加拿大禁止在政府电话上使用微信和卡巴斯基
Hackernews 编译,转载请注明出处: 加拿大首席信息官认定微信和卡巴斯基应用程序对隐私和安全构成了不可接受的风险。 加拿大以隐私和安全风险为由,禁止政府智能手机和其他移动设备使用中国流行的即时通讯应用微信和俄罗斯平台卡巴斯基。 一份声明称,这些应用程序将立即从政府发行的设备中删除,用户今后也将被禁止下载。 负责加拿大联邦公共服务的财政委员会主席 Anita Anand 表示,加拿大首席信息官认为,这些应用程序“对隐私和安全构成了不可接受的风险”。 她补充说,没有发现任何违规行为,但这些平台在移动设备上的数据收集方法“提供了对设备上内容相当大的访问权限”。 Anand 总结说:“移除和屏蔽微信和卡巴斯基应用程序的决定,是为了确保加拿大政府的网络和数据安全,符合我们的国际合作伙伴的做法。” 在此之前,渥太华在2月份也禁止了政府设备上的 TikTok。 去年,乔·拜登总统撤销了前任唐纳德·特朗普以国家安全为由试图禁止TikTok和微信进入美国市场的行政命令后,甲骨文被委托存储美国用户所有的TikTok数据。 渥太华和北京之间的关系,在今年早些时候创下了新低。渥太华指责北京干预加拿大选举,并试图恐吓议员,导致今年5月一名中国外交官被驱逐出境。上周,加拿大政府警告称,一场与中国有关的“Spamouflage”虚假信息运动利用网络帖子和深度伪造的视频,试图贬低和抹黑包括总理 Justin Trudeau 在内的加拿大议员。 一项针对外国干涉指控的公开调查于9月启动,中国外交部驳斥了这些指控,称渥太华“混淆黑白,误导公众舆论”,并敦促加方尊重事实和真相,停止散布涉华谎言。 Hackernews 编译,转载请注明出处 消息来源:SecurityWeek,译者:Serene
“微信清粉”软件存风险 有用户中毒或被盗取个人信息
微信已经成了很多人的主要联系方式,很多场合下人们已经从留电话变为加好友。微信通讯录越来越长,但里面一些人却很少联系,于是,一种所谓“微信清粉”的服务应运而生,相信很多人都收到、看到过这样的信息,甚至是使用过这样的服务。然而您不知道的是,这种方式可能威胁到您的信息安全。 年恒是一位医务工作者,今年9月的一天,他突然收到一条令他意外的微信信息。 年恒:“我点开看了之后发现,是有一段时间没联系的一个老师,她发了一条微信朋友圈,说她最近使用了一个微信清粉的服务,非常好用,底下有一条链接。当时我看到这个消息的时候我也是非常奇怪,因为我印象中老师一般不会发这种消息。” 年恒向老师发微信询问事情的原委,对方回复说她是在一个微信群中看到了一个清粉二维码,考虑到自己微信中的好友人数非常多,确实想清理好友,于是进行了尝试。 年恒:“当时(老师)摁了一下二维码识别了之后,在她自己都不知道的情况下,就往朋友圈里面发了一些消息,同时还往群里面散布了这些消息,给她自己带来非常多的麻烦。那一天下午没有做别的,就一直在解释,说自己受骗了,是扫描二维码后自动发出的。” 采访中,不少微信用户都反映他们收到过好友发送的微信清粉链接或二维码。这些微信“清粉”链接,不仅会自动在朋友圈发送广告,还可能盗取用户的个人账号信息来售卖牟利。网友黄女士在消费投诉平台“聚投诉”上反映,今年5月她在使用“清粉”服务后,很快发现微信中有一笔自己并不知情的交易,对方是某网络游戏。继而她发现,在这款从未接触过的网游中,竟有自己的实名注册账号。 微信“清粉”实为控制账号 安全风险大 那么这种所谓的“清粉”服务究竟是如何进行操作的,又会给用户带来哪些信息安全隐患? 