Yubico是一家为双因素认证物理安全密钥制造商，它今天宣布推出基于Lightning闪电接口的YubiKey设备，该设备旨在与Apple的iPhone和iPad配合使用。Yubico长期以来一直为PC，Mac和移动设备提供基于USB-A，USB-C和NFC的YubiKey选项，但这是第一次提供基于Lightning闪电接口的安全配件。 对于那些不熟悉YubiKey的人来说，它是一个基于硬件的双因素身份验证设备，旨在与数百种服务配合使用，使您的登录更加安全。它通常比基于软件的双因素身份验证更方便，因为不需要输入安全代码，用户只需连接它并点击进行身份验证即可。 这款名为YubiKey 5Ci的产品，于今年1月在CES上首次推出，一端配有Lightning闪电端口，另一端配有USB-C端口，因此可与Apple最新的iOS设备和Mac配合使用，但iPad Pro除外，因为它目前与USB-C端不兼容。 使用YubiKey 5Ci，用户可以使用硬件身份验证锁定其1Password，Bitwarden Idaptive，LastPass和Okta应用程序。目前，它还适用于iOS的Brave浏览器，验证来自Twitter，Login.gov，GitHub，Bitbucket，1Password等网站的登录。 例如，使用1Password应用程序，您可以使用YubiKey设置双因素身份验证，为您的1Password帐户添加额外的保护层。这将需要您的主密码和物理YubiKey解锁您的密码库，1Password应用程序指示您插入YubiKey并触摸侧按钮进行确认。那些对YubiKey 5Ci感兴趣的人可以从Yubico网站以70美元的价格购买这款产品。   （稿源：cnBeta，封面源自网络。）

《华尔街日报》称，美国联邦调查局目前正计划从Twitter、Instagram和Facebook等社交平台开始积极收集数据，这些平台似乎也与各自的隐私政策相冲突。尤其是Facebook，作为与联邦贸易委员会达成协议的一部分，它必须遵守一些限制，这些限制与它收集和处理用户数据的方式有关。 联邦调查局正在向第三方供应商寻求社交媒体早期警报工具，以缓解多方面威胁。该技术解决方案将用于主动识别和反应性地监控对美国及其利益的威胁。该请求是在最近在德克萨斯州和俄亥俄州发生的枪击事件发生前几周提出的，供应商要在本月底之前提交提案。Twitter的一位发言人告诉《华尔街日报》，其隐私政策明确禁止任何实体出于监视目的使用用户数据，或以任何与用户对隐私合理期望不符的方式使用用户数据。 从请求的措辞来看，该机构只寻求收集公开的数据，并打算在尊重公民自由和隐私保护的同时收集这些数据。美国联邦调查局表示，它将从公众档案中收集姓名、图片和身份证，并将它们与其他来源的信息以及在社交互动中标记特定关键字的算法结合起来。 大型技术平台拥有大量用户数据，人工智能工具可以比人类更快地进行筛选，但算法威胁检测可能会导致大量误报。联邦调查局表示，警报将由专门的人员团队处理，他们也可以调整算法频率。   （稿源：cnBeta，封面源自网络。）

