分类: 安全快讯

苹果对 Siri 隐私问题道歉:将不再保留 Siri 互动录音

北京时间8月28日晚间消息,苹果公司今日在官网上发表声明称,为打消用户的顾虑,将对Siri进行一些更改。在默认情况下,苹果将不再保留Siri互动的录音。 英国《卫报》(The Guardian)上个月曾报道称,苹果的承包商每人每天要监听约1000条Siri录音,并将其发送回苹果进行研究。报道称,苹果这样做是为了让Siri更好地满足用户的需求。 对于这种行为,苹果8月2日宣布,已暂停使用承包商来监听Siri的录音,苹果不再需要总部位于爱尔兰的承包公司GlobeTech提供的服务。 今日,苹果又发表声明称,隐私是一项基本人权,苹果设计的产品和服务是为了保护用户的个人数据。Siri是一款开创性的智能助手,其目标是为用户提供最佳体验,但前提是要保护好用户隐私。“我们意识到我们并没有完全实现我们的崇高理想,为此我们深表歉意。” 为此,苹果决定对Siri进行一些改进。首先,默认情况下,我们将不再保留Siri互动的录音。我们将继续使用计算机生成的副本(transcripts )帮助Siri改进。 其次,用户将可以选择主动参与来帮助改进Siri,主要是利用用户请求的音频样本进行学习。苹果希望更多的用户会选择帮助Siri变得更好,因为他们知道苹果尊重他们的数据,并且有强大的隐私控制。当然,那些选择参与的用户可以随时选择退出。 第三,当用户选择加入时,只有苹果员工才能收听Siri互动的音频样本。我们的团队将努力删除任何被确定为无意中触发Siri的记录。   (稿源:,稿件以及封面源自网络。)

安全研究人员警告 WS-Discovery 协议被被用于大规模 DDoS 攻击

早在今年五月,外媒就已经报道过 WS-Discovery 协议被滥用于发起 DDoS 攻击。为了防止被更多别有用心者利用,研究人员只能相对克制地不披露更多细节。然而最近一个月,滥用 WS-Discovery 协议发起的大规模 DDoS 攻击已经愈演愈烈,频度几乎达到了一周一次。作为一种多播协议,该协议原本用于在本地网络上“发现”通过特定协议或接口进行通信的附近其它设备。 (题图 via ZDNet) 鉴于该协议通过 SOAP 消息传递格式来支持设备间的发现和通信,并且使用了 UDP 数据包,因此有时也被称作 SOAP-over-UDP 。 尽管普通人不太熟悉,但 WS-Discovery 已被 ONVIF 所采用。作为一个行业组织,ONVIF 致力于促进网络产品互操作性的标准化接口。 其成员包括 Axis、Sony、Bosch 等业内巨头,为 ONVIF 的标准化奠定了基础。作为即插即用互操作性的一部分,该组织从 2010 年中期开始,在标准中推荐用于设备发现的 WS-Discovery 协议。 作为标准持续化工作的一部分,WS-Discovery 协议已被用到一系列产品上,涵盖 IP 摄像头、打印机、家用电器、DVR 等各种类别。 根据互联网搜索引擎 BinaryEdge 检索结果,目前有近 63 万台基于 ONVIF WS-Discovery 发现协议的设备在线,这让它们处于极大的风险之中。 问题在于这是一个基于 UDP 的协议,意味着数据包目的地可被欺骗。攻击者能够伪造返回 IP 地址,将 UDP 数据包发送到设备的 WS-Discovery 服务端。 当设备传递回复时,就会将数据包发送到被篡改的 IP 地址,使得攻击者能够在 WS-Discovery 设备上反弹流量,将之瞄向所需的 DDoS 攻击目标。 其次,WS-Discovery 的响应,会比初始输入大许多倍。基于这项原理的 DDoS 攻击,会对受害者造成极大的伤害。研究人员称之为 DDoS 放大因子。 2019 年 5 月数据(图自:Tucker Preston) ZDNet 指出,该协议已在世界各地的 DDoS 攻击中被观察到,放大倍数高达 300~500 。相比之下,其它基于 UDP 协议的攻击,平均也只有 10 倍。 网络安全公司 ZeroBS GmbH 一直在追踪本月发生的一起事件,庆幸的是,其发现超大倍数的 WS-Discovery DDoS 攻击并非常态。 即便如此,2018 年末在 GitHub 上发布的用于启动 WS-Discovery DDoS 攻击的概念验证脚本,还是声称可实现 70~150 的放大倍数。 (图自:ZeroBS GmbH) 今年 5 月的时候,安全研究人员 Tucker Preston 首次公布了基于滥用 WS-Discovery 协议的大规模攻击事件。通过对 130 起事件的观察,可知其中一些攻击的规模超过了 350 Gbps 。 接下来几个月的攻击有所减少,但在 8 月份又再次升级。与第一波攻击不同的是,这次的攻击要小得多,很可能是不怎么了解该协议的普通攻击者所发起的。 放大系数不超过 10,最高只冲到 40 Gbps,且只有 5000 台设备(主要是 IP 摄像头和打印机)被纳入发起 WS-Discovery DDoS 攻击的僵尸网络中。   (稿源:cnBeta,封面源自网络。)

