分类: 推荐阅读

环境光传感器 API 可泄露浏览器敏感数据

据外媒 20 日报道,安全专家 Lukasz Olejnik 发现一种新技术攻击方法,通过内置环境光传感器 API 从多台笔记本电脑或智能手机的浏览器中窃取敏感数据。环境光传感器以自动更改屏幕亮度安装于电子设备中。研究显示,攻击者可以利用该方法通过环境光传感器分析亮度变化窃取认证机制网页上包含 QR 码等敏感数据。 如何通过环境光传感器提取私人数据?主要基于以下两点: 1、用户屏幕的颜色能携带有用信息,而网站出于安全原因无法直接访问。 2、攻击者能够通过光传感器读数区分不同屏幕颜色。 作为例子,Olejnik 提醒用户,用户访问站点后链接颜色将会做相应改变,而专家可以通过环境光传感器检测到这些变化并获得用户历史访问记录。 不过专家也指出,该种攻击方法的速度极其缓慢,他们检测一个 16 位字符的文本字符串花费 48 秒,而识别一个 QR 码则耗时三分二十秒。Olejnik 解释道,原则上,浏览器传感器可以传输 60 Hz 读取速率。然而,并不意味着我们实际上每秒钟就能够提取 60 位,因为最终的检测极限与传感器检测屏幕亮度变化速率有关。 Olejnik 团队进行了屏幕亮度测试,结果表明读数延迟为 200 至 300 毫秒,而对于一个完全可靠的利用来说,假设每 500 毫秒传输一位更加实际。据悉,在某些情况下,该种攻击方法并不可行,因为用户不会在屏幕上长时间保持 QR 码搜索。 此外,Olejnik 还提出一个对策,通过限制环境光传感器 API 读数频率、量化其输出数据以减轻攻击。据悉,该对策不会影响传感器防止任何滥用行为。目前该提案足以限制传感器读数频率(低于 60Hz)与限制传感器输出精度(量化结果)。 原作者:Pierluigi Paganini,译者:青楚,译审:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

特朗普上任 90 天未兑现俄罗斯黑客全面报告承诺

自从上台以来,特朗普曾在推特发表几则文章,承诺一定会把涉嫌干预美国大选的俄罗斯黑客风波查个水落石出。特朗普在 1 月 13 日发表推文写道:“我的幕僚会在上台 90 天内,针对遭网络攻击事件提出一份详尽的报告。”不过特朗普上任 90 天期限已至,并无任何证据显示该报告的调查计划正在进行中。 Politico 称 90 天计划可能目前都没有团队或主管参与其中,更不用说计划,也没有来自任何白宫的答复提及有人参与该计划。目前,并无白宫官员回应 Politico 的置评请求。 今年 1 月 31 日,特朗普曾在白宫罗斯福厅召开网络安全会议,还邀请前任纽约市长鲁道夫·朱利安尼作为高级网络安全官员。然而,朱利安尼目前正在私人企业任职,他的发言人对外澄清,朱利安尼与特朗普所说的 90 天计划,并没有任何关系。 哈佛大学贝尔佛中心 ( Belfer Center ) 网络安全计划部主任苏梅尔 ( Michael Sulmeyer ) 分析,总统上台后第一项意义重大网络安全计划,竟然无法在截止日期交出来,如此结果恐将创下“ 不幸的前例 ”。 对于特朗普曾经承诺要对俄罗斯干预 2016 年大选做出全面报告却食言,有民主党人士开始要求要求特朗普兑现承诺。 稿源:cnBeta  内容节选;封面源自网络

被用于传播 Stuxnet 的 Windows 漏洞仍被广泛利用

根据卡巴斯基的一份报告,被用于传播 Stuxnet 蠕虫的 Windows 漏洞过去两年仍然是利用率最高的软件 bug。该漏洞编号为 CVE-2010-2568,微软早已释出了补丁修复。漏洞存在于显示 U 盘图标的.LNK文件中,通过在.LNK 文件中隐藏恶意代码,一个恶意的 U 盘可用于自动的感染联网的电脑,即使电脑关闭了自动运行。 它被用于在伊朗的铀浓缩工厂传播 Stuxnet 蠕虫,微软是在 2010 年 8 月释出了修复补丁。排在该漏洞之后的利用率第二高的漏洞是用于在 Android 设备上获取 root 权限的漏洞。 稿源:cnBeta;封面源自网络

