安全快讯Top News

苹果 iOS 9.1-9.3.4 完美越狱发布,支持 32 位设备

8 月 20 日消息,Tihmstar 日前发布了 HomeDepot 的完美越狱版本,支持所有运行 iOS 9.1-9.3.4 的 32 位设备。BetterHomeDepo 是为 iOS 9.1-9.3.4 的 32 位设备用户准备的完美越狱包。它利用的是 Pegasus(天马)和 HomeDepot 越狱。开发者已经提醒用户,这个越狱有可能让你的设备进入无限开机关闭循环之中,所以如果你还没有做好准备的话,请不要轻易越狱。 BetterHomeDepo 1.0.0 目前已经可以在 Tihmstar 的源中下载,不过目前仅提供了 iOS 9.3.4 iPhone 4S 的 offsets,你可以通过 /untether/offsets.json 来添加 offsets。其他 32 位 iPhone、iPad 和iPod 的 offsets 可以在这里查找(进入)。 Tihmstar 的 Cydia 源地址是 repo.tihmstar.net,设备上已经安装了 Cydia 的用户你们可以直接通过 Cydia 来添加。如果你的设备上还没有Cydia,你可以通过这个办法来添加:在终端执行 echo “deb http://repo.tihmstar.net/ ./” >> /etc/apt/sources.list.d/net.tihmstar.list 指令即可。如果在完美越狱之后,你的设备陷入无限重启循环之中,Tihmstar 提示至少要在设备无限重启 10 次之后方可触发无限重启保护机制。 稿源:cnBeta、威锋网,封面源自网络;

中国科技巨头第二季度业绩大幅增长,远超预期

据相关媒体 8 月 20 日报道,中国科技巨头第二季度业绩远超分析师预期,也拉动它们股价创下新高。合称 BAT 的百度、阿里巴巴和腾讯,以及京东、微博和网易,赶上了中国消费者在线消费的大潮:通过手机购物、玩游戏和观看视频。 体量越来越大 图一:阿里巴巴、腾讯跻身全球市值最高十家公司 第二季度,阿里巴巴和腾讯挤进按市值计算的全球前十大公司,分别排在第七和第八位。它们的股价一直在上涨,今年累计涨幅超过 70%。当然,与真正的巨无霸相比,它们还有一定差距,比如,即使加在一起,腾讯和阿里巴巴的市值也不如苹果高。 今年以来,京东股价累计涨幅也超过 70%,目前市值为 620 亿美元。由于搜索业务爆出的一系列丑闻和没有及时向移动转型,百度表现平平,但投资者似乎看好它在人工智能领域的布局,其市值也高达 780 亿美元。 中国特色的利润 图二:各大巨头营业利润率 成本在上升。对内容的争夺拉升了价格,对用户的争夺使得各大巨头纷纷打起补贴战,在人工智能等领域的投资要见到回报尚需时日。部分公司的营业利润率在滑坡,有些业务部门甚至是亏损的。 阿里巴巴和腾讯对此不以为然。腾讯总裁刘炽平表示,支付业务的目标是对生态链和其他业务提供支持,“就不是为了赚钱”,阿里巴巴副董事长蔡崇信说,“只要我们能为客户创造价值,股东价值就会随之而来。”在中国科技界话语中,“再投资”通常意味着补贴或花钱买市场份额。 广告业务与海外同行有差距 图三:BAT 与谷歌、Facebook 广告业务比较 对于大多数互联网公司来说,利润主要靠广告业务营收,但在中国却不是这样。腾讯微信月活跃用户为 9.63 亿,接近 Facebook 20 亿用户的半数。但根据预测,微信今年数字广告营收不足 70 亿美元,远低于 Facebook 的逾 360 亿美元。 这种情况可以有两种不同看法:错过的机会或还有足够增长空间。预计中国互联网巨头广告收入将会增长,但速度较慢。这与刘炽平的说法是相符的:他希望提高广告质量而非数量,“目前我们没有看到投放大量广告位的必要性”。 不断开拓新业务 图四:新浪微博把 Twitter 甩在后边 2014 年 4 月上市时,新浪微博与 Twitter 相比只是一家小公司,通过 IPO(首次公开募股)融资 2.85 亿美元。3 年多后,新浪微博已经远远把 Twitter 甩在后边,措施则是吸引年青用户,涉足直播领域,吸引各行各业的大牛、明星,从而吸引他们的粉丝。 也许最开始时新浪微博与 Twitter 相似,但它已经发展成 Twitter、YouTube 和 Facebook 的混合体。同样重要的是,新浪微博的新业务还相当成功:它与 Twitter 的另外一个区别是,Twitter 最近关闭了其短视频应用 Vine。 未来面临一定不确定性 图五:法律法规对市值影响 但是,中国日趋成熟、规范的互联网监管法律法规,可能对它们的业务产生一定影响。开始限制青少年玩《王者荣耀》的时间后,7 月 4 日一天腾讯市值蒸发了 151 亿美元。百度、新浪微博最近因传播不良信息被立案调查,阿里巴巴被要求从淘宝下架 VPN。 稿源:cnBeta、凤凰网科技,封面源自网络;