微软、谷歌和 BAT 等巨头成立机密计算联盟,联手保护数据安全

微软近日在其开源博客中宣布加入机密计算联盟(Confidential Computing Consortium,简称 CCC)。该组织致力于定义和加速推进机密计算的采用,并将托管在 Linux 基金会。联盟创始成员还包括阿里巴巴、Arm、百度、谷歌、IBM、英特尔、红帽、瑞士电信和腾讯等科技公司,它提供了一个让行业聚集起来的机会,以促进使用机密计算来更好地保护数据。 建立机密计算联盟的需求源于这样一个事实:随着计算从内部部署转移到公共云和边缘,对数据的保护变得更加复杂。当前的数据保护通常作用于静态(存储)或(网络)传输状态的数据。但是当数据正在被使用时,仍然存在风险,这也是数据保护中最具挑战性的一个步骤。 因此,机密计算将侧重于保护使用中的数据,并为敏感数据提供完全加密的生命周期。它将在内存中处理加密数据,而不会将其暴露给系统的其余部分,并减少敏感数据的暴露,为用户提供更好的控制和透明度。 “保护使用中的数据意味着数据在计算过程中不会以未加密的形式显示,得到访问授权的数据除外”,微软 Azure 首席技术官 Mark Russinovich 表示,“也就是说甚至连公共云服务提供商或边缘设备供应商都可能无法访问它,数据将完全处于私密状态。” 机密计算功能可以做到协作共享数据——例如训练多方数据集机器学习模型、对多方数据集执行分析,或是在数据库引擎中启用机密查询处理——但同时无需对这些数据进行直接访问。 目前,联盟成员已经为机密计算做出了一些开源贡献,包括: 英特尔®软件保护扩展(英特尔®SGX)软件开发套件,旨在帮助开发人员使用受保护的代码和数据,避免数据在硬件层被泄露或修改。 微软 Open Enclave SDK,这个开源框架创建了一种可插入的通用方法来创建可再发行的可信应用程序,以保护正在使用的数据。 红帽 Enarx,为可信执行环境(TEE)提供平台抽象,支持创建和运行“私有、可替换、无服务器”的应用程序。 Linux 基金会执行董事 Jim Zemlin 表示,现有的联盟只是一个开始,后续将会有更多企业加入。   (稿源:开源中国,封面源自网络。)

微软:公司将停止监听 Xbox 玩家语音信息

北京时间8月23日早间消息,微软宣布将停止监听Xbox用户,并表示此举已经“不再必要”。 微软发言人在一份声明中表示:“几个月前,我们已经停止为改进产品而对通过Xbox获取的语音信息进行评估,因为我们认为这不再必要,我们也不准备重新启动这些评估。” 微软还补充说:“当有报道称录音违反了我们的服务条款,并认为我们应该展开调查时,我们偶尔会审查从一个Xbox用户发送到另一个Xbox用户的少量录音。这样做是为了保持Xbox社区安全,我们的Xbox服务条款中也有明确说明。” 之前有报道称,该公司从2014年就开始录制和监听游戏玩家的私人谈话,其中许多人都是儿童。微软称这样做是为了改善Xbox的语音控制功能。 今年四月有报道称,亚马逊、谷歌和苹果都雇佣员工专门监听从智能音箱和语音助手应用程序收集的用户录音。但许多用户都不知情。之前还有报道称,微软工作人员还监听了一些Skype电话以及其虚拟助手Cortana录制的音频。   (稿源:,稿件以及封面源自网络。)

