分类: 安全快讯

FB 被曝收集儿童信息 多个保护组织呼吁关闭相关应用

多家儿童和消费者保护组织表示,Facebook 通过 Messenger Kids 应用非法收集少年儿童数据。Campaign for a Commercial-Free Childhood(CCFC)和其他保护组织上周都要求美国联邦贸易委员会(FTC)调查这款以儿童为中心的消息应用是否违反《儿童网络隐私法保护法》(COPPA)。 这些组织认为,Facebook 在没有获得儿童父母允许的情况下违法收集了他们的信息。 投诉信显示,Messenger Kids 并没有满足 COPPA 的要求,因为它并没有努力确认开设帐号并获取数据的人的确是儿童的父母。 他们表示,有的人可以在不证明年龄或身份的情况下开设全新的虚假儿童帐号。 Facebook 上周三回应称,他们尚未对投诉信进行评估。 该公司曾经表示,不会在 Messenger Kds 中投放广告,也不会出于营销目的而收集数据,但他们的确会收集一些运营这项服务所必须的数据。 但相关组织表示,Messenger Kids 的隐私政策“既不完整,还很模糊”,使得 Facebook 可以将数据提供给第三方和 Facebook 的其他服务,以便用于“广泛而未明确的商业目的”。 CCFC 执行总监乔希·高林(Josh Golin)在声明中说:“虽然有证据显示过度使用社交媒体会对少年儿童的健康产生负面影响,但Facebook 还是希望勾住那些只有 5 岁的孩子。” 该公司对父母表示,Messenger Kids 是为了保护儿童安全,但却并没有遵守最基本的隐私法律要求。“父母的最佳选择很明确:让孩子远离 Facebook。”高林补充道。 Facebook 去年推出了 iOS 版 Messenger Kids,之后又扩大到 Android 和亚马逊的设备,而且从美国推向墨西哥和加拿大以及世界其他地方。 这款产品瞄准的是 13 岁以下儿童,从技术上讲,这些用户应该都没有 Facebook 帐号(尽管他们中很多人其实都已经注册了Facebook)。 投诉信写道:“我们自己的测试显示,想要创建一个虚假帐号来认证一个 Messenger Kids 帐号并不困难。我们用一个虚构的18岁身份创建了全新的 Facebook 帐号,然后使用这个帐号认证了一个虚构的 Messenger Kids 用户。整个过程只用了 5 分钟。” 虽然该公司表示,他们已经收到父母和儿童成长专家的许多建议和意见,但CCFC等组织一直都希望能彻底关闭 Messenger Kids。     稿源:新浪科技,封面源自网络;

Telegram 被指默认设置状态下会在用户通话过程中曝光 IP 地址

据外媒报道,Telegram 是一款可以让用户在互联网上与其他用户展开加密聊天和通话的通信应用。这款程序自称是一款安全的私人通信应用程序,然而一项研究发现,在它的默认配置下,它会在用户通话过程中泄露出 IP 地址。 在默认设置下,Telegram 的语音通话通过 P2P2 进行。当使用 P2P 的时候,用户通话对象的IP地址则会出现在 Telegram 控制日志上。不过不是所有的版本都有控制日志。比如 Windows 版不会,但 Linux 版却有。 Telegram 应用确实表明过用户可以通过改变设置防止 IP 地址被泄露,操作入下:设置-私人与安全-语音电话-将 Peer-to-Peer 改成 Never 或 Nobody 。这样设置后,用户将需要通过 Telegram 服务器拨打语音电话,虽然隐藏了 IP 地址但却要付出音频质量下降的代价。 问题是虽然 iOS 和 Android 用户可以关掉 P2P 电话功能,但安全研究员 Dhiraj 发现,官方桌面版和 Windows 版都无法禁用这个功能。这意味着这部分用户的 IP 地址会在他们使用语音通话时遭到泄露。下面是 Ubuntu 桌面版 Telegram 的一个例子: 作为一个以安全和私密性而著称的应用,Telegram 为何会存在这样一个漏洞呢?当外媒 BleepingComputer 询问 Dhiraj Telegram 这么做是否存在任何原因时,后者给出的回应是:“没有,关于这个并没有得到任何评论。” 此外,BleepingComputer 还联系了 Telegram 但也还未收到回复。   稿源:cnBeta.COM,封面源自网络;

