黑客可以把你的电话号码复制到一张新的 SIM 卡上，从而将你的号码据为己有，用来重置你的密码，窃取你的 Instagram 和其他服务的账号，并拿出去售卖换取比特币。正如 Vice 旗下 Motherboard 在周二发布的一篇痛心疾首的 文章 中所详细报道的那样，Instagram 账号特别容易受到攻击，因为该应用仅支持通过短信验证码登录，一旦电话号码被劫持，相关账户的安全性立刻将为零。 不过，现在 Instagram 向 TechCrunch 证实，他们正在开发一套配合 Google Authenticator 或 Duo（注：不是谷歌的聊天工具）这类安全应用使用的非短信双重认证系统。这套系统生成的验证码无法在其他手机上显示，这样即使你的手机号码被黑客复制到新的 SIM 卡上也没有关系。 多次向 TechCrunch 爆料的消息人士黄文津（Jane Manchun Wong）通过分析 Instagram 的安卓应用发现，其 APK 代码中暗藏着升级版双重认证的原型。在此之前，黄文津的爆料已经帮助 TechCrunch 率先报道了关于 Instagram 视频通话 、Usage Insights 以及 Stories 音乐功能 的消息。 当 TechCrunch 将截图展示给 Instagram 时，后者的一位发言人说，没错，他们正在打造一项非短信双重认证，并称：“我们正在持续提升 Instagram 账号的安全性，其中就包括强化双重认证功能。” Instagram 其实对用户账户保护一直不算特别上心，直到 2016 年才推出基于短信的两步验证，当时他们已经拥有 4 亿用户。在 2015 年 11 月，笔者写过一篇题为“说真的，Instagram 需要双重认证 ”的文章。蕾切尔·赖尔（Rachel Ryle）是笔者的一位朋友，她也是 Instagram 上颇有人气的定格动画制作人。赖尔的 Instagram 账号曾被黑客攻陷，这令她错失了一笔利润丰厚的赞助交易。Instagram 从善如流，在文章发表 3 个月后推出了基于短信的 基础版两步验证功能 。 但从那时起，SIM 卡复制和盗取也成了一个更常见的问题。黑客通常会打电话给移动运营商，使用一些社工手段冒充你的身份，或者贿赂内部员工来获取帮助，然后把你的号码移植到他们控制的 SIM 卡。正如 Motherboard 的文章所报道的那样，黑客这样做可能是为了窃取你的私密照片，偷光你的加密货币钱包，或者是转卖@t 或@Rainbow 这样的社交媒体靓号，总之他们有各种各样的动机去实施 SIM 卡移植攻击。如果你想知道应该如何保护自己的电话号码，可以参阅 这篇文章 。 但愿随着这种黑客攻击手法变得更广为人知，更多的应用能够引入非短信双重认证功能，移动运营商能够让移植手机号码变得更困难，以及用户能够采取更多措施来保护自己的账号。随着我们身份和资产的数字化程度越来越高，验证码和身份验证应用必然成为我们日常生活的组成部分，而不仅仅是门锁和家庭安全系统。   稿源：TechCrunch，翻译：王灿均，封面源自网络；

