分类: 推荐阅读

苹果公司解决 WebKit 框架中的 HSTS 用户跟踪问题

苹果公司为 WebKit 框架添加了新的保护措施,以防止可能滥用 HTTP 严格传输安全(HSTS)安全标准来跟踪用户。HSTS 提供了一种机制,通过这种机制,网站只能通过安全连接和直接浏览器访问安全版本所在的位置来声明自己。 基本上,当用户尝试连接到网站的不安全版本时,HSTS 强制浏览器转到网站的 HTTPS 版本。 由于 HSTS 告诉网络浏览器在被重定向到安全位置时记住并且将来自动去那里,可以创建一个“超级 cookie”,并且它可以被跨站点跟踪器读取。攻击者可以利用用户的  HSTS 缓存在设备上存储一位信息。 通过注册大量域并强制从受控子域中加载资源,攻击者“可以创建足够大的比特向量来唯一地表示每个站点访问者。” 在 HSTS 规范中描述了这个问题:“对于那些控制一个或多个 HSTS 主机的人来说,将信息编码成他们控制的域名是可能的,并且使得这些 UA 缓存这些信息当然是在注意 HSTS 的过程中 主办。 这些信息可以由其他主机通过巧妙构建和加载的网络资源来检索,导致 UA 发送查询到(变体)编码的域名。“ 缓解这种跟踪攻击并不容易,因为它需要平衡安全和隐私目标。 但是,由于 HSTS 的隐私风险仅作为理论追踪向量呈现,但尚未提供实际恶意滥用协议的证据,因此浏览器将遵守网站提供的所有 HSTS 指令。 苹果最近意识到这种理论攻击已经开始针对 Safari 用户进行部署。 这促使这家科技巨头开创了一个既保护安全网络流量又减少跟踪的解决方案。由于 HSTS 漏洞需要创建一个初始跟踪标识符并读取它,苹果建议对攻击双方进行缓解。 一方面,苹果公司修改了网络堆栈,只允许为加载的主机名或顶级域 + 1 设置 HSTS 状态。因此,跟踪器不能再有效地在大量不同的位上设置 HSTS,但需要单独 访问跟踪标识符中具有活动位的每个域。 WebKit 还限制了可以链接在一起的重定向数量,从而限制了可以设置的位数。另一方面,当动态 HSTS 导致一个不安全的第三方子资源从被阻塞的 cookie 升级到认证连接的域中加载时,苹果还修改了 WebKit 以忽略 HSTS 升级请求(并使用原始 URL)。 在内部回归测试,公共种子和最终的公共软件发布期间收集的遥测数据表明,上述两种缓解成功地阻止了 HSTS 超级 cookie 的创建和阅读,同时又不会使第一方内容的安全目标退步。 我们相信他们符合最佳实践,并保持 HSTS 提供的重要安全保护。 稿源:东方安全,封面源自网络;

Chrome 扩展程序可防止基于 JavaScript 的 CPU 旁路攻击

据外媒报道,某学术团队创建了一个名为 Chrome Zero 的 Chrome 扩展程序,据称可阻止使用 JavaScript 代码从计算机中的 RAM 或 CPU 泄露数据的旁路攻击。目前该扩展程序仅在 GitHub 上提供,并且不能通过 Chrome 官方网上商店下载。 安全专家表示,目前有 11 种最先进的旁路攻击可以通过在浏览器中运行的 JavaScript 代码执行。 根据对这些先进的旁路攻击进行研究之后,研究人员确定了 JavaScript 旁路攻击试图利用的 5 种主要数据/特性:JS 可恢复的内存地址、精确的时间信息、浏览器的多线程支持、JS 代码线程共享的数据以及来自设备传感器的数据。 针对以上情况,Chrome Zero 试图通过拦截 Chrome 浏览器应执行的 JavaScript 代码,重写封装器中的某些 JavaScript 函数、属性以及对象来抵御旁路攻击。 尤其值得注意的是,安全专家表示 Chrome Zero 不仅能够消除旁路攻击,并且还具有最低的性能影响。此外,自 Chrome 49 发布以后,Chrome Zero 将能够阻止 50% 的 Chrome  0day 攻击。 消息来源:bleepingcomputer.,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

