安全快讯Top News

FB 被曝收集儿童信息 多个保护组织呼吁关闭相关应用

多家儿童和消费者保护组织表示,Facebook 通过 Messenger Kids 应用非法收集少年儿童数据。Campaign for a Commercial-Free Childhood(CCFC)和其他保护组织上周都要求美国联邦贸易委员会(FTC)调查这款以儿童为中心的消息应用是否违反《儿童网络隐私法保护法》(COPPA)。 这些组织认为,Facebook 在没有获得儿童父母允许的情况下违法收集了他们的信息。 投诉信显示,Messenger Kids 并没有满足 COPPA 的要求,因为它并没有努力确认开设帐号并获取数据的人的确是儿童的父母。 他们表示,有的人可以在不证明年龄或身份的情况下开设全新的虚假儿童帐号。 Facebook 上周三回应称,他们尚未对投诉信进行评估。 该公司曾经表示,不会在 Messenger Kds 中投放广告,也不会出于营销目的而收集数据,但他们的确会收集一些运营这项服务所必须的数据。 但相关组织表示,Messenger Kids 的隐私政策“既不完整,还很模糊”,使得 Facebook 可以将数据提供给第三方和 Facebook 的其他服务,以便用于“广泛而未明确的商业目的”。 CCFC 执行总监乔希·高林(Josh Golin)在声明中说:“虽然有证据显示过度使用社交媒体会对少年儿童的健康产生负面影响,但Facebook 还是希望勾住那些只有 5 岁的孩子。” 该公司对父母表示,Messenger Kids 是为了保护儿童安全,但却并没有遵守最基本的隐私法律要求。“父母的最佳选择很明确:让孩子远离 Facebook。”高林补充道。 Facebook 去年推出了 iOS 版 Messenger Kids,之后又扩大到 Android 和亚马逊的设备,而且从美国推向墨西哥和加拿大以及世界其他地方。 这款产品瞄准的是 13 岁以下儿童,从技术上讲,这些用户应该都没有 Facebook 帐号(尽管他们中很多人其实都已经注册了Facebook)。 投诉信写道:“我们自己的测试显示,想要创建一个虚假帐号来认证一个 Messenger Kids 帐号并不困难。我们用一个虚构的18岁身份创建了全新的 Facebook 帐号,然后使用这个帐号认证了一个虚构的 Messenger Kids 用户。整个过程只用了 5 分钟。” 虽然该公司表示,他们已经收到父母和儿童成长专家的许多建议和意见,但CCFC等组织一直都希望能彻底关闭 Messenger Kids。     稿源:新浪科技,封面源自网络;

Git 中的远程代码执行漏洞已被修复 多个工具受影响

据外媒 BleepingComputer 报道,Git 项目组于前两天公布了一个在 Git 命令行客户端、Git Desktop 和 Atom 中发现的任意代码执行漏洞,这是一个比较严重的安全漏洞,可能会使得恶意仓库在易受攻击的计算机上远程执行命令。 这个漏洞已被分配 CVE-2018-17456 这个唯一 ID,与之前的 CVE-2017-1000117 可选注入漏洞相似 —— 恶意仓库可以新建一个 .gitmodules 文件,其中包含以破折号开头的 URL。 通过破折号,当 Git 使用 –recurse-submodules 参数来克隆仓库时,该命令会将 URL 翻译为一个选项,然后可以使用该选项在计算机上进行远程代码执行。 当运行 “git clone –recurse-submodules” 时,Git 会解析 .gitmodules 文件中的 URL 字段,然后将其作为参数传递给 “git clone” 子进程。如果 URL 字段是一个字符串,并使用短划线开头,这个 “git clone” 子进程将会把 URL 翻译为一个选项。这可能导致用户运行 “git clone” 时,会执行 superproject 中的任意脚本。 下面通过一个例子进行说明,下面的漏洞使用了恶意的 .gitmodules 文件(注意 URL 如何以破折号开头),以使得 Git 认为这是一个选项。然后 “touch VULNERABLE/git@github.com:/timwr/test.git” 这条命令将会被执行。 [submodule "test"] path = test url = ssh://-oProxyCommand=touch VULNERABLE/git@github.com:/timwr/test.git 此漏洞已在 Git v2.19.1 (with backports in v2.14.5, v2.15.3, v2.16.5, v2.17.2, and v2.18.1), GitHub Desktop 1.4.2, Github Desktop 1.4.3-beta0, Atom 1.31.2 和 Atom 1.32.0-beta3 中得到修复。 Git 项目组强烈建议所有用户升级到最新版本的 Git client, Github Desktop 或 Atom,以免遭受恶意仓库的攻击。     稿源:开源中国,封面源自网络;

