安全快讯Top News

擅自搜集数据,德国反垄断机构今年将对 Facebook 采取行动

网易科技讯 8月28日消息,据国外媒体报道,由于调查发现Facebook滥用自己的市场垄断地位,在人员不知情或未获得人员许可的情况下收集他们的数据,德国反垄断监管机构计划今年对Facebook采取调查后的第一步行动。 在对Facebook数千万用户的数据泄露和定位广告广泛的使用越来越担忧中,这次对这家社交媒体的调查在欧洲受到密切关注。 德国反垄断机构联邦卡特尔局(FCO)尤其反对Facebook从第三方应用获取人员数据的方法以及在线跟踪甚至非会员的人员信息。这里所述第三方应用,包括Facebook旗下WhatsApp和Instagram服务。 联邦卡特尔局局长安德烈亚斯·蒙特(Andreas Mundt)周一在一个新闻发布会上表示,“我们意识到,这应该而且必须迅速进行。”他还表示,他希望今年采取“第一步措施”。不过,他拒绝透露细节。 联邦卡特尔局的这一调查一般不会对facebook等违规企业处以罚款,这与欧盟的调查处理不同。谷歌因在Android智能手机预安装其应用,在遭遇欧盟调查后被处以数十亿美元处罚罚款。 然而,知情人士表示,如果Facebook未能自愿采取行动,联邦卡特尔局可能会要求Facebook采取行动来解决其担忧。 蒙特说,“我们需要确定这是否会影响我们的调查并解决我们的担忧。” 另外,蒙特证实了他在本月早些时候接受报纸采访时发表的言词,他当时表示,按照联邦卡特尔局能够开展全部门调查的新权力,他可能会对电子商务行业启动调查。 重点将放在所谓的“混合”平台上,比如美国电子商务巨头亚马逊,这些平台销售自己的产品和服务,但还托管着第三方商家。 蒙特表示,“我们的问题是:平台本身就是一个很强大的商家,这样的平台与使用这个平台的第三方商家之间是什么样的关系?”蒙特还称,亚马逊是最知名的电商平台,但他的调查对象还将扩大到其他公司。 联邦卡特尔局不会调查第三方商家在电子商务平台上涉嫌逃税的问题,这是德国政府誓言要解决的问题,这是经济决策者关注的事项。   稿源:网易科技,封面源自网络;

