苹果数据传输面临漏洞威胁: 新的 Wireshark 剖析器揭开面纱
新的Wireshark Dissector在社区内引发了极大的兴趣和讨论,研究人员对苹果数据传输过程的安全性表示担忧。黑客可能试图抓取包含与苹果iOS和iOS用户数据相关的敏感信息的网络数据包。 这种潜在的安全风险导致了一种新的Continuity Wireshark剖析器的开发,旨在抓取iOS设备在两个或多个设备之间进行苹果数据传输时的蓝牙协议数据。 Cyber Express团队已经就潜在泄露的问题与苹果公司进行了接触。然而,目前尚未收到官方回应。 新的Wireshark Dissector 苹果iOS设备以其与其他苹果设备的无缝整合和数据交换而闻名。这种苹果数据传输是通过iOS的iBeacon技术进行的,它允许设备之间进行无线通信。 由Guilherme Rambo(Insidegui)开发并在Netspooky/Dissector资源库中共享的 “Continuity “剖析器,专门用于分析iOS设备之间的苹果数据传输。 Wireshark是一个广泛使用的网络协议分析器,为安全专家提供了一个检查和剖析网络流量的高效工具。 Continuity Protocol Dissector增强了Wireshark的能力,允许分析人员检查广告信标的内容,并从苹果制造数据中提取有价值的信息。 据研究人员称,Continuity Protocol Dissector据称可以从外部接口捕获数据包,然后可以在以后使用Wireshark或tshark(Wireshark插件的命令行对应)进行分析。 为迭代更新做好准备 新的Wireshark Dissector在社区内引发了极大的兴趣和讨论,让人们看到了苹果数据传输过程中的潜在漏洞。 这个工具使安全分析人员能够使用Wireshark插件或其命令行对应的tshark进行蓝牙流量捕捉和分析。 通过利用这个剖析器,并使用显示过滤器 “acble “关注连续性协议数据,分析师可以更好地了解iOS设备之间的通信,并确定苹果数据传输中的任何潜在安全漏洞。 Continuity Protocol Dissector继续发展,定期发布更新,以解决协议中的变化和扩展,并支持新的消息类型。 虽然目前还在进一步更新中,但该剖析器为分析苹果BLE广告信标协议提供了大量功能。 要深入研究苹果连续性协议并分析苹果BLE广告信标协议,感兴趣的人可以访问Netspooky/Dissectors仓库中由Guilherme Rambo(又名Insidegui)维护的GitHub仓库。 通过随时了解情况并采取积极措施解决潜在的安全风险,用户可以帮助确保 Apple 数据传输过程的安全,并为更安全的数字环境做出贡献。 转自 Freebuf,原文链接:https://www.freebuf.com/news/365953.html 封面来源于网络,如有侵权请联系删除
拜登签署行政命令 制定新框架保护美国和欧盟之间的数据传输
据CNBC报道,白宫周五宣布,美国总统拜登签署了一项行政命令,以实施一个新的框架,保护美国和欧洲之间共享的个人数据隐私。新框架填补了大西洋两岸数据保护方面的一个重大空白,因为欧洲法院在2020年撤销了之前的版本。法院认为,美国有太大的能力来监视通过先前的系统传输的欧洲数据。 时任美国商务部副部长James Sullivan在裁决后不久的一封公开信中写道:“这个被称为Schrems II的法庭案件,对公司以符合欧盟法律的方式将个人数据从欧盟转移到美国的能力产生了巨大的不确定性。” Sullivan写道,这一结果使得美国公司需要临时使用不同的“欧盟批准的数据传输机制”,为企业带来更多的复杂性。 所谓的隐私保护2.0旨在解决欧洲对美国情报机构可能进行监控的担忧。3月,在美国和欧盟原则上同意新框架后,白宫在一份概况介绍中说,美国 “承诺实施新的保障措施,以确保信号情报活动在追求确定的国家安全目标时是必要和相称的”。 新的框架将允许欧盟的个人通过一个由美国政府以外的成员组成的独立数据保护审查法庭寻求补救。根据3月份的概况介绍,该机构 “将有充分的权力对索赔进行裁决,并根据需要指导补救措施”。 在提交给DPRC之前,美国国家情报总监办公室的公民自由保护官员也将对投诉进行初步调查。其决定也具有约束力,但须经独立机构的评估。 该行政命令指示美国情报界更新政策和程序,以适应框架中的新隐私保护措施。它还指示隐私和公民自由监督委员会(一个独立机构)审查这些更新,并对情报界是否完全遵守具有约束力的补救决定进行年度审查。 “欧盟-美国数据隐私框架包括加强信号情报的隐私和公民自由保障的有力承诺,这将确保欧盟个人数据的隐私,”美国商务部长吉娜·雷蒙多周四告诉记者。 雷蒙多说,她将把美国相关政府机构的一系列文件和信件移交给她的欧盟同行、专员迪迪埃·雷恩德斯,概述该框架的运作和执行情况。 白宫表示,欧盟随后将对这些措施进行“充分性鉴定”。它将评估数据保护措施的充分性,以恢复数据传输机制。 美国科技公司和行业团体对这一措施表示赞赏,其中Meta的全球事务总裁尼克-克莱格在Twitter上写道:“我们欢迎美国法律的这一更新,这将有助于维护开放的互联网,使家庭、企业和社区保持联系,无论他们在世界何处。” 行业组织TechNet的总裁兼首席执行官Linda Moore在一份声明中说:“我们赞扬拜登政府采取积极措施,确保美国和欧洲跨境数据流动的效率和效果,并将继续与政府和两党国会议员合作,通过一项联邦隐私法案。” 但一些消费者和数据隐私监督机构批评了数据保护的程度。 欧洲消费者团体BEUC在一份新闻稿中说,该框架 “很可能仍然不足以保护欧洲人的隐私和个人数据,当它跨越大西洋时”。该组织补充说,“在解决与个人数据的商业使用有关的问题方面没有实质性的改进,在这个领域,以前的协议,即欧盟-美国隐私盾牌,没有达到GDPR的要求”,其指的是欧洲的《通用数据保护条例》。 美国公民自由联盟国家安全项目的高级律师Ashley Gorski在一份声明中说,该命令 “走得不够远。它未能充分保护美国人和欧洲人的隐私,也未能确保隐私受到侵犯的人的诉求将由完全独立的决策者解决”。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1324705.htm 封面来源于网络,如有侵权请联系删除
FB、谷歌、微软和 Twitter 联合推出数据传输项目
讯 北京时间7月23日上午消息,为了各平台之间用户易于传输数据,四大科技巨头——Facebook、谷歌、微软以及Twitter——联合推出了一项名叫数据传输项目(DTP)的源代码倡议。 该项目能让用户在参与DTP的服务供应商之间自由传输数据,目前仍处于实施早期阶段,但有望促进尽可能多的供应商加入其中。 Facebook隐私和公共政策负责人Steve Satterfield在一次声明中表示,“今年,我们已经在隐私设置中进行了调整,用户可以更方便地找到并管理自己的数据。但是当你登录一项服务时,你要想使用另一款服务的数据还是不太方便。” “举个例子,你也许会使用一个公开分享图片的应用、和朋友分享近况的社交应用还有一个记录健身情况的应用。人们希望能传输不同服务上的数据,但是也希望这些公司能够帮助他们保护好数据安全。” 他指出,DTP项目将解决这些问题。 DTP会减少服务供应商以及用户两者身上的基础设施负担,从而提供更多的便捷服务。项目会利用服务已有的应用程序接口以及授权机制来获取数据,之后利用服务特定的适配接口来将数据转化为一种常见的格式,再发送到新服务的应用程序接口。 这一共有的框架能够将任意两个在线服务供应商连接在一起,实现平台之间数据无缝、直接且便捷的传输。 稿源:,稿件以及封面源自网络;
研究团队再发力 计算机磁场可用于隔空透传机密讯息
通常情况下,安全研究人员们会着重于查找通讯渠道的漏洞,比如网线、Wi-Fi 和蓝牙。然而近日,Mordechai Guri 映证了一种常规安全模型都无法抵御的另类数据传输 ——“隔空取信”(air-gapped)。其实在此之前,Guri 和同事们就已经利用过风扇和机械硬盘产生的噪音、空气温度改变的模式、甚至硬盘上闪烁的 LED 等“讯息”,来嗅探离线计算机上的数据。 不过这一次,研究人员们将方案拓展到了磁场上(Magneto)。作为其揭示的“最危险的技术”,其需要小心翼翼地协调计算机处理器的操作,从而创建出特定的电信号频率。 在故意这么做之后,就可以创建出一套可以用来向临近设备“隔空传输讯息”的磁场模式。Wired 指出,这种能够监听信号的设备,其体型可以像一部智能机那样微不足道(手机上的磁力仪通常用在指南针上)。 据悉,根据“手机”和计算机间距的不同,这种方式可以实现 1~40 bps(比特每秒)的数据传输速率。即便如此,它仍然快到可以在 1 分钟内窃取密码、或者在一个多小时内窃取一组 4096 位的加密密钥。 更惊悚的是,被其利用的磁力,可以强大到足够穿透法拉第笼这样此前被认为安全的金属屏蔽环境。 稿源:cnBeta,原文编译自 TechSpot;封面源自网络