标签: 智能手机

美国土安全局官员透露手机存安全漏洞 数百万美国用户受影响

本周在拉斯维加斯召开的Black Hat峰会上,国土安全部官员Vincent Sritapan向新闻机构Fifth Domain透露:当前智能手机中存在安全漏洞。报道称该漏洞涉及美国四大通信运营商(Verizon,AT&T,T-Mobile和Sprint),数百万美国智能手机用户受到影响。 具体表现在黑客可以通过这些漏洞可以在用户不知情的情况下访问用户的电子邮件、短信等等。 Kryptowire是一家由美国国土安全部投资的移动安全公司,公司近期研究发现了这些漏洞。 Kryptowire创始人Angelos Stavrou在接受Fifth Domain采访时候表示:“可以在用户不知情的情况下对个人发起攻击。早在今年2月份就已经向设备厂商发送了通知,不过依然有部分制造商没有公开补丁进程,因此开发人员不确认设备制造商是否已经修复。”   稿源:cnBeta,封面源自网络;

研究称你的手机没有偷听你 但可能监视你

网易科技讯7月4日消息,据国外媒体Gizmodo报道,研究人员称,你的手机没有偷听你,但有可能在监视你在手机上的一举一动。 围绕智能手机的阴谋论不会消失:很多人相信他们的手机在偷听他们说话,以便向他们精准推送广告。Vice最近刊文称“你的手机是在偷听,这并不是妄想症“。它得出的结论是基于作者的5天实验,他在实验期间有意在他的手机面前谈到“回到大学”和“需要廉价的衬衫”,之后他在Facebook上看到了衬衫和大学课程方面的广告。 美国东北大学的一些计算机科学学者对于人们谈论这种说法感到非常厌烦,于是他们决定做一项严格的研究来解决这个问题。在过去的一年中,艾琳·潘(Elleen Pan)、任晶晶(Jingjing Ren音译)、玛蒂娜·林多弗(Martina Lindorfer)、克里斯托·威尔逊(Christo Wilson)和大卫·乔夫内斯(David Choffnes)进行了一项实验,研究了Android上超过1.7万个热门应用,以确定当中是否有应用在秘密地利用手机的麦克风来获取音频。这些应用既包括那些属于Facebook的应用,也包括8000多个向Facebook传送信息的应用。 对不起,阴谋论者:他们没有发现任何证据表明应用在没有提示的情况下会突然启用麦克风或发送音频。就像优秀的科学家一样,他们拒绝说他们的研究确切无误地证明你的手机没有在偷听你说话,但他们没有发现任何一个这样的例子。相反,他们发现了另一种令人不安的做法:应用记录手机的屏幕,并将相关信息发送给第三方。 在研究人员所研究的17260个应用中,有超过9000个获得了访问摄像头和麦克风的许可,因此有可能无意中听到手机用户谈论他们需要猫砂,或者他们有多喜欢某一品牌的冰淇淋。研究人员同时使用10部Android手机,利用一个自动程序与这些应用进行交互,然后分析所产生的流量。(这项研究的一个限制是,手机上的自动程序不能做人类能做的事情,比如创建用户名和密码,然后在应用上登录到一个账号上。)他们特意观察是否有媒体文件被发送出去,尤其是有没有被发送到意想不到的第三方。 研究人员让这些手机运行数千个应用,看当中是否有应用秘密激活麦克风来进行偷听。 他们开始看到的奇怪做法是,记录人们在应用中所做的事情的屏幕截图和视频录像被发送到第三方域名。例如,其中一部手机使用了GoPuff的应用(一款专为突然想吃垃圾食品的人开发的配送应用),与该应用的互动被录制了下来,然后发送到一个与移动分析公司Appsee关联的域名。该视频包含可让你在上面输入个人信息的屏幕——这个例子是输入邮区编号。 这并不完全出乎意料:Appsee在其网站上自豪地吹嘘它能够记录用户在应用中所做的事情。令研究人员感到困扰的是,用户并不知道他们的行为被记录下来,GoPuff的隐私政策中并没有披露这一点。