利用 AI 技术,黑客能用麦克风听出你在屏幕上看什么

网易科技讯 8月25日消息,据《连线》网站报道,你可能认为只有通过观看电脑屏幕才能看到屏幕上的东西。但一个研究团队发现,他们能够通过监听和分析显示器正常发出的超声波,收集到惊人数量的信息,比如显示器上面输入的内容。 这项技术于周二在圣巴巴拉举行的Crypto 2018年大会上进行了演示。它可以让攻击者通过分析在屏幕附近录到的录音——比如来自网络电话或者视频聊天的录音——来发起各种形式的秘密监视。之后,攻击者可以根据泄露的声音提取有关显示器上的内容的信息。虽然距离越远信号越弱,特别是使用低质量的麦克风的时候,但研究人员仍然可以从在30英尺远的地方取得的录音提取显示器发出的声音。 特拉维夫大学和哥伦比亚大学的密码学和系统安全研究员伊兰·特罗默(Eran Tromer)参与了这项研究,他说道,“我想,我们可以从中学习该如何去适应我们的物理环境中的意外情况,以及理解我们使用的这些设备背后的物理机制。”声泄漏是“一种现象,在这个例子中这不是设计师有意而为的,但它确实存在,因此形成了安全漏洞。” 被攻击是有可能的,原因是所谓的“物理侧信道”——数据暴露不是来自软件错误,而是来自于泄露计算机硬件和它处理的数据之间的信息的无意交互。在对显示器的研究过程中,研究团队——还包括密歇根大学的丹尼尔·吉恩金(Daniel Genkin),宾夕法尼亚大学的米希尔·帕塔尼(Mihir Pattani),特拉维夫大学和康奈尔科技学院的罗埃·舒斯特尔(Roei Schuster)——发现,在他们调节电流的时候,很多屏幕的电源板发出高音或者听不见的吱吱声。这种吱吱声是根据屏幕的内容渲染处理器的不同功率需求而改变的。用户数据和物理系统之间的这种连接带来了意想不到的监听机会。 “有一天,我碰巧在浏览一份特别枯燥乏味的法律协议,上面有很多行小字体。”特罗默说道,“那些字实在太小了,于是我将其放大,然后我意识到房间里的环境噪音发生了变化。于是我将字体缩小回来,声音也随之变回来了。过了一会,我意识到是某种图像周期性的东西在影响声音的周期性。” 研究人员测试了几十台不同尺寸的液晶显示器,从中发现它们发出各种各样的声音。他们测试的显示器在2003年至2017年之间出产,涵盖了几乎所有的主流制造商。 所有的电子产品都会发出呼呼声和吱吱声,但显示器会产生一种特定的被证明对攻击者特别有用的声音。“这种声音的特点是频率很高,因此它可以承载多得多的信息。”舒斯特尔指出,“它确实是受到了某种敏感的东西的调节,在这里就是屏幕信息。” 在证实了那些超声波以后,研究人员接着试图基于它们来提取信息。他们开发了一个程序,生成不同的黑白相间的线条或组块,然后在循环显示它们时录制音频。有了一定的数据基础以后,他们就开始在显示器上展示热门网站、谷歌Hangouts和人脸,同时进行测量,看看是否能够透过录音将它们区分开来。 屏幕上显示斑马条纹图案时的屏幕信号频谱图 研究团队将所有的这些信息作为训练数据输入到机器学习算法当中,并开始根据录音中捕捉到的听不见的声音,对屏幕上的内容进行越来越精确的解读。对于一些斑马图案和网站,研究人员有90%至100%的成功率。他们甚至开始注意到,他们的系统有时可以从他们的机器学习模型从未遇到过的屏幕录音中提取有意义的数据。 “即使攻击者不能在特定的显示器型号上进行演练,他们的攻击也还是很有可能会成功。”舒斯特尔称。 随后,研究团队扩大了研究范围,训练该系统破译屏幕上的字母和单词。虽然这是一个更具挑战性的任务——单词不像网站布局那样遵循可靠的视觉模式——但研究人员可以在大字体的单词上产生靠谱的结果。正如吉恩金所指出的,白色屏幕上的黑字在很多方面与斑马纹相似,虽然单词组合有无数种,但系统只需要学习罗马字母表中的26个字母。 研究人员甚至意识到,他们可以检测出人们在智能手机屏幕键盘上输入了些什么,有一定的准确性。通常情况下,数字键盘被认为比机械键盘更加安全,因为机械键盘在用户进行输入时会发出声音,造成输入内容的泄露。研究证明,数字键盘也不能幸免于这些声音侧信道的攻击。 虽然研究人员在一些实验中使用了高质量的专业麦克风,但他们主要是研究消费级的麦克风,比如网络摄像头和智能手机上的麦克风。他们发现,它们完全可以被利用来提取屏幕发出的声音。例如,如果攻击者想监视与她视频聊天的人的屏幕,她只需录下来自他们的麦克风的声音输出即可。 在另一个场景下,比如面试时,攻击者可以把智能手机放在他们旁边的桌子或椅子上,在面试官盯着背对攻击者的屏幕时,利用手机来录下房间里的噪声。研究人员还注意到,智能助手设备中的麦克风可以接收到显示器的声音。因此,如果你把这些设备放在你的显示器附近,智能助手发送到云处理平台的音频片段很可能就来自该显示器。由于来自显示器发出的声音主要是超声波,像喧闹的音乐或者说话这样的听得见的声音不会干扰到麦克风的接收能力。 研究人员说,这凸显了减轻这些攻击的巨大挑战。在大多数的空间全面部署无线电频率来干扰屏幕发出的声音,是不切实际的。制造商可以在显示器内部更好地保护电子元件,但这会增加制造成本。另一种解决方案是,开发专门的反制软件,操控显示器正在处理的信息,使其更难识别。但你需要将这些措施嵌入到每一个应用程序当中,研究人员坦言这可能不现实。不过,至少在浏览器或人们经常使用的视频聊天程序上面,值得考虑那么做。 对于黑客来说,使用这种的声屏障攻击显然比网络钓鱼或用恶意软件感染电脑要复杂得多,也需要耗费更多的精力。但研究人员表示,他们对自己能达到的精确度感到惊讶,而有动机的攻击者可能会进一步完善他们的机器学习技术。鉴于如今有如此之多的屏幕在无意间泄露这些信号,对于技术娴熟且有足够动力去尝试的攻击者来说,这个世界就像是一个游乐场。   稿源:网易科技,封面源自网络;

