分类: 推荐阅读

被用于传播 Stuxnet 的 Windows 漏洞仍被广泛利用

根据卡巴斯基的一份报告,被用于传播 Stuxnet 蠕虫的 Windows 漏洞过去两年仍然是利用率最高的软件 bug。该漏洞编号为 CVE-2010-2568,微软早已释出了补丁修复。漏洞存在于显示 U 盘图标的.LNK文件中,通过在.LNK 文件中隐藏恶意代码,一个恶意的 U 盘可用于自动的感染联网的电脑,即使电脑关闭了自动运行。 它被用于在伊朗的铀浓缩工厂传播 Stuxnet 蠕虫,微软是在 2010 年 8 月释出了修复补丁。排在该漏洞之后的利用率第二高的漏洞是用于在 Android 设备上获取 root 权限的漏洞。 稿源:cnBeta;封面源自网络

Bose Connect 应用因收集用户数据被集体诉讼

Bose 专有蓝牙系统可能收集的数据远远超过被允许的范围。近日提出的集体诉讼声称,Bose 的 Connect 应用程序正在收集和分享用户聆听习惯的信息。根据《 财富 》杂志报道,Bose 官方声称 Connect 应用程序旨在改善音乐源和 Bose 扬声器,耳机之间的配对,并且由于它位于播放器和扬声器之间,因此该应用程序可以轻松访问每个正在流式传输歌曲的基本数据。 据原告表示,Connect 未经同意或通知收集流式歌曲和播客的标题,并与名为 Segment.io 的分析和定位公司分享了该信息。结合注册信息,原告认为这些数据可能用于非常有利可图的定位广告。原告认为,这个案例展示了我们全部生活的新世界,消费者去购买耳机,并转变为数据挖掘者的利润中心。 Connect 应用程序并非使用 Bose 公司扬声器和耳机的必需品,但它提供了传统的蓝牙配对无法提供的功能,如配对设备之间的简化切换等等。专有的蓝牙系统在消费者设备中越来越普遍,包括苹果在 iPhone 7 中引入的 W1 系统。 如果批准,集体诉讼将适用于所有由 Bose Connect 收集其数据的客户。然而,原告并没有提供 Bose 与 Segment.io 共享数据的明确证据,2 家公司之间的关系仍不清楚。 Bose 目前没有评论这起集体诉讼。 稿源:cnBeta ;封面源自网络

Google 同意在俄罗斯向其它搜索引擎开放 Android

Google 与俄罗斯监管机构达成了 780 万美元的反垄断和解协议,搜索巨人同意放松对 Android 内置搜索引擎的限制,同意与俄罗斯本土搜索引擎分享移动搜索市场的蛋糕。 Android 系统由两部分构成,开源的 AOSP 和闭源的 Google 服务,为了加强控制 Google 将越来越多的系统功能转移到 Google 服务中。俄罗斯反垄断机构在 2015 年裁决 Google 违反了法律。 这一裁决是俄罗斯本土搜索引擎 Yandex 投诉的结果。根据和解协议,Google 将允许 Android 用户改变默认搜索引擎。Google 还放宽了对 Android 默认应用的控制。 稿源:Solidot奇客;封面源自网络

微软为数据存储研究购买了 1000 万条 DNA

去年,微软宣布与 Twist Bioscience 合作,购买 1000 万条 DNA 用于数字存储研究。今天,2 家公司宣布扩大合作范围,其中还包括华盛顿大学的研究人员,因为微软正在为其研究购买另外 1000 万条长链寡核苷酸。Twist Bioscience 今天表示,双方研究已经改善了存储密度,在每条 DNA 当中编码更多数据,提高 DNA 生产的吞吐量来降低 DNA 数字数据存储的成本。 研究团队在工作开始后的几个月内透露,他们已经成功地将 200 兆字节的数据存储在 DNA 上,在编码和解码数据方面具有 100% 的准确性。但是,他们并不是唯一正在探索 DNA 数据存储潜力的研究团队。 哥伦比亚大学的研究人员上个月透露,他们能够在 DNA 上存储和检索整个操作系统,视频短片和其他文件,能够以在 1 克 DNA 当存储高达 215 PB 的数据。成本仍然是现在的重大障碍,哥伦比亚大学的研究人员花了 7000 美元来合成可以存储 2MB 数据的 DNA ,读取这些数据又花费了 2000 美元。 与其他新兴技术一样,这种障碍可能会随着时间的推移而下降,特别是考虑到 DNA 存储的诸多优点,包括其令人难以置信的长寿。科学家认为,数据可以存储在 DNA 当中长达数千年时间,仍然可以准确读取。 微软高级研究员 Karin Strauss 表示,尽管我们对迄今为止完成的工作感到鼓舞,但仍然存在许多挑战。数据存储需求一直在逐步增长,需要存储大量数据的组织和消费者(例如医疗数据或个人视频)将受益于新的长期存储解决方案,我们认为 DNA 可能提供答案。 稿源:cnBeta ;封面源自网络

