自从人工智能成为新的风口之后，如今就变成了 “ 张口即来 ” 的时代。苹果的 Siri、Google Assistant、亚马逊的 Alexa、微软的 Cortana，甚至三星、小米和华为，都迫不及待地要上台好好比一比。 不过虽然动动嘴就能下指令让 “ 助手们 ” 帮你完成一切是挺好的，但这事却没那么简单。近期，来自浙江大学的研究团队就发现，如今市场上的热门智能语音助手都或多或少存在着一些安全漏洞，只要运用一个小小的技巧，就可以轻易地 “ 黑 ” 进去控制它们。 他们把这个小技巧命名为 “ 海豚攻击 ”（The DolphinAttack），只要将特殊的语音指令转换为类似于海豚的超声波，便可以在人类无法感知的情况下对智能语音助手下指令，实现 “ 隐形 ” 的操纵。 在测试中，研究人员不用像平时一样使用 “ Hey Siri ” 或者 “ Okay Google ” 唤醒智能语音助手，他们只要在一台智能手机上安装一个微型的话筒和扩音器，便可以采用 “ 海豚攻击 ” 对指令进行重新编码，然后就能偷偷地让你的 iPhone 拨号，让你的 MacBook 打开一个恶意网站，或者让你的亚马逊 Echo “ 敞开后门 ”。就连搭载了智能语音助手的奥迪 Q3，也能被控制着重新给自己的导航系统定位。 研究团队从理论上来说，只要了解了这个原理，稍微懂一些相关知识的人都可以完成这个 “ 攻击 ”。 在大部分情况下，这种 “ 攻击 ” 仅能在距离很近的范围内实现，因此一般对远处放置的智能语音音箱来说，要通过这种方式进行控制稍微有点难度。不过对于如今能够随身携带的各类智能手表、手机等设备来说，攻击者要想“黑”进去就比较容易了。 比如说攻击者可以在人群中使用手机播放一段人耳听不到的超声波指令，那么周边的设备就很容易被这种指令所 “ 劫持 ”，去完成攻击者所下达的命令。 根据这支来自浙大的团队近期发表的论文，如今市面上包括 Siri、Alexa、Google Assistant 等在内的主流智能语音助手，都可以捕捉到超过 20kHz 的声波。但对于人耳来说，20 kHz 却是一个临界值。 为什么这些公司宁可留着这么一个漏洞也不考虑提高一下产品的安全等级呢？这就不得不提到到产品的易用性了。 首先，为了能更好地 “ 理解 ” 用户下达的指令，这些语音助手们实际上需要尽可能多地捕捉各种语音信息——包括人耳可以接收到的声音以及人类听不到的各种音频。如果为了提高安全性而减少它们能接收的声音范围的话，这些语音助手可能就没法那么“ 智能 ” 了。 其次，很多公司为了给智能语音助手创造更多的使用场景，已经在各种设备互联中使用了超声波连接。比如说亚马逊可以自动下单的 Dash Button 和手机的连接，大概使用的音频在 18 kHz 左右。对于普通用户来说，他们基本感知不到这种被 “ 隐形化 ” 的连接声音，因此才能获得一种类似魔法般的使用体验。 正因为如此，这种 “ 用户友好型 ” 的设计和数据信息安全越来越成为一种悖论般的存在。来自非营利性机构 SimplySecure 的设计总监 Ame Elliott 表示：我认为硅谷方面在关于产品会不会被滥用还存在很多盲点，很多时候产品规划和设计并不如想象中那么完善。语音控制系统显然很难去保障安全，这方面应该提高警惕。 目前，还是有一些措施可以防范类似于 “ 海豚攻击 ” 的行为。比如说关闭 Siri 和 Google Assistant 的常开装置，这样黑客就没办法通过这种方式侵入你的手机了；而对于亚马逊和 Google Home 这样的智能音箱来说，它们本身就有可以静音的设置。 不过如今这些保护措施还是处于“用户自我防范”的状态，各大厂商们会对此采取什么防范措施，仍然是个未知数。 稿源：凤凰科技，封面源自网络；