19 岁黑客用 SIM 卡交换诈骗加密货币 购买迈凯伦跑车

据报道,美国警方逮捕了一位加州利用SIM卡交换技术实施诈骗的诈骗者,19岁男子Xzavyer Clemente Narvaez利用SIM卡交换技术劫持交换了多位手机用户的手机号码,并以此访问受害者的数字加密币账号和社交信息,盗取了大量的比特币及其他种类数字加密货币。 SIM卡交换是指将被攻击目标的电话号码转移到了攻击者所持有的SIM卡上。一旦黑客收到电话号码,他们就可以用来重置受害者的密码并侵入他们的账户,这其中就包括了加密货币交易所的账户。许多在线服务都是用手机号码验证身份,也为黑客开启了后门。 据报道他用获得的非法收入购买了各种奢侈物品,包括20万美元的迈凯伦跑车。损失最多的受害人报道被窃取了等值15万美元的数字加密货币。   稿源:cnBeta,封面源自网络;

前 Facebook 安全主管:美国政府现在保护 2018 年选举已经太晚

据外媒theVerge报道,Facebook最近刚刚离职的安全主管指出,美国政府的不作为使得即将到来的中期选举很容易遭到黑客攻击和网络操作。据悉,Alex Stamos于本月早些时候离开公司,他在最近发表的文章中称,“保护2018年选举已为时已晚”。 这一言论则是对昨日两条新闻的回应:一条是微软发现了6个将为俄罗斯展开政治钓鱼攻击的,另一条是Facebook关闭了652个据称跟虚假信息运动相关的虚假账号和页面。 Stamos表示来自俄罗斯(现在是伊朗)的黑客并未被阻隔在干预选举之外,另外他对奥巴马政府、特朗普政府以及国会在2016年大选期间对操控选举行为作出的“僵化反应”提出了指责。他写道:“如果美国继续沿着这条道路下去,那么它就有可能让自己的选举变成信息站世界杯。” Stamos认为,对于2020年的美国选举,政府应该推动《诚实广告法》的推行,它将对网络政治广告提供更高的透明度要求。另外他还敦促美国政府创立一个专门的联邦网络安全机构以及直接预防选举攻击的州级安全部门。 这篇文章还对Facebook以及其他社交媒体平台因黑客操控其平台而受到的广泛批评进行了反驳。Stamos是一个对公司安全问题直言不讳的人,他曾因披露有关2016年的错误信息活动而惹怒了Facebook的一些高管。不过他指出,虽然包括其前雇主在内的社交媒体平台在2016年犯下了严重的错误,但在很大程度上政府需要为此负责。   稿源:cnBeta,封面源自网络;

Facebook 清除上百个传播虚假信息的账号 伊朗疑卷入其中

据外媒报道,Facebook日前删除了另一批做出不真实行为的页面、群组和账号。这些页面主要针对的是生活在中东、拉丁美洲、英国以及美国的人,上面展示的政治内容旨在塑造他们的观点。就在几周前,Facbeook曾披露其已经从平台上删除了多个涉嫌具有可疑政治动机的页面。现在它又公布了第二次大规模的清除活动–删除了652个页面、群组和账号,据称这次来自伊朗。 这一可疑活动于上月首次披露,当时一家名为FireEye的网络安全公司通知Facebook,他们认为这是一场可疑的、有影响力的宣传活动。据称,这些账号来自伊朗,其目的是利用各种相关账号传播反沙特、反以色列和亲巴勒斯坦的内容。 FireEye在最初的分析报告中指出,总体来说,这一活动背后的意图似乎跟推动伊朗政治利益相关,包括反沙特、反以色列和亲巴勒斯坦的主题以及促进支持美国对伊朗有利的具体政策。这家公司还表示,由于这些干预运动的影响范围非常广,所以它的目标并非只是针对即将到来的美国中期选举,而是要更广泛地影响到世界各地的政治对话活动。 除了这批伊朗账号之外,Facebook还披露,他们删除了美国政府消息源确认跟俄罗斯情报服务机构相关的页面、群组和账号,至于清除了多少并未公布。据称,这些新的干预活动并没有明确表现出跟美国的关系,反而更加关注叙利亚和乌克兰并传播亲俄罗斯和亲阿萨德的宣传。 就在Facebook披露这一消息的前一天,微软数字犯罪部门表示他们已经向美国联邦法院提出申请,要求转移对据称跟一个叫做Strontium的俄罗斯军事情报组织有关的六个的控制权。 微软总裁兼首席法律官Brad Smith表示,Strontium对这些域名的收购暗示了2016年美国总统大选和2017年法国总统大选期间的类似活动。 Facebook网络安全政策主管(Nathaniel Gleicher在一份声明中说道:“我们正与美国执法部门密切合作,对他们的帮助表示感谢。调查工作正在进行中——考虑到敏感性,我们不会没有分享更多关于我们删除内容的信息。”   稿源:cnBeta,封面源自网络;

