标签: 美国

俄勒冈 FBI 警告:智能电视易被黑客入侵 危及用户隐私

随着假日购物季的到来,许多消费者可能正在考虑为自家升级一些智能设备,比如 Google Nest Home、Amazon Alexa 等智能扬声器,或者集成了语音助理的智能电视。然而美国俄勒冈州联邦调查局办公室指出,随着智能电视扮演着越来越多的娱乐和控制中心角色,网络犯罪分子已经将黑手伸向了这一领域,或对用户隐私造成严重的侵害。 FBI 的这一警告,本身是一种相当常识性的建议,资深网民早已对此见怪不怪。问题在于,除了麦克风之外,还有越来越多的智能电视集成了摄像头组件。 传统麦克风仅用于识别语音命令,而相机则能够用于用户识别和视频聊天。一些厂商或基于此,提供个性化的内容推荐。 然而在连上互联网之后,设备的隐私安全就被提上了重要的议程,因为有无数看不见的黑手向沾染用户的终端设备。 尽管带有这类功能的智能电视的普及率还较低,但黑客攻击事件确实存在、且并不罕见。显然,FBI 希望在引发大事件之前,尽早地培育消费者的忧患意识。 目前目前最常见的隐私风险,就是数据收集。在注册每一款网络服务的时候,几乎都逃不开这个话题。 遗憾的是,无论在智能电视、或其它物联网产品上,人们几乎没有仔细阅读相关提示的习惯。   (稿源:cnBeta,封面源自网络)

美国司法部修正无人机法案 要求进行网络安全评估

本周三美国司法部发布了无人机修正法案,旨在取代2015年的政策指南。据悉新政策沿用了旧版的规范和法规,并重点针对网络安全和隐私保护添加了一些关键内容。在新修正案中,要求相关部门出于网络安全风险的需求对无人航空载具(UAS)企业的并购进行严苛审查,以防范针对供应链和DOJ网络的潜在威胁。   此外新修正案中,美国司法部(DOJ)将会和美国联邦航空局(FAA)围绕制定空中交通支持等规范进行协调。此外新政策中特别提及无人机相机和传感器中收集的信息,表示将会权衡“潜在侵扰性以及对公民隐私和自由的影响”和政府利益之间的关系。 新政策仍然要求对无人机使用进行年度隐私审查,并在个人识别数据上保留 180 天的数据曲线,除非确定保留信息是出于授权目的所必需的,或者保留在《隐私法》系统中记录。 上个月,由于涉及无人机捕获的镜头的网络安全问题,美国内政部将所有 800 架无人机(无人飞行器)停飞。内政部的无人机用于扑灭森林大火,检查土地受损,监测水坝和观察濒危物种,但有人担心包含机密信息的无人机镜头可能落入错误的人手中。   (稿源:cnBeta,封面源自网络)    

安全研究人员警告 .Gov 域名的注册审核不严 或导致信任危机

本月初,KerbsOnSecurity 收到了一位研究人员的电子邮件,声称其通过简单的手段,就轻松拿到了 .GOV 域名。若这一漏洞被利用,或导致 .Gov 域名出现信任危机。其表示,自己通过填写线上表格,从美国一个只有 .us 域名的小镇主页上抓取了部分抬头信息,并在申请材料中冒名为当地官员,就成功地骗取了审核者的信任。 这位要求匿名的消息人士称:其使用了虚假的 Google 语音号码和虚假的 Gmail 地址,但这一切只是出于思想实验的目的,资料中唯一真实的,就是政府官员的名字。 据悉,这封邮件是从 exeterri.gov 域名发送来的。该域名于 11 月 14 日注册,网站内容与其模仿的 .us 站点相同(罗德岛州埃克塞特的 Town.exeter.ri.us 网站,现已失效)。 消息人士补充道:其必须填写正式的授权表单,但基本上只需列出管理员、技术人员和计费人员等信息。 此外,它需要打印在“官方信笺”上,但你只需搜索一份市政府的公文模板,即可轻松为伪造。 然后通过传真或邮件发送,审核通过后,即可注册机构发来的创建链接。 从技术上讲,这位消息人士已涉嫌邮件欺诈。若其使用了美国境内的服务,还可能遭到相应的指控。但是对于藏在暗处的网络犯罪分子来说,这个漏洞显然求之不得。 为了堵上流程漏洞,爆料人希望能够引入更加严格的 ID 认证。尽管他所做的实验并不合法,但事实表明确实很容易得逞。 今天早些时候,KrebsOnSecurity 与真正的埃克塞特官员取得了联系。某不愿透露姓名的工作人员称,GSA 曾在 11 月 24 日向市长办公室打过电话。 然而这通电话是在其向联邦机构提出询问的四天之后,距离仿冒域名通过审批更是已过去 10 天左右。 尽管没有直接回应,但该机构还是写到:“GSA 正在与当局合作,且已实施其它预防欺诈的控制措施”。至于具体有哪些附加错误,其并未详细说明。 不过 KrebsOnSecurity 确实得到了国土安全部下属网络安全与基础设施安全局的实质性回应,称其正在努力为 .gov 域名提供保护。     (稿源 cnBeta ,封面源自网络。)