北京时间8月14日早间消息，知情人士透露称，Facebook付费聘请几百名外部承包商，让他们转录音频片段，这些音频来自使用Facebook服务的用户。 一位因为担心丢掉工作而不愿意透露姓名的知情人士称，这份工作让承包商感到不安，他们不知道音频是在哪里录制的，Facebook又是如何获取的，他们只负责转录。知情者还说，承包商会倾听Facebook用户的对话，有时里面包含低俗内容，至于为何要转录这些音频，他们不知道原因。 其它科技企业也曾有过同样的行为，后来因为遭受批评而终止，Facebook证实曾经转录过用户音频，但是项目已经终止。Facebook在声明中表示：“就像苹果谷歌一样，在一周多以前我们已经终止人工音频审核工作。”Facebook还说，受到影响的用户在Facebook Messenger App中自愿选择，允许Facebook转录音频。承包商负责检查，看看Facebook AI是否能正确解读信息内容，这些信息以匿名形式存在。 亚马逊、苹果等大型科技公司也曾收集音频片段，这些音频来自消费者使用的计算设备，收集音频之后，科技公司再请人核查，这种行为因为涉嫌侵犯隐私招来批评。 4月份，彭博社报道称亚马逊组建一个团队，里面有几千名员工，他们遍及全球，负责倾听Alexa音频，亚马逊这样做主要是想改进软件；苹果Siri、谷歌助手也组建相似的人力团队，核查音频。 事件曝光之后，苹果、谷歌终止项目，亚马逊则说用户拥有选择权，可以允许亚马逊核查音频，也可以禁止。 Facebook并没有告诉用户第三方将会核查他们的音频，正因如此，一些承包商觉得自己的工作不道德。 知情人士透露说，加州圣塔莫尼卡(Santa Monica）的TaskUs公司是Facebook的承包商，Facebook是TaskUs最大最重要的客户之一，TaskUs禁止员工公开谈论自己为谁工作，他们用代号代表客户。 Facebook还让TaskUs审核可能违反政策的内容。在TaskUs内部本来有一些团队从事选举筹备、政治广告筛选工作，但最近其中一些员工转移到新成立的转录团队。 之前Facebook曾说过，会自动处理用户提交的内容和通信信息，分析语境，看看里面有什么。但Facebook从没有说过会请人筛选审核内容。Facebook承认自己与第三方分享信息，但它没有提到过转录团队的存在，它只是说会有一些承包商、服务提供商支持Facebook工作，为Facebook分析产品使用情况。 Facebook聘请人力员工分析录音，说明AI识别单词、语音模式时存在限制。机器的识别能力的确在增强，但有时还是会碰到麻烦。从2015年开始，Messenger用户就可以将音频交给Facebook，让它转录。当时负责Messenger业务的高管大卫·马库斯（David Marcus）曾说：“我们想尽千方百计，力求让Messenger变得更实用。”   （稿源：，稿件以及封面源自网络。）

为了能够让自动驾驶汽车根据路况做出自主决策，开发团队往往需要为其装备复杂的计算机大脑和丰富的传感器。上周末在拉斯维加斯举办的Defcon 27黑客大会上，安全研究人员Truman Kain通过研制的MOD将特斯拉Model S转换成为移动的监控设备。 这款MOD的组成基本上就是一台NVIDIA Jetson Xavier迷你电脑，通过汽车的USB端口进行连接，能够收集汽车周围看到的所有东西。利用Model S现有的Autopilot和哨兵模式（Sentry Mode），以及开源框架该MOD能够识别车辆型号，甚至能够收集和记录车牌信息。 或许很多人认为这个MOD并没有太大的杀伤力，不过安全研究专家Kain并不这么认为，他在Defcon 27黑客大会上现场演示了已经改装好的Model S，不仅能够识别车辆型号，识别重复出现的目标，标记看到对方所在的位置，从而了解更多有关车主的相关信息。   （稿源：cnBeta，封面源自网络。）

据外媒CNET报道，安全研究人员发现了一系列影响中兴通讯4G热点的漏洞，该公司还没有为所有受影响的设备提供修复。研究人员表示，安全漏洞可能让潜在的黑客将流量从热点重定向到其他恶意网站。 周六安全研究人员在拉斯维加斯举行的黑客大会Defcon上披露了这些漏洞。一位名为“Dave Null”的Pen Test Partners研究人员详细描述了中兴通讯的安全问题，以及他对该公司如何回应的担忧。 Null表示，漏洞很容易实现 – 攻击者只需要受害者使用中兴通讯的一个热点访问恶意网站。研究人员发现，热点模型会泄露设备的密码。 “所以你要求一把钥匙，它会返回价值，”Null在Defcon之前的一次采访中说道。“它几乎没有安全保障。” 一旦攻击者获得了热点的密码，就有很多选择可以进一步攻击。黑客可以开始记录一个人的网络活动，使用热点作为攻击与其连接的设备的方式，并将网络流量重定向到更多恶意网站。 例如，黑客可以将受害者从合法的银行网站重定向到虚假版本的页面，在那里他们可以输入财务信息而不知道他们的资料已被盗取。 中兴通讯在2月份发布了针对漏洞的安全通告，但仅针对其MF910和MF65 +产品。在其公告中，该公司没有发布修复补丁，称其在2017年9月停止了这两个4G热点，但确实修复了更新的MF920和MF65M2型号的漏洞。 目前这些已停产的型号仍然在该公司的网站上列出。 Null说道，这些漏洞可能适用于“MF”系列中更多的中兴通讯产品。他发现，由于它的许多设备共享相同的密码，除非它们被修复，否则它们会共享相同的漏洞。虽然中兴通讯认为MF910已经过时，但更新后的MF920型号存在同样的问题。Null询问了哪些其他热点会共享相同的密码，但中兴通讯拒绝提供这些信息。 “他们似乎并没有主动寻找对付漏洞，”Null说道。   （稿源：cnBeta，封面源自网络。）

