分类: 安全快讯

FBI 安全级别!韩国研发全屏指纹扫描技术

环球网科技综合报道,据《每日邮报》7月3日报道,现代智能手机的设计逐渐都转向了全面屏,然而这种设计的问题就在于该如何在手机上安置指纹扫描器。在全屏幕的iPhone X上,苹果完全放弃了扫描器,转而使用它的面部识别解决方案,即FaceID。与此同时,竞争对手一加手机则是将指纹传感器移到了手机的背面。 研究人员现在手机制造商提供了一个理想的解决方案,这要归功于一项新技术,该技术将整个显示屏变成了一个巨大的传感器。他们表示,研究结果与FBI设定的指纹识别标准相吻合,而这项技术可能在未来12个月内给上线。 来自韩国蔚山国家科学技术研究所的专家们开发了一种透明传感器,可以同时检测触觉压力和皮肤温度。研究人员称,检测热量和压力的能力确保了系统更安全。 超薄设计的秘诀在于创造出新的透明电极,这种电极基于一种相互连接的超长银纳米纤维和细银纳米线的网络。这些组件非常小,一旦嵌入到显示器中,它们就几乎是隐形的,而且能够同时保持足够大的电力来扫描用户的指纹以进行认证。 参与这项研究的Jang-Ung Park博士在接受采访时表示:“我们开发了‘透明’指纹传感器,旨在检测手机显示屏上的指纹。我们的指纹传感器达到了FBI设定的分辨率标准。” 人类的指纹由独特的脊状和谷状结构组成,检测指纹的一种方法是感知电荷的变化,这是由山脊和山谷之间的空隙造成的。然而,传统的透明材料——用于使现代智能手机屏幕触敏的铟锡氧化物(ITO)却无法胜任这项任务。ITO的电阻太大,它无法检测到指纹传感器所需电荷的微小变化。 研究小组通过将细银纳米线结合在一起解决了这一问题,这种纳米线具有良好的透明性,而银中纤维具有较低电阻。研究人员称,这种配置对电荷变化的敏感度是ITO的17倍。 这种柔性阵列也非常耐弯曲,使其在智能手机和平板电脑等设备上的应用会变得非常耐磨。   稿源:环球网,封面源自网络;

美国国税局发起国际倡议追捕加密货币税务欺诈者

美国国家税务局(IRS)已与澳大利亚,加拿大,荷兰和英国的税务机关结盟,打击以加密货币和其他金融资产进行犯罪和洗钱。这项名为“全球税务执法联合主席(J5)”的共同努力将由来自五个国家的六个机构组成。 包括澳大利亚刑事情报委员会(ACIC)和澳大利亚税务局(ATO),加拿大税务局(CRA),荷兰的Fiscale Inlichtingen-en Opsporingsdienst(FIOD),英国的HM Revenue&Customs(HMRC)和国税局刑事调查(IRS-CI)。 这些机构将分享信息和情报,进行联合调查,并试图提高业务能力,以开展针对国际犯罪的执法工作。美国国税局表示,J5将充分利用数据和技术,减少加密货币和网络犯罪给税务管理部门带来的日益严重的威胁。 J5成立是为了响应经济合作与发展组织(OECD)呼吁各国采取更多措施来解决税收犯罪的倡议。有组织的犯罪分子和税务欺诈操纵系统并利用漏洞谋取个人利益。 J5旨在打破这些障碍,成为一个具有前瞻思维的运营团体,给全球犯罪团体施加压力。值得注意的是,全球各地的当局都加大了打击加密货币相关犯罪的力度。 美国和欧洲当局最近在黑暗网络上没收了数百万美元的加密货币。美国司法部目前也正在调查加密货币市场操纵行为。法当局经常发现很难打击与加密货币相关的税务欺诈,因为它们很容易被国际转移。虽然加密货币交易并不完全是匿名的,但它们可能非常难以追踪。国际合作将使这些当局更容易打击加密货币犯罪。   稿源:cnBeta,封面源自网络;