美商务部拟对外国 IT 设备潜在的国家安全风险制定新规

据外媒报道,美国商务部正在进一步确定如何评估和应对外国电信设备给其带来的国家安全风险。当地时间周二公布的拟议规则将让该部门根据具体情况决定某一事件是对国家安全构成不可接受的风险还是对美国人的安全和保障构成不可接受的风险以及是否禁止该行为。 美国商务部长威尔伯·罗斯表示,拟议中的规则将“展示我们保护数字经济的承诺,同时还将兑现特朗普总统对我们数字基础设施的承诺”。 未来,商务部长将根据国土安全部部长和国家情报总监提供的评估做出决定。现在,美商务部正就未来30天内的拟议规则征求意见。   (稿源:cnBeta,封面源自网络。)

美国加州车管部门通过出售私人数据每年赚取 5000 万美元

我们曾经听说过大型科技公司通过出售私人数据赚钱,但美国全国各地的汽车管理部门也在通过这种做法赚钱,其中包括加利福尼亚的汽车管理部门,该部门每年通过出售驾驶员个人信息获得5000万美元的收入。 公共记录法案已经记录了有多少公司向加利福尼亚汽车管理部门支付数据费用。在2017/2018财政年度,这一数字为52,048,236美元,而2013/2014财年为41,562,735美元。这些数据信息包括驾驶者姓名,实际地址和汽车注册信息。 虽然该文件没有具体说明哪些公司要求提供这些信息,但其中包括数据经纪商和信贷机构。一些汽车管理部门还向私人调查员出售了信息,在某些情况下,他们被雇用来寻找配偶是否出轨。 加州汽车管理部门表示,数据请求者还可能包括保险公司,车辆制造商和准雇主,而赚取的金钱用于公共和高速公路安全,包括提供保险,风险评估,车辆安全召回,交通研究,排放研究,背景调查等等。   (稿源:cnBeta,封面源自网络。)

