分类: 安全快讯

未来 Firefox 将引入安全审查工具:确认个人账号是否已被泄露

Mozilla今天宣布未来Firefox版本将引入一项令人兴奋的功能。这项功能就是建议安全审查工具,使用Troy Hunt的“Have I Been Pwned”(HIBP)数据库对已知泄露的数据库进行扫描,确认用户账号是否出现在其中。 去年11月份,该功能的初版首次曝光。Mozilla表示通过免费访问的数据泄露API来访问HIBP,一旦在该中发现账号那么就会自动向用户发出提醒。该功能当时只是一个通知系统,当用户访问恶意已经被窃取的时候才会发出提醒。 而现在Mozilla正将HIBP的完整服务整合到辅助网站– Firefox Monitor上。双方的合作允许用户通过输入邮箱地址来查看自己的账号是否已经在已知的数据泄露中曝光。如果出现在数据库中,那么 Firefox Monitor就会知道已经掌握的暴露程度,并提供相关建议。 目前该系统还处于规划和测试阶段。Mozilla正和HIBP和Cloudflare公司合作,创建一种匿名数据共享的方法以确保每个用户的隐私得到妥善的保护。 Firefox Monitor预计将于下周开始率先在美国地区开放,首批大约为25万用户。如果取得成功,将会进一步向所有Firefox用户开放。   稿源:cnBeta,封面源自网络;

WebAssembly 新标准可能导致幽灵熔断修复程序无效

据 Forcepoint 的安全研究员 John Bergbom 称,即将增加的 WebAssembly 标准可能会使浏览器级别的一些针对 Meltdown 和 Specter 的修复程序无用。 WebAssembly(WA 或 WASM)目前支持所有主流浏览器,如 Chrome,Edge,Firefox 和 Safari。 该技术是一种二进制语言,浏览器将转换成机器码并直接在 CPU 上运行。浏览器制造商创建 WebAssembly 以提高 JavaScript 代码的交付速度和性能,他们还为开发人员创建了一种移植方法,可将来自其他高级语言( 如C,C++ 和其他)的代码移植到 WASM ,然后在浏览器中运行它。 总而言之,WebAssembly 标准在网络开发社区中被视为成功的标准,并且一直在为其提供赞誉。 但是像所有的技术一样,它也带来了一些无法预料的小麻烦和滥用案例。 对于初学者来说,浏览器内的加密货币矿工(cryptojacking 脚本)的兴起可以追溯到主要浏览器中添加 WebAssembly,因为所有浏览器中的矿工都运行在 WebAssembly 之上,而不是纯粹的 JavaScript。 现在,Bergbom 认为,WebAssembly 还会给 Web 用户带来另一个小麻烦: 一旦 WA 获得对共享内存线程的支持(这已经在 WA 路线图上),可以创建非常准确的[JavaScript]定时器,这可能会导致浏览器缓解某些 CPU 端通道攻击失效。 在这份声明中,Bergbom 更准确地提到了“定时攻击”,这是一类旁路攻击。定时攻击是一类密码攻击,第三方观察者可以通过记录和分析执行加密算法所花费的时间来推断加密数据的内容。 最近披露的 Meltdown 和 Spectre CPU 漏洞以及它们的许多变化都是其核心的定时攻击。他们依赖攻击者测量精确时间间隔的能力,这是执行侧向通道攻击所需的参数,并从加密的数据块中恢复足够的信息以确定其余部分。   稿源:开源中国,封面源自网络;

Android 9.0 将加入新的生物识别 API

TechWeb报道,6月25日消息,根据媒体报道,谷歌将会在即将推出的Android 9.0版本系统当中加入更好的生物识别API,为开发者提供更安全和方便的生物验证机制。 开发人员使用了BiometricPrompt API将生物识别身份验证集成到他们的应用程序中,应用程序和终端通过指纹、虹膜甚至面部识别来进行验证,同时PIN和密码的方式也会得到保留。 对此谷歌安全工程师Vishwath Mohan表示“生物识别认证机制正变得越来越流行,而且很容易明白其中的原因。它们比输入密码更快,比携带单独的安全密钥更容易,并且它们可以防止基于知识因素的身份验证的风险。” 在Android 9.0版本上,他们将会尽量车辆生物识别的安全性,相对较弱的身份验证方法将会被限制。同时他们将会提供一个通用平台和入口,方便开发者可以轻松的使用生物识别验证功能。   稿源:TechWeb,封面源自网络;

