在 iPhone 和某些 Android 机型中首次运行应用程序的时候，在使用位置数据之前需要征求你的许可。其中有个选项是只允许本次运行启用定位服务，而不是永久授权该应用程序。但这样严苛的地理位置策略并不意味着就能妥善保护你的数据，尤其在 Android 平台上。近日一项新研究揭示了如何仅从位置信息中就推断出可怕的额外数据量，并提出了处理应用程序可访问的位置数据的新方法，从而更好地保护个人隐私。 来自意大利博洛尼亚大学的 Mirco Musolesi 以及来自英国伦敦大学学院的 Benjamin Baron 两位安全研究专家试图确认通过位置追踪能够收集多少用户个人信息。他们为此开发了一款名为 TrackAdvisor 的应用程序，安装在 69 名用户的设备上。该应用在每台设备上运行了至少两周，追踪了超过 20 万个地点。 该应用识别了大约 2500 个地点，并收集了 5000 条与人口统计学和个性有关的个人信息。TrackAdvisor 只需查看收集到的位置信息，就能推断出志愿者的健康状况、社会经济状况、种族和宗教信仰等数据。这就是用户会认为是敏感和隐私的数据。 Musolesi 在一份声明中说：“用户在很大程度上没有意识到他们授予应用程序和服务的一些权限对隐私的影响，特别是在涉及位置跟踪信息时。由于机器学习技术，这些数据提供了敏感信息，如用户居住的地方，他们的习惯，兴趣，人口统计学，以及用户的个性信息”。 作者表示，这是第一次广泛的研究，阐明了可以从位置跟踪中了解到什么样的信息。在新闻稿中写道：“因此，这项研究也表明了收集这些信息是如何代表侵犯用户隐私的”。研究人员表示，这样的研究可以为改进应用程序中的位置跟踪政策铺平道路，以更好地保护用户隐私。这将涉及更细化的隐私控制，允许用户选择哪些类型的位置信息不应该与应用程序共享。       （消息及封面来源：cnBeta）

据报道，硅谷顶尖风险投资公司红杉资本周五对投资者表示，在它的一名雇员遭遇网络钓鱼攻击后，该公司的一些个人信息和财务信息可能已被第三方窃取。红杉对投资者表示，目前还没有迹象表明这些被窃信息在暗网上交易，或者遭到不法分子利用。 红杉资本发言人周六证实，该公司“最近经历了一起网络安全事件”，其安全团队正在调查的此事。该公司表示，他们已经上报给执法部门，并且在与外部网络安全专家合作处理此事。 红杉发言人说：“我们很遗憾这次事件已经发生，目前已经通知了受此影响的个人。我们已经大举投资加强安全性，今后仍将继续应对不断发展的网络威胁。” 红杉的投资者被称作有限合伙人，通常包括大型金融机构、大学捐赠基金、私人家族理财室或主权财富基金，但风险投资公司很少会公开分享投资者的信息。 根据Pitchbook的数据，红杉资本是硅谷最老牌、最成功的风险投资公司之一，管理的资产超过380亿美元。这家拥有49年历史的风险投资公司已经投资了Airbnb、DoorDash和23andMe等公司。根据官网信息，它还投资了FireEye和Carbon Black等网络安全公司。 此次黑客入侵似乎与Solarwinds攻击无关，后者对FireEye构成较为严重的破坏，并对政府机构和微软等大型科技公司产生了影响。         （消息及封面来源：cnBeta）

去年 12 月，知名网络安全公司 Avast 在 Chrome 和 Edge 扩展商城上发现了 28 个含有恶意代码的扩展程序，有超过 300 万互联网用户受到影响。今天，Avast 进一步披露了该恶意代买 CacheFlow 的相关细节。所幸的是自 2020 年 12 月 18 日起，谷歌和微软均已将所有恶意扩展删除。 这些恶意扩展程序之所以能够躲避谷歌和微软严苛的安全审查，关键原因在于该恶意扩展会尝试使用分析请求的 Cache-Control HTTP 标头来隐藏其命令并控制秘密通道中的流量。Avast 认为这是一项新的技术。Avast 认为攻击者增加了 Google Analytics（分析）样式的流量不仅是为了隐藏恶意命令，而且扩展作者也对分析请求本身感兴趣。 Avast 认为攻击的步骤如下： 基于 Avast 的遥测数据，受影响最严重的三个国家和地区是巴西、乌克兰和法国。 这些恶意扩展程序伪装成工具，帮助用户下载 Facebook、Instagram 等社交媒体或 Vimeo、Spotify 等流媒体平台网站中的内容，但其中的恶意代码允许下载恶意程序来窃取用户敏感数据，重定向到广告和钓鱼网站。 Avast表示，这28个扩展包含可能执行一些恶意操作的代码，包括: ● 将用户流量重定向到广告 ● 将用户流量重定向到钓鱼网站 ● 收集个人数据，如出生日期、电子邮件地址和活动设备 ● 收集浏览历史 ● 擅自在用户设备上下载更多的恶意软件           （消息及封面来源：cnBeta）