在研究人员与GoPuff取得联系后,该公司在政策中增加了一项披露,承认Appsee可能会获得用户个人识别信息(PII)。“作为一项额外的预防措施,我们还从最新的Android和iOS版本中撤出了Appsee的软件开发工具包(SDK)。”GoPuff的发言人通过电子邮件表示。 与此同时,Appsee则声称是GoPuff的问题。Appsee的首席执行官扎希·布斯巴(Zahi Boussiba)表示,他的公司的服务条款“明确规定我们的客户必须披露第三方技术的使用情况,我们的条款禁止客户利用Appsee跟踪任何的个人数据。”他说,他们的客户可以屏蔽其应用的敏感部分,来防止Appsee进行录像。他还指出,许多Appsee的竞争对手也为iOS和Android应用提供“全会话回放技术”。 “在这个情况中,Appsee的技术似乎被客户滥用了,我们的服务条款被违反了。”布斯巴在一封电子邮件中说,“在注意到这个问题以后,我们立即禁用了被提及应用的跟踪功能,并从我们的服务器上清楚了所有的记录数据。” 不过,谷歌的一位发言人说,Appsee并不是完全没有责任的。“我们一直非常感谢研究社区努力帮助改善网络隐私和安全措施。”谷歌发言人称,“在审查了研究人员的发现后,我们确定AppSee服务的一部分可能会使一些开发人员面临违反Google Play政策的风险。我们正与他们密切合作,以帮助开发人员恰当地向他们的应用的最终用户解释该SDK的功能。” Google Play政策说,你必须向用户披露他们的数据将会被如何收集。 GoPuff使用Appsee来帮助优化其应用的性能,所以后者的记录行为它并不是没有预料到的,但让人担忧的是,第三方可以在不通知你的情况下记录你的手机屏幕。这意味着不法分子很轻易就能从你的手机中窃取信息。应用交互的屏幕截图或视频可以捕捉到私密信息、个人信息甚至是正被输入的密码,因为许多应用会即时显示输入的字母,然后才将其变成黑色星号。 应用交互的屏幕截图或视频可以捕捉到私密信息、个人信息甚至是正被输入的密码,因为许多应用会即时显示输入的字母,然后才将其变成黑色星号。 换句话说,除非智能手机制造商在你的屏幕被记录下来的时候通知你,或者给你提供关闭该功能的选项,否则你又有了一个要担心的问题。研究人员将于下月在巴塞罗那的隐私增强技术大会上展示他们的研究成果。 研究人员之所以不敢保证你的手机没有偷偷地听你说话,部分因为他们的研究没有涵盖一些使用场景。他们的手机是由一个自动程序操作的,而不是真人操作的,所以他们可能不会像有血有肉的用户那样触发应用开启摄像头。另外,手机在一个受控的环境中,而不是游荡在外部世界:在研究的最初几个月,那些手机放置在东北大学学生实验室里的学生附近,因此会被周围的对话环绕,但手机制造了许多噪音,因为应用在持续不断地被使用,最终,它们被转移到了一个橱柜里。(如果研究人员再做一次实验,他们会在手机旁边的壁橱里循环播放播客。)还有一种可能性:应用将对话录音转换成文本以后再发送出去,因此研究人员可能会看不到对话的录音。所以说,阴谋论还没有被完全扼杀。 人们对他们的手机的偏执妄想程度是可以理解的。毕竟,我们几乎任何时候都随身携带着它,它有无数个传感器,能够监控我们的一举一动。然而,你看到的广告精准得可怕,几乎肯定不是手机偷听你的结果;那是根据通过应用捕捉到的你的线上线下行为信息定向投放的,而且你并不像你自己认为的那么独特。广告商知道你在线上谈论些什么,因为其他像你这样的人也在谈同样的东西,买同样的东西。 “我们没有看到任何证据表明人们的谈话被秘密记录下来。”论文作者之一大卫·乔夫内斯指出,“而人们似乎不清楚的是,在日常生活中,还有很多其他的追踪活动没有涉及到你手机的摄像头或麦克风,这些活动也同样能够让第三方全面地了解你。”   稿源:网易科技,封面源自网络;

