分类: 安全快讯

苹果公司针对数据隐私发声:我们让数据追踪更困难

新浪科技讯 北京时间6月5日早间消息,今天,苹果公司发表了最强硬的声明,涉及隐私问题和Facebook等公司追踪用户一事。 苹果的软件工程负责人克雷格·费德里吉(Craig Federighi)说,该公司将使数据公司追踪个人用户的行为变得“更加困难”。他们的产品会发出警报,让客户逐一判断是否愿意让“聪明而无情”的数据公司跟踪个人信息。 “我们相信你的私人数据应该保密……因为在你的设备上可能有很多敏感数据,我们认为你应该控制让谁看到它,”费德里吉在苹果WWDC大会上如是说。 总而言之,苹果公司在言辞上对Facebook的行为进行了有策略的反击,同时介绍了一些新功能,允许用户拒绝三方数据收集器访问自己的数据。现在所面临的问题是,许多用户觉得弹出警报很麻烦,所以只是盲目地点击它们。   稿源:新浪科技,封面源自网络;

甲骨文称 Java 序列化的存在是个错误,计划删除

甲骨文计划从 Java 中去除序列化功能,因其在安全方面一直是一个棘手的问题。 Java 序列化也称为 Java 对象序列化,该功能用于将对象编码为字节流…Oracle 的 Java 平台小组的首席架构师 Mark Reinhold 说:“删除序列化是一个长期目标,并且是 Project Amber 的一部分,它专注于面向生产力的 Java 语言功能。” 为了替换当前的序列化技术,一旦记录,会在平台中放置一个小的序列化框架,支持 Java 版本的数据类。该框架可以支持记录图形,开发人员可以插入他们选择的序列化引擎,支持 JSON 或 XML 等格式,从而以安全的方式序列化记录。 但 Reinhold 还不能确定哪个版本的 Java 将具有记录功能。 序列化在 1997 年是一个“可怕的错误”,Reinhold 说。 他估计至少有三分之一甚至是一半的 Java 漏洞涉及序列化,序列化总体上是脆弱的,但具有在简单用例中易于使用的特性。   稿源:开源中国,封面源自网络;