专家表示,“清粉”的原理是通过应用集群控制软件来控制待清理的微信账户,让该账户自动向其所有好友群发消息,再由群控软件根据“信息是否能够成功发送接收”来识别其中哪些是“僵尸粉”并删除。而无论是群发消息还是拉群,都需要用户通过扫描二维码来授权清粉服务的提供者登录网页版微信。而在这背后,潜藏着巨大的风险。 数字经济智库高级研究员胡麒牧:“第一个因为你授权给他,相当于他接管了你的账户,这样他就可以调取你的个人资料,包括微信的通讯录、聊天记录,还有你手机的通讯录、聊天资料、通讯录和你的一些资料,都有可能会泄露出去;第二个他通过占有你的一个账户,他去注册一些其他的账户去做一些事情,如果这些事情是违法的,就会对你个人的一个征信带来影响;第三个他可能会通过你的账户发一些比如诈骗之类的一些信息。” 全国首例“清粉”案告破 专家提醒扫码务必谨慎 近日,江苏南通市公安局对外披露,他们在“净网2020”专项行动中成功侦破一起利用微信“清粉”软件非法获取计算机信息系统数据的案件,5名涉案犯罪嫌疑人全部落网,这也是全国破获的首例利用“清粉”软件非法获取信息的案件。 在案件侦破中,江苏南通市公安局网安支队的民警发现,围绕“清粉”软件非法获取的用户信息已经形成了一个非法倒卖的黑色产业链。 江苏省南通市通州区公安局民警曹灿华:“犯罪嫌疑人在取得微信账号的控制权限后,借机非法获取用户微信群聊二维码信息,并将这些群聊二维码以图片形式保存在服务器上。” 随后,犯罪嫌疑人再将用户微信群聊二维码等信息倒卖给下游的诈骗、赌博等犯罪团伙。短短3个月时间,该犯罪团伙共非法获取用户微信群聊二维码2000余万个,均出售给了福建龙岩等地的诈骗赌博犯罪团伙,同时还为他人批量关注微信公众号和刷阅读量、刷赞,先后获利200余万元。 江苏省南通市通州区公安局网安大队副大队长徐辉:“从非法获取微信用户的相关个人信息到下游的广告、营销和其他网络犯罪,相关的网络黑灰产已经形成一个各环节相互独立又紧密协作的产业链。” 目前,5名涉案犯罪嫌疑人因涉嫌非法获取计算机信息系统数据罪均已被执行逮捕,案件在进一步办理中。律师表示,“隐蔽性、跨地域性、证据材料不易固定等”是整治此类乱象的难点,而这些特征也增加了用户维权的难度。 北京市京师律师事务所律师孟博表示,基于“清粉”软件所潜在的巨大风险,不建议使用此类“服务”,提升防范意识,保护好个人信息;不要轻易点击不明来源的链接、二维码;在对外转账时,提前多方核实。 我们也呼吁软件开发商应该更积极地承担起监管责任,想办法从源头堵住这类行为,避免用户遭受损失。 (稿源:央视,封面源自网络。)
漏洞中介为 Signal 、WhatsApp 和微信漏洞开出最高 50 万美元报价
根据 0day 中介公司 Zerodium 周三公布的最新收购报价,该公司向流行消息应用 Signal、FB Messager、iMessage、Viber、WhatsApp 、微信和 Telegram 的远程代码执行和本地提权漏洞开出了最高 50 万美元的报价。如图所示,该公司对 iPhone 越狱方法开出了最高 150 万美元(零用户交互)和 100 万美元的收购价。 这两个报价还是在 2016 年和 2015 年宣布的。对流行消息应用和默认电子邮件应用漏洞的高价悬赏显示了对移动用户的攻击正日益流行。去年,阿联酋被发现将以色列公司 NSO Group 开发的间谍软件秘密安装到该国人权活动人士的 iPhone 手机上,而根据NSO Group 的价格表,300个 许可证需要花费 800 万美元。 稿源:cnBeta、solidot,封面源自网络;