iOS 12“验证码自动填充”功能存在隐患 用户或受网银欺诈之害

外媒报道称,尽管苹果在 iOS 12 中引入了大量增强的安全特性,但是“安全码自动填充”功能还是将用户暴露于银行欺诈的巨大危险面前。在今年 6 月的全球开发者大会(WWDC 2018)上,苹果宣布了这项新特性。其旨在通过自动读取短信中的验证码,节省在 Safari 等应用中手动输入表单的麻烦,从而为用户带来无缝的注册流程体验。 乍一看,这是一项能够显著提升可用性的功能,但安全专家安德烈亚斯·古特曼(Andreas Gutmann)警告称: 这样的实现,最终更可能会对建议签名和交易身份验证码(TANs)产生影响。 换言之,银行用于身份验证和签署事务的安全系统,可能会在恶意和中间人等技术攻击手段面前失效: 让用户验证这一重要信息,正是出于安全的考量。移除这一过程,会使它变得无意义。 安全码自动填充功能给网银带来的安全风险例子包括: (1)在 MacBook 上通过 Safari 浏览器访问网银的用户,可能会受到中间人攻击; (2)如有需要,可注入必要的字段标签; (3)恶意网站或应用程序,可能借此‘合法访问’网银服务。 需要用户交互的手动验证步骤,是确保网络犯罪分子无法绕过银行部署的安全功能的必备条件。 值得庆幸的是,在 iOS 12 中,苹果还是鼓励用户启用‘双因素认证’,这使得通过短信发送的验证码会相对更安全一些。 另一方面,通过绕过人类手工的验证过程,iOS 12 的安全代码自动填充功能会使之变得毫无用处、容易让用户和银行都暴露于别有用心的攻击者面前。   稿源:cnBeta,封面源自网络;

WiFi联盟宣布WPA3协议已最终完成 安全性增加

新浪科技讯 北京时间6月27日凌晨消息,WiFi联盟(Wi-Fi Alliance)周一宣布WPA3协议已最终完成,这是WiFi连接的新标准。 根据这种标准,新的WiFi路由器将可提供更强的数据保护,并可提高工作场所WiFi网络的安全性。在2018年早些时候,WiFi联盟宣布了WPA3协议的一些特点。 WiFi很容易被人熟视无睹,但通过WiFi网络传输的数据中有大量敏感信息,这就意味着无线连接的安全性是非常重要的。为了更好地保障WiFi用户的安全,新协议将令个人无线网络变得更难被黑客攻击。 WPA3协议可用于经过WiFi联盟认证的新路由器,具体要看各个厂商是否通过软件更新的方式在现有路由器上安装该协议。WPA3协议将取代“WiFi Protected Access 2”协议,也就是通常所说的WPA2协议,后者最早是在2004年推出的。在随后的十余年里,WPA2协议时不时地会发生安全问题,提醒人们不安全的WiFi网络会带来多么糟糕的结果。 最近研究人员发现了一个被其称为KRACK的漏洞,称其能让黑客在没有密码的情况下接入用户的WiFi网络。设备厂商已针对这个漏洞发布了补丁,而WiFi联盟要求所有新的路由器都必须进行测试以防止这个漏洞。 网络设备巨头思科等厂商已在周一发表声明,对WPA3协议表示支持。思科称,该公司不仅计划在未来产品中使用WPA3协议,还将寻找对现有设备进行软件更新以搭载新协议的方法。思科发表声明称:“WPA3计划将带来我们急需的无线安全升级,为消费者、企业和政府等各个层面的客户提供保护。” WiFi联盟营销副总裁凯文·罗宾逊(Kevin Robinson)称,对个人WiFi用户来说,哪怕密码并不是十分复杂难猜,这种新的安全保护也将可发挥作用。但尽管如此,他还是敦促用户要在设定密码时小心为上。他说道:“用户仍应选择难猜的密码,不该选择‘password’这样的密码。”   稿源:新浪科技,封面源自网络;

日本新型人工智能安全摄像头揭示未来监控将自动化

自动化监控的世界正在蓬勃发展,新的机器学习技术使闭路电视摄像机能够在没有人工监控的情况下发现不轨行为。日本电信巨头NTT East和创业公司Earth Eyes研发的人工智能安全摄像机就可以做到这点。 安全摄像头被称为“AI Guardman”,旨在帮助日本的店主发现潜在的扒手。它使用卡内基梅隆大学的开源技术来扫描现场流,并估计它可以看到的任何姿势,系统然后尝试将此姿势数据与预定义的“可疑”行为进行匹配。如果它看到一些值得注意的事情,它会通过连接的应用程序提醒店主。 AI Guardman已经在开发至少几年了,但上个月,NTT East和Earth Eyes分享了一些使用相机进行早期试验的结果,根据日本IT媒体的报道,NTT East和Earth Eyes声称AI Guardman减少了约40%的商店盗窃。目前,新的深度学习技术使我们能够比以往更快更便宜地分析视频画面,日本,美国和中国的大量公司正在开发具有类似功能的产品。类似的功能也正在进入家庭安全摄像机,像亚马逊和Nest这样的公司提供了基本的AI分析,如发现宠物和人群之间的差异。 不过,AI Guardman值得注意的是,它是一款具有先进功能的产品,客户可以购买,插入并开始运行,而不会有太多延迟。 NTT East的一位发言人告诉The Verge说,这款相机将于7月底开始销售,预计价格约为2150美元,云端支持每月订购费用为40美元。 NTT表示,希望在未来三年内将相机引入1万家商店。   稿源:cnBeta,封面源自网络;