安全公司 ESET 近日放出了一则警告，提醒一款被挂有木马的 OpenSSH 软件，或被用于从 HPC 高性能计算集群中窃取 SSH 证书。这款 Linux 恶意软件被称作 Kobalos，安全研究人员称之“小而复杂”且“诡计多端”。即使攻击规模不大，但 Kobalos 后门还是渗透了一些主要目标，包括美国政府、欧洲大学、以及亚洲某些大型互联网服务提供商（ISP）的系统。 参考希腊神话中一个顽皮的小动物，ESET 研究人员将这款恶意软件命名为 Kobalos 。但除了 Linux、FreeBSD 和 Solaris，安全专家还发现了能够在 AIX、甚至 Windows 平台上运行的恶意软件变种的蛛丝马迹。 通过逆向工程可知，Kobalos 能够在互联网上扫描受害者。而且在大多数情况下，受害者主要集中在大型系统和超级计算机领域（另有涉及部分私有服务器设施），但目前尚未揪出相关事件的幕后黑手。 过去一年，互联网上曝光了多起涉及 HPC 集群的安全事件。比如 EGI CSIRT 调查发现有计算资源被利用于加密货币的挖矿，受害者包括波兰、加拿大等地的受感染服务器。 新闻中还提到过英国的 Archer 超级计算机（其 SSH 证书被盗），但目前尚不清楚黑客利用哪些恶意软件对其发起了怎样的攻击。 ESET 研究人员补充道，尽管 Kobalos 的代码库很是精简，但却包含了用于运行命令和远程服务器控制的代码。 为缓解攻击，安全公司建议用户为 SSH 服务器连接同时启用双因素身份验证。 最后，ESET 将其检测到的这款恶意软件正式命名为 Linux / Kobalos（或 Linux / Agent.IV）。 而用于 SSH 证书窃取的程序，则被称作 Linux / SSHDoor.EV、Linux / SSHDoor.FB、或 Linux / SSHDoor.FC 。           （消息来源：cnBeta；封面源自网络）

根据区块链分析公司 Chainalysis 上周发布的统计报告，被勒索软件攻击的机构和组织在 2020 年至少支付了 3.5 亿美元的赎金。该数字是通过追踪与勒索软件攻击相关的区块链地址的交易来编制的。尽管 Chainalysis 拥有加密货币相关网络犯罪最完整的数据集之一，但该公司表示实际金额会超过这个预估值。 在报告中指出，2020 年勒索软件支付的赎金占加密货币总交易金额的 7% 左右。Chainalysis 表示，与 2019 年相比，这一数字增长了 311%，并将这一突然增加的原因归咎于一些新的勒索软件从受害者那里获取了大量的资金，以及一些已经存在的勒索软件提高了赎金金额。   在勒索黑客组织中，报告指出有Ryuk、Maze(现已解散)、Doppelpaymer、Netwalker(被当局破坏)、Conti 和 REvil(又名Sodinokibi) 等集团。尽管如此，诸如 Snatch、Defray777(RansomExx)和 Dharma，去年也获得了价值数百万美元的赎金。 Chainalysis 表示，它还追踪了犯罪分子如何通过区块链转移赎金。他们的发现与往年没有太大区别，他们指出，犯罪分子通常通过比特币混合服务进行洗钱，然后将资金送到合法和高风险的加密货币交易门户，将资金兑换成现实世界的货币。 但 Chainalysis 团队也证实了Advance Intelligence 上个月发布的一份报告，该报告发现，勒索软件团伙经常使用这些资金来支付其他网络犯罪服务。 Chainalysis表示，它也看到了向防弹托管提供商、漏洞销售商和渗透测试服务（也称为初始访问经纪人）支付的款项，因为勒索软件行动与他们的 “供应商 “打交道。           （消息及封面来源：cnBeta）

