分类: 推荐阅读

研究结果表明:市面流行的商业机器人易被黑客入侵

网络安全公司 IOActive 测试了 50 台机器人,包括软银机器人生产的 Pepper,以及 Rethink Robotics 的工业机器人 Baxter,结果发现了一些缺陷,黑客可以利用这些缺陷来操纵机器人的手臂和腿,或者控制麦克风和摄像头。 公司首席技术官塞萨尔 • 塞鲁多 (Cesar Cerrudo) 表示,他担心人们正将机器人接入互联网而完全没有考虑到网络安全问题。“一旦机器人开始进入千家万户和许多企业,对它们进行攻击的动机将大为增加,” 他说,“由于机器人可以在自己的环境中到处移动,特别是工业机器人,它们要使用很多电力,因此可以通过编程让它们实时地做出非常危险的动作。”虽然 IOActive 尚未发现机器人遭网络攻击的任何证据,但塞鲁多警告称,它们可能被用来造成身体伤害或让某些活动停止。 稿源:cnBeta;封面源自网络

旧版 vBulletin 漏洞被利用:黑客泄露 126 家论坛 82 万账号信息

由于旧版 vBulletin 存在的一个严重漏洞,这款被互联网论坛广泛使用的软件已被黑客利用、并泄露了来自 126 家论坛的 82 万账号。@ CrimeAgency 在 Twitter 上声称,黑客窃取了来自论坛管理员和注册用户的个人信息,并将之流到了某个地下黑客论坛上。公告平台 Hacked-DB 在扫描数据后证实了此事,而 Hack Read 的报道称,这轮攻击发生在 2017 年 1 -2 月间。 黑客成功窃取到了 81 万 9977 个用户账号,其中包含了电子邮件地址、哈希后的密码、以及 1681 个独立 IP 地址等私密信息。多数账号与 Gmail 有关联(超过 21.9 万个),其次是 Hotmail(12.1 万)和雅虎邮箱(10.8 万)。有报道称:在攻击 vBulletin 平台前不久不久前,黑客还曾利用过多个安全漏洞。虽然该问题已在最新版本的软件中得到了修复,但那些未及时升级的论坛仍然会躺在这一攻击之下。 想要检查那些网站使用了 vBulletin 是非常简单的,比如运行 Google Dorks,别有用心的攻击者可以轻松看到网络所使用的软件版本。完整影响列表请移步至 Pastebin 查看. 稿源:cnbeta,有删改,封面来源于网络

智能泰迪熊玩具泄露 200 多万条亲子聊天记录

互联网填充智能玩具 CloudPets (泰迪熊)暴露了 200 多万条儿童与父母的录音、以及超过 80 万个帐户的电子邮件地址和密码。 安全研究员 Troy Hunt 发现,这些用户数据存储在一个公开的 CloudPets 数据库中,没有被密码或者防火墙保护,攻击者无需身份验证即可访问。此外,有证据表明已经有攻击者访问了数据库,还删除了数据并索要赎金。Hunt 称至少联系了 CloudPets 泰迪熊智能玩具的制造商 Spiral Toys 四次告知数据库漏洞,但没有收到回复。 这已经不是第一次提到智能玩具泄露用户的隐私数据。此前,德国政府监管机构联邦网络局就发出警告,家长应尽快销毁一些为他们孩子设计的可连接互联网的智能玩具。起因就是因 My Friend Cayla 严重缺乏安全功能可被黑客控制,并泄露儿童隐私信息。 家长因谨慎使用智能玩具保护孩子的隐私。此外,玩具厂商因提高网络安全意识并加强安全保护措施切实维护好消费者的“利益”。监管机构也应制定相应的规范制度并督促改进。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Avecto 年度报告:94% 微软高危漏洞可通过关闭管理权限消除