报道称白宫有意推出“平衡”欧洲GDPR条例的隐私法案

据外媒Macrumors报道,上个月,欧盟的《通用数据保护条例》(GDPR)正式生效。该条例旨在保护欧盟内所有个人的数据,尽管其中一些方面影响到全球用户。根据Axios的一份新报告,白宫目前正处于确定美国的联邦数据隐私保护方式的“早期阶段”。 到目前为止,美国总统特朗普在技术、电信和网络政策方面的特别助理Gail Slater 已就这个问题与行业组织进行了会晤。根据熟悉谈判的一些消息人士的说法,讨论包括在线使用个人数据的可能“护栏”。此外,Slater 还与信息技术产业委员会首席执行官Dean Garfield讨论了GDPR的实施情况,该委员会代表苹果和谷歌等科技公司。 据消息人士称,Slater和特朗普政府将美国的提案称为“对GDPR的对策的一种平衡”,旨在确保欧洲法律不会成为全球在线隐私标准。尽管如此,Slater还表示,不希望创建一个欧洲条例的“美国克隆”版本。 Axios总结称,对话可能产生的一个结果可能是导致美国公民隐私框架发展的行政命令。 一种选择是指导一个或多个机构隐私框架的行政命令。据两位消息人士透露,这可能会指导美国商务部的一个分支机构——国家标准与技术研究所与行业和其他专家合作提出指导方针。 据消息来源称,行政命令还可导致公私合作伙伴关系,以制定自愿隐私最佳实践,这可能成为事实上的标准。 Slater声称“让消费者更多地控制他们的数据”和“更多地获取他们的数据”是GDPR的亮点,这表明这些方面将在美国法律中得到强调。 “我们正在谈论政府可以并且应该在隐私方面做的事情”,Slater上个月在美国国家风险投资协会举行的一次会议中这样表示。 在GDPR之后,苹果公司推出了一个新的数据和隐私,允许用户下载与其Apple ID相关的所有数据。虽然该功能仅限于在欧盟、冰岛、列支敦士登、挪威和瑞士注册的苹果帐户,但苹果公司表示将在未来几个月内在全球范围内推出该服务。   稿源:cnBeta,封面源自网络;

工信部:2020 年基本建成国家车联网产业标准体系

TechWeb报道,6月20日消息,日前,《国家车联网产业标准体系建设指南(总体要求)》《国家车联网产业标准体系建设指南(信息通信)》和《国家车联网产业标准体系建设指南(电子产品和服务)》正式发布,对此,工信部指出,大力发展车联网,有利于汽车产业创新发展,构建汽车和交通服务新模式新业态,促进辅助驾驶和自动驾驶发展,提高交通效率、降低事故发生率、节省资源、减少污染、进一步解放生产力。 据了解,《国家车联网产业标准体系建设指南》分为总体要求、智能网联汽车、信息通信、电子产品与服务等若干部分,其中智能网联汽车部分已于2017年底印发。指南中提出,充分发挥标准在车联网产业生态环境构建中的顶层设计和基础引领作用,加快共性基础、关键技术、产业急需标准的研究制定,加紧研制自动驾驶及辅助驾驶相关标准、车载电子产品关键技术标准、无线通信关键技术标准、面向车联网产业应用的LTE-V2X和5G eV2X关键技术标准,逐步建设跨行业、跨领域、适应我国技术和产业发展需要的国家车联网产业标准体系,满足研发、测试、示范、运行等产业发展需求。到2020年,基本建成国家车联网产业标准体系。 工信部称,车联网产业是依托信息通信技术,通过车内、车与车、车与路、车与人、车与服务平台的全方位连接和数据交互,提供综合信息服务,形成汽车、电子、信息通信、道路交通运输等行业深度融合的新型产业形态,是全球创新热点和未来发展制高点。 对于接下来的规划和发展,工信部方面表示,下一步,工信部将会同有关部门,继续发挥好由工业和信息化部、公安部、交通运输部等20个部门和单位组成的车联网产业发展专项委员会作用,合力推动解决政策法规、技术标准、基础设施、管理制度等方面的问题,加强对产业发展的规范和引导,营造有利于产业发展的环境,着力突破先进传感器、车载操作系统及中间件、车载智能处理平台、汽车级芯片等关键技术,加强LTE-V2X无线通信技术的覆盖和应用,推动信号灯、交通标识等道路基础设施的信息化和接口改造,加快建立车联网产业体系,促进自动驾驶发展,培育经济发展新动能。   稿源:TechWeb,封面源自网络;