G20 财政监管机构:不会对加密货币采取措施

据媒体报道,负责在经济危机之后对金融和市场进行改革的监管部门表示,他们将会对现有规则进行重申,而不是专注于制定新的规则。 金融稳定委员会(FSB)是负责 G20 成员国的财政监管机构,对于一些成员国呼吁对比特币等加密货币进行监管,FSB 表达了反对立场。去年人们对加密货币的兴趣大涨,其价格也一路飙升,但是几个月前加密货币价格突然下落,这也引起了一些国家监管机构的注意。 FSB 主席马克·卡尔尼 FSB 主席马克·卡尔尼(Mark Carney)在一封发给 G20 中央银行家和财政部长的信用表示:“ FSB 的初步评估认为,目前虚拟加密资产尚未对全球的金融稳定性造成风险。” 双方将于本周一和本周二在布宜诺斯艾利斯进行会面。 卡尔尼将于明年卸任 FSB 主席一职,他表示其继任者将会专注于对现有规则进行审核,而不是推出新的规则与标准。他说到:“ 随着财政危机接近尾声,FSB 的任务是继续修补现有规则的缺陷,而不再是设计新的政策。” 稿源:新浪科技,封面源自网络;

向警方举报切尔西·曼宁的著名黑客阿德里安·拉莫去世,年仅 37 岁

据外媒 Cnet 报道,著名黑客阿德里安·拉莫(Adrian Lamo)被证实已经死亡,年仅 37 岁。这名黑客曾因入侵微软等公司而出名,后来在收到切尔西·曼宁的文件后向美国联邦调查局举报其行踪。目前尚不清楚拉莫的死亡原因。 据 ZDNet 报道,堪萨斯州塞奇威克县的验尸官证实了拉莫的死讯,但没有提供进一步的细节 。 拉莫的父亲马里奥·拉莫周五在 Facebook“2600 | The Hacker Quarterly”中写道:“一个拥有智慧和富有同情心的灵魂已经离开了,他是我亲爱的儿子。” 阿德里安·拉莫曾被称为“无家可归的黑客”。 2003 年他曾成为联邦调查局追捕的对象。他在使用公共互联网破解各大公司网站后被通缉,包括未经授权访问《纽约时报》,微软和 LexisNexis。在拉莫自首之后,其被判处六个月的家庭禁闭和 2 年的缓刑,以及六万美元的罚款。 拉莫在 2010 年向美国政府举报曼宁后,收到了各种在线死亡威胁。曼宁因拉莫的举报被逮捕,并被判处 35 年有期徒刑。2016 年美国前总统奥巴马在离任前夕作出对曼宁减刑的决定,曼宁于去年获释。 维基解密创始人阿桑奇在 Twitter 上称已经去世的拉莫称“ FBI 告密者”。 稿源:cnBeta,封面源自网络

研究称网络犯罪分子在暗网上销售受害者的自拍照

据外媒 TheNextWeb 报道,现在人们几乎可以在暗网上购买任何东西。然而现在一些网络犯罪分子正在暗网上销售受害者的自拍照。今年年初,以色列黑网研究公司 Sixgill 注意到一个数据转储文件在一个以俄语为主的暗网论坛上出售。这个转储与其他成千上万个可用的文件区别在于,每条记录都包括用户的自拍。 “我们在一个以俄罗斯为主的封闭式访问论坛上发现了一则广告,有人以 50,000 美元的价格销售了 100,000 份文件,” Sixgill 的 Aled  Karlinsky 表示。“这些文件包括身份证或护照,地址证明以及异常的自拍照。”包含不同形式信息的数据转储并不是什么新鲜事。然而,这是 Sixgill 首次在暗网发现自拍照。 研究人员认为,自拍照再加上其他更传统的信息证据等可能允许攻击者开设银行账户并以受害者的名义获得贷款。一些银行允许客户通过上传他们的身份证件扫描以及自拍照来开设账户。Sixgill 发现,只需 70 美元就可以获得个人的身份证件,还有一张自拍照。 Karlinsky 无法确定转储的来源。他表示:“获取自拍的最简单方法就是收到恶意软件的手机。另一种方式是通过一个网站保存来自人们的私人信息,或入侵这样的网站。” 不久前 11.9 万名联邦快递公司客户的护照和照片 ID 在公众可访问的 Amazon S3 服务器上被发现。该服务器由联邦快递于 2014 年收购的 Bongo International 经营。德国安全公司 Kromtech 的研究人员发现了来自世界各国的证件,其中包括美国、澳大利亚、加拿大和一些欧洲国家。 研究人员没有暗示联邦快递的文件被恶意第三方访问。然而,这个例子强调了不恰当配置的云基础架构如何能够导致非常敏感的文档落入不法之徒手中。 稿源:cnBeta,封面源自网络;

