FreeBuf早报丨美设立新任务小组以应对俄罗斯对2020年大选的干预问题;安全漏洞导致Suprema Biostar 2百万人指纹数据曝光;卡巴斯基杀毒软件会泄漏用户ID – 作者:Karunesh91

【全球动态】

1.Twitter测试新功能,利用机器学习技术过滤不相关内容【阅读原文

Twitter今日表示,该公司正利用机器学习技术来过滤一些不相关的内容, 以便用户关注特定主题,并查看高质量的帖子。早在2015年就有分析师指出,在Twitter上关注话题是一种混乱的体验。Twitter产品主管凯文·贝克普尔(Kayvon Beykpour)称,Twitter的Android App的一些用户已经在测试这项新功能,并将在今年年底向所有用户发布。

2.苹果再陷官司,双摄像头iPhone被诉侵犯10项专利【阅读原文

据外媒报道,以色列摄像头技术公司Corephotonics日前针对苹果提起诉讼,指控苹果故意在其最新款iPhone上使用Corephotonics已申请专利的双摄像头技术,然后试图用大致相似的知识产权文件进行掩盖。Corephotonics向美国加州北区地方法院提起诉讼,称苹果侵犯了其10项独立专利,包括在手持设备上部署双摄像头系统的方法,以及与先进成像硬件相关的技术。苹果的iPhone 7 Plus、iPhone 8 Plus、iPhone X、iPhone XS和iPhone XS Max,以及配套的成像功能,都被列为侵权产品。

3.美设立新任务小组以应对俄罗斯对2020年大选的干预问题【阅读原文

NSA局长、美国网络司令部司令保罗·中曾根(PaulNakasone)于当地时间周三表示,为了重点应对俄罗斯对该国2020年美国大选的干预问题他们已经成立了一个特别工作组–Russia Small Group。据悉,该机构将吸取美国情报机构在网络空间打击ISIS的经验教训。另外,该小组还将试图复制其在2018年选举中所取得的成功。中曾根表示,这表明美国在网络空间的对手应该认真对待他们的能力。

4.北京将允许外资提供网络视听节目服务【阅读原文

据新京报消息,北京市公布服务业扩大开放综合试点重点领域开放改革三年行动计划。互联网信息领域三年行动计划推出16项开放改革措施。在增值电信业务中,争取更加开放的政策措施落地北京。推动工信部在示范园区放宽国内互联网虚拟专用网业务(VPN)外资准入条件,外资企业开展VPN业务,试点开放外资股比不超过50%,吸引海外电信运营商为在京外资企业提供专属互联网虚拟专用网落地服务。

5.微软:暂不会停止对Skype和Cortana对话的人工审查【阅读原文

Vice Motherboard网站上的一份报告显示,微软正在通过人工承包商来监听Skype翻译和Cortana的语音对话。虽然微软并不是唯一一家使用人工承包商来改进语音识别技术的公司,但问题是这家公司没有在其隐私文件中明确指明这点。而被公布之后这家软件巨头公司在其隐私政策以及Skype和的支持页面上承认了这点。微软解释了什么样的音频内容会被收集以及如何被使用。可能包括微软职工和供应商的转录录音,但会受制于为保护用户隐私设计的程序,包括采取措施去标识化数据、需要跟供应商和职工达成保密协议并要求供应商遵守高隐私标准的欧洲法律和其他规定。

【安全事件】

1.苹果宣布WebKit跟踪预防策略,更妥善保护用户隐私【阅读原文

苹果WebKit团队本周发布了“WebKit Tracking Prevention Policy”(WebKit跟踪预防策略),详细说明了网页追踪技术对于用户的害处,并表示在其浏览器引擎中部署这项技术以阻止此类活动。WebKit跟踪预防策略涵盖了WebKit防范的跟踪类型,替代跟踪对策以及引擎如何处理跟踪预防的意外后果。该文档列出了许多已知的跟踪技术,包括跨站点跟踪,状态跟踪(如cookie和其他基于存储的方法),隐蔽状态跟踪,导航跟踪(如基于URL参数的跟踪或链接修饰,指纹识别和隐蔽跟踪)。