Shadow Brokers 最新泄密暴露 NSA 与 Stuxnet 的可能联系

神秘黑客组织 Shadow Brokers 上周公开了一批新的 NSA 黑客工具和漏洞利用代码。安全研究人员在其中发现了 NSA 与 Stuxnet 蠕虫存在联系的证据,虽然证据并非确凿无疑。 Stuxnet 蠕虫被称为是世界上第一种数字武器,它设计破坏伊朗 Natanz 铀浓缩工厂的离心机,增加其故障率,放缓伊朗核武器发展脚步。Stuxnet 被认为由 NSA 和以色列合作开发。 赛门铁克的研究员 Liam O’Murchu 在最新曝光的代码中发现了 Windows MOF 文件的漏洞利用脚本,该脚本最早是在 Stuxnet 中发现的,之后被逆向工程加入到开源黑客工具 Metasploit 中,但 Shadow Brokers 公开的 MOF 文件漏洞利用工具的最后编译日期是 2010 年 9 月 9 日,早在脚本被加入到 Metasploit 之前。 其他安全研究人员也从中发现了 NSA 与 Stuxnet 存在联系的其他证据,如一个 ASCII 艺术图的名字叫 WON THE GOLD MEDAL,Stuxnet 行动的官方代号据称是 Olympic Games。 稿源:Solidot奇客;封面源自网络

“大型对撞机”攻击下的比特币钱包之困

Large Bitcoin Collider (“大型比特币对撞机”)组织声称已能够通过所谓的暴力攻击(将海量计算能力引至个体钱包的方式)猜测私钥、破解比特币钱包。该项目迄今已经进行数月,依赖类似于比特币本身的分布式计算机网络邀请对钱包破解收益具备潜在分享能力的任何人参与。 Collider(显然指代 Hadron Collider )主页“ 战利品清单 ”显示,该组织已成功破解十几个钱包,尽管其中三个不含任何比特币。目前尚不清楚该组织破解钱包的做法受经济收益还是加密挑战驱使。答案可能同时基于站点页面与外部观察者。 Collider 网站 Q&A 写着:“ 即便从 Internet Archive 等非营利机构抢夺一分一毛也会被视为不折不扣的混蛋。” 但同时也暗示其他钱包破解行为属于公平竞争,收益将在 Collider 参与者之间瓜分。与此同时,还有人认为破解钱包的做法着实可笑,Motherboard 就曾在 Large Bitcoin Collider 上率先发表此类言论。这种观点认为该项目不仅难度重重、收益寥寥,还经常得不偿失(如 Reddit 评论员所述)。但有些人推测该项目存在的意义并非为了抢夺大量钱包,而是从消失已久的早期比特币钱包入手找寻比特币发展脉络。 大约 10% 的比特币创建于 2012 年前,此后再无任何交易发生。如果有人找到早期消失的比特币私钥,就会获得高达十亿美元的巨额收入。根据 Hacker News 网站热帖推测,“ 中本聪 ”(无论真实身份到底是谁)或以此大赚一笔,或已尽数丢失早期比特币私钥。随着时间推移,第二种说法的可能性更大。 破解钱包的过程包含创建私钥(这些私钥长度往往达到几十个字符)以及对现有比特币地址进行尝试的艰巨工作。研究人员向 Motherboard 透露,Collider 目前已创建并校验了 3,000 万亿个私钥。截至目前,所有事件的合法性仍不明了。一方面,法律明确规定不得涉足抢夺钱财的阴谋活动。但从另一方面来看,如该组织网站宣称,“ 搜索私钥碰撞信息属合法行为。” 对于比特币所有者而言,Large Bitcoin Collider 眼下针对私人钱包做手脚的几率甚小。但如果该过程还导致创建比特币通用哈希算法碰撞(长期使用的加密标准 SHA-1 就发生过类似问题,曾于今年被谷歌破解),将会造成不小的麻烦,尽管有读者指出比特币加密算法可进行升级。 原作者:Jeff John Roberts,译者:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

中移动称发现“ 彩信推广 ”病毒,数万用户已中招

17 日,中国移动对外宣布,近日发现数万名安卓手机客户感染了一种“ 彩信推广 ”类手机恶意软件,造成话费损失。据介绍,该软件伪装成手机系统升级链接,诱导客户下载安装,用户下载后,将在手机应用列表增加“ Google 升级设置 ”或其他类似应用文件。 中国移动表示,用户一旦不小心安装该软件,手机就被会不法分子操控,连接恶意控制端地址获取不良内容和目标号码,并使用客户话费发送涉及淘宝代刷、赌博等不良内容的彩信。 中国移动称,中国移动手机恶意软件集中监控系统监测到该软件后,全网共拦截相关垃圾彩信近 10 万条,阻断恶意控制端地址访问次数达 200 万次,及时遏制了该类恶意软件的传播。 中国移动建议,广大客户进一步提高个人信息安全防护意识,不要点击短信中的可疑链接,即便是熟人发送的短信,也要先行确认;不随意接入陌生 WiFi,不轻易提供个人隐私信息;选择可信渠道下载手机应用。 稿源:cnBeta;封面源自网络