Windows Defender 即将成为最佳 Windows 10 防病毒软件

AV-TEST 最近进行的防病毒测试表明,Windows Defender 最近有了很大的改进,有些令人惊讶的是,它更接近成为全球顶级安全产品。尽管对于习惯于与第三方解决方案的人来说,这听起来完全出乎意料,但 7 月/ 8 月的研究表明 Windows Defender 是表现最佳的 Windows 10 防病毒软件。 Windows Defender 在最多 18 分中获得 17.5 分,其中 6 分为保护,6 分为可用性,5.5 分为表现。随着性能部门的一些改进,Windows Defender 可能会变得像领导者 Bitdefender 和卡巴斯基一样具有最佳 Windows 10 防病毒性能。 Windows Defender 在防御 0 天恶意软件和检测广泛流行的 4 周恶意软件方面提供了完美的性能。在7月和8月的测试中,所有样本都被微软的防病毒软件检测到并阻止。在性能方面,Windows Defender 除了一次测试外都给人留下了深刻的印象。应用程序在启动热门网站,下载文件或启动应用程序时对系统性能的影响低于行业平均水平,但另一方面,在安装常用应用程序时,它达到了更高的数字。 至于可用性,Windows Defender 在这里也取得了近乎完美的结果。它在访问网站时产生了零错误警告或阻塞,并且在系统扫描期间只有一次错误地将合法软件检测为恶意软件。这只发生在8月的测试中,而在7月,它的表现完美无瑕。AV-TEST 现在将 Windows Defender 列为顶级产品,它为其提供了防病毒认证,突出微软高级解决方案的先进性。   稿源:cnBeta.COM,封面源自网络;

加州通过物联网网络安全法 有专家质疑其进步意义

新浪科技讯 北京时间9月29日早间消息,加州州长杰里·布朗(Jerry Brown)在新的网络安全法上签字,这项法律覆盖智能设备,加州成为美国第一个拥有物联网网络安全法的州。法案编号SB-327,去年制定,8月末在州参议院获得通过。 从2020年1月1日开始,制造商如果制造直接或者间接连接互联网的设备,必须植入“合理”的安全技术,预防未授权访问、修改、信息披露。如果设备可以用密码从本地局限网外访问,必须为每一台设备设立一个独特密码,或者强迫用户在第一次连接时设置密码。这样一来就不会有一般默认凭证,黑客难以猜测。 关于新法案有人赞扬,有人批评,赞扬者认这是通往正确方向的第一步,而反对者则认为法案含糊不清。 网络安全专家罗伯特·格雷厄姆(Robert Graham)认为,它让安全问题倒退,只是一味增加好的东西,而没有尽力剔除坏的东西。关于密码要求,格雷厄姆赞赏,但是他认为没有覆盖多种多样的身份认证系统,有些系统可能叫作密码,有些可能不叫密码,因为规定不明确,制造商可能会给设备留下安全漏洞。 哈佛大学研究员布鲁斯·施奈尔(Bruce Schneier)则说这是有益的第一步。他认为:“可能前进的幅度不大,但是不能因此就否决它,不让法案通过。”法案虽然只针对加州,不过如果设备制造商想在加州销售产品,就要遵守规定,这种福利其它地方的客户也能享受到。   稿源:新浪科技,封面源自网络;

