安全快讯Top News

Android 成为 2016 年报道漏洞最多的软件产品

根据 CVE Details 公布的最新报告,2016 年报告存在安全漏洞最多的软件产品是 Android 系统,共计为 523 处。去年,Mac OS X 以 444 处漏洞位居第一,今年该系统以 215 处位居第 11 位。Google 的 Android 系统以 523 处位居第一,其次是 Debian( 319 )和Ubuntu( 278 )。臭名昭著的 Flash Player 位居第四。 目前行业内通常使用 CVE 编号对漏洞进行追踪,一旦发现软件存在漏洞,发现者就可以请求 CVE 号码用于追踪该漏洞。CVE Details 网站则是追踪所有 CVE ,而且每年都会根据漏洞总数来报告前 50 名软件产品。 在桌面系统方面,Mac OS X 为 215 处,排在首位。其次是 Windows 10 系统,在 2016 年报告漏洞为 172 处。接下来是 Windows 8.1,为 154 处,Windows 8.1 RT,为 139 处,Windows 7 排在第五,为 134 处。 在浏览器方面,Chrome 排在首位,为 171 处,第二是 Edge 浏览器( 135 ),其次是 Firefox( 133 )、IE 浏览器( 129 )和 Safari( 56 )。 稿源:cnbeta,有删改,封面来源:百度搜索

特朗普将揭示所谓的“俄罗斯黑客入侵”真相

美国下任总统唐纳德·特朗普对“俄罗斯黑客的情报评估”持怀疑态度。特朗普表示,知道有关“俄罗斯黑客入侵事件”的内幕,并将于周二或周三向外界透露。 上月末,美国联邦调查局( FBI )、美国国土安全部( DHS )联合发布了一份题为《灰熊草原-俄罗斯的恶意网络活动》的 13 页报告,阐述了有关俄罗斯涉嫌干预美国大选的技术细节。据纽约时报报道,上周六在佛罗里达州举办的跨年夜晚会上,唐纳德·特朗普表达了对“俄罗斯黑客及克里姆林宫干扰选举”情报评估的怀疑。特朗普表示知道不少“有针对性干扰总统选举称的黑客活动”的内幕,并将于周二或周三向外界公布。 特朗普称:我希望“他们”重新确认下情报评估报告,对俄罗斯方面的指控是相当严重的。如果情报是错误的,将会导致一场灾难!正如于 2003 年提供给布什政府的情报报告,报告中布什总统和政府高官夸大情报,不顾情报部门质疑,利用“ 9·11 ”事件后的公众情绪发动伊拉克战争。 此外,特朗普表示:黑客入侵是一件很难去证明的事情,因此可能是其他人干的,恰巧我知道些别人不知道是事情。另外,没有那个电脑是绝对安全的,最安全的信息交流方式就是“用笔写下来,用信封装好,给邮递员”。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌陷假新闻泥潭:“奥巴马宣布将第三次竞选总统”

假新闻的传播一直是让 Facebook 和 Google 头疼的问题,两家公司为了筛除这类链接,在算法更新上下了不少功夫,却只是杯水车薪。近日,用户从 Google 上输入“总统是否能第三次竞选”,出来的结果却是一家名为 NewsExaminer.net 网站上的假新闻,它宣称奥巴马宣布将再次竞选总统,这一消息“震惊全美”。事实上,美国宪法规定总统是不能连任三届的。 Google 方面曾表示,搜索展示的结果都是经过程序筛选的,没有任何人工参与。有人用 Google 的个人助手 “Google Home” 测试同样的问题,Google Home 给出的搜索结果仍然是 NewsExaminer 的“爆炸新闻”。不过,如果把问题换成“美国总统是否可以参与第三次竞选?”Google Home 给出的答案就是美国宪法第 22 条修正案。 这并非 Google 第一次遭遇程序性假新闻。今年 11 月美国总统选举期间,搜索“最终总统票选”时 Google 给出的回答是:川普赢得了大众选票(实际上还没有)。相关文章是一个名为 WordPress 的播客所写,而 Google 的“In the News”算法将其挑选了出来。在这起错误报道美国总统大选结果之后,Google 决定取消其 “In the News” 功能。 Google 的 CEO Sundar Pichai 曾表示假新闻可能会对选举结果产生影响,因此必须被制止,“假新闻不应有任何传播的机会,我们都在为实现这一目标而努力。” 谷歌目前还未就此事发表回应。 稿源:cnbeta,有删改;封面:百度搜索

