标签: Facebook

Facebook Messenger 漏洞让黑客可以监听电话信息

Facebook在Android Messenger应用程序中修复了一个漏洞,该漏洞可能使远程攻击者呼叫没有防备的用户,并在他们接听前监听它们的声音。 10月6日,Google零项目漏洞调查团队的Natalie Silvanovich将该漏洞发现并报告给Facebook,此漏洞影响到Android Messenger的284.0.0.16.11919版本(以及更早版本)。 简而言之,该漏洞可能会使登录应用程序的攻击者同时发起呼叫,并向同时登录应用程序和其他Messenger客户端(如web浏览器)的目标发送精心编制的消息。 Facebook的安全工程经理Dan Gurfinkel表示: “这将触发一种情况,即当设备响铃时,呼叫者会开始接收音频,直到被叫者应答或呼叫超时为止。” 根据Silvanovich的技术报告,该漏洞存在于WebRTC的会话描述协议(SDP)中,该协议定义了用于在两个端点之间交换流媒体的标准化格式,从而使攻击者可以发送一种称为“ SdpUpdate”的特殊类型的消息,该消息将导致呼叫在被应答之前连接到被叫方的设备。 通过WebRTC进行的音频和视频通话通常不会在接收者单击“接受”按钮之前传输音频,但是如果此“ SdpUpdate”消息在振铃时发送到另一终端设备,“将导致它立即开始传输音频,攻击者可以借此监视被呼叫者的周围环境。”   在某些方面,该漏洞与去年Apple的FaceTime群聊功能中报告的侵犯隐私的漏洞相似,该漏洞使用户可以通过添加自己的号码作为第三方来发起FaceTime视频通话,甚至在对方接受来电之前就可以窃听目标通话。 这个漏洞非常严重,以至于苹果在解决了该问题之前就完全中断了FaceTime群组聊天。 但与FaceTime错误不同,利用此漏洞并不是那么容易。呼叫者必须已经具有呼叫特定人员的权限,换句话说,呼叫者和被呼叫者必须是Facebook朋友才能实现。 更重要的是,攻击者必须使用诸如Frida之类的逆向工程工具来操纵自己的Messenger应用程序,以迫使其发送自定义的“SdpUpdate”消息。 Silvanovich因为报告了这个问题而获得了6万美元的奖金,这是Facebook迄今为止最高的三个bug奖金之一,这位谷歌研究员表示,她将这笔奖金捐给一个名为GiveWell的非盈利组织。 这不是Silvanovich第一次发现通讯应用程序中的严重漏洞,他之前在WhatApp、iMessage、WeChat、Signal和Reliance JioChat中也发现了一些问题,其中包括“无需用户交互,被叫方设备就会发送音频”的问题。       消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Facebook 称伊朗黑客散布虚假信息,干扰美国选举

据报道,Facebook周二表示,伊朗黑客上周涉嫌通过电子邮件向美国选民发送威胁消息,并散布有关选举制度受到破坏的虚假信息,并在去年针对中东进行了一场虚假宣传活动。 上周,美国官员指责伊朗发送了数千封威胁性电子邮件和一个网上视频,该视频显示黑客在美国总统大选前几天就闯入了选民登记系统。 德黑兰否认了指控。 Facebook表示已暂停了一个试图在其网站分享该视频的假冒帐户。该账户引出了在Facebook和Instagram上的20多个其他账户,揭示出2019年针对以色列和沙特阿拉伯等国的散布虚假信息行动。 Facebook网络安全政策负责人纳撒尼尔·格莱歇尔(Nathaniel Gleicher)表示,新发现的帐户基本上处于不活跃状态,但此前曾试图在去年以色列“欧洲歌唱大赛”(Eurovision Song Contest)上散布有关“所谓的大屠杀”的说法。 上周三位知情人士对媒体表示,美国情报机构仍在分析具体是谁在伊朗指挥了这次行动及其意图。 格莱歇尔周二说,他的团队发现了少量技术链接,这些链接与4月份暂停的虚假信息网络有关,这归因于伊朗国家广播公司以及“与伊朗政府有关联的个人之间的联系”。 Facebook还表示,已暂停由墨西哥和委内瑞拉人开设的两个页面和22个Instagram帐户,这些帐户使用假冒身份和其他所谓的“协调一致的不真实行为”的形式来发布有关美国时事和政治的信息。 Facebook说,一些账户冒充是美国人,用西班牙语和英语发布涉及种族关系、女权主义和环境等话题的贴文。联邦调查局根据线索提示发现了这些账户。 虽然尚不清楚活动的幕后主使,但一些账户上贴有以前由俄罗斯互联网研究机构(Internet Research Agency)使用过的带有说明的图片。美国检察官表示,这家研究机构在2016年莫斯科影响美国大选中发挥了关键作用。 格莱歇尔说,这两个网络以及针对缅甸互联网用户的第三次行动,在吸引大量关注者之前都已被抓获。 但是他说,“恶意行为者”越来越多地利用人们对干预选举的担忧,试图进一步播下不信任和分裂的种子。 “我们称之为感知入侵,”他说,“这不是真正侵入一个敏感的选民数据库,或者利用一个大型的社会影响力竞选活动,只是利用了每个人的恐惧。” (消息及封面来源:新浪科技)

