1
想了解每周最有料的“黑客與極客”資訊,看 | 宅客精選 | 就夠了。
接廣告似乎是手電筒這類小工具 App 的生存之道,在 App 內做點推廣也無可厚非。但是最近安全研究人員發現,一款名為 Super-Bright LED Flashlight 的手電筒 App 會向用戶不斷發出提示消息,稱其所使用的手機可能感染了病毒,需要點擊鏈接下載一個殺毒軟件來清除病毒。
顯然,這是一個騙局,目的就是為了讓用戶下載一些來路不明的軟件。一些缺乏經驗的用戶可能會點擊下載鏈接,下載這個所謂的殺毒軟件。這些誘導下載的App,被安全專家稱作潛在惡意軟件(PUAs),因為它們通常帶有病毒。在最近谷歌發布的2015年度報告中顯示,谷歌手機應用市場中有百分之0.15的應用程序帶有惡意代碼。
據趨網絡安全專家檢測發現,這個手電筒應用已累計被下載600萬次,也就是說,已經有如此多的用戶公然被這個惡意廣告騷擾過,
早在2014年,就有安全研究院調查了這類手電筒下載的 App,發現其中一些會竊取用戶隱私,如手機定位信息、通訊錄以及短信內容等,這些信息不僅會被傳送到市場調查公司和廣告機構用來追蹤用戶的購物習慣,還有可能為詐騙團伙提供竊取用戶銀行賬戶信息提供便利。美國網絡安全公司SnoopWall認為,這類應用程序不僅在使用時,會竊取用戶數據,甚至當用戶退出后,手機仍會處于被偷聽狀態。
經典匿名網絡服務商 Tor 團隊最近幾年飽受 FBI 困擾。由于很多非法的交易和行為依賴 Tor 之上的暗網進行,所以為了維護愛和正義,FBI 不斷帶領頂尖的科學家對這種可以隱藏參與者身份的網絡進行技術對抗。
于是 Tor 團隊正在秘密研發新的黑科技,準備把這種匿名網絡做一次全方位的升級。這次升級的核心是隨機數算法。
在通信安全領域,由于要生成隨機、不可預測的加密密鑰,因此對于隨機數的應用是必不可少的。一旦獲得的隨機數是可以預見,甚至產生密鑰的范圍能夠被推斷出來的話,獲得的密碼便有被破解的可能。因此,對于 Tor 項目來說,獲得優質的隨機數字就變得至關重要。Tor 團隊現在致力于借助多臺計算機協作,開發出一種無人可以事先預測的方式來生成隨機數字,以此來加強網絡通信的安全性。
這種牛X的方案已于上周測試了11個節點的Tor網絡,團隊的童鞋表示,在這個網絡運行一個星期后,“才可以讓我們對協議是否存在缺陷以及不可預知的方案是否奏效等場景進行測試。”
通過測試,團隊發現這個方案并不完善,比如:在測試 Tor 節點時,會有被告知關鍵時刻協議終止的情況,以及響應時間不及時等問題。同時,當他們在測試節點上運行老版本的Tor,進行更不可預測的隨機行為時,通信數據甚至會出現消失的情況。
雖然目前這種隨機生成協議還在開發中,但 Tor 團隊和支持者都認為,通過不斷改進這套系統有望成為Tor的下一個版本,并且可從原來的16字符地址提升到55字符地址。如此一來,FBI 的破解對抗技術就又會被 Tor 甩掉幾條街。
如果一切順利的話,谷歌有望在今年年底前取消登錄Android應用密碼,改用更為先進的人工智能識別模式,比如今后登錄某款Android應用,將參考你的輸入模式、行走模式以及你的當前所處位置信息,看看你的“信任積分”是否足夠高。
上周,谷歌先進技術和項目(ATAP:Advanced Technology and Projects)負責人丹尼爾·考夫曼透露了這個叼炸天的 Project Abacus 測試項目。
考夫曼介紹稱,目前像在銀行或公司企業內,安全登錄賬戶時不僅僅需要用戶名和密碼,往往還需要通過短信或電子郵件輸入驗證碼,這種方式通常被稱為雙重認證。但目前谷歌正在測試一種新的賬戶登錄方法,即用戶解鎖設備或簽入應用時,將參考他們的累積的“信任積分”,這個積分可能包含來自多方面的信息,比如你的輸入方式,當前使用位置,錄入速度、語音模式、面部特征識別以及其他一些因素。
谷歌已在Android 5.0和更高版本實現了被稱為“智能鎖”的類似安全登錄技術,這種技術可讓用戶在可信位置處,或者通過藍牙連接其他可信識別,或者通過人臉識別等方式自動解鎖設備。而 Project Abacus 項目則略有不同,該項目運行于設備后臺,通過源源不斷地收集用戶使用習慣數據,從而對比形成當前登錄用戶的“信任積分”。如果“信任積分”足夠高,設備可以自動解鎖;反之,則要求用戶重新輸入密碼。此外,不同的應用程序登錄可能需要不同的“信任積分”,比如登錄銀行賬戶需要的“信任積分”可能會高一些,而玩手機游戲就不需要太高積分。
阿里云副總裁、首席科學家章文嵩從阿里云離職。最近他本人在微博上證實了這一消息。原文如下:
今天是在阿里的最后一天,在阿里的2438天里收獲很多很多,很榮幸有機會跟很多小伙伴們一起工作、學習和成長,感恩阿里!