Telegram 被指默认设置状态下会在用户通话过程中曝光 IP 地址

据外媒报道,Telegram 是一款可以让用户在互联网上与其他用户展开加密聊天和通话的通信应用。这款程序自称是一款安全的私人通信应用程序,然而一项研究发现,在它的默认配置下,它会在用户通话过程中泄露出 IP 地址。 在默认设置下,Telegram 的语音通话通过 P2P2 进行。当使用 P2P 的时候,用户通话对象的IP地址则会出现在 Telegram 控制日志上。不过不是所有的版本都有控制日志。比如 Windows 版不会,但 Linux 版却有。 Telegram 应用确实表明过用户可以通过改变设置防止 IP 地址被泄露,操作入下:设置-私人与安全-语音电话-将 Peer-to-Peer 改成 Never 或 Nobody 。这样设置后,用户将需要通过 Telegram 服务器拨打语音电话,虽然隐藏了 IP 地址但却要付出音频质量下降的代价。 问题是虽然 iOS 和 Android 用户可以关掉 P2P 电话功能,但安全研究员 Dhiraj 发现,官方桌面版和 Windows 版都无法禁用这个功能。这意味着这部分用户的 IP 地址会在他们使用语音通话时遭到泄露。下面是 Ubuntu 桌面版 Telegram 的一个例子: 作为一个以安全和私密性而著称的应用,Telegram 为何会存在这样一个漏洞呢?当外媒 BleepingComputer 询问 Dhiraj Telegram 这么做是否存在任何原因时,后者给出的回应是:“没有,关于这个并没有得到任何评论。” 此外,BleepingComputer 还联系了 Telegram 但也还未收到回复。   稿源:cnBeta.COM,封面源自网络;

Windows Defender 即将成为最佳 Windows 10 防病毒软件

AV-TEST 最近进行的防病毒测试表明,Windows Defender 最近有了很大的改进,有些令人惊讶的是,它更接近成为全球顶级安全产品。尽管对于习惯于与第三方解决方案的人来说,这听起来完全出乎意料,但 7 月/ 8 月的研究表明 Windows Defender 是表现最佳的 Windows 10 防病毒软件。 Windows Defender 在最多 18 分中获得 17.5 分,其中 6 分为保护,6 分为可用性,5.5 分为表现。随着性能部门的一些改进,Windows Defender 可能会变得像领导者 Bitdefender 和卡巴斯基一样具有最佳 Windows 10 防病毒性能。 Windows Defender 在防御 0 天恶意软件和检测广泛流行的 4 周恶意软件方面提供了完美的性能。在7月和8月的测试中,所有样本都被微软的防病毒软件检测到并阻止。在性能方面,Windows Defender 除了一次测试外都给人留下了深刻的印象。应用程序在启动热门网站,下载文件或启动应用程序时对系统性能的影响低于行业平均水平,但另一方面,在安装常用应用程序时,它达到了更高的数字。 至于可用性,Windows Defender 在这里也取得了近乎完美的结果。它在访问网站时产生了零错误警告或阻塞,并且在系统扫描期间只有一次错误地将合法软件检测为恶意软件。这只发生在8月的测试中,而在7月,它的表现完美无瑕。AV-TEST 现在将 Windows Defender 列为顶级产品,它为其提供了防病毒认证,突出微软高级解决方案的先进性。   稿源:cnBeta.COM,封面源自网络;

加州通过物联网网络安全法 有专家质疑其进步意义

新浪科技讯 北京时间9月29日早间消息,加州州长杰里·布朗(Jerry Brown)在新的网络安全法上签字,这项法律覆盖智能设备,加州成为美国第一个拥有物联网网络安全法的州。法案编号SB-327,去年制定,8月末在州参议院获得通过。 从2020年1月1日开始,制造商如果制造直接或者间接连接互联网的设备,必须植入“合理”的安全技术,预防未授权访问、修改、信息披露。如果设备可以用密码从本地局限网外访问,必须为每一台设备设立一个独特密码,或者强迫用户在第一次连接时设置密码。这样一来就不会有一般默认凭证,黑客难以猜测。 关于新法案有人赞扬,有人批评,赞扬者认这是通往正确方向的第一步,而反对者则认为法案含糊不清。 网络安全专家罗伯特·格雷厄姆(Robert Graham)认为,它让安全问题倒退,只是一味增加好的东西,而没有尽力剔除坏的东西。关于密码要求,格雷厄姆赞赏,但是他认为没有覆盖多种多样的身份认证系统,有些系统可能叫作密码,有些可能不叫密码,因为规定不明确,制造商可能会给设备留下安全漏洞。 哈佛大学研究员布鲁斯·施奈尔(Bruce Schneier)则说这是有益的第一步。他认为:“可能前进的幅度不大,但是不能因此就否决它,不让法案通过。”法案虽然只针对加州,不过如果设备制造商想在加州销售产品,就要遵守规定,这种福利其它地方的客户也能享受到。   稿源:新浪科技,封面源自网络;