Facebook 移除多个虚假账户 担忧大选期间黑客攻击

据报道,Facebook公司周四向外界表示,它已经移除了三个虚假账户网络,因为俄罗斯情报部门可能利用这些账户来泄露遭黑客入侵的文件,扰乱即将到来的美国大选。该公司表示,这些账户因使用假身份和其他类型的“协同不真实行为”而被暂停使用。这些账户与俄罗斯情报部门和位于圣彼得堡的一个组织有关。美国官员曾指责该组织试图影响2016年的总统选举。 俄罗斯外交部目前尚未回应置评请求。此前,俄罗斯已一再否认试图干预美国大选,并表示不会干涉其他国家的内政。 Facebook网络安全政策负责人纳撒尼尔·格雷切(Nathaniel Gleicher)说,目前还没有证据表明被黑客攻击的文件会被泄露,但Facebook希望通过暂停这些账户来进行预防。 Facebook表示,这些网络规模很小,在Facebook和Instagram上只有少数几个账户,其中一些还冒充独立媒体和智库。这些账户总共只有97000个粉丝。 Facebook说,这些账户的目标受众是英国和美国的用户,但这些账户的地址主要位于中东和与俄罗斯接壤的国家,如叙利亚、土耳其、乌克兰和白俄罗斯等。 Twitter也表示,已与Facebook合作,确认并删除了350个由俄罗斯国有机构运营的账户。 两家公司都表示,其中一个账户网络是在联邦调查局(FBI)的举报后发现的。FBI周二警告说,外国网络犯罪分子很可能散布有关11月3日总统大选结果的假消息。 大西洋理事会(Atlantic Council)数字取证研究实验室主任格雷厄姆·布鲁克(Graham Brookie)认为,这些账户进行的一些活动表明,俄罗斯正在持续努力加剧美国和其他地区的政治紧张局势。 他说:“虽然国内虚假信息的规模和范围远远大于任何外国对手所能做到的,但来自俄罗斯的影响仍然是我们面临的一个极其严重的国家安全威胁。”     (稿源:新浪科技,封面源自网络。)

爱尔兰要求 Facebook 停止向美国传送欧洲用户数据

据外媒报道,爱尔兰数据保护委员会(DPC)要求Facebook停止将用户数据从欧盟转移到美国。《华尔街日报》周三报道称,初步命令已于8月底发出。Facebook证实,爱尔兰DPC已经开始调查其从欧盟向美国传输的数据。这是欧盟公司和居民主要关心的隐私问题。 欧盟法院的决定使得允许企业将欧盟公民数据发送到美国的欧盟-美国隐私盾牌(EU-US Privacy Shield)这一行为失效。Facebook负责全球事务和通信的副总裁Nick Clegg表示,在做出这一决定后,Facebook一直有在阐明他们在如何确保国际数据传输的长期稳定方面的立场。 Clegg在周三的一份隐私声明中说道:“缺乏安全和合法的国际数据传输将损害欧盟经济、阻碍数据驱动业务的增长,就像我们在新冠中寻求复苏一样。”他表示,这可能意味着欧洲的科技公司、医院和大学不能使用美国的云服务提供商或欧盟以外的呼叫中心。“其影响将超出商业领域,还可能影响到医疗和教育等关键公共服务。” 对此,爱尔兰DPC拒绝置评。     (稿源:cnBeta,封面源自网络。)