WPA3 安全协议出台 WiFi 设备将大换血

现在大规模使用的WPA2安全协议,已经被破解了很长时间,WiFi的安全性风雨飘摇。终于,WiFi联盟公布了WPA3加密协议,共改善了物联网、加密强度、防止暴力攻击、公共WiFi这四大安全性。终于可以放心使用WiFi上网了。想要享受最安全的WiFi网络,用户手中的无线设备必须大换血。 市场无法估量 消费级产品先于企业级部署 从2002年WiFi正式商用算起,经历了16年的发展,这一市场并没有准确的设备数字。不过据WiFi联盟公布的数据显示,全球目前有几十亿台设备使用WiFi连接网络。可见WPA3带来的设备更换风潮,将是一个体量庞大的市场。 目前,高通表示将在6月份在骁龙845芯片中率先支持WPA3加密协议。而其它支持WPA3协议的设备将在即将开始的Computex大展上公布。支持WPA3的设备上,将会贴有“WiFiCertifiedWPA3”的标签。支持WPA3协议的设备将会向下兼容WPA2协议的设备,但是要向上支持WPA3协议就需要更换新设备。鉴于许多用户很少关心路由器的安全问题,采用WPA3协议的设备普及还需要一段时间。 WPA2漏洞攻击后果严重人们不当回事 “设置WiFi密码” “选择加密方式为WPA2” 相信设置过无线路由器的朋友们一定非常熟悉上面这两步操作。但是自从WPA安全协议被破解数年后,WPA2也在去年被破解。黑客可以通过名为“KRACK”的安全漏洞,破解WPA2安全协议,从而获得无线路由器的WiFi密码。 每天全球有数十亿的设备使用WPA2安全协议,它被破解后产生的后果难以想象。但是从使用者到厂商,并没有针对WPA2被破解后采取措施。甚至有许多人并不知道WPA2已被破解,依然认为它是最安全的加密协议。用户也没有修改自己路由器的密码,12345678依然蝉联2017年度使用最多的密码。厂商也是的升级了下产品的固件,告诉用户漏洞已被封堵。 要知道KRCK攻击直接影响了作为家庭网络中枢的无线路由器,这比PC上的病毒更加可怕。PC上的攻击,服务商会及时推送最新的修复补丁来保护用户免受攻击。而在家庭和小微企业的全球数亿台路由器或AP上,则根本没有这样的修复能力。另一方面,用户在安装好路由器后,很少再去到管理后台对设备进行升级,不能及时更新最新的固件保护自己的安全。 WPA3登场带来四大安全改善 不过好在WiFi联盟还在为用户安全使用WiFi而努力。该组织最新公布了WPA3加密协议,全新的WPA3加密协议将带来四大安全改善。 更强大的加密算法。WPA3拥有比WPA2更强大的加密算法。它可以应对工业领域、国防领域和政府领域的安全加密应用。 防止暴力破解。WPA3不会受到KRACK的攻击,是因为应用了Dragonfly协议。并且WPA3对于用户猜测WiFi密码的次数加以严格限制。黑客通过自己的“字典”,对密码进行暴力破解的攻击已经无效。 改善物联网设备的安全性。现在接入无线路由器的智能家居设备越来越多,WPA3支持一键式设置,只有按下按钮才能联网,让物联网设备连接更安全。 保护公共WiFi。机场、咖啡厅、购物中心等公共场合的WiFi不需要密码连接,存在安全隐患,但许多人都不在意它的安全性。WPA3使用了特殊的加密技术,让接入设备和无线路由器之间的连接拥有独特的密钥。即使是开放的WiFi,设备与路由器之间传输数据也不会暴露在网络中。 WPA3安全协议的出现,无疑让WiFi更加安全。但WPA2协议也将会长时间和WPA3共同存在。虽然还有许多人不把WiFi的安全当回事,但是作为WiFi联盟强制认证的标准,随着用户设备的不断换新,WPA3将深入到每个人的设备中。   稿源:中关村在线,封面源自网络;

Google Chrome 将从9月开始,默认 HTTPS 页面为安全站点

据外媒 bleepingcomputer 5月17日报道,谷歌正计划停止在地址栏中标记 HTTPS 页面为“安全”站点,换句话说,在没有发现异常的情况下,所有 HTTPS 的站点都会默认为安全,此举将于今年9月份发布的Chrome 69生效。 Chrome安全产品经理Emily Schechter表示,该公司现在可以通过HTTPS实现这一举措,因为Chrome的大部分流量都是通过HTTPS实现的,因此无需再将用户的注意力吸引到“安全”指标。 相反,Chrome将专注于突出显示用户访问不安全的HTTP网站时的情况。这就是为什么Google将把所有的HTTP网站都标记为“不安全”,这项举措从Chrome 68开始,将于7月发布。 此外,Google计划在Chrome 70中改进“不安全”指标,并增加一项动画,只要用户在 HTTP 网站上的表单中输入数据,就会将“不安全”文本变为红色。 这些更新是Google“HTTPS 100%”计划的一部分,最终目的是让加载到 Chrome 中页面都通过 HTTPS 协议。 “我们希望这些变化能够继续为安全使用网页铺平道路,”Schechter说。 “HTTPS比以往更便宜,更容易,并且可以解锁强大的功能 – 所以不要等待迁移到HTTPS!”   稿源:雷锋网,编译:郭佳,封面源自网络;