Facebook 发现安全漏洞:黑客可控制 5000 万用户账号

新浪科技讯 北京时间9月29日早间消息,Facebook周五宣布,该公司发现了一个安全漏洞,黑客可利用这个漏洞来获取信息,而这些信息原本可令黑客控制约5000万个用户账号。 Facebook CEO马克·扎克伯格(Mark Zuckerberg)称:“这是个非常严重的安全问题,我们正在非常认真地对待。” 在披露这一消息之前,Facebook股价已经下跌了1.5%左右,消息传出后进一步走低,到收盘时下跌2.59%报164.46美元,盘中一度触及162.56美元的低点。 Facebook发布博文称,该公司的工程团队发现,黑客在Facebook的“View As”功能中找到了一个代码漏洞。Facebook之所以能发现这个漏洞,是因为该公司在9月16日注意到用户活动大增。 View As功能可让用户看到他们自己的个人资料在Facebook平台其他用户眼中是怎样的,而此次发现的漏洞包含了三个不同的bug,黑客可利用这个漏洞获取“访问令牌”(access token),从而控制其他用户的账号。 近5000万个用户账号的“访问令牌”已被黑客获取,但Facebook已对其进行了重置。在过去一年时间里,Facebook还已对另外4000万个使用View As功能的用户账号的“访问令牌”进行了重置,以此作为预防措施。也就是说,Facebook总共已对9000万个用户账号进行了重置,在截至6月30日的22.3亿名Facebook活跃用户总数中所占比例约为4%。 在“访问令牌”被重置后,用户需在登录时重新输入密码,此外还将在“信息流”(News Feed)中收到通知说明。 另外,Facebook还将暂时关闭View As功能,将对其安全性进行审查。Facebook在美国当地时间周四晚上称其已经修复了这个漏洞,并已通知美国联邦调查局(FBI)和爱尔兰数据保护委员会(Irish Data Protection Commission)等执法机关,目的是解决任何有关一般数据保护条例(GDPR)的问题。 Facebook称,用户没必要更改密码。如果有更多账号受到影响,则Facebook将马上对其“访问令牌”进行重置。Facebook重申,该公司将把致力于改进安全性的员工人数从1万人增加至2万人。 扎克伯格表示:“安全问题是场军备竞赛,我们正在继续改善自己的防御能力。”   稿源:新浪科技,封面源自网络;