智能手机掌握用户更多秘密 比 PC 更受黑客青睐

据 CNET 网站报道,智能手机对用户的了解程度超过用户自己。智能手机随时知道用户的位置,知道用户与哪些人通了电话,甚至是通话内容。它存储有用户家人的照片、宠物的照片,甚至是用户使用的密码等等。对于黑客来说,智能手机就是一本数字通行证,能获得了解一个人所需要的所有信息。 安全研究人员称,这就是针对智能手机的攻击日益猖獗的原因。 在墨西哥举行的卡巴斯基安全分析师峰会上,来自移动安全公司 Lookout 的研究人员安德鲁·布莱希(Andrew Blaich)和电子前沿基金会的网络安全主管伊娃·戈尔佩林(Eva Galperin)发表了他们关于 Dark Caracal——针对移动设备的全球性恶意件,感染了逾 20 个国家的数以千计的用户——的调查结果。 通过追踪技术,他们发现 Dark Caracal “发源地”是贝鲁特一幢属于黎巴嫩安全总局的建筑物。Dark Caracal 利用了与真正应用几乎完全相同的虚假应用,诱骗数以千计的用户把它安装在手机上。一旦 Dark Caracal 安装到用户的手机上,黑客就能访问手机上的任何信息。 研究人员称,这次攻击非常严重,但它只是未来发生的攻击的预演。它颠覆了传统看法:即 PC 才是最受黑客青睐的攻击目标。对手机发动攻击变得越来越容易,攻击它们可以获得更大的回报,人们使用智能手机的时间远远超过电脑。对于黑客来说,攻击手机是一个显而易见的选择。 戈尔佩林表示,“入侵非常个人化的个人设备,就像了解了设备主人的想法一样。” 低门槛 高回报 Dark Caracal 专注于收集用户个人信息,不需要利用任何新的漏洞就能完成其任务。该恶意件使黑客能拍照、发现用户所处位置、录制音频,通过把自己伪装成 Signal 和 WhatsApp 等消息应用进行传播。 CNET 表示,允许 Dark Caracal 完成各种恶意任务的不是漏洞,而是用户自己。它会像其他应用那样要求获得一些权限,对于毫无戒心的用户来说,这些请求没有任何异常。 毕竟,Instagram 和 Facebook 等应用也会请求获得拍照、使用用户位置信息和录制音频的权限。如果用户下载了恶意件,但他或她却认为是一款真正的应用,这些权限不会引起用户警觉。 谷歌和苹果的安全补丁能堵上最新的漏洞,但它们挡不住用户受骗。恶意件安装到手机上,没有利用软件中的漏洞,利用的是人的弱点。 布莱希表示,“黑客没有在研究软件漏洞方面花费大量时间和精力,只是利用了一款获得过高权限的应用。如果不尝试利用软件漏洞,应用通过安全应用这一关并不难。” 虽然谷歌和苹果应用商店打击恶意应用的力度还是相当大的,但第三方应用商店就是另外一回事了。布莱希解释说,这是 Dark Caracal 能够传播的原因。 这款虚假应用在一个名为“ Secure Android ”的网站上“打广告”,称它自己的 WhatsApp 和 Signal 版本比原版应用更安全。黑客在激进分子和记者群中推广这一网页,因为恶意件的目标就是窃取这两类用户的信息。 虽然防止恶意件入侵的最好建议是,永远不要通过不正规方法安装应用,一些应用可能不能在美国之外的地区使用。例如,谷歌 Play 就不能在中国大陆地区使用。2014 年,中国大陆地区活跃 Android 用户数量为 3.86 亿。 补丁服务 为了提高移动操作系统的安全性,苹果和谷歌做了大量工作。苹果安全飞地(Secure Enclave)和加密技术能很好地保护用户数据,以至于美国联邦调查局愿意花 90 万美元解锁涉嫌制造圣贝纳迪诺枪击案的恐怖分子的 iPhone 手机。 谷歌通过 Project Treble 和 Play Protect 提高应用的安全性,封堵系统漏洞。 但是,鉴于部分补丁软件很少能被实际安装在手机上,这些措施还很不够。 2 月 28 日,美国联邦贸易委员会发表报告称,手机没有足够高效地获得安全更新包。美国联邦贸易委员会收集了苹果、谷歌、微软、三星、摩托罗拉、LG、HTC 和黑莓有关安全补丁安装过程的信息,结果并不令人乐观。 部分手机从未安装过任何更新包。美国联邦贸易委员会隐私和身份保护部门律师埃莉莎·吉尔森(Elisa Jillson)说,“支持期限从零到 3 或 4 年。” CNET 称,问题在于,安全更新通常与更广泛的软件更新捆绑在一起,这意味着某些型号手机从不会安装补丁,而其他型号手机可能需要等上几个月。美国联邦贸易委员会建议将这两种类型更新分开,提高为手机发布更新包的频次。谷歌 Project Treble 已经在这样做。 在 Project Treble 实施前,谷歌的安全更新包只面向运行最近版本 Android 的手机。高达 42% 的 Android 手机用户运行的不是最新版本操作系统,鉴于全球有 20 亿名 Android 用户,这意味着 8.46 亿部手机可能面临恶意件攻击。 戈尔佩林说,“绝大多数受害者都不是因零日漏洞受到攻击的。他们是因早已被发现的漏洞受到攻击的,他们只是没有安装补丁软件而已。” 布莱希表示,随着手机攻击越来越多,它将超过针对计算机的攻击。 在 Dark Carcal 兴风作浪期间,Lookout 和电子前沿基金会发现另外一个针对 Windows 计算机的攻击。与受到攻击的手机数量相比,Windows恶意件显得相形见绌。 吉尔森说,“这是一个已知的问题,设备没有安装更新包,因此,对于任何黑客来说,这都是一个敞开的窗口。” 稿源:腾讯数码,封面源自网络;