Bose Connect 应用因收集用户数据被集体诉讼

Bose 专有蓝牙系统可能收集的数据远远超过被允许的范围。近日提出的集体诉讼声称,Bose 的 Connect 应用程序正在收集和分享用户聆听习惯的信息。根据《 财富 》杂志报道,Bose 官方声称 Connect 应用程序旨在改善音乐源和 Bose 扬声器,耳机之间的配对,并且由于它位于播放器和扬声器之间,因此该应用程序可以轻松访问每个正在流式传输歌曲的基本数据。 据原告表示,Connect 未经同意或通知收集流式歌曲和播客的标题,并与名为 Segment.io 的分析和定位公司分享了该信息。结合注册信息,原告认为这些数据可能用于非常有利可图的定位广告。原告认为,这个案例展示了我们全部生活的新世界,消费者去购买耳机,并转变为数据挖掘者的利润中心。 Connect 应用程序并非使用 Bose 公司扬声器和耳机的必需品,但它提供了传统的蓝牙配对无法提供的功能,如配对设备之间的简化切换等等。专有的蓝牙系统在消费者设备中越来越普遍,包括苹果在 iPhone 7 中引入的 W1 系统。 如果批准,集体诉讼将适用于所有由 Bose Connect 收集其数据的客户。然而,原告并没有提供 Bose 与 Segment.io 共享数据的明确证据,2 家公司之间的关系仍不清楚。 Bose 目前没有评论这起集体诉讼。 稿源:cnBeta ;封面源自网络

Google 同意在俄罗斯向其它搜索引擎开放 Android

Google 与俄罗斯监管机构达成了 780 万美元的反垄断和解协议,搜索巨人同意放松对 Android 内置搜索引擎的限制,同意与俄罗斯本土搜索引擎分享移动搜索市场的蛋糕。 Android 系统由两部分构成,开源的 AOSP 和闭源的 Google 服务,为了加强控制 Google 将越来越多的系统功能转移到 Google 服务中。俄罗斯反垄断机构在 2015 年裁决 Google 违反了法律。 这一裁决是俄罗斯本土搜索引擎 Yandex 投诉的结果。根据和解协议,Google 将允许 Android 用户改变默认搜索引擎。Google 还放宽了对 Android 默认应用的控制。 稿源:Solidot奇客;封面源自网络

微软为数据存储研究购买了 1000 万条 DNA

去年,微软宣布与 Twist Bioscience 合作,购买 1000 万条 DNA 用于数字存储研究。今天,2 家公司宣布扩大合作范围,其中还包括华盛顿大学的研究人员,因为微软正在为其研究购买另外 1000 万条长链寡核苷酸。Twist Bioscience 今天表示,双方研究已经改善了存储密度,在每条 DNA 当中编码更多数据,提高 DNA 生产的吞吐量来降低 DNA 数字数据存储的成本。 研究团队在工作开始后的几个月内透露,他们已经成功地将 200 兆字节的数据存储在 DNA 上,在编码和解码数据方面具有 100% 的准确性。但是,他们并不是唯一正在探索 DNA 数据存储潜力的研究团队。 哥伦比亚大学的研究人员上个月透露,他们能够在 DNA 上存储和检索整个操作系统,视频短片和其他文件,能够以在 1 克 DNA 当存储高达 215 PB 的数据。成本仍然是现在的重大障碍,哥伦比亚大学的研究人员花了 7000 美元来合成可以存储 2MB 数据的 DNA ,读取这些数据又花费了 2000 美元。 与其他新兴技术一样,这种障碍可能会随着时间的推移而下降,特别是考虑到 DNA 存储的诸多优点,包括其令人难以置信的长寿。科学家认为,数据可以存储在 DNA 当中长达数千年时间,仍然可以准确读取。 微软高级研究员 Karin Strauss 表示,尽管我们对迄今为止完成的工作感到鼓舞,但仍然存在许多挑战。数据存储需求一直在逐步增长,需要存储大量数据的组织和消费者(例如医疗数据或个人视频)将受益于新的长期存储解决方案,我们认为 DNA 可能提供答案。 稿源:cnBeta ;封面源自网络

Shadow Brokers 最新泄密暴露 NSA 与 Stuxnet 的可能联系

神秘黑客组织 Shadow Brokers 上周公开了一批新的 NSA 黑客工具和漏洞利用代码。安全研究人员在其中发现了 NSA 与 Stuxnet 蠕虫存在联系的证据,虽然证据并非确凿无疑。 Stuxnet 蠕虫被称为是世界上第一种数字武器,它设计破坏伊朗 Natanz 铀浓缩工厂的离心机,增加其故障率,放缓伊朗核武器发展脚步。Stuxnet 被认为由 NSA 和以色列合作开发。 赛门铁克的研究员 Liam O’Murchu 在最新曝光的代码中发现了 Windows MOF 文件的漏洞利用脚本,该脚本最早是在 Stuxnet 中发现的,之后被逆向工程加入到开源黑客工具 Metasploit 中,但 Shadow Brokers 公开的 MOF 文件漏洞利用工具的最后编译日期是 2010 年 9 月 9 日,早在脚本被加入到 Metasploit 之前。 其他安全研究人员也从中发现了 NSA 与 Stuxnet 存在联系的其他证据,如一个 ASCII 艺术图的名字叫 WON THE GOLD MEDAL,Stuxnet 行动的官方代号据称是 Olympic Games。 稿源:Solidot奇客;封面源自网络

