Filippo Valsorda
0103-0109 一定要看的资安新闻
#勒索软件 #解密金钥公开
FilesLocker作者释出勒索软件解密金钥
甫于去年10月问世的勒索软件FilesLocker,作者在圣诞节版的FilesLocker中附上了解密金钥,研究人员Michael Gillespie则以此建立了解密机制,并与资安新闻网站Bleeping Computer合作,协助受害者解开遭到FilesLocker加密的档案。
过去也曾发生勒索软件开发者主动释出解密金钥的情况,当中有些是终止开发,有些则是因为版本更新。但FilesLocker作者在公布解密金钥时,文字档内附上“结束是另一个开始”的句子,专家认为,这透露出作者可能会开发其他专案。详全文
(图片来源)Bleeping Computer
#个资外泄 #Android
知名气象预报App惊传暗中搜集用户资料
根据华尔街日报报导,知名的Weather Forecast - World Weather Accurate Radar气象预报App,在未经用户同意下,搜集电子邮件、居住地点、及手机装置辨识码(IMEI)等详尽资讯,并且传到中国。
这款App由中国TCL通讯科技控股公司开发,号称可提供用户今、明两天,以及未来2周至3周期间内的精准气象预报。自2016年12月在Google Play上架以来,Weather Forecast下载次数超过千万,在美国是前20名的App,同时也在30个国家中,名列前五大气象App。
对于该气象预报App暗中搜集用户资讯,TCL曾表示Weather Forecast已拥有多项安全防护机制,不过后来又向媒体改口,他们正在评估委由安全顾问,为该公司App安全性提供检验。详全文
#间谍软件 #Android
MobSTSPY间谍软件伪装成合法App,196个国家受害
趋势科技在1月3日发布消息,指出2018年上架Google Play的App里面,有6款是由间谍软件MobSTSPY伪装而成,同时具备间谍及网钓能力,不只能搜集装置上的机密资料,还会以网络钓鱼手法,窃取使用者的Google与脸书凭证,受害者遍及全球196个国家。
这6款Android程式分别是Flappy Bird、Flappy Birr Dog、FlashLight、HZPermis Pro Arabe、Win7imulator,以及Win7Launcher,虽然上架的时间不到一年,但其中的Win7imulator全球下载数量超过了10万次之多。这些软件已经全数下架。详全文
#硬件装置安全 #物联网装置漏洞
骇客挟持众多连网装置播放特定YouTube影片
代号为Hacker Giraffe与J3ws3r的两名骇客,针对Chromecast、Google Home,以及智慧电视等连网装置,发动攻击,迄今已挟持逾6万台装置,并用来播放全球最知名的YouTuber:PewDiePie的影片。
除了播放影片之外,骇客也在电视上显示警告讯息,指出使用者的Chromecast及智慧电视已曝露于公开网络上,并且外泄了机密资料。这两名骇客表示,他们想要呼吁大家重视这种物联网装置的漏洞威胁,并且表明相关缓解措施,包含关闭路由器上的UPnP,以及停用8008、8443、8009等连接埠。而上个月曾挟持5万台打印机,并印出请大家支持PewDiePie的内容,正是Hacker Giraffe的杰作。详全文
#使用者验证 #CAPTCHA
unCAPTCHA再度攻破升级版语音reCAPTCHA
美国马里兰大学研究团队从去年打造unCAPTCHA,并宣称能破解Google语音版reCAPTCHA,近日再释出了unCAPTCHA 2.0新版,强化解析reCAPTCHA的准确度,从85.15%提高到90%。
语音版本reCAPTCHA专为视障人士设计,可在吵杂的背景环境中以不同的速度、音调或口音念出数字,并要求使用者填入听见的内容,在去年首度遭到研究人员破解之后,Google修正了reCAPTCHA,将语音挑战的内容,从数字改为短句。然而,马里兰大学因应Google的改变,释出了unCAPTCHA 2.0,同时进一步提升了准确率。详全文