苹果并不绝对安全 iPhone 可能泄露企业 WiFi 密码

网易科技讯 9月27日消息,许多企业都青睐苹果设备,其中一部分原因就是苹果公司的iPhone和Mac在安全方面有着出色的表现。 就在上周,福布斯杂志透露民主党全国委员会(民主党全国委员会)正在放弃Android,转而使用iOS设备,因为人们担心在中期选举中出现黑客攻击行为。 但苹果设备并不完美。 研究人员周四声称,他们发现了一种通过苹果的产品窃取商业Wi-Fi和应用密码的新方法。 他们破解了苹果旨在帮助公司管理和保护iPhone和Mac的技术。 最近被思科以23.5亿美元收购的安全公司Duo Security的研究人员称,软件漏洞问题在于苹果的设备注册计划(DEP)的开放性。 他们发现,通过在DEP系统中注册恶意设备,可以窃取Wi-Fi密码和更多内部商业机密。 利用Apple的开放性 虽然研究人员利用了苹果的注册技术,但iPhone制造商苹果确实支持在DEP上注册iPhone时的用户身份验证。 但苹果并不绝对要求用户证明他们是谁。 这取决于使用技术的公司对实名注册是否有要求。 注册iPhone设备后,研究人员需要在独立的移动设备管理(MDM)服务器上注册在DEP上注册的iPhone,Mac或tvOS设备。 这既可以保留在硬件内部,也可以保存在公司基于云的服务中。 当使用苹果技术的公司选择不要求身份验证时,黑客可能会找到尚未在公司的MDM服务器上设置的,真实设备的已注册DEP序列号。 研究人员说,这可以通过员工的社会工程检索来获取,也可以检查人们经常发布序列号的MDM产品论坛。 最传统的“暴力破解”方法也可行,计算机可以在DEP上搜索所有可能的数字,直到它击中正确的数字,这是效率最低的一种选择。 然后,攻击者可以使用所选的序列号在MDM服务器上注册他们的恶意设备,并作为合法用户出现在目标公司的网络上。 据研究人员称,随后他们就可以检索受害者业务中的应用程序和Wi-Fi密码。 但是有一个重要的警告:攻击者必须抢在合法员工之前将他们的设备注册到公司的MDM服务器上。 因为MDM服务器每个序列号只能注册一次。 但这可能性实际上还是很大的。 本周晚些时候在布宜诺斯艾利斯举行的Ekoparty会议期间提出攻击技术的詹姆斯巴克莱(James Barclay)说,黑客可以简单地搜索过去90天内生产的所有设备的序列号。 他告诉福布斯杂志:“你找到尚未注册的设备绝对是可行的。“ 不要放弃MDM 巴克莱补充道:“总的来说,这并不意味着你不应该使用DEP或MDM。这些服务提供的好处超过了具有的风险。但苹果和客户可以采取措施来减少这种风险。” 在一篇论文中,研究人员表示,在最新的苹果iPhone和Mac设备上,苹果可以在设备芯片上使用加密技术,在注册DEP时唯一识别该设备。 他们补充说,苹果也可以采用更强大,强制性的身份验证。 巴克莱说,袭击方法是在5月向苹果报道的。 苹果没有透露是否会因研究成果而进行任何更新。 该公司在给福布斯的电子邮件中指出,这些攻击没有利用苹果产品中的任何漏洞。 发言人表示,苹果关于注册设备的说明手册是建议开启身份验证的,许多MDM提供商建议或要求采取此类安全措施。 但巴克莱认为,苹果公司将进行更新以防止此类攻击。 “我不能代表他们计划做什么,但我相信会做出一些改变。”   稿源:网易科技,封面源自网络;

少年黑客入侵苹果下载 1TB 数据,被判处缓刑 8 个月

网易科技讯 9月28日消息,据国外媒体报道,澳大利亚一名十几岁的少年在几个月时间里反复入侵苹果公司(Apple Inc.)的系统,并下载了相关敏感数据。周四,当法庭得知他对苹果公司非常着迷,并发现其对于访问苹果网络有瘾之后,这名现在已经成年的黑客被法庭判处8个月的缓刑,逃过了牢狱之灾。 一名法官对儿童法庭表示,该黑客在攻击开始时只有16岁,但现在已经成年。被告入侵了苹果的内部系统,复制相关数据和认证密钥。苹果发现系统遭到入侵后联系了联邦调查局,澳大利亚警方随后突击搜查了黑客的家。 “你的罪行很严重,”法官对这名黑客说。根据澳大利亚保护未成年罪犯身份的法律,这名少年的名字不能公开。她说:“这是对一家大型跨国公司安全进行的持续、复杂且成功的攻击。”这名黑客对法庭的两项指控表示认罪,并被判处8个月的缓刑。 这名法官表示,黑客攻击发生在2015年6月至2016年11月以及2017年4月的两个时间段。 苹果的魅力 这名黑客的律师辩称,这一切行为都是出于他对苹果的痴迷和“对信息技术的热爱”。在接受警方问询时,被告表示部分行为的动机只是“假装自己是该公司的一员”,而且访问苹果网络已经上瘾,律师如是指出。 根据澳大利亚法律,为了保护被告的身份,案件中其他当事人的姓名和法院的确切位置不会被披露。 苹果表示,客户的个人数据没有被泄露,苹果员工发现了未经授权的访问,并对其进行了控制,并向执法部门进行报告。“我们警惕地保护着我们的网络,”该公司在一份电子邮件声明中表示。 法官说,这名黑客利用授权人员使用的虚拟私人网络,远程连接到苹果的内部系统。在另一位年轻人的帮助下,他后来向该系统发送了一个计算机脚本,创建了一个安全壳隧道——一种访问系统和绕过防火墙的方法——使自己能够更快地删除数据。法官说,在侵入苹果网络期间,这名少年能够访问内部安全政策,并保存身份验证密钥。 重获访问权限 这名法官表示,在2016年11月攻击行为被发现并被屏蔽后,被告和第二人去年成功重新获得了对苹果系统的访问。 在对这名少年家中进行的搜查中,调查人员找到了两台苹果MacBook笔记本电脑和一个硬盘,其中包含一个名为Hacky Hack Hack Exclude的文件夹,其中包含了12个渗透或绕过苹果安全措施的文件。一名检察官在早些时候的听证会上表示,澳大利亚调查人员发现了大约1TB的数据,这些数据是从苹果系统中复制而来,“从隐私和商业角度来看都很敏感”。 检察官周四对法庭表示,澳大利亚警方正在进行的调查可能会导致其他人接受问询或被起诉。澳大利亚联邦警察在一份电子邮件声明中说,针对另一名青少年的证据已经被送往联邦检察官办公室。 法官指出,本案中的一项指控涉及未经授权和不计后果地修改数据,成年人最高可被判10年监禁,而未经授权访问数据的第二次犯罪最高可被判两年监禁。 她说,法院有权对一项指控判处两年有期徒刑,对另一项指控判处12个月有期徒刑。 法官在法庭上表示,对青少年的判刑主要是为了让他们改过自新,被告已表示悔过,并与当局进行了合作。   稿源:网易科技,封面源自网络;