“大型对撞机”攻击下的比特币钱包之困

Large Bitcoin Collider (“大型比特币对撞机”)组织声称已能够通过所谓的暴力攻击(将海量计算能力引至个体钱包的方式)猜测私钥、破解比特币钱包。该项目迄今已经进行数月,依赖类似于比特币本身的分布式计算机网络邀请对钱包破解收益具备潜在分享能力的任何人参与。 Collider(显然指代 Hadron Collider )主页“ 战利品清单 ”显示,该组织已成功破解十几个钱包,尽管其中三个不含任何比特币。目前尚不清楚该组织破解钱包的做法受经济收益还是加密挑战驱使。答案可能同时基于站点页面与外部观察者。 Collider 网站 Q&A 写着:“ 即便从 Internet Archive 等非营利机构抢夺一分一毛也会被视为不折不扣的混蛋。” 但同时也暗示其他钱包破解行为属于公平竞争,收益将在 Collider 参与者之间瓜分。与此同时,还有人认为破解钱包的做法着实可笑,Motherboard 就曾在 Large Bitcoin Collider 上率先发表此类言论。这种观点认为该项目不仅难度重重、收益寥寥,还经常得不偿失(如 Reddit 评论员所述)。但有些人推测该项目存在的意义并非为了抢夺大量钱包,而是从消失已久的早期比特币钱包入手找寻比特币发展脉络。 大约 10% 的比特币创建于 2012 年前,此后再无任何交易发生。如果有人找到早期消失的比特币私钥,就会获得高达十亿美元的巨额收入。根据 Hacker News 网站热帖推测,“ 中本聪 ”(无论真实身份到底是谁)或以此大赚一笔,或已尽数丢失早期比特币私钥。随着时间推移,第二种说法的可能性更大。 破解钱包的过程包含创建私钥(这些私钥长度往往达到几十个字符)以及对现有比特币地址进行尝试的艰巨工作。研究人员向 Motherboard 透露,Collider 目前已创建并校验了 3,000 万亿个私钥。截至目前,所有事件的合法性仍不明了。一方面,法律明确规定不得涉足抢夺钱财的阴谋活动。但从另一方面来看,如该组织网站宣称,“ 搜索私钥碰撞信息属合法行为。” 对于比特币所有者而言,Large Bitcoin Collider 眼下针对私人钱包做手脚的几率甚小。但如果该过程还导致创建比特币通用哈希算法碰撞(长期使用的加密标准 SHA-1 就发生过类似问题,曾于今年被谷歌破解),将会造成不小的麻烦,尽管有读者指出比特币加密算法可进行升级。 原作者:Jeff John Roberts,译者:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

中移动称发现“ 彩信推广 ”病毒,数万用户已中招

17 日,中国移动对外宣布,近日发现数万名安卓手机客户感染了一种“ 彩信推广 ”类手机恶意软件,造成话费损失。据介绍,该软件伪装成手机系统升级链接,诱导客户下载安装,用户下载后,将在手机应用列表增加“ Google 升级设置 ”或其他类似应用文件。 中国移动表示,用户一旦不小心安装该软件,手机就被会不法分子操控,连接恶意控制端地址获取不良内容和目标号码,并使用客户话费发送涉及淘宝代刷、赌博等不良内容的彩信。 中国移动称,中国移动手机恶意软件集中监控系统监测到该软件后,全网共拦截相关垃圾彩信近 10 万条,阻断恶意控制端地址访问次数达 200 万次,及时遏制了该类恶意软件的传播。 中国移动建议,广大客户进一步提高个人信息安全防护意识,不要点击短信中的可疑链接,即便是熟人发送的短信,也要先行确认;不随意接入陌生 WiFi,不轻易提供个人隐私信息;选择可信渠道下载手机应用。 稿源:cnBeta;封面源自网络

Android 7.1.2 致 Pixel、Nexus 指纹解锁瘫痪:录入功能也挂了

昨天,欧美安卓垂直网站被一条新闻刷屏,升级 Android 7.1.2正式版后,一些 Pixel/Nexus 手机的指纹功能挂了。具体来说,Pixel/Pixel XL/Nexus 5X/Nexus 6P 用户都纷纷报告中招,不过,7.1.2 新增的指纹手势(如下滑打开通知栏)倒是可用,但无法解锁手机。 更糟的是,有用户尝试进入指纹功能删除旧指纹,添加新指纹,居然提示无法成功录入。看起来这像是一个软件 BUG,目前谷歌尚未回应。资料显示,谷歌于 4 月 3 日开始推送 Android 7.1.2 正式版,从此版本开始, Nexus 6/9 被谷歌正式放弃。 新功能方面,Nexus 6P 获得指纹手势支持(继 Pixel/XL、Nexus 5X 之后等到),Pixel C 平板正式启用 Pixel Launcher。 稿源:cnBeta;封面源自网络