Windows 内核的一个编程 Bug 会阻止安全软件识别恶意程序。据悉，该 Bug 影响 PsSetLoadImageNotifyRoutine，它是部分安全软件在代码加载到内核或用户空间时对其进行识别的底层机制之一。攻击者能够利用该 Bug 让 PsSetLoadImageNotifyRoutine 返回无效模块名，并将恶意程序伪装成合法操作。 安全研究员称，该 bug 影响 Windows 2000 之后的所有版本，包括最近发布的 Windows 10。研究人员称，微软不认为这是一个安全问题。 稿源：cnBeta、solidot奇客，封面源自网络；

HackerNews.cc  9 月 7 日消息，维基解密（ Wikileaks ）近期在线曝光 “ 盔甲护身 ”（Protego）项目，旨在揭露美国中央情报局（ CIA ）秘密安装导弹控制系统。不过，此次曝光文件并非黑客工具或恶意软件，而是一份间谍控制系统的详细报告。 Protego 是一款基于 PIC 的导弹控制系统，主要由美国国防承包商之一的雷神公司开发，并疑似于 2014-2015 年投入展开。此外，该系统主要安装在配备导弹发射系统（空对空/空对地）的普惠飞机（ PWA ）上。 调查显示，维基解密在线发布了 Protego 项目的 4 份机密文件，以及美国微芯科技公司（ Microchip Technology Inc ）专有硬件/软件手册的 37 份相关文件。调查显示，Protego 系统由独立的微控制器单元组成，且通过加密与认证通道进行数据和信号的转换： Ο 机载 TWA 由 “ 主处理器 ”（MP）与 “ 部署框架 ”（Deployment Box）两部分组成，而这两部分均使用主/从冗余进行分层。 Ο 该导弹系统的本身（“导弹智能交换机”，MSS）、发射管道（ “发射管道智能交换机”，TSS）和套环（发射之前托住导弹的物件）均具有微处理器功能。 Ο 只有在主处理器（MP）从信标接受到有效信号 “In Border”、“Valid GPS”、“No End of Operational Period” 后才能启动导弹。 知情人士透露，雷神也曾在此前的 CIA 泄漏文档中提及 Protego 项目，即主要由美国情报机构负责分析各黑客所使用的 TTP 通信协议。此外，Protego 的名字源自《哈利波特》电影中使用的魔法盾，旨在创造一个保护屏障，以快速进行转移。如果是这样，那么这种导弹控制系统的主要目的大概就是防御外部物理攻击。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，欧盟（EU）28 国国防部部长于 9 月 7 日在爱沙尼亚首都塔林举行了一场联合网络战争演习，旨在测试他们如何从政治与技术角度应对大规模网络攻击与虚假社交舆论传播活动。 相关人员透露，此次演习虚构了一个网络攻击场景，即黑客利用互联网技术与社交媒体宣传手段进行双管齐下攻击、传播虚假消息并引发公民政治抗议活动。不过，各国安全专家将有 90 分钟进行响应。此外，战争演习的主办方还添加了 “ 模拟新闻视频 ”，以便增加真实效果。 安全专家表示，此类网络攻击活动不再遥不可及。美国在 2016 年的总统大选中就遭到类似攻击，疑似与俄罗斯政府有关。据称，黑客组织侵入美国政治学家的网络系统后肆意窃取个人电子邮件并公开泄露。与此同时，他们还利用包括 RT 与 Sputnik 在内的国家新闻媒体故意传播虚假政治舆论。 爱沙尼亚国防部长 Jüri Luik 表示：“ 现今，网络战争演习不管从政治亦或技术角度都极其重要，因为未来我们可能还将面临更多危机。目前，我们将积极面对与欧盟网络防御有关的所有政治问题。我们并非异想天开，我们只是希望各国明白在当今技术手段的快速发展下需要快速的政治响应。随后，我们还将举办另一场名为 CYBRID 2017 的网络战争演习，旨在加强各国网络防御体系 ”。 据路透社报道，俄罗斯自 2014 年占领乌克兰克里米亚后，爱沙尼亚就越来越重视网络战争安全。北约首席执行官 Jens Stoltenberg 在网络战争演习之前向媒体致意：“我们目前在网络领域还将面临更多的机遇与挑战。在过去一年，我们看到黑客针对北约网络系统的攻击数量增加了 60％，好在我们正与欧盟共同努力，以保障各国网络系统安全 ”。 原作者：Jason Murdock，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