Chrome 隐身模式可能没有你想得那么能保护个人隐私

据外媒报道,大多数用户在用Chrome上网时都对它的隐身(Incognito)模式抱着合理的期待,但来自行业组织Digital Content Next委托的一项研究结果却呈现了不一样的情况。范德比尔特大学计算机科学教授、研究论文作者Douglas Schmidt指出,如果用户是通过像Gmail等这样的谷歌服务登录,那么从理论上来说即便是在隐身模式下,谷歌还是能通过cookies将用户的浏览情况跟其身份联系起来。 不过如果用户是在登录谷歌账号之前就启动了隐身模式那么跟踪数据就会被清除。 然而这份报告并没有明确指出谷歌是否需要为此负责,但从技术层面上来讲却是可以的。对此,谷歌很快反驳了这种说法。 在一封提供给AdAge的邮件中,谷歌发言人表示并没有把隐身浏览跟用户登录已经退出隐身模式的账号关联起来。另外他还表示,他们的广告系统不会知道Chrome何时处于隐身模式,同时也不知道其他浏览器何时处于类似模式。 这位发言人补充称,这份报告是由一个专业的DC游说团体委托由正与谷歌进行诉讼的一名甲骨文证人撰写。“因此,它包含大量误导信息也就不足为奇了。”   稿源:cnBeta,封面源自网络;

美国 22 个州联名诉 FCC 要求恢复”网络中立”规则

网易科技讯 8月21日消息,据国外媒体报道,当地时间周一晚些时候,一个由22名州检察长和哥伦比亚特区组成的小组,要求美国一家上诉法院恢复奥巴马政府2015年出台的具有里程碑意义的网络中立规则(Net neutrality)。 美国联邦通信委员会(FCC)去年12月投票表决,废除了关于禁止互联网服务提供商阻塞、限制流量或提供付费快车道(也称付费优先次序)的规定。 FCC表决通过的新规定于6月初生效,新规定授予互联网服务提供商广泛的新权力,改变了美国人使用互联网的方式。 各州认为,FCC的新规定会伤害消费者。这些州还表示,FCC没有任何“有效权威”来越过州及其保护网络中立性的地方法律。截止目前为止,有六个州的州长签署了关于网络中立的行政命令,三个州颁布了网络中立法律。   稿源:网易科技,封面源自网络;

微软发现针对美国政治团体的新一轮俄罗斯黑客攻击

在 2018 美国中期选举之前,美方又发现了与俄方有关、针对美国政治团体的新一轮黑客攻击事件。周一晚间发布的报道称,微软发现并禁用了几个虚假网站,其旨在欺骗访问者、使得与俄政府相关的黑客组织得以入侵他们的计算机。其中两个虚假网站模仿了美国的两个保守组织 —— 哈德森研究所(Hudson Institute)、以及国际共和研究所(International Republican Institute)。另外三个域名,则是假冒类似国会参议院的官方网站。 微软指出,与俄罗斯军方有联系的该黑客组织名叫 Strontium,此外它还有着“Fancy Bear”和“APT 28”的绰号。 近年来发生的一系列事件,都与它脱不了干系,尤其是 2016 年入侵民主党全国委员会的计算机网络、并窃取相关电子邮件记录一事。 虽然微软没有证据表明虚假已有成功欺骗的案例,但鉴于此类站点通常会托管恶意软件,旨在自动感染访问者计算机、窃取电子邮件、文档和其它敏感信息。 有鉴于此,微软还是立即申请了法院命令,要求将相关迁移至该公司的服务器,以抵消其所带来的威胁。 本次发现,强调了美国应努力避免 2016 年大选期间的事件重演。当时美方指责俄罗斯利用虚假身份,通过 Facebook 和 Instagram 等社交平台,影响了美国总统大选的结果。 美情报机构警告称,此类行动一直是俄罗斯政策战略的一部分。随着社交媒体影响力的增长,未来的形式依然严峻。 不到一个月前,美检察官罗伯特·穆勒(Robert Mueller)起诉了 12 名涉嫌在 2016 大选期间攻击民主党全国委员会网络的俄罗斯黑客。 今年 2 月份的时候,美司法部亦起诉了一家与俄罗斯情报部门有联系的互联网研究机构,指控其在 2016 年大选期间、通过社交媒体实施了宣传活动。   稿源:cnBeta,封面源自网络;