Roaming Mantis 通过 DNS 劫持攻击亚洲的智能手机

卡巴斯基实验室的研究人员发现一种最新的通过域名系统( DNS )劫持技术传播的安卓恶意软件,其主要攻击目标为亚洲地区的智能手机。这种攻击行动被称为 Roaming Mantis,目前仍然非常活跃,其攻击目的是窃取包括凭证在内的用户信息,从而让攻击者可以完全控制被感染的安卓设备。2018 年 2 月至 4 月期间,研究人员在超过 150 个用户网络中检测到这种恶意软件,主要受害者位于韩国、孟加拉国和日本,而且受害者可能更多。研究人员认为这次攻击行动的幕后应该有一个网络犯罪组织,其目的应该是为了获利。 卡巴斯基实验室全球研究和分析团队(GReAT)亚太区总监 Vitaly Kamluk 表示:“日本的一家媒体最近报道了这次攻击事件,但是在我们稍微进行了一些研究后发现,这种威胁并非起源自日本。事实上,我们发现了多个线索,表明这种威胁幕后的攻击者说的是中文或韩语。不仅如此,大多数受害者也不在日本。Roaming Mantis 似乎主要针对韩国的用户,日本受害者似乎是某种附带危害。 卡巴斯基实验室的发现表明这种恶意软件背后的攻击者寻找易受攻击的路由器进行攻击,通过一种非常简单却有效的劫持受感染路由器 DNS 设置的手段传播这种恶意软件。攻击者入侵路由器的方法仍然未知。一旦 DNS 被成功劫持,用户访问任何网站的行为都会指向一个看上去真实的 URL 地址,其中的内容是伪造的,并且来自攻击者的服务器。这些地址会要求用户“为了获得更好的浏览体验,请升级到最新版 Chrome。”点击链接会启动被植入木马的应用被安装,这些被感染的应用通常被命名为“ facebook.apk ”或“ chrome.apk ”,其中包含攻击者的安卓后门程序。 Roaming Mantis 恶意软件会检查设备是否被 root,并请求获得有关用户进行的任何通信或浏览活动通知的权限。它还能收集多种数据,包括两步验证凭证。研究人员发现一些恶意软件代码提到了韩国常见的手机银行和游戏应用程序 ID。综合起来,这些迹象表明这次攻击行动的目的可能是为了获得经济利益。 卡巴斯基实验室的检测数据发现了约 150 个被攻击目标,进一步分析还发现平均每天有数千个对攻击者命令和控制( C2 )服务器的连接,表明攻击的规模应该更大。 Roaming Mantis 恶意软件的设计表明其是为了在亚洲地区进行广泛的传播。此外,它支持四种语言,分别为韩语、简体中文、日语和英语。但是,我们收集到的证据显示这起攻击幕后的威胁者最精通的是韩语和简体中文。 卡巴斯基实验室日本安全研究员 Suguru Ishimaru 说:“ Roaming Mantis 是一个活跃并且迅速变化的威胁。所以我们现在就发表了相关发现,而没有等到找到所有答案后再发布。这次的攻击似乎有相当大的动机,我们需要提高用户的防范意识,让人们和企业能够更好地识别这种威胁。这次攻击使用了受感染的路由器以及劫持 DNS 的手段,表明采用强大的设备保护和安全连接的必要性” 卡巴斯基实验室产品将这种威胁检测为“ Trojan-Banker.AndroidOS.Wroba ”。 为了保护您的互联网连接不受感染,卡巴斯基实验室建议采取以下措施: ● 请参阅您的路由器的使用说明,确保您的 DNS 设置没有被更改,或者联系您的互联网服务提供商(ISP)寻求支持。 ● 更改路由器管理界面的默认登录名和密码。 ● 不要从第三方来源安装路由器固件。不要为您的安卓设备使用第三方软件来源。 ● 定期从路由器的官方升级您的路由器固件。 稿源:比特网,封面源自网络;