根据端点安全公司 Avecto 的年度微软漏洞报告结论:94% 的微软软件高危漏洞可通过关闭管理权限消除;对于浏览器而言,100% 的 Internet Explorer 和 Edge 漏洞可通过关闭关闭管理权限消除。 2016 年微软软件报告了 530 个漏洞,其中 36% (189) 被归类为高危漏洞;Windows 10 系统发现的漏洞最多,有 395 个,93% 的 Windows 10 漏洞可通过关闭管理权限消除;Microsoft Office 发现了 79 个漏洞,其中 17 个高危。 稿源:cnBeta;封面源自网络

Google E2EMail 加密电子邮件代码宣告开源

Google 一直擅长分享其丰富的信息,包括将其全部捐赠给开源社区。这一次轮到了 E2EMail,一个实验性质的端到端加密系统。E2EMail 由 Google 开发,内置 JavaScript 内部开发的 JavaScript 加密库。它提供了一种通过 Chrome 扩展程序将 OpenPGP 集成到 Gmail 中的方法。消息的明文单独保留在客户端上。 E2EMail 在谷歌当前一个中央密钥服务器上进行测试,根据最近的密钥透明度公告显示,OpenPGP 方式的核心密钥坚实,可扩展,因此这种解决方案,取代了传统上与 PGP 一起使用的有问题的网络信任模型。 E2EMail 代码目前已经上传到 GitHub,每个人都可以访问查看代码。端到端加密被视为所有隐私问题的解决方案,可以避免政府监控,中间人攻击等。即使公司也可以通过尽可能最好地保护他们的通信来保护他们免受工业间谍侵害。 在过去几年中,尤其是在爱德华·斯诺登提供有关美国国家安全局的监听密码之后,越来越多的服务实施了端到端的加密服务,包括像 WhatsApp 和 Signal 这样相当知名的消息应用程序。 电子邮件服务,应用程序和社交网络都已开始关闭其数据流,以帮助用户和保护他们免受监视和网络威胁。话虽如此,端到端加密还没有到达互联网的所有角落。 稿源:cnBeta;封面源自网络

SHA1 碰撞攻击的第一位受害者:WebKit 版本控制系统

SHA1 碰撞攻击出现了第一位受害者:WebKit 项目使用的开源版本控制系统 Apache SVN(或 SVN)。在某人上传 Google 公布的两个 SHA-1 值相同但内容不同的 PDF 文件后,版本控制系统出现严重问题。SVN 使用 SHA1 去跟踪和合并重复的文件。SVN 维护者已经释出了一个脚本工具拒绝 SHA1 碰撞攻击所生成的  PDF 文件。 与此同时,版本控制系统 Git 的作者 Linus Torvalds 在其 Google+ 账号上称,天没有塌下来,Git 确实需要替换 SHA1,这需要时间,并不需要现在就去做。 稿源:cnBeta;封面源自网络

Linus Torvalds 回应 SHA-1 碰撞攻击“不必过于担忧”

Google 与 CWI Institute 合作演示了对 SHA-1 的碰撞攻击,公布了两个 SHA-1 哈希值相同但内容不同的PDF 文件。这一消息在 Git 社区引发了 Git 对象碰撞攻击可能性。 Git 作者 Linus Torvalds 对此回应称 Git 不用担忧 SHA-1 碰撞攻击。他解释说,git 不只是哈希数据,还预留一个类型/长度字段,增加了碰撞攻击的难度,相比之下 pdf 文件使用了一个固定的头,为了实现相同的哈希值攻击者可以在里面加入任意的静默数据。所以 pdf 文件的不透明数据格式使其更容易成为攻击目标。git 也有不透明数据,但都属于次要的。他表示,git 可以很容易加入额外的完备性检查抵抗碰撞攻击,它并不面临迫在眉睫的危险。 稿源:solidot奇客;封面源自网络