PHP 现反序列化漏洞,或使 WordPress 遭远程攻击

英国安全公司 Secarma 的研究主管 Sam Thomas 本月在 Black Hat 和 BSides 安全会议上展示了 PHP 编程语言的安全漏洞,并指出该漏洞影响了所有接受用户资料的 PHP 应用程序和库,包括 WordPress 等内容管理系统(CMS),并将允许远程程序攻击。 序列化(Serialization)与反序列化(Deserialization)是所有编程语言都具备的功能,序列化将对象转换为字符串,以将数据迁移到不同服务器,服务或应用程序上,然后通过反序列将字符串还原到对象。 安全研究员 Stefan Essar 在 2009 年就透露了 PHP 中反序列化黑客控制的数据带来的风险,而相关的漏洞不仅存在于 PHP 中,还存在于其他编程语言中。 Thomas 公布的是 PHP 的新攻击技术,可用于各种场景,例如 XML External Entity(XEE)漏洞或服务器端伪造请求(SSFR)漏洞等。 Thomas 表示,过去外界认为 XXE 漏洞带来的最大问题是信息外泄,但现在可出发程序执行。相关攻击分为两个阶段。 首先,将包含恶意对象的 Phar 存档上传到攻击目标的本地文件系统,然后触发一个基于 phar:// 的文件操作,就可能导致恶意程序执行。 Thomas 已利用 PHP 的反序列化程序成功攻击了 WordPress 与 Typo3 内容管理平台,以及 Contao 所采用的 TCPDF 库。   稿源:开源中国社区,封面源自网络;

谷歌遭起诉:被指非法追踪 iPhone 和 Android 用户位置

新浪科技讯 北京时间8月21日早间消息,谷歌在一桩最新的法律诉讼中被指非法追踪成百上千万iPhone和Android智能手机用户的活动,哪怕用户试图利用隐私权设置来避免被追踪也不例外。 根据上周五提起的一桩诉讼,谷歌欺骗性地向用户保证,如果他们将手机上的“位置历史”(Location History)功能设置为“关闭”,那么就不会被追踪;但在实际上,谷歌则仍会监控和存储用户的活动,从而侵犯 了其隐私权。 这桩诉讼的原告方是来自圣地亚哥的拿破仑·帕塔希尔(Napoleon Patacsil),他在向旧金山联邦法庭提起的诉讼中指称:“谷歌表示用户‘可在任何时候关闭位置历史功能,当此功能关闭时,你们去的地方就不会再被存储下来’,但这并非事实。” 帕塔希尔正寻求代表关闭了追踪功能的美国iPhone和Android智能手机用户对谷歌发起集体诉讼,要求谷歌为故意违反加利福尼亚州隐私权法和侵犯用户私人事务支付数额不明的赔偿金。 美联社曾在8月13日刊文,对谷歌被指追踪用户活动一事作出过描述,该报当时指出普林斯顿大学的计算机科学研究人员证实了此事。 谷歌周一并未就此置评,代表帕塔希尔的律师事务所Lieff Cabraser Heimann & Bernstein合伙人迈克尔·索博尔(Michael Sobol)也尚未置评。 帕塔希尔指称,谷歌先是在他使用Android手机时对其进行了非法追踪,随后当他改用iPhone并下载了一些谷歌应用后,谷歌又对他进行了追踪。 他说道,谷歌的“主要目标”是“秘密监控”手机用户,并允许第三方也这样做。 根据谷歌网站帮助页面现在的说法,关闭“位置历史”功能“不会影响到其他位置服务”,并表示有些位置数据可能通过搜索和地图等其他服务被存储下来。   稿源:新浪科技,封面源自网络;