智能手机掌握用户更多秘密 比 PC 更受黑客青睐

据 CNET 网站报道,智能手机对用户的了解程度超过用户自己。智能手机随时知道用户的位置,知道用户与哪些人通了电话,甚至是通话内容。它存储有用户家人的照片、宠物的照片,甚至是用户使用的密码等等。对于黑客来说,智能手机就是一本数字通行证,能获得了解一个人所需要的所有信息。 安全研究人员称,这就是针对智能手机的攻击日益猖獗的原因。 在墨西哥举行的卡巴斯基安全分析师峰会上,来自移动安全公司 Lookout 的研究人员安德鲁·布莱希(Andrew Blaich)和电子前沿基金会的网络安全主管伊娃·戈尔佩林(Eva Galperin)发表了他们关于 Dark Caracal——针对移动设备的全球性恶意件,感染了逾 20 个国家的数以千计的用户——的调查结果。 通过追踪技术,他们发现 Dark Caracal “发源地”是贝鲁特一幢属于黎巴嫩安全总局的建筑物。Dark Caracal 利用了与真正应用几乎完全相同的虚假应用,诱骗数以千计的用户把它安装在手机上。一旦 Dark Caracal 安装到用户的手机上,黑客就能访问手机上的任何信息。 研究人员称,这次攻击非常严重,但它只是未来发生的攻击的预演。它颠覆了传统看法:即 PC 才是最受黑客青睐的攻击目标。对手机发动攻击变得越来越容易,攻击它们可以获得更大的回报,人们使用智能手机的时间远远超过电脑。对于黑客来说,攻击手机是一个显而易见的选择。 戈尔佩林表示,“入侵非常个人化的个人设备,就像了解了设备主人的想法一样。” 低门槛 高回报 Dark Caracal 专注于收集用户个人信息,不需要利用任何新的漏洞就能完成其任务。该恶意件使黑客能拍照、发现用户所处位置、录制音频,通过把自己伪装成 Signal 和 WhatsApp 等消息应用进行传播。 CNET 表示,允许 Dark Caracal 完成各种恶意任务的不是漏洞,而是用户自己。它会像其他应用那样要求获得一些权限,对于毫无戒心的用户来说,这些请求没有任何异常。 毕竟,Instagram 和 Facebook 等应用也会请求获得拍照、使用用户位置信息和录制音频的权限。如果用户下载了恶意件,但他或她却认为是一款真正的应用,这些权限不会引起用户警觉。 谷歌和苹果的安全补丁能堵上最新的漏洞,但它们挡不住用户受骗。恶意件安装到手机上,没有利用软件中的漏洞,利用的是人的弱点。 布莱希表示,“黑客没有在研究软件漏洞方面花费大量时间和精力,只是利用了一款获得过高权限的应用。如果不尝试利用软件漏洞,应用通过安全应用这一关并不难。” 虽然谷歌和苹果应用商店打击恶意应用的力度还是相当大的,但第三方应用商店就是另外一回事了。布莱希解释说,这是 Dark Caracal 能够传播的原因。 这款虚假应用在一个名为“ Secure Android ”的网站上“打广告”,称它自己的 WhatsApp 和 Signal 版本比原版应用更安全。黑客在激进分子和记者群中推广这一网页,因为恶意件的目标就是窃取这两类用户的信息。 虽然防止恶意件入侵的最好建议是,永远不要通过不正规方法安装应用,一些应用可能不能在美国之外的地区使用。例如,谷歌 Play 就不能在中国大陆地区使用。2014 年,中国大陆地区活跃 Android 用户数量为 3.86 亿。 补丁服务 为了提高移动操作系统的安全性,苹果和谷歌做了大量工作。苹果安全飞地(Secure Enclave)和加密技术能很好地保护用户数据,以至于美国联邦调查局愿意花 90 万美元解锁涉嫌制造圣贝纳迪诺枪击案的恐怖分子的 iPhone 手机。 谷歌通过 Project Treble 和 Play Protect 提高应用的安全性,封堵系统漏洞。 但是,鉴于部分补丁软件很少能被实际安装在手机上,这些措施还很不够。 2 月 28 日,美国联邦贸易委员会发表报告称,手机没有足够高效地获得安全更新包。美国联邦贸易委员会收集了苹果、谷歌、微软、三星、摩托罗拉、LG、HTC 和黑莓有关安全补丁安装过程的信息,结果并不令人乐观。 部分手机从未安装过任何更新包。美国联邦贸易委员会隐私和身份保护部门律师埃莉莎·吉尔森(Elisa Jillson)说,“支持期限从零到 3 或 4 年。” CNET 称,问题在于,安全更新通常与更广泛的软件更新捆绑在一起,这意味着某些型号手机从不会安装补丁,而其他型号手机可能需要等上几个月。美国联邦贸易委员会建议将这两种类型更新分开,提高为手机发布更新包的频次。谷歌 Project Treble 已经在这样做。 在 Project Treble 实施前,谷歌的安全更新包只面向运行最近版本 Android 的手机。高达 42% 的 Android 手机用户运行的不是最新版本操作系统,鉴于全球有 20 亿名 Android 用户,这意味着 8.46 亿部手机可能面临恶意件攻击。 戈尔佩林说,“绝大多数受害者都不是因零日漏洞受到攻击的。他们是因早已被发现的漏洞受到攻击的,他们只是没有安装补丁软件而已。” 布莱希表示,随着手机攻击越来越多,它将超过针对计算机的攻击。 在 Dark Carcal 兴风作浪期间,Lookout 和电子前沿基金会发现另外一个针对 Windows 计算机的攻击。与受到攻击的手机数量相比,Windows恶意件显得相形见绌。 吉尔森说,“这是一个已知的问题,设备没有安装更新包,因此,对于任何黑客来说,这都是一个敞开的窗口。” 稿源:腾讯数码,封面源自网络;

