安全快讯Top News

安全公司曝:iPhone 未获用户同意自动上传通话记录至 iCloud

一家俄罗斯安全公司 Elcomsoft 今天发布消息称,在用户没有选择备份的情况下,苹果仍会自动上传iPhone里的通话记录到iCloud。该公司CEO称,“上传是实时发生的,但有时也会在几个小时之内上传完成。”上传内容还包括FaceTime里的通话记录,以及如Skype和WhatsApp这样的第三方应用里的未接来电。该公司还称,用户可以通过关闭iCloud Drive来阻止上传,但这样可能使得手机里的一些其他应用无法正常使用。 苹果目前已经就此事做了回应,称用户的手机数据(iCloud备份数据)都使用了加密技术,只有通过用户的ID和密码才能访问。 这些数据可能会被提供给有授权的政府部门,但苹果称提供给政府部门的iCloud数据只包括email记录、短信、照片、文件、联系人、日历、书签和iOS设备备份数据。 苹果称FaceTime的通话记录只能保存30天,但Elcomsoft公司称苹果可以获取用户4个月之内的FaceTime通话记录。 苹果理论上可以提供iCloud终端加密,但这样可能会造成与美国情报和执法机构更大的冲突,因为他们现在已经在为不能攻破iOS系统手机而头疼。 稿源:新民网, 封面:百度搜索

创宇资讯 2016-11-17

[创宇资讯] Facebook CEO 扎克伯格账号再次被黑 [国际要闻] 曼哈顿DA:证据室还有近 400 台 iPhone 未被破解 [黑客事件] 扎克伯格 Pinterest 帐号再次被黑客组织“OurMine”入侵 [漏洞事件] 1、长按回车 70 秒 Root Linux 系统,你信么? 2、VMware 迅速发布补丁修复黑客大赛发现的虚拟机逃逸漏洞 [推荐阅读] Facebook 为确保用户账户安全,从黑市购入黑客泄露的密码 知道创宇整理分享,详细内容请戳 hackernews.cc

曼哈顿DA:证据室还有近 400 台 iPhone 未被破解

根据 Fortune 报告,纽约曼哈顿地区检察官办公室的证据室内还有 423 台没有破解的设备,所有的未破解设备都是运行着 iOS 8 或更新系统的苹果产品。在这 423 台设备中,iPhone 6 有166台,iPhone 6 Plus 有 66台,iPhone 6s 有53台,甚至还有一台没有破解的 iPhone 4s。同时,还有30台没有破解的 iPad,只是没有公布具体的型号。   在这些收缴的设备中,36%的设备来自于电子犯罪和身份盗用案件,24%设备来自毒品调查,还有一些来自于袭击、谋杀或性犯罪案件。 iOS 8、9 和10 默认开启了全盘加密,包括苹果在内的所有人都无法访问设备上储存的数据,只有机主的密码可以解锁设备。在拥有 Touch ID 的设备上,情况更复杂,虽然可以使用犯罪份子的指纹解锁,但时间非常有限,超过时间限制后,需要重新输入解锁密码。 纽约曼哈顿地区检察官 Cyrus Vance 一直公开批评苹果的加密策略,不过苹果却坚持人们有权力保证自己的隐私不被侵犯,强大的加密可以阻止黑客和有关当局获取自己设备上的数据,Vance 则表示这些只是苹果的市场营销手段,而且妨碍司法调查。 稿源:cnBeta.com,封面:百度搜索  

扎克伯格 Pinterest 帐号再次被黑客组织“OurMine”入侵

瞄准知名大佬推特帐号的黑客集团 OurMine 再次向 Facebook 现任首席执行官马克·扎克伯格下手了。本周二,OurMine 向外媒 CNET 发布邮件表示已经成功入侵扎克伯格的 Pinterest 帐号,并换上了“ Don’t worry, we are just testing your security ”(别担心,我们只是测试你是否安全)的标语和黑客集团的网站地址。 截至发稿至,这条代表被成功入侵的标语已经被移除。该黑客团队并未表明如何入侵扎克伯格的帐号,此前 OurMine 曾表示是通过 Pinterest 的漏洞但是并未提供具体的细节。 稿源:cnbeta.com,封面来源:百度搜索

长按回车 70 秒 Root Linux 系统,你信么?

不管你信不信,黑客只需按住“ Enter ”(回车)键约 70 秒就能轻松绕过 Linux 系统身份验证、获得 Root 权限、实现对加密 Linux 设备的完全控制。 Linux Unified Key Setup (LUKS,统一密钥设置) 是 Linux 下标准的设备加密格式,可用于不同的 Linux 版本、支持多用户/口令。 CVE-2016-4484 漏洞出于分区加密程序 Cryptsetup 通过 LUKS 标准加密硬盘驱动器的过程中 ,能够导致 Cryptsetup 解密过程失败,从而允许用户多次重试密码。更糟糕的是,如果用户已尝试 93 次密码或者直接按住“ Enter ”键约 70 秒,将会直接进入具有 root 权限的 shell 里面 (即能够 Root  initramfs shell)。 一旦获得目标 Linux 设备上的 root shell ,黑客可以复制、修改、破坏硬盘,或者连接网络窃取数据。如果设备使用基于云的 Linux 服务,黑客可远程利用此漏洞,而无需“物理访问”。这个安全漏洞不依赖于特定的系统或配置,在图书馆、自动取款机、机场设备、实验室等场景中最容易被利用。 解决方法 首先,在 LUKS 密码提示下按 Enter 键约 70 秒钟,直到 shell 出现,查看您的系统是否容易受到攻击。 1、如果容易受到攻击,您需要与您的 Linux 系统支持供应商联系,查询是否有补丁可用。 2、如果修补程序不可用,则可以通过修改 cryptroot 文件 访问 hmarco.org 可以查看更多细节。 稿源:本站翻译整理,封面来源:百度搜索