被盗的 Apple ID 在“ 暗网 ”黑市上售价为 15 美元

国外网站对秘密的“ 暗网 ”黑市进行了调查,结果发现,对于网络犯罪者来说,想要购买一个人的完整在线身份只需要花费不到 1200 美元。在这些在线身份中,Apple ID 苹果账户的售价为 15.39 美元。与其他账户相比,Apple ID 的售价还是很高的。 拥有 Apple ID 后,可以访问 Apple Music,以及 iCloud 等。暗网将 Apple ID 列为“娱乐登陆信息”,Netflix 的账户为 8.32 美元,Twitch 账户的价格为 2.08 美元,Ticketmaster 账户的价格为 2.07 美元。 社交媒体方面,脸书 FB 的价格最高,5.2 美元。领英、推特、Instagram 账户分别是 2.07、1.66 和 1.28 美元。Gmail 和雅虎账户的价格都是 1.04 美元,AOL 账户的价格却很高,达到了 4.16 美元。 其他方面,在线购物网站的账户价格也很高,梅西百货的账户为 15.34 美元,eBay 和 Amazon 的价格分别是 12.48 和 9 美元。最后就是金融服务了,Paypal 账户登陆价格高达 247 美元,西联登陆账户为 101 美元。其他在线银行、信用卡、借记卡信息都在 50-160.15 美元之间不等。 稿源:cnBeta、MacX,封面源自网络;