iOS 13 最初版本漏洞百出,于是iOS 14 测试流程变了

网易科技讯 11月23日消息,据国外媒体报道,据知情人士透露,在最新版的iPhone和iPad操作系统接连出现一大堆漏洞之后,苹果公司正在改革其软件测试方式。 在与公司软件开发人员举行的最近一次内部“启动”会议上,苹果软件主管克雷格·费德里吉(Craig Federighi)和斯泰西·利希克(Stacey Lysik)等副手们宣布了软件测试方面的变化。新方法要求苹果开发团队确保未来软件更新的测试版,也就是所谓的“每日构建(Daily build)”,在默认情况下禁用未完成或有缺陷的所有功能。然后,测试人员可以通过一个称为Flags的全新内部流程和设置菜单有选择地启用这些特性或功能,从而能够将每个单独添加特性会对系统产生何种影响相互隔离开来。 今年9月,当苹果公司的iOS 13操作系统与iPhone 11系列智能手机同时发布时,iPhone用户和应用程序开发者发现了一连串的软件故障:应用程序崩溃或启动缓慢;手机信号参差不齐;应用程序出现了用户界面错误,比如消息、系统搜索都出现问题,电子邮件也存在加载问题。而通过iCloud共享文件夹以及将音乐流媒体传输到多组AirPods上等新功能要么被推迟,要么仍未实现。毫不客气的说,这次操作系统升级是是苹果历史上最麻烦、最粗糙的。 “iOS 13在继续摧毁我的士气,”知名开发者马尔科·阿蒙德(Marco Arment)在Twitter上写道。“我也是,”购物清单应用AnyList联合创始人杰森·马尔(Jason Marr)说,“在iOS 13上,苹果的表现的确是对开发者和用户的不尊重。” 这些问题表明,iPhone已经变得有多复杂,而且用户很容易对一家以软硬件顺畅整合而著称的公司感到失望。对苹果公司来说,每年跟随最新款iPhone定时发布软件更新,是增加系统新功能、防止用户转向主要竞争对手Android的关键途径。更新后的操作系统还为开发者提供了更多的应用程序开发工具,从而为苹果的应用商店带来了更多收入。 苹果发言人特鲁迪·穆勒(Trudy Muller)拒绝置评。 新的开发过程将有助于提高早期内部iOS操作系统版本的可用性,或者用苹果的话说,(不同功能)更加“易于相处”。在iOS 14开发之前,有些团队每天都会添加一些还没有经过充分测试的功能,而其他团队则每周都会对现有功能进行修改。“每天的开发过程就像一整份食谱,但很多厨师都在添加配料,”一位了解开发过程的人士表示。 测试软件在开发不同阶段的变化是如此之多,以至于这些设备常常变得难以运行。由于这个原因,一些“测试人员会在一团糟的情况下将系统跑上几天,所以他们根本不会真正清楚哪些功能会对系统产生何种作用。”该人士说。在这种情况下,由于苹果工程师很难测试出操作系统对许多新添加功能的反应,从而导致iOS 13频频出现某些问题,因此也无法达到测试目标。 苹果公司内部测试是所谓的“白手套”测试,用1到100的等级来衡量和排名其软件整体质量。有问题的软件版本得分可能在60分左右,而更稳定的软件可能在80分以上。iOS 13的得分低于之前更完善的iOS 12操作系统。在开发过程中,苹果团队还为软件产品的功能特性分别设置了绿色、黄色和红色的代码,以显示这种功能特性在开发过程中的质量。相应的优先级从0到5,其中0是关键问题,5是次要问题,用于确定单个软件错误的严重性。 新策略已经被应用到代号为“Azul”的iOS 14系统开发中,该系统将于明年发布。苹果还考虑将iOS 14的一些功能推迟到2021年发布,在公司内部这一更新被称为“Azul +1”,也可能会以iOS 15公开发布,这也让公司有更多时间关注操作系统性能。不过,熟悉苹果计划的人士表示,预计iOS 14在新功能的广度上将与iOS 13不相上下。 测试策略的转移将适用于所有苹果的操作系统,包括iPadOS、watchOS、macOS和tvOS。最新的Mac电脑操作系统macOS Catalina也出现了一些问题,比如与许多应用程序不兼容,邮件中缺少信息。一些运行基于iOS操作系统的HomePod音箱在最近一次iOS 13更新后无法工作,导致苹果暂时停止升级。另一方面,最新的苹果电视和苹果手表系统更新则相对顺利。 苹果公司的高管们希望,从长远来看,全面改革后的测试方法将提高公司软件质量。但这并不是苹果工程师第一次听到管理层这么说。 去年,苹果曾推迟了iOS 12的几项功能发布,其中包括对CarPlay和iPad主屏幕的重新设计,专注于提高可靠性和整体性能。在2018年1月的一次全体会议上,费德里吉表示,公司对新功能的重视程度过高,应该优先向消费者提供他们想要的质量和稳定性。 随后,苹果成立了所谓的“老虎团队”来解决iOS特定部分的性能问题。该公司从整个软件部门调派工程师,专注于加快应用程序启动时间、改善网络连接和延长电池寿命等任务。当iOS 12操作系统于2018年秋季发布时,运行相当稳定,在头两个月内只进行了两次更新。 这种成功没有延续到今年的操作系统升级。iOS 13的最初版本漏洞百出,以至于苹果不得不匆忙发布了几个补丁。在iOS 13发布的头两个月里,已经进行了8次更新,是自2012年费德里吉接管苹果iOS软件工程部门以来最多的一次。该公司目前正在测试另一个新版本iOS 13.3,这本是要在明年春天进行的后续工作。 今年6月份苹果召开了2019年度全球开发者大会。大约在此一个月前,该公司的软件工程师就开始意识到,当时在公司内部被称为Yukon的iOS 13表现不如之前的版本。一些参与这个项目的人说系统开发是一个“烂摊子”。 今年8月,苹果工程师们意识到,几周后与新iPhone一起发布的iOS 13.0根本无法达到质量标准,于是决定放弃对其进行修补,专注于改进后续的第一次更新版本iOS 13.1。苹果私下里认为iOS 13.1是“真正的公开发布版本”,其质量水平与iOS 12相当。公司预计只有铁杆苹果粉丝才会在手机上安装iOS 13.0操作系统。 9月24日苹果发布了更新的iOS 13.1,这比既定时间提前了一周,也压缩了iOS 13.0作为苹果旗舰操作系统发布的时间。新iPhone与苹果软件紧密集成,因此从技术角度讲,不可能推出搭载iOS 12操作系统的iPhone 11系列智能手机。由于新款手机发布时iOS 13.1还没能及时准备好,苹果唯一的选择就是发布iOS 13.0,并尽快让所有人更新到iOS 13.1。 虽然iOS 13出现的问题确实让iPhone用户感到不安,但更新速度还是相当快。据苹果称,截至10月中旬,半数苹果设备用户都在运行iOS 13。这一升级速度仍远远领先于谷歌的Android。 iOS 13.1发布后,苹果的软件工程部门迅速转向iOS 13.2,其质量目标是优于iOS 12。这次更新后的抱怨比iOS 13操作系统的前几次更新都要少,但却仍有一个错误,系统会在不应该关闭的情况下关闭后台的应用程序。 苹果应用程序资深开发者史蒂夫·特劳顿-史密斯(Steve Troughton-Smith)在Twitter上写道:“iOS 13给人的感觉就像是一个超级混乱的版本,自iOS 8以来我们从未见过如此糟糕的情况。”   (稿源:网易科技,封面源自网络)

