各位 Buffer 早上好,今天是 2018 年 12 月 7 日星期五,大雪。今天的早餐铺内容有:广州出现“隔空盗刷”案:芯片卡小额免密,被伪装POS机隔包盗刷;苹果发布iOS 12.1.1更新,修复了密码绕过漏洞、RCE漏洞等问题;澳大利亚的加密新规引发科技公司担忧;SNDBOX上线:基于AI构建的免费恶意软件检测平台;内部邮件披露:FB开发者明知高风险仍收集用户隐私以吸纳新成员。
广州出现“隔空盗刷”案:芯片卡小额免密,被伪装POS机隔包盗刷
靠一靠,钱就到手,最近南沙警方就抓获了一个犯罪团伙,用的就是这种手法。“我们现在很多银联卡都换成芯片卡的,芯片卡都默认会开通免密支付,也就是闪付功能,小金额的消费不需要输密码或者签名,pos机感应到芯片卡的这个闪付功能,就会自动消费的了。”所以这个犯罪团伙就是将一部设置好的pos机,装进一个比较薄的钱包里面,然后就寻找一些合适的下手对象。
找到合适的对象之后,就会靠过去感应一下。感应的距离,大概是5公分,因此一些女士的包包,或者男士贴身带的钱包,就很容易成为了他们下手的对象。由于免密支付最高限额是1000元,所以每次嫌疑人都是设定999以下,专门选择到人流密集场所逛街,就这样走一圈“收获”也不少。[来源:安全内参]
苹果发布iOS 12.1.1更新,修复了密码绕过漏洞、RCE漏洞等问题
今天,Apple发布了其核心产品的更新,涵盖iCloud、Safari、iTunes、macOS Mojave、High Sierra、Sierra、iOS 2.1.2快捷方式、tvOS 12.1.1以及iOS 12.1.1。本次发布的更新修复了大量安全问题,包括代码执行、权限提升和信息泄露漏洞。因此,如果您是上述任何产品的用户,则应尽快更新。
此外,iOS 12.1.1还修复了面容 ID可能临时无法使用的问题,修复了在“信息”中使用中文键盘或日文键盘键入时,可能无法显示预测文本建议的问题,并且解决了“语音备忘录”录音可能无法上传至iCloud的问题。[来源:bleepingcomputer]
澳大利亚的加密新规引发科技公司担忧
澳大利亚计划本周出台严格的加密新规,政府认为,假日季节期间,情报部门需要有更强大的力量来遏制激进分子袭击风险。在国会审议这项拟定的安全法案时,澳大利亚国家情报机构负责人 Duncan Lewis 对议员们表示,从恐怖分子角度来看,圣诞季向来是一个风险高点。他说,恐怖袭击策划者利用加密系统逃避侦测。对此科技公司持抵制态度,称他们有权保护客户隐私,而且调查人员提出的许多要求技术上并不可行。
2016 年 12 月,英国议会批准了《调查权力法案》,允许得到授权的安全部门侵入电脑,但未强制科技公司创建后门。澳大利亚的新提议被认为是建立在英国该法案的基础上,科技公司可能被要求新工具(后门),在必要情况下绕开安全限制、破解密码。澳大利亚执政的保守派政府已同意与主要反对党工党达成妥协,限制该法案的权力,将仅适用于最严重的犯罪情形,例如恐怖阴谋。 [来源:cnbeta]
SNDBOX上线:基于AI构建的免费恶意软件检测平台
在Blackhat Europe大会上推出了一款名为SNDBOX的新恶意软件分析服务,该服务利用人工智能和强化虚拟环境对恶意软件样本进行静态和动态分析。静态分析部分允许上传者查看提交文件的信息,如文件元数据、表单信息等。使用许多不同的工具和站点已经可以获得这些信息,SNDBOX提供的也差不多。动态分析部分是SNDBOX的真正力量发挥作用的地方。执行分析时,SNDBOX将跟踪创建的所有文件和进程以及任何系统API调用、注册表查询和更改以及WMI请求。
“网络”部分允许上传者查看运行示例时执行的所有网络流量。AI将查找任何异常信息并将其列在网络指示器下,这使地上传者可以快速发现罕见或不常见的网络流量。并非所有SNDBOX收集的信息都会显示在网站上。例如,HTTP请求的POST数据不会显示在仪表板中。不过上传者可以下载包含SNDBOX收集的所有信息的完整JSON报告。总的来说,SNDBOX是那些经常进行恶意软件分析的人或者那些在他们的计算机上发现可疑文件的人的理想工具。 [来源:bleepingcomputer]
内部邮件披露:FB开发者明知高风险仍收集用户隐私以吸纳新成员
今年3月,不少Android用户震惊地发现Facebook正在收集他们的电话、短信等历史记录;今天英国议会披露的Facebook内部邮件显示开发人员明知这些数据非常敏感,但他们仍倾向于将其收集起来以此帮助公司吸纳更多用户。这些电子邮件显示,Facebook的增长团队希望调用这些日志数据来改善Facebook的算法,并通过“你可能知道的人”功能来吸纳更多用户。值得注意的是,项目经理认为“从公关角度来说,这是一个风险非常高的事情”,但这种高风险似乎已经被潜在的用户增长所忽视。
起初,通常以应用内弹出对话框的方式要求用户选择加入。不过在者尝试探索各种方式来让用户注册的过程中,很明显利用Android的数据权限来自动注册新用户。在另一个邮件链中,开发该功能的小组将Android权限屏幕的作为不必要的摩擦点,并尽可能的避免。当测试过程中发现调用日志可以在没有权限对话框的情况下进行,开发人员随后就大肆利用这种方式收集用户信息。一位开发人员在邮件中写道:“基于我们的初步测试,在不会向用户发出Android权限对话框的情况下允许我们来升级用户。”在3月份爆发故事之后,Facebook坚称未经许可未收集任何通话记录,并且任何受影响的用户都选择加入该功能。这与许多Facebook用户的体验相矛盾,他们报告说,使用最少的权限安装Messenger,但仍然收集了日志。 [来源:cnbeta]
*Freddy编译整理,转载请注明来自FreeBuf.COM
来源:freebuf.com 2018-12-07 08:00:51 by: Freddy
请登录后发表评论
注册