在近日于拉斯维加斯举办的 Defcon 安全会议上，DARPA 设立了一台价值 1000 万美元的投票机原型，并欢迎各路人员寻找该机器的安全漏洞。然而由于一个意外的错误，导致大家难以向它发起测试。据悉，原因不在于研发团队花了四个月时间去完善机器的安全功能，而是因为机器在安装过程中遇到了技术难题。 （题图 via Cnet / Alfred Ng） 政府承包商首席科学家 Joe Kiniry 表示：由于机器配置错误，导致急切的安全大会参与者们无法访问这台原型投票机的系统，更谈不上为它发现漏洞了。Galois 带来了五台机器，但每台都在设置过程中遇到了问题。 Voting Village 联合创始人 HarrisHursti 称：“他们似乎遇到了无数种不同的问题。不幸的是，当你想要推动技术发展的时候，总会发生一些这样或那样的问题”。 直到周日早上“投票村”开放，与会者才终于有机会寻找这几台投票机上的漏洞。Kiniry 表示，其团队能够解决三个问题，并在 Defcon 大会结束前搞定后两个。 作为自 2017 年以来的一个保留项目，“投票村”场地旨在鼓励人们对大选用的投票机发起找茬活动。由于一些机器相当过时，有些黑客团队甚至能够在几分钟内发现漏洞。 随着 2020 美总统大选即将开启，人们对于投票机的安全意识也日渐提升。今年 3 月份的时候，Galois 获得了 DARPA 的 1000 万美元奖金，以打造一套能够防止被黑客篡改的开源投票机。 其原型机支持人们通过触屏进行操作、打印出他们的选票、并将之插入验证机器，从而确保投票的结果安全有效。尴尬的是，为了确保安全，原型机将外部接口都取消掉了，导致黑客无法展开必要的测试。 一台机器无法连接到任何网络，另一台没有运行必备的测试套件，第三台机器甚至无法上线。Galois 一直在 Defcon 上努力设置机器，但其对于周日的情况感到相当乐观。 对于 Galois 来说，较晚的起步确实令人失望。不过 Kiniry 表示：“这是我们在这些机器上获得可靠性的第一天”。 据悉，为了打造这套原型装置，开发团队回溯了过去 20 年来的投票机 bug，然后遵从国防部相应的安全标准来构建。 为了尽可能地完善原型投票机，Galois 甚至故意包含了一些漏洞，以了解系统是如何防范的。最后，该团队已经做好了在 2020 年重返 Defcon 的准备。   （稿源：cnBeta，封面源自网络。）