网络安全组织 CCC 于近期对即将到来的德国大选所要使用的选举制表系统进行了彻底分析，发现其投票软件存在高危漏洞，允许黑客任意篡改投票总数。 CCC 表示，其中一些情况允许在选区和州边界之间改变投票总数。这套投票系统的漏洞数量和严重程度超出了 CCC 的预计。CCC 声称，黑客组织可能已经意识到这个漏洞。与此同时，研究人员在测试投票系统及数据托管的服务器中证实，该系统极易夺取控制权。 CCC 发现，这套投票系统存在一连串严重的缺陷，从更新服务器到软件本身，再到选举结果的出口，均允许黑客展开新一轮网络攻击活动。另外，CCC 发现自动化软件更新没有签名，并且通过 HTTP 进行不安全下载。他们还观察到用于注册投票的加密是完全可逆的，因为对称密钥在软件中被硬编码。事实上，这些漏洞令人眼花缭乱，如果不妥善处理，CCC 担心黑客有潜力永久影响公众对民主进程的信任。 稿源：cnBeta，封面源自网络；

据外媒 9 月 8 日报道，美国征信企业 Equifax 披露称，公司网站遭黑客攻击，1.43 亿美国公民记录在线泄露。 美国共有 3 家大型老牌征信企业，Equifax 正是其中之一，它掌管 8 亿公民的信用、保险记录，如果黑客想窃取数据，Equifax 往往会成为攻击目标。Equifax 表示，泄露从 5 月中旬开始，直至 7 月 29 日公司才察觉。 目前，犯罪分子已获取公民个人信息，其中包括姓名、住址、出生日期、社会保障号，有时还会包含驾照信息。据悉，黑客可以通过访问公民信息，为受害用户创建帐户或接管帐户。此外，在美国泄露的信息还包括 20.9 万人的信用卡卡号、18.2 万人的特定争议文件。 为了应对危机，Equifax 开通一个向所有美国公民提供 1 年免费保护的服务网站，可以对公民信贷进行监控，以防止身份被窃，只是暂时还不知道是否实用。由于受害者众多，泄露的信息也很多，这可能是近年来最大的泄露事故。之前雅虎虽然泄露了 10 亿帐户的信息，不过里面没有包含社会保障号和驾照号码。 稿源：cnBeta、，稿件以及封面源自网络；

据外媒报道，Facebook 于本周三证实曾向俄罗斯机构 “ 巨魔农场 ” 售出 10 万美元政治广告。本周四，美国联邦选举委员会（FEC）委员 Ellen L. Weintraub 发起关于在互联网上修改政治广告免责规则的投票。Weintraub 表示这么做的目的是决定 “ 美国公民应该知道他们在互联网上看到的政治信息由谁购买？” Weintraub 写道：“我们必须更新联邦选举委员会的规定，以确保美国公民知道他们在互联网上看到的政治信息由谁购买。鉴于过去几天有关国外机构在 2016 年总统大选期间秘密购买数千个互联网政治广告的启示，我们不能再有理由怀疑我们需要修改互联网免责条例 ”。目前，这封信已发送给主席 Steven T. Walthier。Weintraub 表示，他们将进行为期 30 天的公众意见征询，随后再召开听证会。 稿源：cnBeta，封面源自网络；

据相关媒体报道，三星近期推出一项新漏洞赏金计划，旨在发现并上报影响三星移动设备、服务、应用程序，或专为三星开发有三星签名的第三方软件漏洞。知情人士透露，三星将向发现上述关键漏洞的研究人员支付高达 20 万美元奖金。 目前，所有设备需要完全更新，受影响的设备必须是当前的活动服务，其设备列表包括最新的型号（如 S8、S7 和 Note 8），也包括 2016 年发布的旧型号（如 J3 和 A5）。此外，三星 Galaxy S6 也包含其中。三星表示，他们非常重视安全隐私问题，提升三星产品的安全性并最大限度地降低终端消费者的风险，三星正为符合条件的安全漏洞报告提供奖励计划。 不过，三星表示，它不会为导致应用程序崩溃而无漏洞的缺陷支付奖励。当然，发现漏洞者不应该将漏洞发布给公众，而是私下报告给三星，待三星检查证实后再决定是否应付款。 稿源：cnBeta，封面源自网络；