美国国会可能很快对一项新法案进行投票表决。该法案将使网络中立性变成法律，而不是美国 联邦通信委员会（FCC）每隔几年就会修改的一套规则。由众议员迈克·考夫曼（Mike Coffman）提出的“21 世纪互联网法案”将禁止对流量的拦截、控制、付费优先处理，并解决司法管辖权的问题。 该法案 于今天通过网络以及华盛顿特区的一场活动公布，将对 1934 年《通信法案》（在很大程度上根据 1996 年《电信法案》进行了补充）进行修订，并增加新的“第八章”，引入对互联网服务提供商的具体监管规定。 这将解决 长达数十年的争论 ，即互联网接入是“信息服务”还是“电信服务”。这是一种法律上的区别，FCC 将据此来收紧（前者）或放松（后者）对互联网服务提供商的约束。 法案并不争论 FCC 是否有权制定规则，也没有对规则本身进行讨论。该法案只是将目前的规定变成法律，并确定 FCC 是正式监管机构。 FCC 有权发起调查，采取执法行动，公布裁判决定，进行规则制定，并采取其他必要行动，以执行本法案的要求。 因此，这将不再是 FCC 是否想要制定网络中立性规则的问题。网络中立性将变成法律，执行网络中立性是 FCC 的职责。 对流量拦截、控制和付费优先处理的禁令与 2015 年的规定非常相似。法案甚至提出了“一般行为”规则，而许多人认为这样的规则过于模糊。这个包罗万象的规则指出，互联网服务提供商（ISP）“不可以不合理地干扰或阻碍”用户或边缘提供商获取或提供合法内容和服务。 由于不够具体，因此这意味着很多行为，例如零收费，可能是合法也可能是非法，需要具体问题具体讨论。这可能需要付出大量精力，但很难想到有更好的办法来应对 ISP 不断变化的策略。 有趣的是，该法案将要求 FCC 调查“不公平或欺诈性的行为和活动”。实际上，这通常是美国联邦贸易委员会（FTC）经常关注的问题，包括虚假广告、对产品的夸大宣传，以及诸如此类。可以认为，这是为了解决关于司法管辖权的争论，不过预计 FTC 仍将在这个方面发挥重要作用。 宽带服务提供商将可以从 FCC 的“普遍服务基金”中获得补贴。该基金的目的是协助 FCC 履行主要职责，即确保通信基础设施符合要求。尽管 FCC 可以要求 ISP 向基金出资，但 FCC 没有权力去管理收费，即要求 ISP 可以对哪些服务收费，哪些不能收费。令人担忧的是，根据 2015 年的规定，阻止 FCC 这样做的唯一办法是，FCC 自愿放弃这样的能力。 ISP 也不会被视为“普通运营商”。这样的定位将带来其他责任，需要受到额外监督。有些人可能会认为，这样的选择是切实可行的，即使并不完全正确：互联网服务提供商确实符合普通运营商的定义，但在进行这样的定义之前，需要证明“第二章”是否适用。这些条款授予 FCC 权限，执行 2015 年的规则。 这令人迷惑，对吧？然而，这项法律确实将突破过去几十年的许多障碍，制定用户能理解的“明线”规则。 谁会反对这项法律，原因是什么？当然，宽带服务提供商首先会跳出来说，这项法律没有必要，因为首先他们已经承诺会自愿遵守规则，其次这会阻止他们的创新。这样的创新从技术上看将违反规则，但却有利于用户的利益。但请不要搞错：这样的服务从来不曾存在过。唯一接近的是“零收费”，而这是个骗局。 请记住，宽带服务提供商也曾呼吁“监管的确定性”，而不是过去 5 年里那种不断拉锯的规则变化。 保守派人士可能会反对这项法案，因为法案扩大了监管，而不是缩小监管。这是个合理的立场，只要消费者同意。网络中立性规则起源于奥巴马政府，这意味着政党政治中有些政客也不会喜欢这个东西。 很难说某个法案是否会取得成功。无论如何，流程会非常缓慢，我们可能需要等待 1 年甚至更长的时间，才能在众议院看到法案被讨论。至于总统，很难说他会做什么，就像许多其他议题一样。尽管法案是由共和党国会议员提出的，但这并不意味着法案不会被否决。   稿源：TechCrunch，翻译：维金，封面源自网络；

Red Hat和CentOS社区本周宣布，面向Red Hat Enterprise Linux（RHEL） 7和CentOS Linux 7操作系统推出全新的内核更新来修复一个严重的BUG。之前在解决Spectre V4安全漏洞而发布的Linux内核更新中，RHEL 7.5和CentOS Linux 7.5被发现存在一个错误，连接追踪信息无法正常工作，导致连接丢失以及关于连接追踪相关的配置属性泄露到其他域名空间内的情况。 Red Hat在安全公告中写道：“此前，转发到另一个网络空间数据包的连接追踪信息并未正确清除。即使在新的域名空间内，这些数据包会标记旧域名空间的‘NOTRACK’，从而在新的域名空间中被排除连接追踪。因此根据网络域名空间的数据包过滤规则集，偶尔会发生数据接连丢失的情况。” 在RHEL 7系列最新版本中，Red Hat修复了这个问题。这些版本涵盖Red Hat Enterprise Linux 7 Desktop, Workstation and Server editions, Red Hat Enterprise Linux 7 for IBM z Systems, IBM System z (Structure A), POWER Big Endian, POWER Little Endian, ARM64, POWER 9, as well as Red Hat Enterprise Linux EUS Compute Node 7.5以及Red Hat Enterprise Linux for Scientific Computing 7。   稿源：cnBeta，封面源自网络；