Android 7.1.2 致 Pixel、Nexus 指纹解锁瘫痪:录入功能也挂了

昨天,欧美安卓垂直网站被一条新闻刷屏,升级 Android 7.1.2正式版后,一些 Pixel/Nexus 手机的指纹功能挂了。具体来说,Pixel/Pixel XL/Nexus 5X/Nexus 6P 用户都纷纷报告中招,不过,7.1.2 新增的指纹手势(如下滑打开通知栏)倒是可用,但无法解锁手机。 更糟的是,有用户尝试进入指纹功能删除旧指纹,添加新指纹,居然提示无法成功录入。看起来这像是一个软件 BUG,目前谷歌尚未回应。资料显示,谷歌于 4 月 3 日开始推送 Android 7.1.2 正式版,从此版本开始, Nexus 6/9 被谷歌正式放弃。 新功能方面,Nexus 6P 获得指纹手势支持(继 Pixel/XL、Nexus 5X 之后等到),Pixel C 平板正式启用 Pixel Launcher。 稿源:cnBeta;封面源自网络

卡巴斯基实验室扩展漏洞赏金计划,奖金提至 5000 美元

俄罗斯跨国网络安全公司和防病毒提供商卡巴斯基实验室已经宣布扩大漏洞奖金计划, 在新闻稿中,该公司指出,这项计划开始于 2016 年 8 月 1 日,卡巴斯基和平台提供商 HackerOne 合作,并持续六个月,目前已经在两个产品Kaspersky Internet Security 2017 和 Kaspersky Endpoint Security 10当中发现了 20 个漏洞。 扩展后的错误奖赏计划将发现远程代码执行漏洞的奖金从最高 2000 美元提升至最高 5000 美元,并且将另外一款产品 Kaspersky Password Manager 8 添加到目标产品的阵容当中。与第一阶段相反,现在“合格的个人和组织”可以提交关于三种 Kasperksy 产品的漏洞报告。 卡巴斯基正在招募测试者,在 Windows 8.1 或更新的微软桌面操作系统上测试这三种产品,具体意图是查找本地权限提升,用户数据泄密和远程代码执行方面的漏洞。平均来说,这些方面的漏洞奖金分别为 1000 美元,2000 美元和 5000 美元。 稿源:cnBeta,封面源自网络

一窥谷歌神经机器翻译模型真面貌,其底层框架开源

去年,谷歌发布了 Google Neural Machine Translation (GNMT),即谷歌神经机器翻译,一个 sequence-to-sequence (“ seq2seq ”) 的模型。现在,它已经用于谷歌翻译的产品系统。虽然消费者感受到的提升并不十分明显,谷歌宣称,GNMT 对翻译质量带来了巨大飞跃。 但谷歌想做的显然不止于此。其在官方博客表示:“由于外部研究人员无法获取训练这些模型的框架,GNMT 的影响力受到了束缚。” 如何把该技术的影响力最大化?答案只有一个——开源。因而,谷歌于昨晚发布了 tf-seq2seq —— 基于 TensorFlow 的 seq2seq 框架。谷歌表示,它使开发者试验 seq2seq 模型变得更方便,更容易达到一流的效果。另外,tf-seq2seq 的代码库很干净并且模块化,保留了全部的测试覆盖,并把所有功能写入文件。 该框架支持标准 seq2seq 模型的多种配置,比如编码器/解码器的深度、注意力机制(attention mechanism)、RNN 单元类型以及 beam size。这样的多功能性,能帮助研究人员找到最优的超参数,也使它超过了其他框架。 上图所示,是一个从中文到英文的 seq2seq 翻译模型。每一个时间步骤,编码器接收一个汉字以及它的上一个状态(黑色箭头),然后生成输出矢量(蓝色箭头)。下一步,解码器一个词一个词地生成英语翻译。在每一个时间步骤,解码器接收上一个字词、上一个状态、所有编码器的加权输出和,以生成下一个英语词汇。雷锋网提醒,在谷歌的执行中,他们使用 wordpieces 来处理生僻字词。 据有关媒体了解,除了机器翻译,tf-seq2seq 还能被应用到其他 sequence-to-sequence 任务上;即任何给定输入顺序、需要学习输出顺序的任务。这包括 machine summarization、图像抓取、语音识别、对话建模。谷歌自承,在设计该框架时可以说是十分地仔细,才能维持这个层次的广适性,并提供人性化的教程、预处理数据以及其他的机器翻译功能。 谷歌在博客表示:“我们希望,你会用 tf-seq2seq 来加速(或起步)你的深度学习研究。我们欢迎你对 GitHub 资源库的贡献。有一系列公开的问题需要你的帮助!” 稿源:cnBeta、凤凰网科技,封面源自网络