据外媒 9 月 6 日报道，继美国私人安全公司 TigerSwan 9,400 份雇佣简历在未受保护的 AWS 数据库上泄露后，安全公司研究人员 Kromtech 再次曝光另一起 AWS 存储数据泄露事件 —— 知名云服务供应商 BroadSoft 未妥善保护时代华纳托管在亚马逊存储服务器的数据，导致逾 400 万客户信息在线泄露，其中包括客户地址、账户设置、电话号码、用户名、MAC 地址、调制解调器硬件序列号等敏感信息。 BroadSoft 是一家知名云服务企业，其上市公司在 80 多个国家拥有逾 600 家服务供应商。BroadSoft 合作伙伴通常与通信、电信、媒体或其他领域的知名企业有关，其中包括时代华纳、AT&T、Sprint、沃达丰等大型公司。此外，在全球排名前 30 的服务提供商中，有 25 家都使用 BroadSoft 基础设施。 调查显示，研究人员 Kromtech 于 8 月底针对该公司基于云服务存储数据库进行安全检查时发现，管理人员因配置错误未关闭服务器公共访问权限，导致任意用户均可匿名访问。因此，攻击者只需使用匿名登录就可从该数据库中窃取想要信息。目前，BroadSoft 并未作出任何置评，而时代华纳在事件发生后当即通知受害用户并告知供应商删除所有数据记录。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，赛门铁克于 9 月 6 日发布安全报告，宣称欧洲与北美能源部门似乎正面临俄罗斯黑客组织 “ 蜻蜓（Dragonfly）”全面攻击风险。调查显示，目前已有数十家境外基础设施遭到黑客针对性攻击，其中多数位于美国。 黑客组织 “ 蜻蜓 ”（又名：“ Energetic Bear ” 或 “ Crouching Yeti ” ）自 2011 年以来一直处于活跃状态，但研究人员表示该组织从 2014 年被曝光后隐藏近两年，随后于 2015 年年底通过部署大规模网络钓鱼邮件复苏并开始展开新一轮攻击活动。据悉，黑客组织 “ 蜻蜓 ” 此前曾依赖暗网中的自定义恶意软件感染目标系统，窃取受害用户重要数据。 调查显示，黑客组织 “蜻蜓” 于 2016 – 2017 年进行了一起以 “ 能源企业发展 ” 为主题的恶意电子邮件分发活动，旨在窃取用户敏感数据。今年，赛门铁克观察到，该组织使用了一款名为 “  Phishery ” 的工具包，而该工具包自去年以来一直于暗网公开发售并允许黑客在用户不知情下入侵目标系统。近期，美国、土耳其与瑞士等多国基础设施疑似遭该黑客组织攻击。 据悉，虽然黑客现已成功控制多数受害系统，但研究人员尚不清楚攻击者最终目标或真正意图。不过，根据黑客长久的控制操作可以推测，攻击者具备政治动机，与早前乌克兰电厂攻击活动存在异曲同工之处，尽管二者之间无明确关系。 目前，虽然研究人员尚不了解该黑客组织真实背景，但他们发现该组织通常使用公开出售的恶意软件或黑客工具包，以便隐匿自身行踪。此外，赛门铁克表示，攻击者最初入侵目标组织系统仅是收集有关资料，以便规划未来网络攻击活动策略。虽然赛门铁克当前并未发布受害者详细信息，但他们指出该黑客组织通常导致能源公司出现电力中断或电网关闭现象。不过，研究人员表示，“黑客完全接管国家关键能源系统”的 “噩梦” 目前也只是推测和理论。 原作者：Jason Murdock， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接