北京時間17日凌晨,據研究機構週一發表的研究報告,用於保護Wi-Fi網絡安全的保護機制已被黑客攻破,使他們可能監聽到通過接入網絡的設備進行的通訊交流。
WPA2是用於保護現代Wi-Fi網絡的安全協議。比利時魯汶大學的Mathy Vanhoef稱,黑客們已經找到一種操縱該安全協議背後的加密因素的途經。
報告稱,Wi-Fi安全漏洞源於安全標準本身,而非個體設備問題,但它會影響到連接到Wi-Fi網絡的設備。
Vanhoef稱,谷歌公司的安卓系統、蘋果公司的iOS系統以及微軟的Windows操作系統都會受到影響。
IOActive公司通過對21個最常用的投資交易類移動APP進行測試,發現大多數面臨着各種安全風險。
IOActive今天發佈的研究顯示,許多非常受歡迎的投資交易類APP都有漏洞,而人們每天使用這些APP進行股票買賣、監控頭寸以及其他交易。這些漏洞極易被利用來進行各種惡意的攻擊。
安全廠商IOActive最近檢測了分佈在Google Play和Apple Store的21個最受歡迎的交易類APP。用户可以使用這些APP做各種各樣的事情,包括買賣股票、開户、跟蹤股票交易以及創立特定閾值的警報。
IOActive在交易類APP中測試了一組14個安全控制,包括生物認證、加密、會話管理、客户端數據管理、安全數據存儲、日誌中的敏感數據和根檢測等。這些APP測試是在以下環境中進行的:裝有iOS 10.3.3系統的iPhone 6和裝有7.1.1 操作系統的Android設備。
IOActive的高級安全顧問Alejandro Hernandez説,這項研究表明,一些最知名和最常用的交易類移動APP甚至比一些個人銀行APP更加不安全,在2013年IOActive進行了類似的測試。
比如其中的四個APP,在手機的配置文件或者日誌記錄控制枱裏以明文存儲用户的密碼而沒有加密。大多數測試的APP沒有實現雙因素身份驗證,並且只需要將當前密碼鏈接到銀行賬户。
超過60%的測試APP以未加密的方式或者在日誌記錄控制枱中存儲數據,比如賬户餘額和投資組合。如果訪問的手機裏裝有易受攻擊的交易APP,那麼可以使用日誌數據進行各種惡意攻擊。“用户永遠不會看到日誌控制枱,但是對於具有手機訪問權的攻擊者來説,這是一個金礦。日誌文件中的數據也可以被其他應用程序讀取,包括惡意軟件,從而為遠程數據泄露打下了基礎。”埃爾南德斯説。
IOActive在測試的移動應用程序中發現的幾個弱點只能通過對其安裝的設備進行物理訪問來利用。 “另一方面,如果手機被盜或丟失,很容易提取有價值的信息,比如投資組合和資金餘額。”埃爾南德斯説。
其他漏洞可能被遠程利用。比如,兩個APP,使用不安全的HTTP通道來傳輸和接收所有信息,包括用户名、密碼和所有交易數據。埃爾南德斯説:“這可能會被中間的攻擊者利用,無論是在同一個WiFi網絡還是其他一些點(比如ISP中的一個受損的交換機或路由器)。”
在其餘19個使用安全HTTPS通道的應用程序中,13個沒有對與之通信的遠程服務器進行身份驗證。 “這被稱為SSL釘扎,如果沒有實施,遠程攻擊的機會更高,”埃爾南德斯説。例如,攻擊者有機會欺騙用户在他們的設備上安裝一個虛假的SSL證書,以執行“中間人”攻擊,他指出。 IOActive測試的十個應用程序已配置為執行JavaScript代碼,從而為攻擊者提供了一種觸發跨站點腳本攻擊的方法。
超過60%的應用程序具有敏感數據,列如加密密鑰和硬編碼在應用程序中的第三方服務合作伙伴密碼,而10個具有數據,例如內部主機名和應用程序開發或測試的內部環境的IP地址。
埃爾南德斯説:“這將使攻擊者瞭解這些經紀公司或應用程序開發公司的內部網絡配置。
IOActive已經向13家經紀公司發送了這份報告,其研究結果詳細介紹了交易類APP具有一些更高風險的漏洞。IOActive表示,迄今為止只有兩家公司作出了回應。
*原文鏈接:https://www.darkreading.com/vulnerabilities---threats/popular-mobile-trading-apps-riddled-with-vulnerabilities-security-firm-warns/d/d-id/1329986
*作者:Jai Vijayan
*來源:DARKReading
*北京鼎源科技翻譯組翻譯,如需轉載請註明出處
(2017-10-09)
蘋果在上個月發佈蘋果iPhone 8手機,這款新的iPhone手機問題不斷,蘋果iPhone 8手機遭遇了種種風波。從“專賣店無人排隊”到“退貨太多導致爆倉”,再到“蘋果股價暴跌”,甚至蘋果公司一向引以為傲的高品質也受到了諸多質疑——從“聽筒噪音問題”到“電池膨脹問題”。與此同時,現在最新的iOS 11還爆出安全漏洞。
騰訊安全旗下的微信公眾號日前發文稱iOS系統出現了兩個重要的安全漏洞!