据外媒报道，安全研究人员发现，美国10个州的35个后端选举系统在过去一年的某个时候都已经连接到互联网上，这意味着它们面临着被黑客攻击或遭篡改的风险。另外研究人员还发现，选举系统的防火墙可能配置不当或不安全。 据悉，这些州使用的选举系统由美国最大的投票机公司Election Systems & Software（以下简称ES&S）开发。ES&S曾在最新的这次研究告诉媒体，这些系统不会连接公共互联网。然而就在研究结果公布后没不久，研究人员提到的一些网站被撤下，这也表明了研究人员得出的结论是有效的。 实际上，这并不是对ES&S的安全措施第一次提出担忧：去年，这家公司披露，他们在2000年至2006年期间在一些投票机上安装了远程访问软件。虽然报告中没有提供表明该系统或投票记录被操纵的证据，但这些未披露的漏洞仍旧引发了人们对美国投票系统安全性的质疑。 此外，这家公司出售的许多新投票机都没有跟上打击选举干预所需的严格安全措施。美联社最近的一篇报道指出，宾夕法尼亚州使用的许多新选举系统包括ES&S开发的系统都还在运行Windows 7系统。而我们知道，从明年年初开始，Windows 7将不再获得补丁或技术支持，届时微软将要求对更新需求收费。   （稿源：cnBeta，封面源自网络。）

北京时间8月9日早间消息，据路透社报道，苹果将向网络安全研究人员提供高达100万美元的资金，以鼓励他们寻找iPhone手机的缺陷，这也成为一家企业为防范黑客而提供的最高奖励。 与其它技术提供商不同，苹果此前仅向受邀的研究人员提供奖励，这些研究人员试图在手机和云备份中发现漏洞。 周四在拉斯维加斯举行的年度黑帽安全会议上，该公司表示将向所有研究人员开放这一流程，并增加了Mac软件和其他检测目标。 100万美元的奖金仅适用于无需手机用户的任何操作即可远程访问iPhone内核的漏洞。苹果之前提供的最高奖金是20万美元。他们会在收到报告后通过软件更新解决问题，避免将其暴露给不法分子。 政府承包商和经纪人针对最有效的黑客技术支付的最高金额已经达到200万美元，他们希望借此从设备获取信息。然而，苹果的最新奖金计划与承包商公布的一些价格处于相同区间。 苹果正在采取其它措施来简化研究难度，包括提供一些已禁用某些安全措施的改版手机。漏洞攻击的主要方式就是一些软件程序，借此利用手机其软件或已安装应用中的未知缺陷。 以色列NSO Group等许多私营公司都在向政府出售黑客攻击能力。   （稿源：，稿件以及封面源自网络。）

佛罗里达大学的一支团队，对黑客如何利用受害者的心理来实施网络电子邮件钓鱼一事，展开了比较深入的研究。结果发现，那些心情比较愉悦的人们，相对更容易被诱骗点击钓鱼链接。换言之，如果你的心情不太好，就会相对更少地上钓鱼邮件的当。 （图自：Google，via Cnet） 该校教授 Daniela Oliveira 与 Natalie Ebner 博士一起带领了这项研究，并在本周三于拉斯维加斯举办的黑帽网络安全会议上公布了他们的研究成果，此外谷歌反滥用研究团队负责人 Elie Burszstein 也出席了会议。 作为肆虐互联网的一大祸害，网络钓鱼攻击被黑客频繁使用，以期闯入各个机构内网、或获取密码等个人敏感信息。根据 Verizon 的年度报告，电子邮件是网络钓鱼的高发地、也是导致数据泄露的主要原因。 Elie Burszstein 表示，谷歌每天都会阻止大约 1 亿封网络钓鱼邮件，但欺诈者的变化实在太快，有些变种甚至只间隔了 7 分钟。 攻击者不断地改变和更新他们的设计，以使之发挥出最大的效率。其能够迅速适应较少的目标用户，使之很难被各种检测措施给发现。 鉴于网络钓鱼攻击的极度复杂性，除非启用多因素认证，否则绝大多数人还是很容易受到攻击的。亚马逊首席技术官 Werner Vogels 也曾在 AWS 峰会上表示：“总有愚蠢的人会去点击那个链接”。 然而 Daniela Oliveira 的研究表明，即便你点击了网络钓鱼链接，也不该被被愚蠢羞辱，因为这是“是个人就会犯的错误”。 在为期三周的实验期间，158 名参与者被告知他们正在参与一项有关‘人们如何使用互联网’的研究，且他们每天都会收到一封网络钓鱼邮件。 钓鱼邮件的内容，基于谷歌在网络上检出的真实案例，而研究人员会追踪他们是否点击了钓鱼邮件。结果发现，钓鱼邮件深深地利用了人性的弱点。 Daniela Oliveira 指出，钓鱼邮件依赖于人们在不假思索的情况下作出的快速决策，点击链接似乎成为了一种条件反射、而不是由基础的认知所决定的。 她表示：“我们很容易受到网络钓鱼的攻击，因为它会欺骗我们的大脑做出决策”。而在决策方面，人脑会通过两种方式来工作（参考双重过程理论）。 你的大脑会自动推进日常的活动，比如刷牙。而像购买房子这样的重大决策，则需要经过深思熟虑。以点击邮件链接为例，黑客主要利用了‘快速决策’这个人性的弱点。 谷歌反滥用研究团队负责人 Elie Burszstein 补充道：在美国、英国和澳大利亚的近半受访者中，约有一半互联网用户不知道什么叫‘网络钓鱼’。 这意味着在“防止网络钓鱼攻击”这件事上，谷歌面临着一场艰难的战斗。即便这家科技巨头千方百计地开展了宣传活动，实际效用依然惨不忍睹。 Oliveira 表示：“当你心情愉悦时，身体会自然地放松戒备。但在网络钓鱼面前，你并不需要时刻保持坏心情或紧张情绪。毕竟后台的保障措施，还是相对比较完善的”。   （稿源：cnBeta，封面源自网络。）