Google 宣布攻破 SHA-1 加密:证明哈希值可与 PDF 文件内容冲突

经过 2 年的研究,Google 表示其已成功破解了 SHA-1 加密。尽管暂未披露其首次达阵的任何细节,该公司还是放出了一个概念验证。根据既往的信息披露政策,谷歌将在 90 天后披露详情。在此期间,你可以看看 Google 晒出的两份特制 PDF 文档,虽然它们拥有相同的 SHA-1 哈希值,但内容上却不尽相同(定义冲突)。 需要指出的是,SHA-1 曾一度非常流行,但现在已经不太常见。因为专家们很早前就预测过,这项技术将很快被破解。近年来,业内已经逐渐疏远这项加密方法,转而采用更安全的替代品,比如 SHA-256。 谷歌希望通过对 SHA-1 的实际攻击,能让业界认识到将 SHA-1 替换成更安全的方案已经迫在眉睫。 当然,想要达成 Google 这样的“成就”并非易事,因之实际上共执行了 9,223,372,036,854,775,808 次 SHA-1 计算(9×10^18);一阶段攻击需要耗费 6500 年的 CPU 计算时间;二阶段攻击也需要 110 年的 GPU 计算时间。 稿源:cnbeta,有删改,封面来源于网络

Chrome 安全警告:部分网站内容乱码,提示下载字体,实为恶意攻击

近日,部分谷歌 Chrome 浏览器用户遭遇到了新的黑客诈骗攻击方式,安全专家提醒各位用户提高警惕。网络安全公司 NeoSmart Technologies 首先在一家 WordPress 架构的网站发现此类陷阱式攻击方式,WordPress 最新版本存在着问题让用户无法及时更新安全补丁,为黑客留下了可乘之机。 此类攻击隐藏的非常好,JS 脚本首先将会篡改被感染的 WP 网站文本渲染呈现方式,导致用户在使用 Chrome 时看上去非常混乱,随后脚本会提示用户缺乏某个特定字体,建议用户升级 Chrome 字体包来解决问题,但下载的字体文件其实含有恶意软件。弹出的对话窗口看上去非常逼真,其甚至巧妙地模仿了按钮按下时的阴影高光细节。 当然,这种骗局也有破绽:首先他仅会提示你正在使用 Chrome 53 版本(非该版本的用户也会如此提升),另外信息提示你会下载“ Chrome_Font.exe ”,但是实际下载的文件名为“ Chrome Font v7.5.1.exe ”。目前谷歌尚未将该文件标识为“恶意软件”,用户需要特别注意。 稿源:cnbeta,有删改,封面来源于网络

恶意 Android 应用借知名色情站点之名肆虐互联网

作为色情网站中的佼佼者,P**hub 显然备受各类病毒 / 欺诈钓鱼 / 恶意软件制作者们的青睐。网络安全公司 ESET 的研究人员刚刚发现,一轮针对毫无戒心的受害者的网络攻击正在兴起,而它们的主要手段,就是将自己伪装成知名的 P**hub Android 移动应用程序。这家反病毒软件公司称,虽然谷歌会不时从 Play Store 上撤下恶意软件,但仍然难以杜绝李鬼们的登场。 P**hub 确实有一款官方 Android 应用,但当前它在 Play Store 上处于不可用的状态。因为谷歌禁止色情应用在自家软件分发平台上出现,导致用户不得不通过第三方途径寻找“替代品”,然而这是一个充满了危机的旅程。 一旦被安装,这款恶意应用会先拒绝点播任何视频,除非它先“执行病毒检查”。但你别以为它有那么好心,因其实际上在偷偷地安装会锁住用户设备的勒索软件。到了这一步,这款恶意 P**hub 应用终于暴露了自己的真面目,勒索用户交出价值 100 美元比特币的赎金。 不过 ESET 也发布了一份自救指南(仅供参考): ● 首先将以‘安全模式’启动设备 — 此时第三方应用已被即刻阻止 — 以便用户轻松清除恶意软件; ● 其次如果恶意应用已被授予了设备管理员权限,请务必在删除该 app 前撤销它的权限。 ● 如果恶意软件篡改了设备的锁屏功能,自救操作就更加复杂,或许需要通过谷歌的‘安卓设备管理器’(或其它替代解决方案)来重置锁屏。 ● 为防以上措施均未起效,最后的大招是通过‘恢复出厂设置’功能彻底重置手机。 稿源:cnBeta;封面源自网络(PS)