据外媒报道，虽然勒索软件仍是一个祸害，但现在也有一些好消息：受害者支付的平均金额在一年多的大幅增长后在Q4出现了下降。为什么呢？–因为越来越少的公司愿意屈服于赎金要求。来自网络安全公司Coveware公布的最新季度勒索软件报告显示，自2018年Q3以来，勒索软件的平均支付额持续上升，但在去年Q4下降34%，降至15.4108万美元。 与此同时，支付勒索软件费用的中位数也下降了55%，降至49,450美元。 一般来说，任何遭到勒索软件攻击的人都不被建议交出任何密码，因为这并不能保证作案者会交出加密密钥。似乎越来越多的公司开始听从这一建议。 该数据下滑的另一个原因则跟勒索软件攻击有关。犯罪分子威胁称，如果他们的要求得不到满足他们就会公布敏感信息。Coveware写道，这类攻击占Q4所有勒索软件攻击的70%，高于前一季度的50%。因为即使支付了赎金数据也会在网上泄露，所以很少有受害者会屈服于勒索。 在涉及数据被盗的案件中，只有60%的公司同意在Q4支付，低于第三季度的75%。 报告写道：“Coveware继续见证了被盗数据在付款后没有被删除或清除的迹象。此外，我们还看到一些组织在没有发生的情况下采取措施伪造数据外泄的样子。” 至于勒索软件的攻击载体，电子邮件钓鱼现在已经超过远程桌面协议(RDP)攻击成为最流行的网络攻击，其在Q4占比超过了50%。不过利用泄露的凭证的RDP仍非常流行，因为员工用户名和密码的勒索价低至50美元。 专业服务则是第二大最常见的勒索软件罪犯的目标行业–占比16.3%，仅次于医疗保健–占比17.9%。长期以来，医院和健康中心一直是犯罪分子认为他们更愿意掏钱的常见目标。随着疫情的蔓延，这些组织已经濒临崩溃的边缘，勒索软件的攻击则可能会造成生命的损失。             （消息及封面来源：cnBeta）

研究人员发现了一种软件供应链攻击，它被用来在在线游戏玩家的电脑上安装监控恶意软件。不明身份的攻击者针对的是NoxPlayer的特定用户，NoxPlayer是一个在PC和Mac上模拟Android操作系统的软件包。人们主要用它来玩这些平台上的移动Android游戏。NoxPlayer制造商BigNox表示，该软件在150个国家拥有1.5亿用户。 安全公司Eset周一表示，BigNox软件分发系统遭到黑客攻击，并被用来向部分用户提供恶意更新。最初的更新是在去年9月通过操纵两个文件交付的：主BigNox二进制文件Nox.exe和下载更新本身的NoxPack.exe。 Eset恶意软件研究员Ignacio Sanmillan表示：”我们有足够的证据说明BigNox基础设施(res06.bignox.com)被入侵以托管恶意软件，同时也表明他们的HTTP API基础设施(api.bignox.com)可能已经被入侵，在某些情况下，BigNox更新器从攻击者控制的服务器下载了额外的有效载荷。这表明，BigNox API回复中提供的URL字段被攻击者篡改了。” 简而言之，攻击是这样的：在启动时，Nox.exe会向一个编程接口发送请求，查询更新信息。BigNox API服务器会响应更新信息，其中包括合法更新的URL。Eset推测，合法的更新可能已经被恶意软件取代，或者，引入了新的文件名或URL。 然后，恶意软件被安装在目标机器上。恶意文件没有像合法更新那样进行数字签名。这说明BigNox软件构建系统并没有被入侵，只有提供更新的系统被入侵。恶意软件会对目标计算机进行有限的侦察。攻击者会进一步将恶意更新定制到特定的感兴趣的目标上。 BigNox API服务器向特定目标响应更新信息，这些信息指向攻击者控制的服务器上的恶意更新位置。观察到的入侵流程如下图所示。合法的BigNox基础设施正在为特定的更新提供恶意软件。我们观察到，这些恶意更新只在2020年9月进行。Sanmillan表示，在安装了NoxPlayer的10万多名Eset用户中，只有5人收到了恶意更新。这些数字凸显了攻击的针对性。目标位于台湾、香港和斯里兰卡。         （消息及封面来源：cnBeta）

虽然近年来受欢迎程度逐渐下滑，但不少系统依然依赖 Perl 编程语言。上周末 Perl 基础架构博客 Perl NOC 报道称，Perl.com 官网被劫持，不再指向它原本应该指向的地方。它不再指向 Perl 相关的新闻网站，而被指向了一个停车网站。更严重的是，它被用于分发恶意软件。 需要说明的是，Perl编程语言的官方网站perl.org仍然安全完整。不幸的是，Perl.com 也被用作通过 CPAN 分发模块的镜像或备份。换句话说，劫持者有可能利用这种联系来危害使用 Perl 和 CPAN 的系统。目前官方已经在进行收回域名的工作，不过目前还没有估计何时能恢复正常。同时，我们强烈建议不要访问perl.com，并从CPAN设置中删除它。       （消息及封面来源：cnBeta）