物联网产业规模将达到 9 万亿 网络安全投入却不足 3%

万物互联的智慧生活渐行渐近, 物联网 是现代科技高度集成和综合运用的体现,对新时代产业变革和社会经济发展具有决定性位置。当前,物联网设备呈现指数级增长态势,然而在物联网高速增长下,安全问题却暴露出来。 根据研究机构Gartner 公司的调查,2017年全球有84亿台物联网产品正在使用,比2016年增长31%,预计到2020年将达到204亿台。预计到2020年,物联网预计将产生惊人的经济影响,其市场规模高达8.9万亿美元,如果安全问题不能够很好解决,那么物联网设备所承担的风险将无法估量。 一个看似不起眼的物联网设备,却成了黑客攻击的目标。因为它称得上是整个赌场内部网络的“后门”——最薄弱环节,黑客先是入侵智能鱼缸,进入赌场内部网络,然后进行扫描,发现漏洞后进入网络中的其他地方,最终神不知鬼不觉地将赌场数据窃取。数据安全不仅涉及国家数据主权安全、企业和公民个人网络安全,也和IT以及互联网行业的创新密切相关。 试想一下,黑客通过某种途径读取用户位置信息、读取手机通讯录、获取通话记录、拨打电话、发短信、修改联系人、调用摄像头……似乎已经掌握你衣食住行的方方面面,立刻毛骨悚然。用户会越来越多地发现各类软件的“大数据”可能比我们自己还了解自己,这些大数据其实就是通过对用户日常生活轨迹的记录、累积和统计,再使用分析软件得出结论,保护好自己的数据不言而喻,真正能够保护自身数据安全的物联网设备才是第一道闸门。 物联网设备成为黑客攻击的捷径并非危言耸听。2014年1月发生的针对物联网设备的一起攻击行为,攻陷了10多万个联网设备,包括电视机、路由器和至少一台智能电冰箱,每天发送30万封垃圾邮件。攻击者从任何一个设备发送的消息也就10条,因而很难阻止或查明攻击源头。 针对物联网设备攻击的危害远不止于数据失窃那么简单。将勒索软件安装到家庭的智能恒温器上。将温度调高到95摄氏度,拒绝调回到正常温度,除非受害者同意支付用比特币支付的赎金。随着无人驾驶日益普及,黑客可以控制车辆,乃至引发交通事故。 物联网设备安全远比你想象中威胁大,近年来,网络安全建设受到政策大力支持,尤其是网络安全法正式实施后,相关政策加速出台。涉及网络安全的配套政策快速下沉到电信、互联网、工业、教育、农业等行业。网络安全风口以至,网络安全行业快速发展,网络安全投资迎来热潮。2017年,安全领域创业企业总融资额创新高。据不完全统计,网络安全领域当年全球投资300亿美元,国内仅为5.4亿美元;据分析,在欧美发达国家和地区,企业在网络安全方面的投入占IT方面投入达到10%-13%,国内仅1%-3%。 网络安全包括多个层面及维度,细分市场广泛。随着云计算和大数据时代到来,数据安全受到越来越多的重视,将成为行业发展风口。 稿源:搜狐科技,封面源自网络;

外媒称 iOS 12 的新安全机制已遭破解

新浪手机讯 6月15日上午消息, 在昨天新浪科技的报道中,苹果公司证实他们在iOS 12系统中加了新的USB连接限制,既iPhone在一小时内没解锁过,那它连接电脑时必须要输入密码。 然而,根据Vice的一份最新报告显示,暴力破解设备(GrayKey灰钥匙)的研究人员已经破解了这个新功能。 GrayKey USB Restricted Mode(USB限制模式)是为了阻止GrayKey这样的破解设备而新增加的安全措施。GrayKey的工作原理是通过数据线连接iPhone,并使用暴力手法来获取访问权限。GrayKey和其他类似工具在执法机构以及犯罪分子中非常受欢迎。 在Vice收到的一封电子邮件中,相关执法机构的专家声称,Grayshift(GrayKey的生产公司)已经研究出新技术,用来破解苹果最新的USB限制模式: “Grayshift已经竭尽全力研究新的技术,并且他们已经在这项新技术的测试版本中破解了苹果最新的USB限制模式。GrayKey中还集成了更多新的功能,这些功能会陆续使用。“一位法医专家在6月份的一封电子邮件中写道。 在这封邮件被刊登在Vice上之后,人们对苹果最新的安全策略产生了质疑。但是要知道这些破解设备的公司经常会公布一些没有证据的信息来误导人们。但这些不知真假的信息会促使苹果实施更严格的安全措施来阻止像GrayKey这样的工具。 GrayKey操作界面 正如苹果在声明中所说的那样,USB限制模式并不是为了限制执法机构的工作,而是因为许多犯罪分子也使用像GrayKey类似的破解设备访问私人数据。但是,苹果的限制措施也让执法机构的工作人员很忧虑。 根据苹果公司的说法,USB限制模式目前正处于测试阶段,并将很快面向公众推出。   稿源:新浪手机,封面源自网络;