乌克兰央行发布警告:国有与私人银行再度遭受新型勒索软件钓鱼攻击

据外媒报道,乌克兰中央银行于 8 月 18 日发表声明,警示乌克兰国有与私人银行再度遭受新勒索软件攻击,其类型与 6 月袭击全球各企业网络系统的勒索软件 NotPetya 相似。 6 月下旬,NotPetya 勒索软件网络攻击首次袭击乌克兰与俄罗斯公司,旨在加密电脑私人数据并要求受害用户缴纳 300 美元赎金。调查显示,此次攻击活动通过一款广泛使用的会计软件 MeDoc 感染恶意代码并于全球范围内肆意传播,而 TNT 快递、美国默克等知名企业在网络系统运营中普遍使用该款软件。 据悉,安全专家于 8 月 11 日发现新型勒索软件攻击后当即通过邮件迅速向各银行机构通报其恶意代码、特性指标,以及预防措施。经安全专家深入调查后发现,新型勒索软件通过网络钓鱼邮件附带的恶意办公文档进行肆意传播。目前,乌克兰央行正与国家 CERT 及地方当局密切合作,旨在提高其关键基础设施的网络系统防御能力(特别是乌克兰各大银行)。 安全专家表示 ,此勒索软件可能再次导致乌克兰各企业的网络系统面临严重危机,因该恶意代码具备规避杀毒软件功能。另外,由于 8 月 24 日是乌克兰庆祝国家脱离苏联独立的第 26 周年。因此,当局推测黑客极有可能在活动当天针对乌克兰基础设施展开大规模网络攻击。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

特朗普宣布升级美军网络司令部计划,加强国家网络安全防御体系

据外媒报道,美国国防部非机密电子邮件系统于 8 月 18 日凌晨两点出现中断宕机现象。随后,美国国务院发言人 Heather Nauert 在当天新闻发布会上表示:“ 此次宕机属于内部技术故障,并非外部网络攻击干扰。目前,我们正尽快恢复该项服务,以确保用户信息安全。另外,其他通讯系统仍可继续使用 ”。目前系统已恢复正常。 与国防部非机密邮件系统中断发生的同一天,特朗普总统宣布升级美军网络司令部计划,旨在加强国家网络安全防御体系。据悉,特朗普宣布将美军网络司令部升级为美军第十个联合作战司令部,使其具备更多作战独立性并与其他主要军事指挥机构保持同步,有助简化网络空间运作,增强国家网络安全防御能力。 美国空军于 2009 年成立美军网络司令部,并于 2010 年 5 月 18 日正式启动,其总部设在华盛顿附近的马里兰州米德堡军事基地,曾隶属于美军战略司令部。该司令部主要统管全军网络安全与作战指挥,其司令由国家安全局局长兼任。 特朗普在一份声明中表示:“这个新联合作战司令部将加强美国网络空间运作,并创造更多机会提升国家防御水平。另外,美军网络司令部的升级显示了我们应对网络空间威胁的决心,有助于安抚我们的盟友与合作伙伴,并阻止敌对势力的网络攻击活动。” 美国负责国土防御与全球安全事务的助理国防部部长肯尼斯·拉普阿诺(Kenneth Rapuano)表示,美军网络司令部的升级是必要决定以应对日益危险与频繁出现的网络威胁。该决定是美军网络司令部不断努力提高网络能力的重要一步,使其网络命令能够提供真正有意义战略。与此同时,这也彰显了美国国防部在各个领域与冲突阶段加强美军作战能力的决心。 原文作者:Hyacinth Mascarenhas, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