调查疑似俄罗斯黑客入侵美国财政部的当局报告称，该行动远远超出了SolarWinds的范围。据报道，2020年底，国家电信和信息管理局（NTIA）的黑客行为涉及利用许多系统的漏洞。并不像之前怀疑的那样，仅限于SolarWinds网络软件。 据《华尔街日报》报道，在所有黑客攻击的受害者中，有近三分之一的人并没有使用SolarWinds，也与该产品没有任何关系。国土安全部网络安全和基础设施安全局代理局长布兰登·威尔士表示，黑客使用的途径远比最初认为的要多。 “[攻击者]通过各种方式获得了对目标的访问权限，”威尔士在接受采访时告诉《华尔街日报》。”这个对手很有创意，需要弄清楚的是，这场运动不应该被认为是SolarWinds运动。” SolarWinds在全球拥有超过30万客户，其网络软件被美国财富500强客户中的412家使用。据报道，黑客利用SolarWinds技术管理软件规避了微软Office 365的安全认证。 “这肯定是我们追踪到的最复杂的黑客行为者之一，就他们的方法、纪律和他们所拥有的技术范围而言，”微软威胁情报中心经理John Lambert表示。 网络安全和基础设施安全局没有点名涉及的其他系统。但调查人员表示，此次事件表明复杂的黑客行为可以利用认证漏洞在不同的云账户之间移动。据报道，SolarWinds本身的调查人员正在研究微软云是否是攻击的最初起点。 “我们将继续与联邦执法部门和情报机构密切合作，调查这次前所未有的攻击的全部范围。”SolarWinds发言人说。           （消息及封面来源：cnBeta）

据外媒报道，美国和保加利亚当局本周查封了网络勒索软件犯罪组织NetWalker用来发布从受害者那里窃取的数据的暗网网站。而跟此次查封有关的是一名来自加拿大的公民，其被指涉嫌通过传播NetWalker勒索2700多万美元，目前在佛罗里达州法院受到指控。 etWalker是一个以勒索软件为服务的犯罪软件产品，其附属机构租用不断更新的恶意软件代码以换取从受害者那里勒索的资金的一部分。NetWalker背后的犯罪分子利用现已被占领的网站公布从他们的猎物那里窃取的个人和私有数据，然后以此作为公众压力运动的一部分说服受害者付钱。 NetWalker是最贪婪的勒索软件之一，根据追踪虚拟货币支付的Chainalysis公司的获取数据，它攻击了来自27个国家的至少305名受害者，其中大多数在美国。 这家公司在一篇博文介绍称，自NetWalker勒索软件于2018年8月首次出现以来他们追踪到4600多万美元的赎金，并且到2020年年中，赎金激增–平均赎金从2019年的1.88万美元增加到了去年的6.5万美元。 美司法部在一份声明中表示，NetWalker勒索软件已经影响了众多受害者，包括公司、市政当局、医院、执法部门、紧急服务部门、学区、学院和大学。像加州大学旧金山分校去年夏天就支付了114万美元以换取一把能够解锁被勒索软件加密的文件的数字密匙。司法部称：“在COVID-19大流行期间，攻击专门针对医疗保健部门以利用这场全球危机来敲诈受害者。” 美国检察官指出，NetWalker的主要成员之一是加拿大渥太华加蒂诺的Sebastien Vachon-Desjardins。从佛罗里达州公布的一份起诉书了解到，Vachon-Desjardins从中获取了至少2760万美元的金钱。 虽然美司法部媒体顾问没有提及被告的年龄，但2015年加蒂诺当地新闻网站ledroit.com的一份报告表明，这可能不是他第一次犯罪。据报道，Vachon-Desjardins在27岁的时候曾因贩毒被判过三年多的监禁：据报道，他被发现持有5万多片的冰毒药片。 据了解，NetWalker勒索软件联盟项目于2020年3月启动，当时犯罪软件项目的管理员开始在暗网上招募人员。像许多其他勒索软件程序一样，NetWalker不允许分支机构感染位于俄罗斯或任何其他独联体（包括大多数前苏联国家）成员国的系统。这一禁令则是由俄罗斯和/或其他CIS国家协调的网络犯罪行动制定的。         （消息及封面来源：cnBeta）