GDPR 生效后谷歌、FB 遭 19 起投诉 欧盟或进行隐私调查

新浪科技讯 北京时间6月14日早间消息,自从欧盟《通用数据保护条例》(GDPR)今年5月底生效以来,已经出现19起针对谷歌和Facebook及相关应用提交的跨境投诉,导致这两家公司和产品可能遭到欧盟的隐私调查。 欧盟隐私执法最高官员安德里亚·杰利尼克(Andrea Jelinek)负责领导28个欧盟成员国的监管者,她和她的同事已经开始了解自5月25日以来提交的投诉。但她表示,此举的目的并不是立刻进行处罚。 “我们需要传达一条重要信息,那就是我们的首要任务不是处罚企业,而是看看他们是否合规。”她说。但如果企业“不遵守监管规定,就会面临处罚”。 Facebook回应此事时提供了GDPR生效后遭到第一起投诉时发表的声明:“我们过去18个月一直在做各种准备,以遵守GDPR的要求……我们提高隐私保护的工作不会在5月25日停止。” 谷歌母公司Alphabet尚未作出回应。   稿源:新浪科技,封面源自网络;

Facebook 设立隐私设计实验室 TTC,将改善数据分享方式

新浪科技讯 北京时间6月13日上午消息,Facebook对美国参议院说,公司已经设立了一个设计实验室,将致力于改善人们分享个人数据的方式。 这个实验室被取名为TTC实验室。今年4月,Facebook首席执行官马克•扎克伯格在国会听证会上作证时,有2000个问题亟待向参议院回应。在后续的答复报告中,Facebook表示,打造该实验室的初心,是因为Facebook“认识到需要改进所有数码服务的数据透明度方法”,并需要与学术界、设计界和业界的其他人士合作。 Facebook在该答复报告的第146页上写道,该实验室“旨在为人们探索新的、更加以人为中心的最佳实践模式,让他们了解自己的数据是如何被数字服务所使用的,并最终推出一种他们认为更容易理解和控制的方式”。 TTC代表信任(Trust)、透明(Transparency)和控制(Control),该实验室的网站显示,TTC总部位于爱尔兰都柏林。该网站说,它是由Facebook发起和支持的,目前有60多个其他组织参与其中,但它没有列出其他各方的名字。 Facebook没有立即就要求提供更多信息的请求做出答复。公司最近又受到了一波批评:外界批评其要求用户同意欧洲的《通用数据保护条例》(GDPR)的步骤被设计得过于草率,这使得Facebook能轻易地让用户继续同意数据收集,并继续使用社交网络应用程序。该份对美国立法者(议员)的答复报告是由美国参议院商业委员会于当地时间周一发布的。   稿源:新浪科技,封面源自网络;

谷歌新规:禁止从第三方来源安装Chrome扩展程序

新浪科技讯 北京时间6月13日中午消息,之前谷歌决定禁止Windows用户从Chrome网上应用店(Web Store)之外的第三方网站直接安装Chrome扩展程序。而根据谷歌的最新规定,从今年夏天开始,所有平台上的用户都不能从官方应用店之外安装Chrome扩展程序。 谷歌指出,在Chrome网上应用店内有说明资料和功能列表,它们能帮助用户做决定,让他们知道是否真的需要安装某个扩展程序。谷歌发现,如果用户是从官方扩展程序入口进入的,安装附加程序之后卸载的机率更低。 对于2018年6月12日(北京时间13日)发布的扩展程序,谷歌禁止使用“内联式安装”(inline installations)功能。从9月12日开始,现有扩展程序也会禁用此功能。如果用户在网络上其它地方点击链接,只会引导到Chrome Web Store,不能从开发者网站或者其它网站直接安装。 2018年12月初,在Chrome 71浏览器中谷歌会完全删除“内联式安装”功能API,到时开发者再也不能使用该选项。   稿源:新浪科技,封面源自网络;