外媒报道称，微软悄然发布了一个提升 Windows 用户安全的补丁，修复了自 2012 年以来生产的英特尔 CPU 漏洞（涉及 Ivy Bridge 之前的芯片）。据悉，SWAPGS 漏洞有些类似于臭名昭著的幽灵（Spectre）和熔毁（Meltdown）芯片缺陷，由安全公司 Bitdefender 在一年前发现。在 BlackHat 安全会议上，其终于宣布已被修补。 （图自：BitDefender，via BetaNews） Red Hat 表示，其需要对 Linux 内核进行更新，以防止 SWAPGS 漏洞影响 Intel 和 AMD 芯片 —— 即便 Bitdefender 称未在 AMD 处理器上发现任何问题。 作为微软上个月的‘星期二补丁’的一部分，其彻底修复了 CVE-2019-1125 安全漏洞。Bitdefender 表示，旧款英特尔芯片可能也很脆弱，但目前尚无法证明。 该公司仅在数量有限的 AMD 处理器平台上进行了测试，因此无法知晓 Red Hat 的建议是否可信。这家 Linux 发行商称： 我已意识到另一个类似于 Vi 的攻击向量，这需要对 Linux 内核进行更新。此附加攻击的媒介，基于先前内核更新中提供的现有软件修复，仅针对使用 Intel 或 AMD 处理器的 x86-64系统。 该漏洞被命名为 CVE-2019-1125，评估等级为中等。无特权的本地攻击者，可借此绕过传统的内存安全限制机制，获得对特权内存的读取访问权限。 除了更新内核和重启系统，没有已知的完全缓解措施。在打上这个内核修复补丁前，请先修复幽灵（Spectre）处理器安全漏洞。 其建议客户采取基于风险控制的解决方案，来缓解 SWAPGS 处理器安全漏洞的影响。对于需要高度安全性和信任的系统，请将其与不受信任的系统隔离，直到完整修复补丁的出现。 需要注意的是，根据行业的反馈，我们不知道在基于 Linux 内核的系统上，是否有任何利用此漏洞的已知方法。 AMD 发表声明称：该公司已意识到新研究所声称的新型推测性执行攻击，它可能允许攻击者访问需要特别权限的内核数据。 不过基于外部和内部的分析，AMD 都不认为自家产品易受到 SWAPGS 变体攻击的影响，因为 AMD 产品在设计上就不会在 SWAPGS 推测新的 GS 值。 至于非 SWAPGS 类型的变体攻击，AMD 依然给出与幽灵（Spectre）及其衍生漏洞相同的修补建议。感兴趣的朋友，可以查看 Bitdefender 制作的概念解析视频。   （稿源：cnBeta，封面源自网络。）