传奇黑客凯文·米特尼克找到绕过双重验证方法,务必小心钓鱼网站

双重验证(2FA)几乎是当下最靠谱的账户安全保护措施了,但传奇黑客 凯文·米特尼克 却发现了一个新的安全漏洞,通过向用户发送钓鱼登录页面,然后窃取用户名、密码和会话 cookie,就可以绕过双重验证。 这位 15 岁就成功入侵北美防空指挥系统的 KnowBe4 首席黑客官(CHO)在一段公开的视频中演示了如何进行入侵。他通过诱导受害者访问类似于“LunkedIn.com”这样容易与知名网站混淆的域名,记录用户名、密码和双重验证码,便可以获取相关信息以及 cookie 文件。一旦完成这个步骤,黑客就可以直接登录受害者的帐号,让双重验证形同虚设。 “凯文的一位白帽黑客朋友开发了一种工具,可以借助社工手法绕过双重认证——并且这种手法可以用在任何网站上,”KnowBe4 首席执行官斯图·斯约维曼(Stu Sjouwerman)说。“双重验证确实比用户名+密码更安全一些,但在这种情况下,我们清楚地看到,你无法仅仅依靠双重身份验证来保护你的帐号。” 白帽黑客库巴·格雷茨基(Kuba Gretzky)创建了一个名为 evilginx 的系统,并在网站上的 一篇文章 中详细描述了整个侵入过程。 斯约维曼指出,反钓鱼教育非常重要,如果受害者对网络安全以及点击电子邮箱中某个恶意链接的危险性了如指掌的话,诸如此类的黑客攻击是不可能完成的。为了验证这一点,斯约维曼给我发了一封电子邮件,看上去好像是我的同事发来的,内容是讨论某篇文章中的错别字。但其实发件人并不是我同事本人,是用 Sendgrid(一个群发邮件服务)仿造的假收件人地址。而且这个连接看似是 TechCrunch,实际上是 Sendgrid 的链接。演示里他们好心地给我跳转到了正牌网站,但是在网络黑产那里就没这样的好事了,任何更加恶劣的情况都有可能发生。 斯约维曼说:“网络钓鱼的模拟证明了开展网络安全意识教育的重要性,因为安全的最后一道防线说到底都是人自己。”他估计黑客会在未来几周内开始尝试这种新手法,因此敦促用户和 IT 部门强化安全协议。 【视频】:New Exploit Hacks LinkedIn 2-factor Authentication   稿源:TechCrunch,翻译:皓岳,封面源自网络;

赛门铁克:2017 年 Q4 “加密货币劫持”事件增多85倍

据外媒报道,根据赛门铁克的一份新报告显示,2017 年最后一个季度“ 加密劫持 ”事件上涨了8500%。“ 加密劫持 ”指的是劫持他人计算机进行加密货币挖矿行为。据统计,该类型攻击在去年12月份网络攻击和最后一个季度的所占比例分别达到了 24%、16%,而那个时间段正好是比特币和其他加密货币价格大幅波动的时候。 赛门铁克通过对加密劫持的追踪了解到,其兴起的部分原因则是因为挖矿软件的易操作性、低门槛,它成为了许多人赚钱的途径之一。总体来看,加密劫持在 2017 年的发生数量上涨了 34000%。 报告指出,利用他人电脑 CPU 挖矿比在目标电脑上安装病毒还要容易,甚至可以在用户为电脑打完补丁后仍能进行。去年,Showtime 网站就被曝出利用用户 CPU 挖门罗币。最近,苹果在 Mac App Store 上移除了 Calendar 2(日历2)软件,其也被发现利用用户电脑挖门罗币。 赛门铁克表示,加密劫持让那些毫无防备的受害者的设备运行速度变慢、电池出现过热、寿命变短的情况,而当该类型攻击针对的是大规模目标像企业网络时,其就可能会因为挖矿软件而出现关机的情况,但如果是小规模就没那么容易被发现了。报告写道:“这使得网络犯罪分子在受害者甚至没有意识到自己设备或正在访问的网站存在异常现象的情况下赚钱。” 由于加密劫持现在对于加密货币挖矿者来说仍存在丰厚回报所以其仍可能还是个大问题。除非这些加密货币价格不断下降一直到 2009 年首次出现的那样,那么这些人就会自然消失,因为他们不再有利可图。 稿源:cnBeta,封面源自网络;