Facebook 成功阻止欧盟反垄断数据要求:伤及用户隐私

北京时间7月28日下午消息,Facebook今日赢得了一项法院命令,要求欧盟暂时停止向Facebook索取更多数据。Facebook认为,这些数据包括反垄断调查不需要的高度敏感的个人信息。 位于卢森堡的欧盟中级法院“综合法院”(General Court)今日裁定,在举行全面的听证会之前,欧盟需暂时停止向Facebook索取更多数据。分析人士称,综合法院的这项裁定,可能会挫败欧盟欧盟委员会调查Facebook的相关努力。 自去年以来,Facebook一直面临着欧盟委员会的审查,其中一项调查的重点是其海量数据,另一项调查则重点针对其在2016年推出的在线市场平台,70个国家的8亿用户使用这个平台买卖商品。 到目前为止,Facebook已向欧盟委员会提供了31.5万份文件,总计约170万页。但7月15日,Facebook对欧盟委员会提起起诉,称后者在调查Facebook时所要的数据过于宽泛,已经超出了必要的范围,可能伤害用户隐私。 Facebook副总法律顾问蒂姆·兰姆(Tim Lamb)称:“欧盟委员会要求获得的信息异常广泛,这意味着我们将被要求交出与其调查无关的文件,其中包括高度敏感的个人信息,如员工的医疗信息、个人财务文件以及员工家属的私人信息等。”(李明)     (稿源:新浪科技,封面源自网络。)

Facebook 再曝漏洞:与开发者超时分享用户数据

新浪科技讯 北京时间7月2日早间消息,在“剑桥分析丑闻”遭到曝光后,Facebook曾经承诺在与外部开发者分享用户数据时施加时间限制,但实际期限却超出他们当初的承诺。 该公司之前表示,如果用户超过90天未与开发者互动,就将阻止该应用获取用户数据。届时,开发者需要重新获得许可才能再次获得电子邮箱、生日和所在城市等数据的访问权, 但Facebook在周三的博文中表示,这项规定在某些情况下未能顺利实施。如果用户也通过该应用与Facebook好友联系,开发者就可以同时获取这两个用户的数据。但该公司发言人称,这项漏洞却会导致开发者在获得一个活跃用户的数据时,也可以看到该用户好友的数据,即使后者已经超过90天没有打开这款应用。 Facebook透露,这一问题涉及约5000个开发者。但他们并未披露可能受此影响的用户数。 “我们在发现问题后就予以解决。”Facebook在博文中写道,“我们将会继续调查,并将继续围绕任何重大更新保持透明度。” 该漏洞是由一名Facebook工程师两周前发现的,但该公司称,他们没有理由认为相关数据遭到滥用。 Facebook在与第三方分享数据方面有过许多不良记录。这项90天的时间限制就是源自两年多以前的“剑桥分析丑闻”,那家政治数据分析公司当时购买了数百万Facebook用户的数据,但这些数据却是在用户并不知情的情况下收集的。 Facebook当时对许多数据共享产品进行限制,还实施新规,要求用户更加明确地授权外部应用使用其信息。该公司还因为这项丑闻的相关调查在2019年中与美国联邦贸易委员会签订50亿美元的隐私和解协议。(书聿)   (稿源:新浪科技,封面源自网络。)

德法院裁定 Facebook 需遵守监管命令:限制其收集用户数据

德国联邦法院周二裁定,Facebook必须遵守德国反垄断监管机构颁布的一项限制收集用户数据的命令,这对该公司来说是个挫败。联邦法院发布了一项暂缓执行令,暂停了下级法院的一项裁决,支持联邦卡特尔办公室(Federal Cartel Office)最初的观点,即Facebook滥用其市场主导地位,在未经许可的情况下收集用户信息。 “我对这项裁决感到高兴。”联邦卡特尔办公室主席安德烈亚斯·蒙特(Andreas Mundt)表示,原因是其表明“如果数据被非法收集和利用,应有可能采取反垄断行动以防市场力量被滥用”。 Facebook表示,这项最新的裁决与仍在继续的上诉程序之间没有直接关系。该公司表示:“我们将继续捍卫自己的立场,即我们并未从事反垄断的滥用行为。对于使用我们产品和服务的德国个人或企业来说,不会马上有什么变化。” 德国一直站在全球抵制Facebook的前沿,该公司面临着越来越多的批评,称其平台被用来传播政治虚假信息。 德国联邦法院在裁决中称其不反对卡特尔办公室的结论,即Facebook滥用其市场主导地位,而且该公司使用数据的行为并未得到用户的充分许可。   (稿源:新浪科技,封面源自网络。)