美参议员致函亚马逊 对 Ring 可视门铃的安全性提出质疑

据外媒CNET报道,五名美国参议员周三致函亚马逊,信中对其联网Ring可视门铃的数据安全性提出质疑。这封信是由民主党参议员罗恩·怀登(Ron Wyden),爱德华·马基(Edward Markey),克里斯·范·霍伦(Chris Van Hollen),克里斯·库恩斯(Chris Coons)和加里·彼得斯(Gary Peters)签署的。 参议员在信中指出:“目前有数百万的消费者在使用Ring。Ring设备会定期将包括视频记录在内的数据上传到亚马逊的服务器。因此,亚马逊拥有大量极为敏感的数据和视频画面,详细描述了数百万美国人的生活。” 这些参议员认为,如果被外国国家情报机构利用,这些镜头可能会威胁美国的国家安全,此外还威胁着美国人的隐私和安全。 本月初,研究人员发现  Ring门铃存在一个漏洞,该漏洞连续几个月泄漏了Wi-Fi登录信息,包括用户名和密码。今年早些时候,有消息揭露亚马逊如何通过其Ring安全摄像头帮助警察建立监视网络。根据数字版权组织Fight for the Future的说法,亚马逊已经与500多个城市合作,将“ Ring安全摄像头记录的画面”用于执法目的。 参议员的信中提到了Wi-Fi漏洞,并在去年的报告中指出,乌克兰的Ring员工能够在人们不知情的情况下观看他们的视频。 这封信中指出:“选择在房屋内外安装Ring产品的美国人这样做是在假设它们……使社区更加安全的前提下。” “美国人民有权知道还有谁在查看他们提供给Ring的数据,以及这些数据是否受到保护。” 参议员们希望亚马逊首席执行官杰夫·贝佐斯(Jeff Bezos)在2020年1月6日之前做出回应,其中包括以下信息: 在美国已售出多少台Ring设备。 Ring是否会删除视频画面。 数据保留多长时间。 素材是否已加密。 Ring的安全测试和审核实践是什么。 Ring员工对视频画面和实时直播画面的获取权限有多大。 乌克兰和其他国家/地区的员工是否可以使用。 Ring的计划是否与面部识别有关。 上个月,有超过10000人在Fight for the Future发起的活动中签名,呼吁美国国会调查亚马逊的监视“帝国”。 Ring表示目前正在审查这封信,但称对此事暂无评论。   稿源:cnBeta,封面源自网络。)

皮尤:大部分美国人认为不收集个人数据是不可能的事情

据外媒报道,皮尤研究中心的一项新研究显示,对于许多美国人来说,数据收集现在可能已经被视为是其日常生活的一部分。据统计,超60%的美国成年人表示他们认为政府或公司不收集他们的数据是不可能的。 资料图 报告显示,81%的成年认为广泛收集数据的风险大于益处。不过大多数美国人表示,他们担心自己的数据可能会被公司和政府使用。而超80%的受访者表示,他们觉得对自己的数据缺乏控制。超一半的人则表示,他们对数据收集和使用知之甚少。 25%接受调查的成年人认为,他们几乎每天都在同意一项隐私政策。而在表示同意隐私政策之前他们当中阅读了相关内容的人的数量则更少。 对于许多公司来说,收集数据是为了帮助建立客户档案进而可以根据他们的习惯展示更好的销售行为。然而现在越来越多的入侵让大多数成年人感到自己已越来越控制自己的个人数据。   (稿源:cnbeta,封面源自网络。)