ESET 曝光 Lojax:首个被利用的 UEFI rootkit 案例

ESET 安全专家刚刚宣布,他们已经发现了首个在野外被利用的“统一可扩展主机接口”(UEFI)rootkit 案例。这款恶意软件被称作 Lojax,被“高级持续威胁”(APT)的 Sednit 组织(又名 APT28、STRONTIUM、Sofacy、或 Fancy Bear),用于攻击巴尔干和欧洲中东部的政府机构。安全研究人员表示,他们发现该 UEFI rootkit 捆绑了能够“修补”受害者系统固件的工具,以便将 Lojax 恶意软件安装在目标系统的底层深处。 ESET 声称,在将 UEFI 模块写入系统 SPI 闪存时,该 rootkit 曾成功使用过一次。该模块能够在系统启动过程中,于磁盘上执行恶意软件。 研究人员留意到了这种持久的侵入性,因为它可以在重装系统、或更换硬盘之后依然存活 —— 除非你重新刷写,以清理系统的 UEFI 固件。 虽然重刷 UEFI 固件的解决方案很是简单,但并不是每个人都会轻松执行。值得庆幸的是,ESET 指出该 UEFI rootkit 没有正确的签名。 这意味着,借助该恶意软件发起的任何形式的攻击,都可以通过启用安全机制来规避。ESET 建议大家这么做,以便严格验证系统固件加载的每个组件的签名是否正确。 Sednit 曾在多起引人注目的全球攻击中搅过混水,包括 2016 美总统大选前、针对民主党全国委员会(DNC)发起的黑客攻击。 该组织被认为有俄政府的资助背景,且最近被美方发现其对保守团体实施了电子欺骗。   稿源:cnBeta,封面源自网络;

研究发现 83% 的家庭路由器都容易受到攻击

美国消费者协会发布的一项研究发现,在186个家用路由器的样本中,83%的家庭路由器由于其固件中存在已知漏洞而遭受安全攻击。该研究使用Insignary的Clarity扫描并检测路由器固件中的潜在漏洞,发现每个样本路由器容易受到平均172次攻击,对186个路由器采样总共发现32003个漏洞。 更令人担忧的是,在所有发现存在安全风险的路由器当中,有28%存在严重和高风险的漏洞,平均有36个高风险和12个关键攻击媒介。这一点非常重要,因为与中低级别的弱点相比,关键和高风险的安全漏洞更容易被利用,并且损害程度也会显着增加。 据赛门铁克的互联网安全威胁报告显示,仅在2017年,物联网攻击的数量就增加了600%,家庭路由器占到所有检测事件的33.6%。暴露于高风险或严重漏洞的所有物联网设备和路由器都很容易受到攻击者的攻击,这可能导致数据丢失甚至被盗身份。 该研究表示:Wi-Fi路由器制造商忽略了针对已知漏洞更新其固件的问题,而这个问题对于其他物联网设备来说可能更为普遍。当这些安全漏洞发生时,黑客可能会非常容易地利用固件进行恶意攻击。   稿源:cnBeta,封面源自网络;