴马在离任前夕作出对曼宁减刑的决定,曼宁于去年获释。 维基解密创始人阿桑奇在 Twitter 上称已经去世的拉莫称“ FBI 告密者”。 稿源:cnBeta,封面源自网络

研究称网络犯罪分子在暗网上销售受害者的自拍照

据外媒 TheNextWeb 报道,现在人们几乎可以在暗网上购买任何东西。然而现在一些网络犯罪分子正在暗网上销售受害者的自拍照。今年年初,以色列黑网研究公司 Sixgill 注意到一个数据转储文件在一个以俄语为主的暗网论坛上出售。这个转储与其他成千上万个可用的文件区别在于,每条记录都包括用户的自拍。 “我们在一个以俄罗斯为主的封闭式访问论坛上发现了一则广告,有人以 50,000 美元的价格销售了 100,000 份文件,” Sixgill 的 Aled  Karlinsky 表示。“这些文件包括身份证或护照,地址证明以及异常的自拍照。”包含不同形式信息的数据转储并不是什么新鲜事。然而,这是 Sixgill 首次在暗网发现自拍照。 研究人员认为,自拍照再加上其他更传统的信息证据等可能允许攻击者开设银行账户并以受害者的名义获得贷款。一些银行允许客户通过上传他们的身份证件扫描以及自拍照来开设账户。Sixgill 发现,只需 70 美元就可以获得个人的身份证件,还有一张自拍照。 Karlinsky 无法确定转储的来源。他表示:“获取自拍的最简单方法就是收到恶意软件的手机。另一种方式是通过一个网站保存来自人们的私人信息,或入侵这样的网站。” 不久前 11.9 万名联邦快递公司客户的护照和照片 ID 在公众可访问的 Amazon S3 服务器上被发现。该服务器由联邦快递于 2014 年收购的 Bongo International 经营。德国安全公司 Kromtech 的研究人员发现了来自世界各国的证件,其中包括美国、澳大利亚、加拿大和一些欧洲国家。 研究人员没有暗示联邦快递的文件被恶意第三方访问。然而,这个例子强调了不恰当配置的云基础架构如何能够导致非常敏感的文档落入不法之徒手中。 稿源:cnBeta,封面源自网络;