安全研究人员成功修复开源内容管理框架 Drupal 8 多处高危漏洞

据外媒报道, Drupal 研究人员于 8 月 16 日发布安全报告,宣称已修复 Drupal 8 多处漏洞并在线更新安全补丁。研究显示这些漏洞影响 Drupal 8 多个系统组件,包括实体访问系统、REST API 与部分视图组件。 ○ CVE-2017-6925 研究人员发现 Drupal 8.3.7 中存在一处高危漏洞(CVE-2017-6925),影响实体访问系统,允许攻击者查看、创建、删除或更新实体。不过,该漏洞仅影响不具备 UUID 实体,以及对同一实体不同版本有多种访问限制的实体系统。 ○ CVE-2017-6924 在 Drupal 8 中存在另一绕过访问权限的关键漏洞(CVE-2017-6924),即当无访问权限的任何用户驻留在 REST API 时,允许通过 REST 发布评论。目前,此漏洞已被评估为高危漏洞,因为它影响具有 RESTful Web 服务模块与启用注释实体 REST 资源的站点。 ○ CVE-2017-6923 在 Drupal 8 中还存在另一关键漏洞(CVE-2017-6923)影响视图组件。当用户创建视图时,可以选择使用 Ajax 通过过滤器参数更新数据。不过,视图子模块仅对配置为 Ajax 的视图进行访问。如果用户对视图具有访问限制,那么可以减轻系统损失,即使用户正使用另一模块显示。 目前,安全研究人员建议用户尽快全盘检测系统并将 Drupal 升级至最新版本。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

因选票公司错误设置,逾 180 万芝加哥选民信息泄露

据美国侨报网报道,美国选票计算机公司 Election Systems & Software(ES&S)于 17 日证实,因工作人员在服务器上进行了错误的安全设置后,逾 180 万芝加哥选民记录在线泄露。 该公司在一篇博客文章中说,泄露的选民数据包括名字、地址、出生日期、一部分社会安全号码、驾照和州身份证号码。这些信息原本储存在服务器的备份文件中。据悉,警方在 8 月 12 日就泄露事件通知 ES&S,目前数据已得到保护。不过,数据并不包括投票信息,比如选民的投票结果。 芝加哥选举委员会发言人艾伦(Jim Allen0)说,泄露不包含也不影响任何人的投票结果,这些信息由另一家公司负责。专家正调查 ES&S 泄露事件。ES&S 发言人在一份声明说中,除了发现它的研究员外,没有迹象表明有人曾在先前访问过这些数据。 稿源:中国新闻网,封面源自网络;

苹果:iOS 11 系统漏洞已修复,iPhone 7 暴力破解失效

一个价值 500 美元的小型设备利用了苹果 iPhone 7 和 iPhone 7 Plus 独一无二的新漏洞,暴力破解 iPhone 7 锁屏幕密码,并且一次最多破解三个手机的  iOS 锁屏密码。在 YouTuber 用户 EverythingApplePr 的破解演示视频中,指出此类漏洞在旧版设备,如 iPhone 6 或 iPhone SE 上无效。此外,仅适用于 iOS 10.3.3 或最新的 iOS 11 测试版。 不过,根据苹果的回应,在 iOS 11 Beta 4 中,这个安全漏洞已经被修复,iPhone 7 已经无法使这款 500 美元的小型设备进行暴力破解了。 稿源:cnBeta、MacX,封面源自网络;