2.上海破获一特大网络交友诈骗案,200多人被押解回沪【阅读原文

据上海市公安局官方微博消息,8月14日22时许,一列来自湖南的动车缓缓驶入上海虹桥火车站,200余名涉嫌网络诈骗的犯罪嫌疑人在上海市公安局青浦分局民警的押解下依次走下火车。至此,在湖南警方的大力协助下,上海警方成功破获一起特大网络交友诈骗案。一个多月来,专案组在上海、湖南、山东、浙江、江苏等地共捣毁诈骗团伙窝点10余处,抓获犯罪嫌疑人300余人,初步查明的涉案金额超过千万元,有力地打击了违法犯罪分子气焰,从源头上痛击了网络诈骗犯罪。

3.安全漏洞导致Suprema Biostar 2百万人指纹数据曝光【外刊-阅读原文

据悉,研究人员在Suprema的系统中发现了一个安全漏洞,使之能够访问超过100万人的身份验证数据。英国《卫报》指出,这些数据包括了指纹/面部识别数据、未加密的用户名和密码、甚至员工的个人信息。以色列研究人员Noam Rotem、Ran Locar与vpnmentor一起寻找到了Suprema的安全漏洞,并且获得了Biostar 2数据库的访问权限。在获得访问权限后,安全研究人员发现该数据库缺乏应有的保护,且大多数据处于未加密的存储状态,很容易访问到总量超过2780万条(23GB+)的记录。除了敏感信息,安全研究人员还能够轻松监控存储的生物识别数据的实际使用情况。比如实时查看哪个用户通过特定的安全门进入任何设施,甚至查看到管理员账户的密码。

4.微软已阻止装有不兼容杀毒软件的Windows 7设备安装更新【阅读原文

今年2月15日,微软官方发布警告要求Windows 7和Windows Server 2008用户启用SHA-2支持,以便每月接收Windows更新。现阶段Windows更新都采用双重签名(SHA-1和SHA-2)以证明其真实性,不过微软计划放弃SHA-1,之后仅使用更安全的SHA-2。微软表示已经暂时对那些具有不兼容版本赛门铁克以及诺顿软件的设备进行保护措施。

5.微软CTF协议曝出漏洞,影响Windows XP发布以来的所有系统【外刊-阅读原文

Google Project Zero安全团队的研究员Tavis Ormandy报告,微软鲜为人知的CTF协议存在漏洞,很容易利用,已在受害者计算机获得立足之地的黑客或恶意程序可以利用该漏洞劫持任何Windows应用,接管整个操作系统。漏洞在于CTF服务器和客户端之间通信是不安全的,没有正确的身份验证。攻击者可以劫持另一个应用的CTF会话,伪装成服务器向客户端发送指令。如果应用运行在高权限上,攻击者可以控制整个操作系统。漏洞影响到XP以来的所有Windows 版本,不清楚微软是否或何时会释出补丁。

6.第一资本银行的黑客还窃取了另外30家公司的数据【外刊-阅读原文

前亚马逊AWS雇员Paige A. Thompson上个月底遭到逮捕,被控从第一资本银行窃取了一亿多用户的数据。本周递交到法庭的诉状显示她还窃取了另外30家公司的数据。检察官Brian Moran在诉状中没有披露这些公司的名字,只是表示目前对数据的分析显示不包含个人信息。他称正在根据数据识别受害者,在受害者识别和通知之后他们预计会增加对Thompson的指控。据信Thompson没有分享或出售她窃取的数据。执法机构在搜查她的家时找到了数据拷贝。