未来 Firefox 将引入安全审查工具:确认个人账号是否已被泄露

Mozilla今天宣布未来Firefox版本将引入一项令人兴奋的功能。这项功能就是建议安全审查工具,使用Troy Hunt的“Have I Been Pwned”(HIBP)数据库对已知泄露的数据库进行扫描,确认用户账号是否出现在其中。 去年11月份,该功能的初版首次曝光。Mozilla表示通过免费访问的数据泄露API来访问HIBP,一旦在该中发现账号那么就会自动向用户发出提醒。该功能当时只是一个通知系统,当用户访问恶意已经被窃取的时候才会发出提醒。 而现在Mozilla正将HIBP的完整服务整合到辅助网站– Firefox Monitor上。双方的合作允许用户通过输入邮箱地址来查看自己的账号是否已经在已知的数据泄露中曝光。如果出现在数据库中,那么 Firefox Monitor就会知道已经掌握的暴露程度,并提供相关建议。 目前该系统还处于规划和测试阶段。Mozilla正和HIBP和Cloudflare公司合作,创建一种匿名数据共享的方法以确保每个用户的隐私得到妥善的保护。 Firefox Monitor预计将于下周开始率先在美国地区开放,首批大约为25万用户。如果取得成功,将会进一步向所有Firefox用户开放。   稿源:cnBeta,封面源自网络;

WebAssembly 新标准可能导致幽灵熔断修复程序无效

据 Forcepoint 的安全研究员 John Bergbom 称,即将增加的 WebAssembly 标准可能会使浏览器级别的一些针对 Meltdown 和 Specter 的修复程序无用。 WebAssembly(WA 或 WASM)目前支持所有主流浏览器,如 Chrome,Edge,Firefox 和 Safari。 该技术是一种二进制语言,浏览器将转换成机器码并直接在 CPU 上运行。浏览器制造商创建 WebAssembly 以提高 JavaScript 代码的交付速度和性能,他们还为开发人员创建了一种移植方法,可将来自其他高级语言( 如C,C++ 和其他)的代码移植到 WASM ,然后在浏览器中运行它。 总而言之,WebAssembly 标准在网络开发社区中被视为成功的标准,并且一直在为其提供赞誉。 但是像所有的技术一样,它也带来了一些无法预料的小麻烦和滥用案例。 对于初学者来说,浏览器内的加密货币矿工(cryptojacking 脚本)的兴起可以追溯到主要浏览器中添加 WebAssembly,因为所有浏览器中的矿工都运行在 WebAssembly 之上,而不是纯粹的 JavaScript。 现在,Bergbom 认为,WebAssembly 还会给 Web 用户带来另一个小麻烦: 一旦 WA 获得对共享内存线程的支持(这已经在 WA 路线图上),可以创建非常准确的[JavaScript]定时器,这可能会导致浏览器缓解某些 CPU 端通道攻击失效。 在这份声明中,Bergbom 更准确地提到了“定时攻击”,这是一类旁路攻击。定时攻击是一类密码攻击,第三方观察者可以通过记录和分析执行加密算法所花费的时间来推断加密数据的内容。 最近披露的 Meltdown 和 Spectre CPU 漏洞以及它们的许多变化都是其核心的定时攻击。他们依赖攻击者测量精确时间间隔的能力,这是执行侧向通道攻击所需的参数,并从加密的数据块中恢复足够的信息以确定其余部分。   稿源:开源中国,封面源自网络;

Android 9.0 将加入新的生物识别 API

TechWeb报道,6月25日消息,根据媒体报道,谷歌将会在即将推出的Android 9.0版本系统当中加入更好的生物识别API,为开发者提供更安全和方便的生物验证机制。 开发人员使用了BiometricPrompt API将生物识别身份验证集成到他们的应用程序中,应用程序和终端通过指纹、虹膜甚至面部识别来进行验证,同时PIN和密码的方式也会得到保留。 对此谷歌安全工程师Vishwath Mohan表示“生物识别认证机制正变得越来越流行,而且很容易明白其中的原因。它们比输入密码更快,比携带单独的安全密钥更容易,并且它们可以防止基于知识因素的身份验证的风险。” 在Android 9.0版本上,他们将会尽量车辆生物识别的安全性,相对较弱的身份验证方法将会被限制。同时他们将会提供一个通用平台和入口,方便开发者可以轻松的使用生物识别验证功能。   稿源:TechWeb,封面源自网络;