苹果、亚马逊、Alphabet 等支持美出台数据隐私保护法

新浪科技讯 北京时间9月27日早间消息,周三,主要科技公司和互联网服务商向美国参议院专门小组表示,他们支持联邦立法以保护数据隐私,但希望国会可以取代加州已经采取的新的严格规定。 亚马逊、Alphabet、苹果、AT&T、Charter Communications以及Twitter等向参议院商务委员会一致表示他们将支持新的联邦隐私法规。 这些公司支持让用户拥有他们对自己数据的控制权,对数据如何使用的透明性以及删除他们数据的能力。个人数据包括网页浏览历史以及其他消费者数据。 商务委员会主席参议员约翰·桑恩(John Thune)说,他正在制定立法但同时承认今年不太可能获得通过。行业“希望有一个全国性的方法,而非50个州各自不一的方法。同时我也认为这为我们提供了一些机会,也表明他们必须坐下来与我们商量并为此提供良好的解决方案,”桑恩说。 桑恩希望在今年末的时候可以举行听证会,听取消费者群体的意见。 民主党参议员认为,立法需要更加严格的条款。 民主党参议员布莱恩·沙茨(Brian Schatz)指出,科技公司虽担心州法律带来的影响但仍需要支持更稳固的联邦隐私法。 今年6月份,加州州长杰瑞·布朗(Jerry Brown)签署了一项数据隐私立法,旨在让消费者对公司如何收集和管理他们的个人数据有更多控制权。Alphabet旗下的谷歌和其他大型公司均对该立法提出反对,理由是过于繁琐。该立法将于2020年生效。 亚马逊副总裁安德鲁·德沃尔(Andrew Devore)在听证会上说,加州的法律制定仓促,其对“个人数据”的定义超过了实际可以识别个人身份的信息。“结果导致该法律不仅令人困惑也难以遵循,甚至还可能会破坏重要的隐私保护措施,”他说。 大量的数据隐私泄露已然危及数百万美国互联网和社交媒体用户的个人数据,包括大型零售商以及信用报告机构Equifax的数据泄露。 “州法律先行出台是好事,”沙茨说,“只有州法律行得通,你才能最后实现自己的目的。”他还说民主党不会以“一个非进步的联邦法律取代进步的加州法律”。 但这里存在的一个重要问题是,联邦贸易委员会(FTC)是否有权制定隐私法规。 各大公司没有排除支持FTC制定法规的可能性,但也表示希望看到更多细节。 美国商务部周二表示,在欧盟和加州均采取严格的新规定之后,他们也在为如何制定全国性数据隐私法规征求意见。 欧盟的通用数据保护条例于今年5月生效。违反该隐私法规现在可最高导致全球收入4%或2000万欧元的罚款(以较高者为准),惩罚不再是以往的几十万欧元那么简单。   稿源:新浪科技,封面源自网络;

调查报告显示美国执法机构的 DHS 无人机数据易受黑客攻击和内部威胁

在国土安全部监察长办公室的一份报告中公布,海关与边境保护局(CBP)未能采取适当的保障措施来保护使用无人机系统(UAS)收集的监控信息。在审计之后,监察长办公室发现,根据国土安全部和联邦政策,作为支持CPB执法任务的无人机监视计划的一部分收集和传输的图像和视频没有得到充分保障。 安全监督的发生是因为CBP官员不知道无人机驱动的数据收集计划需要进行隐私评估,以确保CBP的隐私办公室实施法律,DHS政策和联邦法规所要求的适当保护措施。此外,用于收集监视数据的情报,监视和侦察(ISR)系统在审计开始之前受到外部和内部参与者侵害的风险增加。 CBP使用无人机收集各种监视材料,从原始图像数据到毒品走私者截获的和试图越过美国边境的无证移民。虽然UAS收集的材料不允许准确识别个人,但在与CBP代理人或执法人员会面时,它仍可用作积极调查的一部分。此外,如果没有向DHS隐私办公室提交隐私阈值分析,则存在潜在的隐私风险,这使得航空和海事处(AMO)无法确定所获取的数据是否需要隐私保护。 CBP未能实施适当的安全控制来保护通过其UAS程序收集的信息,可能导致存储在其电脑系统上的隐私敏感信息因内部或外部不良行为者而受到损害,被盗或丢失。     稿源:cnBeta,封面源自网络;