数据显示，Chrome（Chromium内核）浏览器的全球用户量已经超过了10亿，牢牢占据No.1。 不过，Chrome早年一直背负着一个“槽点”，那就是内存占用量高，谷歌为此还做过针对性的优化。 据外媒报道，谷歌本周宣布Chrome浏览器实现了对Spectre（幽灵）漏洞的修复，这个旁路攻击漏洞来自处理器底层，影响包括Intel、AMD甚至ARM平台的大量芯片。 之所以浏览器也要加固是因为漏洞的执行依赖恶意代码加载到本地，而上网传播是最简单直接的方法。 修复了当然是好事，但谷歌软件工程师Charlie Reis确认，这种修复操作将在大型负载下多占用10~13%的运行内存。对于4GB以下的客户来说，绝非一件好事。 据悉，Windows、Mac包括Chrome OS平台的Chrome都在此次“修复”之列。   稿源：快科技，封面源自网络；

Intel的处理器也要开始定期打补丁了？Intel在美东时间周二发布了为应对潜在安全风险的缓解措施，共计13项。包括针对Spectre v1（幽灵漏洞，绕过边界存储）变体的补丁以及本地用户可以从内存泄露中读出BIOS和管理员密码的BUG（CVE-2017-5704，影响4~7代酷睿平台）等。 幽灵v1的变体是首次公开，允许恶意代码在Intel计算机上利用推测执行来潜在地改变函数，并将其他线程中返回的地址通报给被劫持的应用程序。 TheReg确认，这是Intel季度安全补丁的第一次集中发布，也就是说，Intel今后将按照季度为单位，集中进行安全补丁的释放操作，看起来非常像是“好队友”微软的Patch Tuesday（周二补丁日，即每个月的第二个周二进行系统补丁更新）。 当然，考虑到消费者很少有直接从Intel官网下载“补丁”的习惯，Intel的安全更新更多是联合合作伙伴一道发行。报道称，主板、OEM厂商在3月份就拿到Intel的这波补丁了，此间一直在进行部署测试。 年初，幽灵（Spectre）和熔断（Meltdown）漏洞在业内引发轩然大波，其中又以Intel产品“受伤最深”。 Intel推出季度安全更新计划一方面是为解决像幽灵这样底层级别漏洞的变体攻击，另外也是他们对安全问题采取新重视态度的表现。   稿源：快科技，封面源自网络；

美国和英国的税务机关领导并建立了一个旨在打击跨国金融犯罪的国际联盟，其中该联盟会针对加密货币税务犯罪。根据周二公告，新联盟“全球税务执法联合机构”（Joint Chiefs of Global Tax Exforcement，简称J5）由五国税务机构合作组成。它们分别是： 美国联邦国税务总署（U.S. Internal Revenue Service Criminal Investigation, IRS-CI） 英国税务海关总署（U.K.’s HM Revenue & Customs, HMRC） 加拿大税务局（Canada Revenue Agency, CRA） 澳洲犯罪情报委员会（Australian Criminal Intelligence Commission, ACIC）与澳大利亚税务局（Australian Taxation Office, ATO） 荷兰税务信息和调查服务局（Fiscale Inlichtingen- en Opsporingsdienst, FIOD） 根据公告，五个成员国政府将通过协同调查和执法行动，共同打击洗钱等跨境金融犯罪。 J5关注的焦点之一是日益增多且不受国界限制的加密货币。   J5官网显示： 我们将……通过国际合作，减少加密货币和网络犯罪对税务管理构成的日益严重的威胁，并充分利用数据和技术。 加拿大税务局局长Johanne Charbonneau补充说： J5的成立表明，全球各国政府致力于加强国际合作，坚决打击借助加密货币从事国际税务犯罪、金融犯罪、洗钱和网络犯罪的行为。此外，我们将分享集体努力的成果和经验，共同辨识和应对日益复杂的全球性骗局，以及促进这类项目的专业驱动因素（professional enablers）。 税务机构关注加密货币投资者 最近几个月，世界各地的税务机构都将注意力集中在加密货币上，这主要是因为许多在2017年牛市期间和之后获利的早期投资者并不没有很快向税务机构缴纳税收。 例如，在美国，美国国税局（IRS）已与区块链分析公司签订合同，用以识别未能上报交易利润，试图逃避纳税的加密货币投资者。同时，IRS将加密货币交易所Coinbase告上法庭，要求其上交客户数据。 尽管加密货币占全球金融犯罪的数量微不足道，但执法机构担心恐怖分子和其他犯罪分子会越来越多地利用这种新兴技术，筹集运营资金并确保资产免受政府扣押。 这并非各国第一次联合起来对抗加密货币的威胁。CCN曾报道过，在今年四月G20会议议程中，加密货币是讨论的重点。尽管当时未产生这种跨国合作的监管框架，但是已有几个国家开始呼吁。FIOD负责人Hans van der Vlist表示，J5在跨国协调监管上是独一无二的。 Vlist表示， J5的独特之处在于五国家联手合作，不仅能充分利用国际数据和技术，还能应对促进离岸税务犯罪、网络犯罪、加密货币威胁对税务管理的不利因素。   稿源：未来财经，封面源自网络；  