微软承认汇总更新 KB4088875 存在问题 临时解决方案公布

几天前,微软面向 Windows 7 SP1 和 Windows Server 2008 R2 SP1 发布的 3 月汇总更新 KB4088875 被爆存在网络适配器问题;援引 AskWoody 社区报道,微软已经承认该更新确实存在问题,并且表示已经在官方 KB 页面提供了文字说明,同时为受影响用户提供了临时解决方案。 少部分安装 KB4088875 更新的 Windows 用户反馈称,在系统中激活虚拟网卡(NIC)的用户会对其他适配器的设置产生影响。目前唯一的解决方案就是移除这个更新,不过今天更新的官方支持页面中在已知问题 1 中提供了更加复杂的解决方案。 在更新后的 KB 页面上写道:“ 在用户安装本次更新之后,全新的以太网虚拟网络接口卡(vNIC)的默认设置可能会被此前存在的 vNIC 所替代,导致出现各种网络问题。用户可以在注册表中清除此前 vNIC 中进行的任意用户个性化配置。” 这只是一个临时的解决方案,微软目前并未明确何时会为 Windows 7 以及 Windows Server 2008 系统发布新的更新,不过应该会在下个月的补丁星期二活动日上线。 稿源:cnBeta,封面源自网络;

研究表明现有智能家电存严重安全隐患:出厂设置密码可搜索获取

伴随着智能设备在家庭环境中的普及,安全研究人员不断发现隐藏在这些“智能”外衣下严重漏洞。近日来自内盖夫本-古里安大学科研团队的报告指出,大多数设备都是极度不安全的,甚至可能在不到 30 分钟的时间内就完成破解。 该报道的研究人员 Yossi Oren 说道:“真正令人感到恐怖的是,犯罪分子、窥淫癖者或恋童癖者很容易接管这些设备。”团队对 16 种常见智能家电产品进行了测试,包括婴儿监视器、家庭安全摄像头、门铃和恒温器等等。他们发现黑客有很多种方式来入侵这些设备,甚至能够轻松获取恢复出厂设置的密码。 参与该项目的另一位研究人员 Omer Shwartz 说道:“最多不超过 30 分钟,就能找到大部分设备的密码,甚至于部分设备可以通过 Google 搜索该品牌获得。一旦黑客可以访问类似于摄像头等物联网设备,他们就能创造处远程控制所有同类型摄像头的网络。” Oren 说道:“在实验测试环节中,我们可以通过婴儿监视器播放音乐,远程关闭恒温器或者打开摄像头,这让我们对这些消费产品充满了担忧。” 稿源:cnBeta,封面源自网络;

印度当局警告比特币好像庞氏骗局 投资者风险自负

北京时间 29 日路透社称,印度财政部本周五就比特币等加密货币存在的风险向投资者发出警告,称数字货币投资好像“庞氏骗局”。印度财政部在声明中表示,加密货币不是法定货币,在该国没有监管许可或保护。不过,印度当局并未直接宣布禁止加密货币交易,或实施任何限制措施。 该声明称,投资者及其他参与者进行数字货币交易时“风险完全由自己承担”,并建议人们最好避免参与此类投资。印度财政部还警告称,加密货币交易可能被“恐怖主义资助、走私、贩毒、洗钱”等非法活动所利用。印度当局目前并未对加密货币出台任何监管措施。上周,印度资本市场监管机构表示,正与政府及央行协商如何对加密货币进行监管。 稿源:cnBeta、新浪美股,封面源自网络;编辑:青楚。

安全软件公司 Avast 开源化机器码反编译器 RetDec

为了帮助安全社区对恶意软件的逆向工程开展,著名安全软件公司 Avast 宣布了研发7年的机器码反编译器 RetDec 的开源版本。RetDec 是可重定向的机器码反编译器,同时有在线反编译服务和 API ROPMEMU – 分析、解析、反编译复杂的代码重用攻击的框架,能对常见和传统的硬件架构的机器码进行反编译,支持 ARM , PIC32 ,  PowerPC 以及 MIPS 架构的机器码。 目前开源版的 RetDec 源码已经公布于 GitHub 网站上,RetDec 现在也开始提供网页服务。在 IoT 物联网设备越来越普及的今日,机器码反编译工作对于防范和发现安全威胁和恶意软件来说至关重要,尽管完全还原机器码的原始汇编指令是不可能的,但反汇编工作能够让生产可执行的等效代码,查看软件是否有恶意攻击意图代码。 稿源:cnBeta,封面源自网络;