章文嵩花名“正明”,2009年加入淘寶,任核心系統負責人,對淘寶的海量業務和基礎核心軟件做了很大的貢獻。2013年他主攻云計算,歷任阿里云飛天二部負責人、阿里云CTO、阿里云首席科學家。根據知情人士透露,章文嵩的下一站很可能是滴滴。
在Google Play上線的App,于2016年5月25日凌晨2點到4點陸續被下架,他們有著一個共同的特點,就是使用了國內著名 SDK 服務商“TalkingData”的服務。
根據相關的開發者透露,之所以自己的 App 被下架,是因為 TalkingData 的SDK包違反了Google Play的用戶隱私政策。
Google Play開發者政策中心將對用戶的“個人信息和敏感信息”有明確要求,如果開發者的應用會處理用戶的個人數據或敏感數據(包括個人身份信息、財務和付款信息、身份驗證信息,電話簿或通訊錄數據,以及敏感的設備數據),那么應用必須:
1、提供隱私權政策(以及任何形式的應用內披露聲明),以完整說明您的應用會收集、使用和分享所處理的任何用戶數據,應用會如何使用這類數據以及這類數據的分享對象類型等。
2、以安全無虞的方式處理用戶數據,包括使用新型加密技術(例如通過 HTTPS)傳輸數據。
TalkingData 官方就此事回應,稱主要是由于Play商店審核策略調整,已推出TalkingData新版定制SDK,僅限Play商店使用。
6、“領英”四分之一用戶信息落入黑客手中
最近,以竊取個人信息出名的黑客“Peace_of_mind”在暗網黑市“TheRealDeal”里“上架”了新貨:著名職場社交平臺領英(Linkedin)1.67億的用戶信息。準確地說,是167370910個個人數據。這么龐大的數據售價自然不菲,達到了5比特幣,相當于1.5萬人民幣。
根據領英最新的用戶數據資料,目前這個全球最大的職場社交網站擁有4.33億注冊用戶。也就是說,每四個用戶中,就有一個人的密碼被黑客掌握。
【黑客在 TheRealDeal 上發布的出售信息】
然而,這些數據并不是最近才被竊取的。早在2012年,領英就遭遇過一次重大的攻擊。而 Peace_of_mind 也直言不諱,表示這些數據就是當年那次攻擊取得的。事實上,當年在攻擊事件發生之后,隨即有650萬用戶信息被泄露在互聯網上,而領英當時保持了沉默,直到大家都漸漸淡忘這件事情,領英也沒有透露究竟這次數據泄露有多嚴重。
雖然這些用戶信息的密碼是以“SHA-1”的哈希加密的方式存儲的,但是安全人員表示,這些資料的存儲沒有“加鹽”,也就是沒有加入強混淆算法。對于這樣的數據,如果用戶密碼比較簡單,則黑客可能在一秒之內就破解。
勒索軟件 TeslaCrypt 于去年中開始肆虐,當受害者的電腦感染TeslaCrypt之后,它會把文件加密為 .xxx、.ttt、.micro和.mp3為后綴的文件。當然,在被加密之后你再也無法打開這些文件,如果你不付贖金的話。
但是,事情突然出現了轉折,因為 TeslaCrypt 從近期開始漸漸淡出黑客江湖了。有防毒軟件公司發現,開發者已停止 TeslaCrypt 的運作。然而,作為一個負責人的勒索者,他們居然在網絡上公開了之前勒索所使用的主密鑰,還發表了一份簡短的致歉聲明“we are sorry!”
有了這個主密鑰,安全人員就可以很容易地解鎖這個勒索軟件之前加密的所有信息。對于那些曾經被 TeslaCrypt 勒索的人來說,幸福來得有點突然,如果他們沒有一氣之下格式化自己硬盤的話。
【TeslaCrypt 發表的公開信】
安全研究人員隨后發布一個免費的解密軟件 TeslaDecoder。TeslaCrypt 有多個版本,早前已有針對舊版的解密工具。這次主解密金鑰公開后,TeslaDecoder 可以解決包括 TeslaCrypt 3.0 及 4.0 在內的所有加密行為。
說到黑客公布這個主密鑰,還是一個很有趣的故事:
殺毒軟件ESET的研究人員在這之前已經注意到TeslaCrypt似乎要關門,正在切換到其它勒索軟件,因此通過TeslaCrypt支付網站的聊天工具詢問他們是否能釋出主密鑰。出乎他意料的是,對方同意了。
然而這不代表 TeslaCrypt 的開發者金盤洗手,因為 ESET 的研究員稱他們轉而發布另一款勒索軟件 CryptXXX。不過 CryptXXX 1.0 和 2.0 的版本均已經被卡巴斯基破解。目測這群黑客正在開發新的加密勒索軟件,安全人員在密切監視中。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