Google 和 Mozilla 正设法阻止哈萨克斯坦 ISP 强制安装证书行为

Google和Mozilla正在采取行动反对哈萨克斯坦政府对其本国公民开展基于证书的监视行动。两家公司今天宣布,他们正在联手在浏览器中阻止哈萨克斯坦政府上个月颁发的根证书,该证书允许它监控任何安装它的用户的加密互联网活动。政府要求该国ISP合作,强制所有客户安装证书以获得互联网访问权限。 根据密歇根大学发表的一项研究报告表明,它允许哈萨克斯坦政府对包括Facebook,Twitter,谷歌等37个域名的HTTPS连接进行“中间人”或MitM攻击。 通常,HTTPS网站的加密方式会让包含ISP在内的第三方无法访问它。就哈萨克斯坦而言,MitM攻击打破了这些网站的加密机制,允许自由监视私人互联网活动。 在行动完成后,最为流行的Chrome和Firefox浏览器都会禁止非法证书。 Mozilla将使用OneCRL阻止哈萨克斯坦的根证书,自2015年以来,Firefox一直用它来撤销证书。之前,在哈萨克斯坦访问互联网的用户的智能手机或计算机上会收到一条消息,要求他们安装根证书。 现在,当Firefox在哈萨克斯坦检测到证书时,它将阻止连接并显示错误消息。 Chrome也会阻止该证书,此外,它还将这一规则添加到Chromium源代码中的阻止列表中,并在将来包含在其他基于Chromium的浏览器中。 由于哈萨克斯坦几周前停止要求用户安装证书,现在看来,此举似乎是不必要的。据路透社报道,哈萨克斯坦政府本月早些时候在面临法律挑战后停止了其监控证书的部署,原因是一批哈萨克斯坦律师起诉该国三家移动运营商限制互联网接入。哈萨克斯坦国家安全委员会作出回应,他们发布了一份声明,称证书推出是一项“测试”,现已完成。 Mozilla承认该公司已经知道哈萨克斯坦结束了这项测试。但是,如果安装了证书,用户仍可能容易受到攻击。 “虽然政府的测试显然已经结束,但它可以用来监视网络流量的机制仍然存在。而且一些用户可能仍然安装了这个恶意证书。这些用户仍然很脆弱,即使攻击没有持续,我们也没有等待漏洞被再次利用,将设法直接解决它。” Mozilla还表示将继续监督哈萨克斯坦政府的行动,并将在未来签发类似证书时采取再次行动。   (稿源:cnBeta,封面源自网络。)

Yubico 推闪电接口 YubiKey 5Ci 安全密匙 用于 iOS 设备物理安全身份验证

Yubico是一家为双因素认证物理安全密钥制造商,它今天宣布推出基于Lightning闪电接口的YubiKey设备,该设备旨在与Apple的iPhone和iPad配合使用。Yubico长期以来一直为PC,Mac和移动设备提供基于USB-A,USB-C和NFC的YubiKey选项,但这是第一次提供基于Lightning闪电接口的安全配件。 对于那些不熟悉YubiKey的人来说,它是一个基于硬件的双因素身份验证设备,旨在与数百种服务配合使用,使您的登录更加安全。它通常比基于软件的双因素身份验证更方便,因为不需要输入安全代码,用户只需连接它并点击进行身份验证即可。 这款名为YubiKey 5Ci的产品,于今年1月在CES上首次推出,一端配有Lightning闪电端口,另一端配有USB-C端口,因此可与Apple最新的iOS设备和Mac配合使用,但iPad Pro除外,因为它目前与USB-C端不兼容。 使用YubiKey 5Ci,用户可以使用硬件身份验证锁定其1Password,Bitwarden Idaptive,LastPass和Okta应用程序。目前,它还适用于iOS的Brave浏览器,验证来自Twitter,Login.gov,GitHub,Bitbucket,1Password等网站的登录。 例如,使用1Password应用程序,您可以使用YubiKey设置双因素身份验证,为您的1Password帐户添加额外的保护层。这将需要您的主密码和物理YubiKey解锁您的密码库,1Password应用程序指示您插入YubiKey并触摸侧按钮进行确认。那些对YubiKey 5Ci感兴趣的人可以从Yubico网站以70美元的价格购买这款产品。   (稿源:cnBeta,封面源自网络。)