蘋果公司的iOS 11系統相較iOS 10迎來多項重大更新,且可以支持自iPhone 5s以後的所有機型。在系統升級同時,蘋果公司在官網同步發佈了iOS 11以及Safari 11的安全更新,其中特別強調,蘋果已修復了騰訊安全玄武實驗室提交的兩大安全漏洞,併為此表示感謝。
根據媒體報道,騰訊安全實驗室此次發現的漏洞編號為:CVE -2017-7085。很簡單的來説,此漏洞是屬於URL欺騙漏洞,或稱是地址欄欺騙。當用户訪問某個網站,如果已經被黑客修改後,會生成一個界面一致但URL已被篡改的頁面,用户輸入用户名和密碼,就面臨被盜號的風險。不過,蘋果已通過相關舉措解決了用户界面不一致的問題,修復了該漏洞。
小蘋果我真為你急~
(2017-10-02)
日前,浙大教授徐文淵發表語音助手容易被黑客利用超聲波的手段進行操控的新聞受到大肆報道。據瞭解,這是由浙江大學電氣工程學院實驗室的徐教授團隊一個足夠讓你“傾家蕩產”的實驗。
該實驗利用超聲發射器來發射調製後的超聲信號,衝擊被測設備。然後通過設備端自身的錄音系統實現對Baseband信號的解調,從而實現對設備的控制。最終通過超聲波的方式遠程“控制”你的手機進行一系列的操作,實驗室將這種攻擊形式命名為“海豚攻擊”。
海豚攻擊
總的來説這個實驗主要有三個步驟,
第一,收集你本機的信號源樣本;
第二,通過信號發生器調製出超聲信號;
第三,利用功率放大器用來對超聲載波信號進行功率放大;
最後利用超聲揚聲器用來播放超聲信號進而對你手機進行操控。
也就是説,整個試驗,“海豚攻擊”所採取的“核心技能”就是超聲波。
實驗提及的簡化裝置
該實驗室稱,他們已攻陷了包括Siri、Alexa、Cortana、Google Assistant等知名語音助手,這讓大家對語音交互的安全性不免又增添疑慮。那麼作為國內知名的人工智能夥伴的咪咕靈犀是怎樣避免遭受海豚攻擊的呢?