荷兰政府官员出国使用超安全“ 哑 ”手机以防止黑客

荷兰政府官员在到其他国家时,将自己的智能手机留在家里,而是转而使用一台没有互联网连接,缺乏对应用程序支持的老式手机。这种超安全 “ 哑 ” 手机由 Sectra Tiger 公司开发,提供通话和文本等基本通信功能,而数据传输只能在注册和安全的网络中进行。 Sectra Tiger 的官方网站显示,政府官员可以使用三种这样的安全电话,所有这些电话都经过专门设计以阻止网络攻击。其中,Tiger/R 看起来像智能手机,它基于三星自己的 Android 智能手机开发,配备了受限级别的安全语音和文本功能以及基于硬件的加密,它可以防止窃听,并大大降低恶意应用程序和篡改的漏洞。Sectra Tiger/R 可以增强组织的灵活性和灵活性,因为一旦出现政治动荡和社会动态,用户能够迅速采取行动并且没有窃听风险。 另一方面,Tiger/S 7401 看起来更像是一部老派的诺基亚手机,而且它已经被开发来抵御来自任何来源的攻击。这款型号符合荷兰和欧盟的加密分类等级,并正在等待北约秘书处的批准使用。 类似荷兰政府官员这样在使用手机方面注重安全性是非常重要的,因为某些行动电话的确存在安全隐患,无论是从黑客、恶意应用程序或者制造商方面而言,都可能导致比如资料被窃取、通话被录音、信息被拷贝等情况。 消息来源:cnBeta,封面源自网络;

研究称智能手机传感器可以泄露你的 PIN 码

即使一些人可能已经窃取你的智能手机,如果他们不知道你的 PIN 码对他们可能也不会有太大的好处。现在来自新加坡南洋理工大学的研究人员已经创建了一个系统,可以根据传感器提供的信息正确猜测手机的 PIN 码。 在 Shivam Bhasin 博士的领导下,研究团队通过让三个人在 Android 智能手机上随机输入 70 个四位 PIN 码来 “ 训练 ” 系统。在每部手机上安装了一个特殊的应用程序,从加速计、陀螺仪、磁力计、接近传感器、气压计和环境光线传感器收集数据。 随后研究人员利用深度学习算法来分析数据,将特定传感器读数与屏幕键盘上的特定数字进行匹配。Bhasin 解释说:“ 当你拿着你的手机并输入 PIN 码时,按 1、5 或 9 时手机的移动方式是非常不同的。同样,用你的右手拇指按下 1 将比按下 9 时阻挡更多的光线。” 当系统根据传感器的反应猜测四位数的 PIN 时,在解锁使用 50 个最常用 PIN 之一的电话时,准确率为 99.5 %(不超过三次尝试)。 Bhasin 认为,可以想象的是,人们可能会不知不觉地利用技术将恶意软件下载到手机上。在访问手机的传感器和获取用户的 PIN 后,程序会将信息传输给能够解锁手机的人。 为了防止这种情况发生,他建议手机操作系统限制对手机传感器的访问,以便用户只能授予可信任应用程序的权限。 关于这项研究的一篇论文最近在《 Cryptology ePrint Archive 》杂志上发表。 稿源:cnBeta,封面源自网络;

曼哈顿检察官呼吁设立加密后门

曼哈顿地区检察官 Cy Vance 在上周发布的一份报告中称,有必要制定新的法律来强制苹果、谷歌等科技公司修改其软件,致使执法部门能够在刑事调查中解锁其获取的智能手机。 这份报告称,在搜集足够证据起诉犯罪活动时,搜索嫌疑目标的住宅、实施监控、电话窃听等传统调查手段常常收效不佳。报告表示,2014 年以后,犯罪证据大多存在于智能手机。而智能手机的设计阻止了执法部门获得其中的信息,即使执法部门有搜查令也无济于事。 近期,公民自由和支持互联网的组织对削弱智能手机加密的做法进行了谴责,称这些做法威胁到个人隐私、甚至美国国家安全和全球竞争力。 稿源:solidot奇客,封面源自网络;

央视调查:近半智能手机存安全漏洞 云平台风险高

智能手机与我们的生活越来越紧密,目前我国手机网民已将近 7 亿,但智能手机的信息安全问题不容忽视。昨日国家质检总局发布的智能手机产品信息安全专项风险警示显示,智能手机在手机系统、应用软件和云平台等方面,存在安全风险。 日前,国家质检总局组织了一次智能手机产品信息安全的专项风险监测,测试机型包括了市场上大部分高中低端的手机产品,共 40 批次。 经过大量测试,总共 40 批次智能手机当中,共发现 18 批次的产品存在不符合项,占比高达 45%。涉及的项目包括智能手机的后端信息系统、预置应用软件安全等。最后,经过 20 名风险评估专家的分析和打分,此次智能手机的信息安全风险等级被评估为中等风险。专家建议,针对智能手机的安全标准建设要加快日程,以保护信息安全。 稿源:据 网易新闻、央视 内容节选,封面源自网络