FBI 准备监视 Facebook 和 Twitter 等社交平台对美国的潜在威胁

《华尔街日报》称,美国联邦调查局目前正计划从Twitter、Instagram和Facebook等社交平台开始积极收集数据,这些平台似乎也与各自的隐私政策相冲突。尤其是Facebook,作为与联邦贸易委员会达成协议的一部分,它必须遵守一些限制,这些限制与它收集和处理用户数据的方式有关。 联邦调查局正在向第三方供应商寻求社交媒体早期警报工具,以缓解多方面威胁。该技术解决方案将用于主动识别和反应性地监控对美国及其利益的威胁。该请求是在最近在德克萨斯州和俄亥俄州发生的枪击事件发生前几周提出的,供应商要在本月底之前提交提案。Twitter的一位发言人告诉《华尔街日报》,其隐私政策明确禁止任何实体出于监视目的使用用户数据,或以任何与用户对隐私合理期望不符的方式使用用户数据。 从请求的措辞来看,该机构只寻求收集公开的数据,并打算在尊重公民自由和隐私保护的同时收集这些数据。美国联邦调查局表示,它将从公众档案中收集姓名、图片和身份证,并将它们与其他来源的信息以及在社交互动中标记特定关键字的算法结合起来。 大型技术平台拥有大量用户数据,人工智能工具可以比人类更快地进行筛选,但算法威胁检测可能会导致大量误报。联邦调查局表示,警报将由专门的人员团队处理,他们也可以调整算法频率。   (稿源:cnBeta,封面源自网络。)

Messenger 发音频安全吗?FB 承认曾转录用户音频

北京时间8月14日早间消息,知情人士透露称,Facebook付费聘请几百名外部承包商,让他们转录音频片段,这些音频来自使用Facebook服务的用户。 一位因为担心丢掉工作而不愿意透露姓名的知情人士称,这份工作让承包商感到不安,他们不知道音频是在哪里录制的,Facebook又是如何获取的,他们只负责转录。知情者还说,承包商会倾听Facebook用户的对话,有时里面包含低俗内容,至于为何要转录这些音频,他们不知道原因。 其它科技企业也曾有过同样的行为,后来因为遭受批评而终止,Facebook证实曾经转录过用户音频,但是项目已经终止。Facebook在声明中表示:“就像苹果谷歌一样,在一周多以前我们已经终止人工音频审核工作。”Facebook还说,受到影响的用户在Facebook Messenger App中自愿选择,允许Facebook转录音频。承包商负责检查,看看Facebook AI是否能正确解读信息内容,这些信息以匿名形式存在。 亚马逊、苹果等大型科技公司也曾收集音频片段,这些音频来自消费者使用的计算设备,收集音频之后,科技公司再请人核查,这种行为因为涉嫌侵犯隐私招来批评。 4月份,彭博社报道称亚马逊组建一个团队,里面有几千名员工,他们遍及全球,负责倾听Alexa音频,亚马逊这样做主要是想改进软件;苹果Siri、谷歌助手也组建相似的人力团队,核查音频。 事件曝光之后,苹果、谷歌终止项目,亚马逊则说用户拥有选择权,可以允许亚马逊核查音频,也可以禁止。 Facebook并没有告诉用户第三方将会核查他们的音频,正因如此,一些承包商觉得自己的工作不道德。 知情人士透露说,加州圣塔莫尼卡(Santa Monica)的TaskUs公司是Facebook的承包商,Facebook是TaskUs最大最重要的客户之一,TaskUs禁止员工公开谈论自己为谁工作,他们用代号代表客户。 Facebook还让TaskUs审核可能违反政策的内容。在TaskUs内部本来有一些团队从事选举筹备、政治广告筛选工作,但最近其中一些员工转移到新成立的转录团队。 之前Facebook曾说过,会自动处理用户提交的内容和通信信息,分析语境,看看里面有什么。但Facebook从没有说过会请人筛选审核内容。Facebook承认自己与第三方分享信息,但它没有提到过转录团队的存在,它只是说会有一些承包商、服务提供商支持Facebook工作,为Facebook分析产品使用情况。 Facebook聘请人力员工分析录音,说明AI识别单词、语音模式时存在限制。机器的识别能力的确在增强,但有时还是会碰到麻烦。从2015年开始,Messenger用户就可以将音频交给Facebook,让它转录。当时负责Messenger业务的高管大卫·马库斯(David Marcus)曾说:“我们想尽千方百计,力求让Messenger变得更实用。”   (稿源:,稿件以及封面源自网络。)