VMware 迅速发布补丁修复黑客大赛发现的虚拟机逃逸漏洞

VMware 紧急发布安全补丁修复了黑客大赛 PwnFest 上被发现的 VMware workstation 虚拟机逃逸漏洞 (CVE-2016-7461) 。 虽然官方没有公开报道该漏洞,但该漏洞是非常严重的,因为它允许攻击者通过虚拟机访问访问宿主主机并运行代码。发现漏洞的 Marvel Team 和韩国神童 Lokihardt 都获得了 15 万美金的奖金。 目前,VMware 是黑客大赛结束后最快修复漏洞的厂商,具体补丁已经在官方网站公布。 此图为“韩国神童” Lokihardt 展示“成果” 稿源:本站翻译整理,封面来源:百度搜索

Facebook 为确保用户账户安全,从黑市购入黑客泄露的密码

Facebook 首席安全官 Alex Stamos 在里斯本举行的 Web 峰会上透露,为全方位保护用户的安全,Facebook 主动在黑市网络上购买黑客出售的用户密码。该举措旨在保护那些不主动使用 Facebook 的安全功能保护自己的用户。 Alex Stamos 称密码重用是造成互联网上伤害的首要原因。Facebook 会将网上泄露的密码与用户密码进行交叉对比,这是一个计算量非常大的任务,但效果很明显,公司已经提醒了数百万用户密码设置脆弱、避免密码重用造成的危害。 Alex Stamos表示公司致力于保证用户安全,除了修复安全漏洞,还为用户提供双因素身份验证、使用算法来确定帐户活动是否存在欺诈行为、允许在朋友的帮助下验证找回帐户等多种安全措施。 稿源:本站翻译整理,封面来源:百度搜索

创宇资讯 2016-11-16

[创宇资讯] FBI 获得社交网络实时分析数据 [国际要闻] FBI 突破 Twitter “封锁”,获得社交网络实时分析数据 [黑客事件] 1、黑客 Kapustkiy 继续犯案,印度驻纽约大使馆和两所高校数据库被“拖库” 2、黑客盗取国际足球游戏《 FIFA 》巨额虚拟货币,获利近 1800 万美元 [推荐阅读] 1、安全公司曝光手机神秘固件,可将隐私数据秘密传回中国公司 2、Wi-Fi 信号的细微变化将会暴露用户敏感信息 知道创宇整理分享,详细内容请戳 hackernews.cc

FBI 突破 Twitter“封锁”,获得社交网络实时分析数据

上周,美国联邦调查局( FBI )宣布与 Twitter 数据业务分析公司 Dataminr 达成一项独家协议,获得 200 个许可证可访问 “高级告警工具”。该工具将为 FBI提供 Dataminr 的指示器和警告(I&W)功能,此外,Dataminr 还允许 FBI 使用可自定义的过滤器实时搜索完整的 Twitter 消息。 Twitter 拥有数据分析公司 Dataminr 5% 的股份,并授权它可访问全部实时 Twitter 消息。因而 Dataminr 拥有为任何人寻找非法活动的宝贵资源。但是,此前 Twitter 在开发者协议中却明确指出,禁止使用提供的数据来“ 调查、追踪或监视 Twitter 用户”。今年五月 Twitter 就曾禁止情报机构 CIA 通过 Dataminr 获得社交媒体活动中潜在的恐怖袭击和其他犯罪数据。这次,Dataminr 与 FBI 达成的协议似乎违反了 Twitter 的开发者协议。美国科技新闻网站 Verge 要求 Twitter 澄清 FBI 是否违反了相关开发商协议,目前,Twitter 还没有发表回应。 稿源:本站翻译整理,封面来源:百度搜索

黑客 Kapustkiy 继续犯案,印度驻纽约大使馆和两所高校数据库被“拖库”

黑客 Kapustkiy (@ Kapustkiy) 最近再次行动,入侵了弗吉尼亚大学两个子域和威斯康星大学子域,以及印度驻纽约大使馆数据库。他此前入侵了巴拉圭驻台湾大使馆,在这之前他和同伙 Kasimierz(@ Kasimierz_)入侵了印度驻瑞士、马里、罗马尼亚、意大利、马拉维和利比亚大使馆。 印度驻纽约大使馆泄露的数据库含姓名、邮箱、手机,此外,黑客称还有一个包含7000项的表“Newyork_contact”包含地址信息、城市、邮编、电话号码因隐私考虑没有公布出来。 高校的数据库包括用户的个人信息,如姓名,登录名,密码,电话以及学生和员工等诸多信息。 Kapustkiy 称之所以泄露数据,是因为管理员忽略了他发的电子邮件警告,继续重申此举只为得到媒体关注、迫使更多管理员意识到网络安全的重要性。这次攻击很可能还是基于之前的 SQL 注入漏洞。 稿源:本站翻译整理,封面来源:百度搜索