环球网科技综合报道，据《每日邮报》7月3日报道，现代智能手机的设计逐渐都转向了全面屏，然而这种设计的问题就在于该如何在手机上安置指纹扫描器。在全屏幕的iPhone X上，苹果完全放弃了扫描器，转而使用它的面部识别解决方案，即FaceID。与此同时，竞争对手一加手机则是将指纹传感器移到了手机的背面。 研究人员现在手机制造商提供了一个理想的解决方案，这要归功于一项新技术，该技术将整个显示屏变成了一个巨大的传感器。他们表示，研究结果与FBI设定的指纹识别标准相吻合，而这项技术可能在未来12个月内给上线。 来自韩国蔚山国家科学技术研究所的专家们开发了一种透明传感器，可以同时检测触觉压力和皮肤温度。研究人员称，检测热量和压力的能力确保了系统更安全。 超薄设计的秘诀在于创造出新的透明电极，这种电极基于一种相互连接的超长银纳米纤维和细银纳米线的网络。这些组件非常小，一旦嵌入到显示器中，它们就几乎是隐形的，而且能够同时保持足够大的电力来扫描用户的指纹以进行认证。 参与这项研究的Jang-Ung Park博士在接受采访时表示：“我们开发了‘透明’指纹传感器，旨在检测手机显示屏上的指纹。我们的指纹传感器达到了FBI设定的分辨率标准。” 人类的指纹由独特的脊状和谷状结构组成，检测指纹的一种方法是感知电荷的变化，这是由山脊和山谷之间的空隙造成的。然而，传统的透明材料——用于使现代智能手机屏幕触敏的铟锡氧化物(ITO)却无法胜任这项任务。ITO的电阻太大，它无法检测到指纹传感器所需电荷的微小变化。 研究小组通过将细银纳米线结合在一起解决了这一问题，这种纳米线具有良好的透明性，而银中纤维具有较低电阻。研究人员称，这种配置对电荷变化的敏感度是ITO的17倍。 这种柔性阵列也非常耐弯曲，使其在智能手机和平板电脑等设备上的应用会变得非常耐磨。   稿源：环球网，封面源自网络；

美国国家税务局（IRS）已与澳大利亚，加拿大，荷兰和英国的税务机关结盟，打击以加密货币和其他金融资产进行犯罪和洗钱。这项名为“全球税务执法联合主席（J5）”的共同努力将由来自五个国家的六个机构组成。 包括澳大利亚刑事情报委员会（ACIC）和澳大利亚税务局（ATO），加拿大税务局（CRA），荷兰的Fiscale Inlichtingen-en Opsporingsdienst（FIOD），英国的HM Revenue＆Customs（HMRC）和国税局刑事调查（IRS-CI）。 这些机构将分享信息和情报，进行联合调查，并试图提高业务能力，以开展针对国际犯罪的执法工作。美国国税局表示，J5将充分利用数据和技术，减少加密货币和网络犯罪给税务管理部门带来的日益严重的威胁。 J5成立是为了响应经济合作与发展组织（OECD）呼吁各国采取更多措施来解决税收犯罪的倡议。有组织的犯罪分子和税务欺诈操纵系统并利用漏洞谋取个人利益。 J5旨在打破这些障碍，成为一个具有前瞻思维的运营团体，给全球犯罪团体施加压力。值得注意的是，全球各地的当局都加大了打击加密货币相关犯罪的力度。 美国和欧洲当局最近在黑暗网络上没收了数百万美元的加密货币。美国司法部目前也正在调查加密货币市场操纵行为。法当局经常发现很难打击与加密货币相关的税务欺诈，因为它们很容易被国际转移。虽然加密货币交易并不完全是匿名的，但它们可能非常难以追踪。国际合作将使这些当局更容易打击加密货币犯罪。   稿源：cnBeta，封面源自网络；