Kryptowire 在预装 Android 应用中发现了 146 个安全风险

在美国国土安全部资助的一项研究中,Kryptowire 在廉价的 Android 智能机上,发现了由预装应用造成的严重安全风险。这些 App 存在潜在的恶意活动,可能秘密录制音频、未经用户许可就变更设置、甚至授予自身新的权限 —— 这显然与 Android 设备制造商和运营商的固件脱不了干系。 类型占比(图自:Kyrptowire,via Cnet) 在新工具的帮助下,Kryptowire 得以在不需要接触手机本体的情况下,扫描固件中存在的漏洞。最终在 29 家制造商的 Android 设备上,查找到了 146 个安全隐患。 在被问及为何特别针对廉价 Android 设备展开软件安全调查时,Kryptowire 首席执行官 Angelos Stavrou 在一封邮件中解释称:这与谷歌对产品的管理态度,有着直接的关系。 Google 可能要求对进入其 Android 生态系统的软件产品进行更彻底的代码分析,并担负起供应商应有的责任。 当前政策制定者应要求该公司将最终用户的信息安全负起责任,而不是放任其置于危险之中。 对此,谷歌亦在一封邮件中称:其感谢合作并以负责任的态度来解决和披露此类问题的研究工作。 (厂商列表) 正如 Kryptowire 研究中发现的那样,预装应用通常为小型、无牌的第三方软件,其被嵌入到了较大的品牌制造商的预装功能中。 然而这类应用很容易构成重要的安全威胁,因为与其它类型的 App 相比,预装应用的权限要大得多、且很难被应用删除。 在 2017 年于拉斯维加斯举办的黑帽网络安全大会上,Kryptowire 披露了上海 Adups Technology 生产的廉价手机中的类似安全威胁。 该手机的预装软件被发现会将用户的设备数据发送到该公司在上海的服务器,而不会提醒这些用户,后续其声称该问题已得到解决。 2018 年的时候,Kryptowire 发布了面向 25 款 Android 入门机型预装固件缺陷的研究,同年谷歌推出了 Test Suite,以部分解决这方面的问题。 (部分漏洞详情) 尽管 Kryptowire 曝光的事情每年都难以避免,不过 Stavrou 认为,谷歌的整体安全策略,还是有所改善的。 他表示:“保护软件供应链是一个非常复杂的问题,谷歌和安全研究界一直在努力解决该问题”。 在今年黑帽安全会议(Black Hat 2019)的演示期间,谷歌安全研究员 Maddie Stone 表示: “Android 设备的常见预装 App 有 100~400 款,从恶意行为者的角度来看,他只需说服一家企业来打包恶意 App,而无需说服成千上万的用户”。     (稿源:cnbeta,封面源自网络。)

洛杉矶 DA 无故发布公共 USB 充电座可能感染恶意软件的警告

据外媒报道,南加州的官员发布了一份公告,宣布公共智能手机充电座并不安全。该机构认为便捷的USB充电接口可以使用户感染恶意软件。但是,目前没有实例可以指出发生这种情况的地方。周五洛杉矶地区检察官办公室警告旅行者不要使用公共USB充电座,因为这些设备可能会感染恶意软件,从而窃取数据或锁定手机。 “在USB充电器欺诈(通常称为“juice-jacking”)中,犯罪分子将恶意软件加载到充电座上,从而可能感染毫无戒心的用户的手机和其他电子设备。恶意软件可能会锁定设备或将数据和密码直接导出给欺诈者。” 洛杉矶地区检察官办公室承认其暂时没有遇到通过洛杉矶充电座感染某人设备的任何实例。它告诉TechCrunch,在美国东海岸有一些案件,但无法提供任何可以证实的细节,例如地点或日期。 此外,安全研究员Kevin Beaumont在一条推文中表示,他从未见过证据表明公共智能手机充电座使用了恶意软件。 但这并不是说不存在这种可能性。几位研究人员开发并展示了经过修改或克隆的充电器和充电电缆,它们可以远程“嗅探”数据或在设备上执行命令,但是这些仅仅是概念验证项目。 美国当局也不是第一次基于类似理由发布咨询。早在2016年,在安全研究员Samy Kamkar演示了他的KeySweeper概念验证后,FBI发出了警告。它是一个Arduino板,尺寸小到可以放入USB充电器的外壳,该充电器可以秘密地记录附近微软无线键盘的敲击数据。   (稿源:cnBeta,封面源自网络。)