美国特朗普总统签署《国家网络战略》 应对来自网络的威胁

美国总统特朗普的国家安全事务助理约翰·博尔顿20日表示,特朗普当天签署了国家网络战略[PDF],以加强应对网络威胁。博尔顿在对媒体的吹风会上表示,国家网络战略将指示美国政府采取行动确保长期改善所有美国人的网络安全。 白宫新闻办公室发表声明称,国家网络战略的核心是增强美国网络安全,该战略将有助于保护网络空间成长为经济增长和创新的引擎,同时遏制在网络空间造成不稳定的行为,此外还将保持互联网的长期开放性,支持并加强美国利益。 美国媒体分析称,当天发布的国家网络战略最值得注意的是,美国将采取“进攻性”的行动来制止和应对网络攻击。博尔顿在吹风会上说,对于任何正在对美国采取网络行动的国家来说,他们应该意识到,我们将同时从进攻和防守两个方面进行回应。   稿源:cnBeta,封面源自网络;

Facebook 推出新工具来应对竞选期间的黑客行动

据外媒报道,距离中期选举还有两个月不到的时间,Facebook决定推出一套新的工具来保护竞选活动不受黑客攻击。据悉,这是一个全新的网络保护层面,Facebook正在将其作为一个试点项目向美国各州以及联邦政府开放。 根据NBC的一篇报道了解到,根据该计划,选择加入项目的运动以及运动委员会将被指定为潜在的优先级别用户,如果他们发现设计其账号存在的任何异常行为则都能体验到快速排除故障的优势。 Facebook网络安全政策主管Nathaniel Gleicher在公司博客上解释称,页面管理员可以在politics.fb.com/campaignsecurity申请参与这个项目。一旦注册,他们就可以将他们的团队或委员会的其他人加入到项目中。Facebook表示,它将帮助官员采用其最强大的账户安全保护措施比如双重认证,并监控潜在的黑客威胁。 虽然Facebook目前还未提供太多关于这个新安全层的细节。不过这家公司已经表示,他们将在中期选举之前禁掉大量假账户和页面,其中一些行为类似于俄罗斯支持的互联网研究机构在2016年总统大选中引起的轩然大波。 Facebook CEO马克·扎克伯格则曾公开表示,Facebook的工具可能遭到了黑客和相关组织的滥用,这让他们措手不及。现在他们将采取另一种积极主动的行动以确保尽可能地减少为邪恶目的而选择其网络的情况并将这一措施一直持续下去。 至于这项举措是否能够取得预想中的成效则有待时间来考验。   稿源:cnBeta,封面源自网络;

Facebook 改漏洞悬赏政策:报告平台第三方应用可获奖

新浪科技讯 北京时间9月18日上午消息,Facebook平台上的第三方应用可访问用户数据,但这些应用近期被发现诸多漏洞。随着相关批评越来越多,Facebook近日宣布,将其漏洞赏金项目(bug bounty program)扩大至第三方应用范围。 Facebook如今将向报告用户访问令牌(user access tokens)内漏洞的开发人员提供奖励。所谓用户访问令牌,即允许用户通过登录Facebook直接注册/登录第三方应用的功能。假如这个访问令牌落入黑客手中,他们可以未经同意获取用户数据。 在报告中,研究人员须提交概念验证,来说明该漏洞如何可以允许黑客访问或滥用用户数据。Facebook将为报告提供至少500美元的奖励,并且只关注拥有至少5万活跃用户的应用上发现的漏洞。 在宣布这一变更的博客文章里,安全工程师丹·葛芬科(Dan Gurfinkel)说,Facebook将只考虑这些报告:“在使用有漏洞应用和网站时,通过被动查看发送至您的设备或从您设备发出的数据时发现的漏洞”。因此,研究人员无法创建一个开放的重定向,比如,来绕过身份验证要求。 “如果暴露,基于用于设置的权限,访问令牌极有可能被滥用,”葛芬科写道,“我们希望给研究人员提供一个明确的渠道来报告这些重要的问题,我们也希望进我们最大的努力去保护人们的信息,即使问题源不在我们的直接掌控之下。” 通常,第三方应用漏洞均不在大型科技公司的赏金漏洞报告的范围之内。但是Facebook仍在艰难处理用户的反对情绪,因为多年来公司一直允许第三方应用访问大量用户数据且基本上没有任何监督,其中一些应用甚至以允许其他人访问这些数据,违反Facebook的开发者政策,最显著的例子就是“剑桥分析”(Cambridge Analytica)数据泄露事件。 最近几个月,一些应用如Bumble和Coffee Meet Bagel等,也向用户提供了Facebook身份验证之外的其他登录选项——以回应他们所说的用户对使用Facebook登录越来越不放心一事。因此,Facebook必须对第三方应用予以监管以重新获得用户信任。 Facebook最近也推出了修订的应用审查流程,旨在清理访问超出其本身所需的用户数据的第三方应用。   稿源:新浪科技,封面源自网络;