7.卡巴斯基杀毒软件会泄漏用户ID【阅读原文

安全研究人员在测试卡巴斯基杀毒软件时发现它会以安全的名义在用户访问的每一个网页注入它的脚本,而这个脚本还带有唯一ID,这个ID在不同计算机上是不同的,也就是说它可以作为跟踪代码使用。研究人员将这一发现报告给了卡巴斯基。卡巴斯基承认了数据泄漏,它释出了补丁修复了编号为CVE-2019-8286的问题。这个补丁去除了唯一ID,留下了相同的ID,也就是说网站仍然会知道有安装了卡巴斯基软件的用户访问了。

【优质文章】

1.DDoS攻击Tor的成本分析【外刊-阅读原文

Tor是最流行的匿名通信系统,它被普通公民、记者和活动人士用于绕过审查和保护隐私,也被网络罪犯用于非法活动隐藏个人身份。它也日益成为破坏、审查和攻击的目标。有许多方法可以阻止用户使用Tor,如流量过滤、流量指纹、流量关联等等。在今天举行的USENIX安全会议上,美国海军研究实验室和乔治城大学的研究人员发表论文(PDF),探讨了利用DDoS攻击Tor降低其性能和可靠性的方法和成本。研究人员称,DDoS攻击比其它阻止用户使用Tor的方法更为简单和有效,可以很容易租赁第三方服务器完成,无需像网络大炮那样动用整个国家的出口流量去发动攻击。研究人员称,对网桥发动洪水攻击每个月的费用只需要1.7万美元,攻击TorFlow带宽测量系统每个月只需要2800美元,对所有中继节点发动拥堵攻击每个月只需1600美元。

2.网络攻击瞄准个人银行,谈谈5个典型攻击手段【阅读原文

在当今的数字时代,银行和金融服务公司为了提高竞争力,往往为客户提供了在线管理资金的便捷功能。但不幸的是,大多数银行平台都缺失安全设计,这导致黑客一直在利用这些潜在的隐患。这一切都是为了引导用户犯错,而网络钓鱼还只是电子银行时代应该防范的攻击之一。本文介绍了黑客通过用户攻击银行的五种方式。

3.【FreeBuf字幕组】HackerOne黑客马拉松大赛之新加坡H1-65【阅读原文

H1-65,HackerOne黑客马拉松大赛的第一次东亚之行便选择了新加坡,与此在新加坡同时举行的还有Black Hat Asia大会。作为亚洲经济“四小龙”之一,新加坡以华丽奢华在全球闻名遐迩,此次HackerOne比赛活动更是不虚此行。

4.重磅丨千万家庭的安全如何守护?「智能门锁安全分析报告」正式发布【阅读原文

人对于工具的情感是有一定倾向性,我对一把键盘珍爱有加,或许你对一款耳机爱不释手,但是似乎从来没有人对一把家用门锁厚加情怀,它就在那里,仅仅是在那里。就在2017年初,传统锁具的命运陡然驶入了快车道,以指纹锁为代表的“智能门锁”真正开始大规模落地,是年热度极速攀升,推动了门锁行业的转型和飞跃,几千年来人们对于门锁的刻板印象也在这两年里也发生了变化。“智能门锁”究竟该怎样定位?思来想去,也许它就是未来智能家居的窗口,用户追求智能化生活的入门指南。

5.云顶之役 |《2019年上半年云安全趋势报告》即将发布【阅读原文

2019年上半年,数字化转型的浪潮席卷全球,越来越多的企业开始应用云计算技术。云计算丰富的扩展性、便捷性逐步成为促进企业积极上云的驱动因素。在选择是否上云的过程中,安全是企业首要关注的问题,一方面,企业重视对自身数据在云端的安全性,另一方面,企业也担心自身业务的稳定性是否能够在云上得到保证。

《2019年上半年云安全趋势报告》基于互联网、产业互联网及相关领域在上云过程当中面临的安全态势、风险趋势、应对力量以及监管状态等进行了梳理,以期为行业提供阶段性的总结和建议,助力云上各方有策略的建立安全能力,更好应对安全风险。

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

来源:freebuf.com 2019-08-16 09:00:43 by: Karunesh91

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论