外媒报道称，尽管苹果在 iOS 12 中引入了大量增强的安全特性，但是“安全码自动填充”功能还是将用户暴露于银行欺诈的巨大危险面前。在今年 6 月的全球开发者大会（WWDC 2018）上，苹果宣布了这项新特性。其旨在通过自动读取短信中的验证码，节省在 Safari 等应用中手动输入表单的麻烦，从而为用户带来无缝的注册流程体验。 乍一看，这是一项能够显著提升可用性的功能，但安全专家安德烈亚斯·古特曼（Andreas Gutmann）警告称： 这样的实现，最终更可能会对建议签名和交易身份验证码（TANs）产生影响。 换言之，银行用于身份验证和签署事务的安全系统，可能会在恶意和中间人等技术攻击手段面前失效： 让用户验证这一重要信息，正是出于安全的考量。移除这一过程，会使它变得无意义。 安全码自动填充功能给网银带来的安全风险例子包括： （1）在 MacBook 上通过 Safari 浏览器访问网银的用户，可能会受到中间人攻击； （2）如有需要，可注入必要的字段标签； （3）恶意网站或应用程序，可能借此‘合法访问’网银服务。 需要用户交互的手动验证步骤，是确保网络犯罪分子无法绕过银行部署的安全功能的必备条件。 值得庆幸的是，在 iOS 12 中，苹果还是鼓励用户启用‘双因素认证’，这使得通过短信发送的验证码会相对更安全一些。 另一方面，通过绕过人类手工的验证过程，iOS 12 的安全代码自动填充功能会使之变得毫无用处、容易让用户和银行都暴露于别有用心的攻击者面前。   稿源：cnBeta，封面源自网络；

讯 北京时间6月27日凌晨消息，WiFi联盟（Wi-Fi Alliance）周一宣布WPA3协议已最终完成，这是WiFi连接的新标准。 根据这种标准，新的WiFi路由器将可提供更强的数据保护，并可提高工作场所WiFi网络的安全性。在2018年早些时候，WiFi联盟宣布了WPA3协议的一些特点。 WiFi很容易被人熟视无睹，但通过WiFi网络传输的数据中有大量敏感信息，这就意味着无线连接的安全性是非常重要的。为了更好地保障WiFi用户的安全，新协议将令个人无线网络变得更难被黑客攻击。 WPA3协议可用于经过WiFi联盟认证的新路由器，具体要看各个厂商是否通过软件更新的方式在现有路由器上安装该协议。WPA3协议将取代“WiFi Protected Access 2”协议，也就是通常所说的WPA2协议，后者最早是在2004年推出的。在随后的十余年里，WPA2协议时不时地会发生安全问题，提醒人们不安全的WiFi网络会带来多么糟糕的结果。 最近研究人员发现了一个被其称为KRACK的漏洞，称其能让黑客在没有密码的情况下接入用户的WiFi网络。设备厂商已针对这个漏洞发布了补丁，而WiFi联盟要求所有新的路由器都必须进行测试以防止这个漏洞。 网络设备巨头思科等厂商已在周一发表声明，对WPA3协议表示支持。思科称，该公司不仅计划在未来产品中使用WPA3协议，还将寻找对现有设备进行软件更新以搭载新协议的方法。思科发表声明称：“WPA3计划将带来我们急需的无线安全升级，为消费者、企业和政府等各个层面的客户提供保护。” WiFi联盟营销副总裁凯文·罗宾逊（Kevin Robinson）称，对个人WiFi用户来说，哪怕密码并不是十分复杂难猜，这种新的安全保护也将可发挥作用。但尽管如此，他还是敦促用户要在设定密码时小心为上。他说道：“用户仍应选择难猜的密码，不该选择‘password’这样的密码。”   稿源：，稿件以及封面源自网络；