苹果为 Safari 推新隐私功能:防止用户浏览习惯泄露

新浪科技讯 北京时间9月17日上午消息,苹果为Safari浏览器中推出一系列新隐私功能,包括控制cookies,这将使Facebook等公司更难跟踪用户。 一直以来,各大公司习惯使用cookies来记录用户过去的访问内容。这有助于保存登录信息和偏好设置。但如今,这些cookies也被用来绘制用户画像,以便根据用户的喜好精准推送广告。 Cookies的使用不仅限于访问特定网站。比如,其他内嵌了Facebook的“喜欢”、“分享”按钮的网站会向Facebook的服务器发送信息等待服务器的回复,然后Facebook的服务器便可以访问用户存储的cookies。这意味着Facebook将知道用户频繁访问的网站或阅读的新闻。然后,可以根据这些信息定制广告。 但是,新的Safari功能将使得这一波操作更加困难。 没有缓冲期 以往,Safari会在用户最后一次访问服务器后24小时再禁止保存在第三方网站的服务cookies。这段缓冲期给Facebook、谷歌等服务提供了极大便利。如今,Safari将自动阻止这些cookies,或推送提示征求用户的许可。 苹果表示,Safari仍可以保存用户的登录信息等偏好细节,不过有些网站将需要调整他们的代码。 隐藏细节 浏览器通常会显示有关您设备的看似无害的信息,比如使用的操作系统和安装的字体。网站可以利用这些信息来针对页面进行格式上的微调。 一直以来,浏览器上提供大量信息,很大程度上是因为这些信息看似无害。但如今,这些信息放到一起,足以用来识别用户身份。Safari现在将隐藏其中的许多细节,以便隐去用户的身份特征。 隐私服务Anonymizer的创始人兰斯·科特雷尔(Lance Cottrell)表示,这和数字化模糊某人照片的系统有点相似。“你可以看出来照片里的是一个人不是一条狗,但这个人具体长什么样你看不出来,”他说。 比如,Safari将仅显示机器附带的字体,而不显示任何自定义安装的字体。 隐藏网址 访问网站时,浏览器通常会发送用户刚才所浏览网页的网址。这个地址可以十分具体,可能导致其它问题,比如,会泄露您刚刚在电商网站上浏览的具体产品。 现在,Safari将只发送该网站的主域名。所以,以后,Safari发送的地址只会是“Amazon.com”而不会是亚马逊上的具体产品页面的地址。 关闭漏洞 有的广告公司企图通过使用某些技巧来绕过针对第三方cookies的限制。这个作弊方法可以让第三方cookies看起来像是用户当前访问网站的cookies。Safari目前正尝试解决这个问题。 以上变化将作为iPhone和iPad上的操作系统iOS 12的一部分更新于周二发布,至于Mac系列电脑,将通过Mojave系统更新在一周后发布。 多数安全措施仅限于苹果认为是跟踪器的cookies。这样做是为了减少误伤第三方合法cookies的可能性。   稿源:新浪科技,封面源自网络;