智能手机掌握用户更多秘密 比 PC 更受黑客青睐

据 CNET 网站报道,智能手机对用户的了解程度超过用户自己。智能手机随时知道用户的位置,知道用户与哪些人通了电话,甚至是通话内容。它存储有用户家人的照片、宠物的照片,甚至是用户使用的密码等等。对于黑客来说,智能手机就是一本数字通行证,能获得了解一个人所需要的所有信息。 安全研究人员称,这就是针对智能手机的攻击日益猖獗的原因。 在墨西哥举行的卡巴斯基安全分析师峰会上,来自移动安全公司 Lookout 的研究人员安德鲁·布莱希(Andrew Blaich)和电子前沿基金会的网络安全主管伊娃·戈尔佩林(Eva Galperin)发表了他们关于 Dark Caracal——针对移动设备的全球性恶意件,感染了逾 20 个国家的数以千计的用户——的调查结果。 通过追踪技术,他们发现 Dark Caracal “发源地”是贝鲁特一幢属于黎巴嫩安全总局的建筑物。Dark Caracal 利用了与真正应用几乎完全相同的虚假应用,诱骗数以千计的用户把它安装在手机上。一旦 Dark Caracal 安装到用户的手机上,黑客就能访问手机上的任何信息。 研究人员称,这次攻击非常严重,但它只是未来发生的攻击的预演。它颠覆了传统看法:即 PC 才是最受黑客青睐的攻击目标。对手机发动攻击变得越来越容易,攻击它们可以获得更大的回报,人们使用智能手机的时间远远超过电脑。对于黑客来说,攻击手机是一个显而易见的选择。 戈尔佩林表示,“入侵非常个人化的个人设备,就像了解了设备主人的想法一样。” 低门槛 高回报 Dark Caracal 专注于收集用户个人信息,不需要利用任何新的漏洞就能完成其任务。该恶意件使黑客能拍照、发现用户所处位置、录制音频,通过把自己伪装成 Signal 和 WhatsApp 等消息应用进行传播。 CNET 表示,允许 Dark Caracal 完成各种恶意任务的不是漏洞,而是用户自己。它会像其他应用那样要求获得一些权限,对于毫无戒心的用户来说,这些请求没有任何异常。 毕竟,Instagram 和 Facebook 等应用也会请求获得拍照、使用用户位置信息和录制音频的权限。如果用户下载了恶意件,但他或她却认为是一款真正的应用,这些权限不会引起用户警觉。 谷歌和苹果的安全补丁能堵上最新的漏洞,但它们挡不住用户受骗。恶意件安装到手机上,没有利用软件中的漏洞,利用的是人的弱点。 布莱希表示,“黑客没有在研究软件漏洞方面花费大量时间和精力,只是利用了一款获得过高权限的应用。如果不尝试利用软件漏洞,应用通过安全应用这一关并不难。” 虽然谷歌和苹果应用商店打击恶意应用的力度还是相当大的,但第三方应用商店就是另外一回事了。布莱希解释说,这是 Dark Caracal 能够传播的原因。 这款虚假应用在一个名为“ Secure Android ”的网站上“打广告”,称它自己的 WhatsApp 和 Signal 版本比原版应用更安全。黑客在激进分子和记者群中推广这一网页,因为恶意件的目标就是窃取这两类用户的信息。 虽然防止恶意件入侵的最好建议是,永远不要通过不正规方法安装应用,一些应用可能不能在美国之外的地区使用。例如,谷歌 Play 就不能在中国大陆地区使用。2014 年,中国大陆地区活跃 Android 用户数量为 3.86 亿。 补丁服务 为了提高移动操作系统的安全性,苹果和谷歌做了大量工作。苹果安全飞地(Secure Enclave)和加密技术能很好地保护用户数据,以至于美国联邦调查局愿意花 90 万美元解锁涉嫌制造圣贝纳迪诺枪击案的恐怖分子的 iPhone 手机。 谷歌通过 Project Treble 和 Play Protect 提高应用的安全性,封堵系统漏洞。 但是,鉴于部分补丁软件很少能被实际安装在手机上,这些措施还很不够。 2 月 28 日,美国联邦贸易委员会发表报告称,手机没有足够高效地获得安全更新包。美国联邦贸易委员会收集了苹果、谷歌、微软、三星、摩托罗拉、LG、HTC 和黑莓有关安全补丁安装过程的信息,结果并不令人乐观。 部分手机从未安装过任何更新包。美国联邦贸易委员会隐私和身份保护部门律师埃莉莎·吉尔森(Elisa Jillson)说,“支持期限从零到 3 或 4 年。” CNET 称,问题在于,安全更新通常与更广泛的软件更新捆绑在一起,这意味着某些型号手机从不会安装补丁,而其他型号手机可能需要等上几个月。美国联邦贸易委员会建议将这两种类型更新分开,提高为手机发布更新包的频次。谷歌 Project Treble 已经在这样做。 在 Project Treble 实施前,谷歌的安全更新包只面向运行最近版本 Android 的手机。高达 42% 的 Android 手机用户运行的不是最新版本操作系统,鉴于全球有 20 亿名 Android 用户,这意味着 8.46 亿部手机可能面临恶意件攻击。 戈尔佩林说,“绝大多数受害者都不是因零日漏洞受到攻击的。他们是因早已被发现的漏洞受到攻击的,他们只是没有安装补丁软件而已。” 布莱希表示,随着手机攻击越来越多,它将超过针对计算机的攻击。 在 Dark Carcal 兴风作浪期间,Lookout 和电子前沿基金会发现另外一个针对 Windows 计算机的攻击。与受到攻击的手机数量相比,Windows恶意件显得相形见绌。 吉尔森说,“这是一个已知的问题,设备没有安装更新包,因此,对于任何黑客来说,这都是一个敞开的窗口。” 稿源:腾讯数码,封面源自网络;

被盗的 Apple ID 在“ 暗网 ”黑市上售价为 15 美元

国外网站对秘密的“ 暗网 ”黑市进行了调查,结果发现,对于网络犯罪者来说,想要购买一个人的完整在线身份只需要花费不到 1200 美元。在这些在线身份中,Apple ID 苹果账户的售价为 15.39 美元。与其他账户相比,Apple ID 的售价还是很高的。 拥有 Apple ID 后,可以访问 Apple Music,以及 iCloud 等。暗网将 Apple ID 列为“娱乐登陆信息”,Netflix 的账户为 8.32 美元,Twitch 账户的价格为 2.08 美元,Ticketmaster 账户的价格为 2.07 美元。 社交媒体方面,脸书 FB 的价格最高,5.2 美元。领英、推特、Instagram 账户分别是 2.07、1.66 和 1.28 美元。Gmail 和雅虎账户的价格都是 1.04 美元,AOL 账户的价格却很高,达到了 4.16 美元。 其他方面,在线购物网站的账户价格也很高,梅西百货的账户为 15.34 美元,eBay 和 Amazon 的价格分别是 12.48 和 9 美元。最后就是金融服务了,Paypal 账户登陆价格高达 247 美元,西联登陆账户为 101 美元。其他在线银行、信用卡、借记卡信息都在 50-160.15 美元之间不等。 稿源:cnBeta、MacX,封面源自网络;