讓我們先來看一下,咪咕靈犀的工作原理,以及超聲波的主要定義。
咪咕靈犀通過麥克風輸出的聲波喚醒以及聲紋識別對手機進行操作。而超聲波是指頻率20kHz~1GHz的聲波,也就是説“海豚攻擊”通過麥克風硬件的BUG採集聲波,然後再將人耳可以識別的聲波轉換為了人耳聽不見的超聲波,通過設備對頻次和頻率的調製,轉而攻擊你的手機。
我們可以看到,這個攻擊的BUG在於,它只能通過硬件的漏洞進行攻擊,同時對於設備要求也較高,最大的BUG就是實驗所使用的超聲波,如果頻率越高,穿牆性能會越差。“海豚攻擊”實驗裏最遠衝擊距離只有1.75m,對於大部分設備超過0.5m就不會有響應,因此對於放在家中的智能硬件設備是沒有任何影響的。
事實上,咪咕靈犀除了所有語音助手都需要的“裝備”麥克風外,還自備聲紋識別功能。
聲紋識別是用電聲學儀器顯示的攜帶言語信息的聲波頻譜。科學研究表明,聲紋不僅具有特定性,而且有相對穩定性的特點。成年以後,人的聲音可保持長期相對穩定不變。實驗證明,無論講話者是故意模仿他人聲音和語氣,還是耳語輕聲講話,即使模仿得惟妙惟肖,其聲紋卻始終不相同。基於這一特徵,咪咕靈犀很大程度上保證了你個人或家用設備不被“海豚攻擊”所威脅。
作為中國移動咪咕公司與科大訊飛聯合推出的人工智能夥伴,咪咕靈犀採用了科大訊飛的聲紋識別技術。在2008年6月,訊飛參加NIST(美國標準技術研究院)舉辦的説話人識別聲紋識別大賽(SRE)中,取得綜合評比第一的好成績。
因此,我們可以得出一個結論,在核心技術上,咪咕靈犀不會輕易遭受“海豚攻擊”的威脅,如果你仍然害怕受到“海豚攻擊”(雖然使用咪咕靈犀的你們不用擔心),希望緩解有關硬件的BUG,下面是咪咕靈犀給予的建議。
a) 再增加一個低通濾波器,進一步減少高頻成分的泄露。
b) 採用抗混疊更好的ADC,進行更嚴格的抗混疊測試。
c) 採用更高的採樣頻率,比如採樣率是16K的話,16~24K的信號就能混疊進來。如果採樣率是48Khz的話,要24Khz以上的信號才有可能混疊進來。實際上24Khz信號要發射和採集都要困難很多。
d) 採用動態的採樣頻率,讓攻擊者無法及時調整。
所以,通過聲紋+語音喚醒,咪咕靈犀完美解決了“海豚攻擊”,在為用户提供豐富生活服務的同時,保障了用户的信息及財產安全。
據瞭解,在安全性之外,採用全球最先進語音識別技術,還為用户提供了速記、翻譯、提醒、有聲內容等多維度智能成長服務,提供在翻譯上,已實現語音翻譯、文本翻譯、圖片識別翻譯等多種功能,支持英、日、韓、法、西等多語種翻譯服務。同時,在口語交流、出國旅遊等場景下也已達實用水平,特別是語音識別、方言識別和機器翻譯技術持續保持業內領先,完全可以滿足用户日常語言交流的需求。
咪咕靈犀不僅能聽懂人類説話,更可以“説人話”,其擁有的各種特色語音包還能為它賦予人格。它在依託了國內頂尖的人工智能技術和咪咕的海量內容資源的前提下,不僅滿足了商務人羣、娛樂人羣以及科技發燒友的各類智能需求,也讓用户在智能夥伴咪咕靈犀的陪伴下,可以不斷享受成長樂趣。
(2017-09-18)
據外媒報道,日前,美國聯邦貿易委員會(FTC)對外談及了正在展開的一項針對Equifax安全漏洞的調查。由於Equifax漏洞可能會影響到美國以及其他地區近1.43億名用户所以這次的漏洞事件性質極為嚴重。Equifax是美國三大信用報告公司之一,而在近幾日有消息曝出了該平台存在一個巨大數據漏洞。
黑客訪問了平台客户的社保號、名字、地址等大量敏感個人信息,這意味着他們極易受到身份盜竊或信用破壞的影響。
雖然FTC對調查的具體內容隻字未提,但從該機構自行公佈正在調查這件事情足以可見考慮到此次事件的嚴重性。“FTC通常都不會公開評論正在進行的調查。但是,鑑於公眾的強烈興趣和事件的潛在影響,我可以確認FTC工作人員正在調查Equifax數據漏洞。”
意料之中的是,Equifax開始受到一些法律訴訟,而這家公司似乎打算通過一項仲裁豁免條款來避開。另外,Equifax還建議客户暫時凍結他們的資產並且可能的話還可以考慮接受信用監控和身份盜竊保護服務。
(2017-09-15)