Windows 10 隐私控制更新 有望缓解对“ 内置键盘记录器 ”的顾虑

为了进一步改进用户隐私体验,微软已经在 Windows 10 上作出了诸多的调整。在今日向 Insider 测试者们推送的新版本中,其提供了修改操作系统隐私收集行为的控制选项。尽管大多数隐私设置都被限制在一个有繁杂选项的屏幕上,微软也在测试各种即将改变的新方法。很多人都吐槽过 Windows 10 中内置的“键盘记录器”,因为操作系统需要收集输入数据来赶紧自动填充、单词预测、以及拼接检查。 在即将到来的春季更新中,Windows 10 将引入一个单独的屏幕来启用“改进书写与打字识别”、以及允许用户选择退出“向微软发送手写和输入数据”的选项。 此外,微软还打算测试向 Windows 10 用户提供七个单独的隐私控制屏幕,并且积极听取来自 Insider 测试者的反馈,以找到最合适的平衡点。 与本次隐私设置变动一同到来的,还有一个单独的 Windows 诊断数据查看器。 为改进操作系统和做出产品决策,微软从用户那里收集了大量的匿名数据,而这款查看器可方便用户概览被发送到微软服务器的本地数据。 稿源:cnBeta,封面源自网络;

卡巴斯基实验室指网络犯罪分子通过恶意挖矿软件在 2017 年获利数百万美元

去年,我们看到了近期历史上最严重的勒索软件攻击之一,这要归功于 WannaCry。网络犯罪分子甚至为他们的恶意软件采用了“ as-a-service ”模式,以此来欺骗人们赚更多的钱。但根据卡巴斯基实验室的研究人员,这绝不是单纯的收入来源。 据卡巴斯基实验室的网络威胁研究和报告存储库安全列表称,网络犯罪分子利用在浏览器中执行恶意脚本,利用受害者的电脑硬件资源挖掘加密虚拟货币,另外他们还使用另一种技术即流程挖空。 简而言之,黑客使用合法应用程序作为容纳恶意代码的容器,从而通过受害者电脑系统的防御。其中的恶意装程序使用合法的 Windows 实用程序 msiexec,从远程服务器下载并执行恶意模块。在下一步中,它会安装一个恶意的调度程序任务,这会向系统注入挖矿程序,它将自己打扮成合法系统进程,并使用进程空洞技术。如果受害者试图终止此进程,则 Windows 系统将重新启动。 根据卡巴斯基实验室的数据,2016 年至 2017 年,这类攻击增加了近 1.5 倍。此外,在 2017 年的最后六个月中,网络犯罪分子通过以上 2 种方式已经赚取超过 700 万美元。 稿源:cnbeta.com,封面源自网络

苹果警告消费者要警惕新一轮的 App Store 钓鱼邮件

据外媒 BGR 报道,在访问不熟悉的网站或从无法识别的来源打开电子邮件时,通常是再小心也不为过,但有时很难分辨真假。例如,最近几周,App Store 用户的收件箱中出现了令人信服的新型网络钓鱼骗局,虽然它不是特别具有创新性,但它显然已经成为一个苹果觉得有必要警告其客户的问题。 9to5Mac 在周二分享了其中一个钓鱼电子邮件的副本,该副本显示为用户实际没有注册的服务的订阅确认。在电子邮件中,用户会收到警告,他们已经注册了 YouTube Red 的 30 天免费试用版,并且一旦试用期结束,他们将被收取 144.99 美元/月的费用。 这个骗局的关键是让用户点击链接取消订阅(他们从未真正注册过)。一旦他们点击,他们会被要求提供一系列敏感信息,从 Apple ID 到信用卡详情。 为了应对此类网络钓鱼尝试,苹果公司在其网站上发布了一个页面,解释如何识别来自假冒的 App Store 或 iTunes Store 电子邮件。以下是用户在看到苹果发送的电子邮件时需要注意的事项: 如果您收到一封关于 App Store 或 iTunes Store 购买的电子邮件,并且您不确定它是否属实,那么您可以查找一些可帮助确认该消息是否来自苹果的信息。 从 App Store、iTunes Store、iBooks Store 或 Apple Music 购买的正版购物收据包含您当前的帐单邮寄地址,这些骗子不太可能拥有。您还可以查看您的 App Store、iTunes Store、iBooks Store 或 Apple Music 购买记录。 有关您的 App Store、iTunes Store、iBooks Store 或 Apple Music 购买的电子邮件绝不会要求您通过电子邮件提供此类信息: 社会安全号码 母亲的娘家姓 完整的信用卡号码 信用卡 CCV 码 稿源:cnBeta,封面源自网络;