黑客可通过行李标签代码轻松“解锁”旅客航班和身份信息

德国“安全研究实验室”研究员指出,旅客订票系统多年来一直未得到足够的保护。实际上,全球三大处理航班预定服务的“全球分布式系统”( GDS ),可通过多个方面被别有用心的人所滥用获取旅客信息。 GDS 通过 6 位数字作为预定代码( PNR Locator ),该 ID 被直接打印在了登机牌和行李标签上。 任意接近你行李(或看到旅客登机牌)的人,都可以轻松瞥到(或者用智能机拍张照)。 通过这一代码, 即可访问到完整的旅客信息:包括家庭和电子邮件地址、手机/信用卡号码、常旅客编号、以及当初在线预定该机票的 IP 地址等。更糟糕的是,黑客甚至无需特定的 ID 来验证上述信息。无论 GDS 和航空公司网站,通常都不会限制代码的访问/检查次数,因此理论上只要暴力攻击就能蒙对一次。此外,遍历所有旅客的信息也相当容易,因为该 ID 就是顺序排列的。对于攻击者来说,这也极大地减少了他们搜寻特定时间段内旅客信息的工作量。 想要解决这个问题,唯有提升系统的安全性,但方法其实非常简单。研究人员的建议是,在线服务应该限制每个 IP 访问旅客记录的次数,并且通过 Captchas 图形验证码来断绝暴力穷举攻击。 当然,直接替换掉传统的 6 位数字 ID 也是个好方法,只是实现需要的时间更长。 稿源:cnbeta,有删改,封面来源:百度搜索

加密电子邮件服务 Lavabit 即将回归

加密电子邮件服务 Lavabit 在官网展示了一个倒计时,宣布其服务将在 18 天后重新上线。Lavabit 的创始人 Ladar Levison 为保护用户数据而在 2013 年 8 月关闭服务并破坏服务器。 2013 年 6 月斯诺登公开身份时曾提供一个电子邮件地址 Ed_Snowden@lavabit.com,随后美国政府取得秘密法庭命令,要求加密邮件服务商 Lavabit 提供 Edward Snowden 的登录信息。接着又进一步要求 Lavabit 交出 SSL 私钥,使当局能访问所有用户的信息。Ladar Levison一开始抵制了交出密钥的要求。由于不配合法庭,Levison 被要求每天支付罚款 5 千美元,最终于当年 8 月 8 日关闭 Lavabit 并彻底破坏了服务器。 稿源:solidot奇客,封面:百度搜索

部分 DNS 查询因今年闰秒出现报错现象

2016 年 12 月 31 日增加了一闰秒,31 日 11 点 59 分 59 秒之后不是 2017 年,而是 59 分 60 秒。由于北京处于东八时区,1 号早上会出现 7 时 59 分 60 秒的特殊现象。增加闰秒在过去几年发生过多次,主要互联网公司都对此已有经验。但云计算公司 Cloudflare 报告,它的 DNS 查询服务由于闰秒 bug 而导致了 5xx 错误。 Cloudflare 称,闰秒 bug 影响了部分权威 DNS 和原点 DNS 查询。问题从 2017 月 1 月 1 日 00:00 UTC 开始出现,Cloudflare 在一个半小时后开始部署补丁。 稿源:solidot奇客,有删改,封面来源:百度搜索