报道称白宫有意推出“平衡”欧洲GDPR条例的隐私法案

据外媒Macrumors报道,上个月,欧盟的《通用数据保护条例》(GDPR)正式生效。该条例旨在保护欧盟内所有个人的数据,尽管其中一些方面影响到全球用户。根据Axios的一份新报告,白宫目前正处于确定美国的联邦数据隐私保护方式的“早期阶段”。 到目前为止,美国总统特朗普在技术、电信和网络政策方面的特别助理Gail Slater 已就这个问题与行业组织进行了会晤。根据熟悉谈判的一些消息人士的说法,讨论包括在线使用个人数据的可能“护栏”。此外,Slater 还与信息技术产业委员会首席执行官Dean Garfield讨论了GDPR的实施情况,该委员会代表苹果和谷歌等科技公司。 据消息人士称,Slater和特朗普政府将美国的提案称为“对GDPR的对策的一种平衡”,旨在确保欧洲法律不会成为全球在线隐私标准。尽管如此,Slater还表示,不希望创建一个欧洲条例的“美国克隆”版本。 Axios总结称,对话可能产生的一个结果可能是导致美国公民隐私框架发展的行政命令。 一种选择是指导一个或多个机构隐私框架的行政命令。据两位消息人士透露,这可能会指导美国商务部的一个分支机构——国家标准与技术研究所与行业和其他专家合作提出指导方针。 据消息来源称,行政命令还可导致公私合作伙伴关系,以制定自愿隐私最佳实践,这可能成为事实上的标准。 Slater声称“让消费者更多地控制他们的数据”和“更多地获取他们的数据”是GDPR的亮点,这表明这些方面将在美国法律中得到强调。 “我们正在谈论政府可以并且应该在隐私方面做的事情”,Slater上个月在美国国家风险投资协会举行的一次会议中这样表示。 在GDPR之后,苹果公司推出了一个新的数据和隐私,允许用户下载与其Apple ID相关的所有数据。虽然该功能仅限于在欧盟、冰岛、列支敦士登、挪威和瑞士注册的苹果帐户,但苹果公司表示将在未来几个月内在全球范围内推出该服务。   稿源:cnBeta,封面源自网络;

工信部:2020 年基本建成国家车联网产业标准体系

TechWeb报道,6月20日消息,日前,《国家车联网产业标准体系建设指南(总体要求)》《国家车联网产业标准体系建设指南(信息通信)》和《国家车联网产业标准体系建设指南(电子产品和服务)》正式发布,对此,工信部指出,大力发展车联网,有利于汽车产业创新发展,构建汽车和交通服务新模式新业态,促进辅助驾驶和自动驾驶发展,提高交通效率、降低事故发生率、节省资源、减少污染、进一步解放生产力。 据了解,《国家车联网产业标准体系建设指南》分为总体要求、智能网联汽车、信息通信、电子产品与服务等若干部分,其中智能网联汽车部分已于2017年底印发。指南中提出,充分发挥标准在车联网产业生态环境构建中的顶层设计和基础引领作用,加快共性基础、关键技术、产业急需标准的研究制定,加紧研制自动驾驶及辅助驾驶相关标准、车载电子产品关键技术标准、无线通信关键技术标准、面向车联网产业应用的LTE-V2X和5G eV2X关键技术标准,逐步建设跨行业、跨领域、适应我国技术和产业发展需要的国家车联网产业标准体系,满足研发、测试、示范、运行等产业发展需求。到2020年,基本建成国家车联网产业标准体系。 工信部称,车联网产业是依托信息通信技术,通过车内、车与车、车与路、车与人、车与服务平台的全方位连接和数据交互,提供综合信息服务,形成汽车、电子、信息通信、道路交通运输等行业深度融合的新型产业形态,是全球创新热点和未来发展制高点。 对于接下来的规划和发展,工信部方面表示,下一步,工信部将会同有关部门,继续发挥好由工业和信息化部、公安部、交通运输部等20个部门和单位组成的车联网产业发展专项委员会作用,合力推动解决政策法规、技术标准、基础设施、管理制度等方面的问题,加强对产业发展的规范和引导,营造有利于产业发展的环境,着力突破先进传感器、车载操作系统及中间件、车载智能处理平台、汽车级芯片等关键技术,加强LTE-V2X无线通信技术的覆盖和应用,推动信号灯、交通标识等道路基础设施的信息化和接口改造,加快建立车联网产业体系,促进自动驾驶发展,培育经济发展新动能。   稿源:TechWeb,封面源自网络;