手机换屏维修所更换的组件存在窃取信息风险

据美国科技媒体网站 Ars Technica 报道,手机换屏维修所更换的组件存在窃取信息风险。在最新的一次对安卓手机换屏调查中发现,存在非法键入信息和程序的情况。这种隐患屏幕会利用操作系统漏洞,绕过手机中的主安全保护系统,其手机会被安装恶意程序并将偷拍照片以邮件方式传给黑客。最可怕的是,这些隐患更具隐蔽性,很多维修技术员难以发现,除非是有组件安装背景的专家将维修手机拆开并进行检查。 该调查出现在本周 2017 USENIX 黑客技术研讨会的一份文件中,旨在强调通常被忽视的智能手机维修安全风险。无论是安卓还是 iOS 系统的手机制造商都在被调查研究之列,而被更换的组件是在设备 “ 信任边界 ” 以内。尽管制造商提供了安全保护,但换屏期间仍存在的恶意组件对驱动程序的入侵并被认定为可信。手机一旦被送入第三方维修点,其安全模型则面临被攻破的风险,毕竟没有可靠方式保证维修程序未被篡改。 来自以色列内盖夫本 · 古里安大学(Ben-Gurion University of the Negev)的研究者写道 :“ 消费性电子产品潜在的外部恶意攻击风险值得重视。正如报告显示,电子产品被窃听存在可能性、扩展性和隐蔽性。很容易被不法分子加以大规模利用或针对性攻击。系统设计者应考虑将更换组件设立在手机信任边界以外,并针对性地设计防御程序”。报道称,研究人员在一块正常手机屏幕嵌入入侵芯片,篡改通信主线,模拟两个终端间的恶意集成电路,监视或修改终端通信。 而入侵芯片中的代码可以在用户不授权的情况下私自进行多项入侵。例如,用于实验的芯片可以解锁安全模式和键盘的输入信息、私自照相并将数据传给黑客、替换用户常用网址为钓鱼网址并肆意安装手机软件。进阶版的攻击包括利用操作系统内核漏洞。为了能保证隐蔽性,恶意程序还会使手机关机黑屏。 为了能将恶意指令传达到驱动程序和触摸屏,研究人员借助了 ATmega328 Arduino 和 STM32L432 开源微处理器,并表示其它微处理器同样能达到效果。虽然研究人员是用安卓系统做的研究,但不保证 iOS 系统不会存在此类问题。这类攻击是低成本的、不易察觉并有大规模现身的可能。而维修技术人员自身无法检测出恶意组件则是尤其值得关注的部分。目前,国外网友们纷纷表示有过类似体验,并发出 “ 这正是完善相关维修法律时刻 ” 的呼吁。 稿源:cnBeta、网易科技;封面源自网络;

全球航运巨头马士基集团因 NotPetya 网络攻击损失数亿美元

据外媒报道,全球最大的集装箱航运公司马士基(AP Moller-Maersk)于 8 月 15 日在线公布《 2017 第二季度财务业绩报告 》,证实公司于 6 月遭受勒索软件 NotPetya 袭击后损失数亿美元。 调查显示,公司收入损失源自重大业务中断,因被迫暂时关闭感染恶意软件的关键系统 Damco 与 APM 终端作为防御措施。据悉,由于该恶意软件只影响马士基集装箱相关业务,因此包括所有能源企业在内的九家公司中六家能够正常运营。此外,马士基还于攻击期间对所有船只进行全面检测,以确保所有员工运输安全。 据统计,马士基只是数百家受害企业之一,此前乌克兰中央银行、俄罗斯石油巨头 Rosneft、广告企业 WPP、TNT 快递与律师事务所 DLA Piper 等机构也纷纷受其影响。马士基高管表示,此次网络攻击活动由以往不常见的恶意软件影响,其更新 Windows 系统与防病毒软件的措施并非最有效方案。目前,马士基正进一步加强系统保护方案。 关联阅读:美国制药巨头默克证实:NotPetya 网络攻击活动严重危及全球多领域业务 稿源:Mike_Mimoso, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

韩国 LG 服务中心疑遭 WannaCry 勒索软件攻击

据外媒报道,韩国 LG 电子服务中心于 8 月 14 日疑遭 WannaCry 勒索软件攻击。当局透露,虽然黑客在此次攻击活动期间使用的恶意代码与 WannaCry 极其相似,但安全专家还需更多调查确定真实原因。 5 月中旬,勒索软件 WannaCry 影响全球 150 多个国家/地区逾 30 万台电脑,其中英国国家卫生服务机构 ( NHS )、日本本田汽车集团、美国医疗机构等知名企业普遍遭受影响。本月早期,WannaCry 黑客清理比特币赎金帐户,以便转移资金至匿名加密货币 Monero 以隐藏踪迹。 LG 当即向韩国互联网安全局(KISA)报告后发表声明:“ 此攻击活动由勒索软件引发,我们在检测后当即关闭服务中心网络。目前,虽然尚不清楚攻击过程如何发生,以及所使用的勒索软件是否包含原 WannaCry 代码或其不同变体,但当前并未发生数据加密或索要赎金等实质危害。安全专家表示,尽管微软已推出补丁解决中小企业安全系统漏洞事件,但并非所有机构均能立即更新系统,这意味着仍有多数企业极易遭受此类攻击。 原作者:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。