(图片来源)马里兰大学
#硬件装置安全 #USB Type-C
USB组织推出USB Type-C验证方案
随插即用的USB装置虽然方便,却也暗藏安全风险,可能成为窃密或植入恶意程式的媒介。最近,USB Implementers Forum(USB-IF)便公布了USB Type-C Authentication验证方案,对于PC遭插入非法或恶意的USB Type-C装置及充电器的风险,可望降低。
这项方案的目的,是想要提供USB Type-C充电器、装置、USB线材,以及电源装置的验证标准,PC在准备插入USB装置或充电器时,借此判断这些装置是否经过认证、属于合法的解密装置。例如,在外旅行时,使用者若担心公共USB充电器有安全疑虑,那么手机可设定为仅允许经认证的USB充电器充电;再者,企业也可以在PC上,设定配置相关政策。
目前这项方案仍属鼓励性质,并非强制产品导入,但可望获得制造相关装置的业者支持。详全文
#逆向工程 #RSA大会
美国国安局将首度公开逆向工程工具GHIDRA
美国国安局计划于3月举行的全球资安大会:RSA安全会议上,首度公开名为GHIDRA反向工程工具,并以免费的方式于RSA会场提供。虽然,外界早已透过维基解密去年7月公布的Vault 7文件中,得知GHIDRA的存在,并且揭露了中央情报局(CIA)电子监控与网络战的情况,而GHIDRA正是由美国国安局提供给美国情报单位的工具。
GHIDRA可在Windows、macOS及Linux等平台上运作,并支援各种处理器的指令集,不仅含有与高阶商用产品相当的功能,同时具备美国国安局特别开发的能力。详全文
(截取自RSA网站)
#国家级攻击 #安全防护指南
美国反情报机构教企业如何防范国家级网络攻击
美国国家反情报与安全中心(NCSC)在1月7日发表“了解风险,提高防御”专案,释出了各种影片、手册、传单,以及海报等,以协助境内企业抵抗来自境外的国家级网络攻击。
NCSC主任William Evanina表示,美国企业向来是国家级骇客的目标,这些骇客经常入侵企业网络、窃取私有资料,还渗透企业的供应链,这类具备侵略性的持久攻击,让美国失去经济优势、工作机会,以及付出数千亿美元的成本,使得NCSC决定提供企业各种防御资讯。详全文
#网站凭证 #HTTPS
Mkcert让本地开发环境也能使用HTTPS凭证
网页应用程序于本地端开发环境测试时,多数仍使用HTTP,可能测试不出在HTTPS才会出现的臭虫,为此,Google Go团队工程师的Filippo Valsorda开发了Mkcert,期望解决上述现象。
当开发者安装Mkcert后,本机电脑会自动被设定为可信任,当浏览器载入由Mkcert执行个体产生的凭证时,就会在网址列上显示为安全。详全文
更多资安动态
●消费者控告Google Photos的人脸辨识侵犯隐私,遭法官驳回
●新版Android Messages应用程序开始部署垃圾讯息自动防护功能
●Android版Skype漏洞允许未经授权的骇客存取装置资料
●Zerodium出价200万美元征求iOS远端越狱程式
●疑通报漏洞不回应,都柏林电车网站遭骇
●针对法规遵循与资安,微软新添两项Microsoft 365订阅服务
●微软Project Bali让用户删除所有账号资料
●Google公布2019年资安趋势,骇客瞄准原生云端架构
●Nextcloud创办人预测:开源、结盟与自我托管技术将成2019年主流
●趋势提2019资安预测七大重点:资料外泄通报与网络钓鱼将大增
●广告软件冒充85款Android应用程序,900万用户恐陷盖版广告梦魇
●弱密码惹的祸!德国20岁学生入侵近千名公众人物账号并公布个资
●Yubico发表首款支援苹果Lightning界面的实体安全金钥
●G Suite通知中心更新,可主动通知企业内钓鱼邮件、资料汇出等安全事件
●微软今年开春安全更新首发,修补49个安全漏洞,含7个重大漏洞
●研究人员揭露利用操作系统页面快取的旁路攻击
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09