这款 MOD 能将特斯拉 Model S 变成移动的监控设备

为了能够让自动驾驶汽车根据路况做出自主决策,开发团队往往需要为其装备复杂的计算机大脑和丰富的传感器。上周末在拉斯维加斯举办的Defcon 27黑客大会上,安全研究人员Truman Kain通过研制的MOD将特斯拉Model S转换成为移动的监控设备。 这款MOD的组成基本上就是一台NVIDIA Jetson Xavier迷你电脑,通过汽车的USB端口进行连接,能够收集汽车周围看到的所有东西。利用Model S现有的Autopilot和哨兵模式(Sentry Mode),以及开源框架该MOD能够识别车辆型号,甚至能够收集和记录车牌信息。 或许很多人认为这个MOD并没有太大的杀伤力,不过安全研究专家Kain并不这么认为,他在Defcon 27黑客大会上现场演示了已经改装好的Model S,不仅能够识别车辆型号,识别重复出现的目标,标记看到对方所在的位置,从而了解更多有关车主的相关信息。   (稿源:cnBeta,封面源自网络。)

安全研究人员称中兴 4G 热点可能成为黑客的温床

据外媒CNET报道,安全研究人员发现了一系列影响中兴通讯4G热点的漏洞,该公司还没有为所有受影响的设备提供修复。研究人员表示,安全漏洞可能让潜在的黑客将流量从热点重定向到其他恶意网站。 周六安全研究人员在拉斯维加斯举行的黑客大会Defcon上披露了这些漏洞。一位名为“Dave Null”的Pen Test Partners研究人员详细描述了中兴通讯的安全问题,以及他对该公司如何回应的担忧。 Null表示,漏洞很容易实现 – 攻击者只需要受害者使用中兴通讯的一个热点访问恶意网站。研究人员发现,热点模型会泄露设备的密码。 “所以你要求一把钥匙,它会返回价值,”Null在Defcon之前的一次采访中说道。“它几乎没有安全保障。” 一旦攻击者获得了热点的密码,就有很多选择可以进一步攻击。黑客可以开始记录一个人的网络活动,使用热点作为攻击与其连接的设备的方式,并将网络流量重定向到更多恶意网站。 例如,黑客可以将受害者从合法的银行网站重定向到虚假版本的页面,在那里他们可以输入财务信息而不知道他们的资料已被盗取。 中兴通讯在2月份发布了针对漏洞的安全通告,但仅针对其MF910和MF65 +产品。在其公告中,该公司没有发布修复补丁,称其在2017年9月停止了这两个4G热点,但确实修复了更新的MF920和MF65M2型号的漏洞。 目前这些已停产的型号仍然在该公司的网站上列出。 Null说道,这些漏洞可能适用于“MF”系列中更多的中兴通讯产品。他发现,由于它的许多设备共享相同的密码,除非它们被修复,否则它们会共享相同的漏洞。虽然中兴通讯认为MF910已经过时,但更新后的MF920型号存在同样的问题。Null询问了哪些其他热点会共享相同的密码,但中兴通讯拒绝提供这些信息。 “他们似乎并没有主动寻找对付漏洞,”Null说道。   (稿源:cnBeta,封面源自网络。)