Facebook 起诉一开发人员窃取 5500 名用户数据

据外媒报道,据法庭文件显示,Facebook正在起诉一名开发人员,称该名开发人员参与了一场数据搜集活动并从中窃取了数千人的个人信息。该公司在诉讼中要求被告提供7.5万美元的赔偿。这家社交网络公司于周四表示,他们正在对Mohammad Zaghar及其网站Massroot8提起诉讼,指控该网站在未经许可的情况下获取Facebook用户的数据。 该行为被指违反了《计算机欺诈和滥用法案》。这起在加州北部地区提起的诉讼称,Zaghar的网站向客户提供了从Facebook好友处获取数据的能力,其中包括电话号码、性别、出生日期和电子邮件地址等。 所有这些数据都是由Facebook用户公开发布的,但据称Zaghar网站提供的自动化将使人们能够以更快的速度、更大规模地获取这些信息。Facebook还指控Zaghar使用僵尸网络,通过伪装成使用社交网络的Android设备来绕过Facebook的检测。  针对这一诉讼,Zaghar没有回复记者的置评请求。 Facebook表示,数据搜集活动从4月23日持续到5月6日,约有5500人注册了这项服务。起诉书称,除了从这5500名客户在Facebook上的朋友处收集的数据外,Massroot8还要求其客户提供登录凭证。 Facebook表示,他们已经向Zaghar发出了多次勒令停止令,另外还暂时封掉了他的Facebook和Instagram账号并要求其客户出于安全考虑更改密码。   (稿源:cnBeta,封面源自网络。)

Facebook 竞赛结果显示:准确检测深度造假视频的能力尚无人具备

Facebook公布了第一届Deepfake Detection Challenge(深度伪造检测挑战赛)的结果,这是一场算法的公开竞赛,目的是能够发现人工智能操纵的视频。结果虽然很有希望,但显示在自动化系统能够可靠地发现深层造假内容之前,还有很多工作要做,研究人员将这个问题描述为 “未解决的问题”。 Facebook表示,在比赛中获胜的算法能够发现挑战现实世界的深度伪造视频,平均准确率为65.18%,尽管还不错,但这不是你想要的任何自动化系统的准确率。 事实证明,深度伪造视频对于社交媒体来说是一种夸张的威胁。虽然这项技术引发了人们对视频证据的怀疑,但到目前为止,深度伪造视频的政治影响微乎其微。相反,更直接的伤害是非自愿的色情内容产生,这一类内容对社交媒体平台来说更容易识别和删除。 Facebook的首席技术官Mike Schroepfer在新闻发布会上告诉记者,他对挑战赛的结果很满意,他表示,这将为研究人员建立一个基准,并指导他们未来的工作。约有2 114名参赛者向比赛提交了35000多个检测算法,测试他们从约10万个短片的数据集中识别深层假视频的能力。Facebook雇佣了3000多名演员来制作这些片段,他们在自然环境中进行对话的记录,有些片段是用人工智能改变的,让其他演员的脸贴到他们的视频上。 研究人员被允许访问这些数据来训练他们的算法,当对这些材料进行测试时,他们产生的准确率高达82.56%。然而,当同样的算法对由未见过的镜头组成的 “黑盒 “数据集进行测试时,它们的表现要差得多,得分最好的模型准确率为65.18%。这表明在野外检测深度造假视频是一个非常具有挑战性的问题。 Facebook目前正在开发自己的深度造假视频检测技术。该公司在今年早些时候宣布禁止Facebook用户发布深度造假视频,但批评者指出,虚假信息更大威胁来自所谓的 “浅层假货”,使用传统手段编辑的视频。本次挑战赛的获胜算法将作为开源代码发布,以帮助其他研究人员,但Facebook表示,将对自己的检测技术保密,以防止其被反向工程。     (稿源:cnBeta,封面源自网络。)

为协助 FBI 追捕罪犯 Facebook 对嫌疑人展开黑客攻击

据Motherboard周三的一份报告称,为了揭露一名在Facebook上反复骚扰和剥削女孩的加州男子,该社交网络决定帮助FBI对其进行黑客攻击。据报道,Facebook多年来一直在跟踪Buster Hernandez。据Motherboard报道称,通过安全操作系统Tails,Hernandez得以隐藏他的真实IP地址并继续在Facebook上联系和骚扰数十名受害者。 为此,Facebook的安全团队最终决定跟第三方公司合作开发一套黑客工具以此来利用Tails视频播放器的漏洞。据报道,Facebook为此支付了六位数的费用,该漏洞可以显示观看视频的人的真实IP地址。据了解,该工具被交给了一位中间人,后者则将其移交给了FBI。该报道还称,目前还不清楚FBI是否知道Facebook参与其中。 据Motherboard称,FBI跟一名受害者合作利用该工具向Hernandez发送了一段设置陷阱的视频从而收集了能对其进行逮捕并定罪的证据。今年2月,Hernandez承认了41项指控,其中包括制作儿童色情作品、威胁杀人、绑架和伤害。 Facebook证实了他们有跟安全专家合作来为FBI提供帮助。 Motherboard指出,其通过跟几名Facebook现任和前任员工经过交谈了解到,这是该公司首次也是唯一一次以这种特定方式帮助执法部门追缉罪犯。     (稿源:cnBeta,封面源自网络。)