匿名者攻击“彼尔德伯格集团”,呼吁造福人类而不是为私人利益

彼尔德伯格集团官方网站遭匿名者黑客团体攻击,黑客在网站上发布了一则公开信,警告该集团未来将面临一系列的黑客攻击事件,除非集团成员开始为人类的共同利益工作而不是为了私人的利益。 彼尔德伯格集团是一个由欧美各国政要、企业巨头、银行家组成的精英团队,他们在“暗处”操纵着世界。这个秘密组织的诸次会议所讨论的问题包括全球化、国际金融、移民自由、国际警察力量的组建、取消关税壁垒实行产品自由流通、限制联合国和其它国际组织成员国的主权等等,往往被认为是西方重要国际会议召开前的预演。这个超国家游说团体,被形像地称为“彼尔德伯格俱乐部”。 该组织的官方网站被“ HackBack ”运动 & “ Anonymous ”匿名者黑客入侵。黑客留下了一封公开信解释了攻击行动的目的,黑客认为“彼尔德伯格俱乐部”的成员都是极具影响力的人,这些人应该为人类的共同利益而“奋斗”而不是为了自身的利益。黑客还向彼尔德伯格成员发布了最后通牒:亲爱的“彼尔德伯格俱乐部”成员,从现在开始,你们每个人都有一年( 365 天)的时间去造福人类而不是自身利益,否则,我们将找到你并向你发起“攻击”。” 匿名者黑客集团表示,他们几乎可以入侵、破坏属于“彼尔德伯格俱乐部”成员的一切,包括银行帐户、智能汽车,笔记本电脑和手机。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

泰国“网络防火长城”抗议行动升级,政府网站频频被黑

据外媒报道,上周泰国政府逮捕了 9 名参与抗议“网络防火长城”的匿名者黑客。作为反击,匿名者 #OpSingleGateway 行动参与者之一的黑客 “Gh0s7” 近日入侵泰国国家统计局网站(nso.go.th),成功获取了服务器管理员权限,并将数据库内容公布于互联网上(已被清除),被泄露的数据包含用户名、加密密码以及其他 CMS 数据。 去年泰国政府曾提出一项“网络防火长城”计划,人们意识到该法案将会为政府监控和审查提供捷径,为此匿名者发起了#OpSingleGateway 黑客攻击行动作为抗议,并在 2015 年 10 月先后对泰国政府(thaigov.go.th)和国家信息产业部(mict.go.th)网站进行大规模 DDoS 攻击。泰国警方和当地的互联网服务提供商网站也因此被黑,导致当地政府不得暂时不放弃“网络防火长城”计划。 不过,匿名者的黑客行动也引发了进一步对抗。当局曾在今年 5 月提议修改计算机犯罪法案,并于上个月 16 日获得了通过。新法案允许当局无需法院授权即可审查网站和拦截私人通讯。泰国副总理兼国防部长 Prawit Wongsuwan 也宣布将会进一步逮捕当地社区参与抗议的匿名者黑客群体。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

越狱大神 Todesco 再次表示:不会发布 iOS 10.2 越狱版本

iOS 10.1.1 越狱不久前已经发布,在过去的几天时间里,一直有不少声音猜测著名黑客 Luca Todesco 将会为大家带来 iOS 10.2 越狱,因为当时这位黑客在推特上表示 iOS 10.2 依然存在着可以利用的漏洞,这也让不少越狱用户认为,Todesco 是会带来 iOS 10.2 越狱的人。然而事实并非如此。 近日黑客 Todesco 也多次强调,自己并无计划向公众推出 iOS 10.2 越狱。在随后的推文中,他进一步指出可以用于 iOS 10.2 越狱的漏洞是一个 0day 漏洞,他不打算发布公开越狱的原因是不想牺牲这个漏洞。即便他愿意牺牲这个漏洞,也无法保证这个漏洞能使所有设备都支持 iOS 10.2 越狱。想要越狱的用户 停留在 iOS 10.1.1 版本是个不错的选择。 稿源:cnbeta,有删改,封面来源:百度搜索

Firefox 52 借鉴 Tor 浏览器引入防指纹跟踪功能保护用户隐私

Firefox 52 将引入新的隐私保护功能,防止网站利用系统字体作为指纹跟踪用户。该隐私保护功能借鉴自 Tor 浏览器,基于 Firefox ESR 版的 Tor 浏览器利用类似的机制阻止网站利用设备上安装的字体识别用户。 Firefox 52 的 beta 版本已经激活了该功能,正式版预计将在 3 月释出。Firefox 52 利用白名单响应网站对系统字体的查询,每个操作系统将返回相同的默认字体列表,使得字体指纹跟踪对 Firefox 用户不再有意义。 Mozilla 在去年 7 月启动了 Tor Uplift 项目,利用 Tor 浏览器的隐私保护机制改进 Firefox 的隐私保护功能。 稿源:solidot奇客,有删改,封面来源:百度搜索