1
想了解每周最有料的“黑客与极客”资讯,看 | 宅客精选 | 就够了。
接广告似乎是手电筒这类小工具 App 的生存之道,在 App 内做点推广也无可厚非。但是最近安全研究人员发现,一款名为 Super-Bright LED Flashlight 的手电筒 App 会向用户不断发出提示消息,称其所使用的手机可能感染了病毒,需要点击链接下载一个杀毒软件来清除病毒。
显然,这是一个骗局,目的就是为了让用户下载一些来路不明的软件。一些缺乏经验的用户可能会点击下载链接,下载这个所谓的杀毒软件。这些诱导下载的App,被安全专家称作潜在恶意软件(PUAs),因为它们通常带有病毒。在最近谷歌发布的2015年度报告中显示,谷歌手机应用市场中有百分之0.15的应用程序带有恶意代码。
据趋网络安全专家检测发现,这个手电筒应用已累计被下载600万次,也就是说,已经有如此多的用户公然被这个恶意广告骚扰过,
早在2014年,就有安全研究院调查了这类手电筒下载的 App,发现其中一些会窃取用户隐私,如手机定位信息、通讯录以及短信内容等,这些信息不仅会被传送到市场调查公司和广告机构用来追踪用户的购物习惯,还有可能为诈骗团伙提供窃取用户银行账户信息提供便利。美国网络安全公司SnoopWall认为,这类应用程序不仅在使用时,会窃取用户数据,甚至当用户退出后,手机仍会处于被偷听状态。
经典匿名网络服务商 Tor 团队最近几年饱受 FBI 困扰。由于很多非法的交易和行为依赖 Tor 之上的暗网进行,所以为了维护爱和正义,FBI 不断带领顶尖的科学家对这种可以隐藏参与者身份的网络进行技术对抗。
于是 Tor 团队正在秘密研发新的黑科技,准备把这种匿名网络做一次全方位的升级。这次升级的核心是随机数算法。
在通信安全领域,由于要生成随机、不可预测的加密密钥,因此对于随机数的应用是必不可少的。一旦获得的随机数是可以预见,甚至产生密钥的范围能够被推断出来的话,获得的密码便有被破解的可能。因此,对于 Tor 项目来说,获得优质的随机数字就变得至关重要。Tor 团队现在致力于借助多台计算机协作,开发出一种无人可以事先预测的方式来生成随机数字,以此来加强网络通信的安全性。
这种牛X的方案已于上周测试了11个节点的Tor网络,团队的童鞋表示,在这个网络运行一个星期后,“才可以让我们对协议是否存在缺陷以及不可预知的方案是否奏效等场景进行测试。”
通过测试,团队发现这个方案并不完善,比如:在测试 Tor 节点时,会有被告知关键时刻协议终止的情况,以及响应时间不及时等问题。同时,当他们在测试节点上运行老版本的Tor,进行更不可预测的随机行为时,通信数据甚至会出现消失的情况。
虽然目前这种随机生成协议还在开发中,但 Tor 团队和支持者都认为,通过不断改进这套系统有望成为Tor的下一个版本,并且可从原来的16字符地址提升到55字符地址。如此一来,FBI 的破解对抗技术就又会被 Tor 甩掉几条街。
如果一切顺利的话,谷歌有望在今年年底前取消登录Android应用密码,改用更为先进的人工智能识别模式,比如今后登录某款Android应用,将参考你的输入模式、行走模式以及你的当前所处位置信息,看看你的“信任积分”是否足够高。
上周,谷歌先进技术和项目(ATAP:Advanced Technology and Projects)负责人丹尼尔·考夫曼透露了这个叼炸天的 Project Abacus 测试项目。
考夫曼介绍称,目前像在银行或公司企业内,安全登录账户时不仅仅需要用户名和密码,往往还需要通过短信或电子邮件输入验证码,这种方式通常被称为双重认证。但目前谷歌正在测试一种新的账户登录方法,即用户解锁设备或签入应用时,将参考他们的累积的“信任积分”,这个积分可能包含来自多方面的信息,比如你的输入方式,当前使用位置,录入速度、语音模式、面部特征识别以及其他一些因素。
谷歌已在Android 5.0和更高版本实现了被称为“智能锁”的类似安全登录技术,这种技术可让用户在可信位置处,或者通过蓝牙连接其他可信识别,或者通过人脸识别等方式自动解锁设备。而 Project Abacus 项目则略有不同,该项目运行于设备后台,通过源源不断地收集用户使用习惯数据,从而对比形成当前登录用户的“信任积分”。如果“信任积分”足够高,设备可以自动解锁;反之,则要求用户重新输入密码。此外,不同的应用程序登录可能需要不同的“信任积分”,比如登录银行账户需要的“信任积分”可能会高一些,而玩手机游戏就不需要太高积分。
阿里云副总裁、首席科学家章文嵩从阿里云离职。最近他本人在微博上证实了这一消息。原文如下:
今天是在阿里的最后一天,在阿里的2438天里收获很多很多,很荣幸有机会跟很多小伙伴们一起工作、学习和成长,感恩阿里!
章文嵩花名“正明”,2009年加入淘宝,任核心系统负责人,对淘宝的海量业务和基础核心软件做了很大的贡献。2013年他主攻云计算,历任阿里云飞天二部负责人、阿里云CTO、阿里云首席科学家。根据知情人士透露,章文嵩的下一站很可能是滴滴。
在Google Play上线的App,于2016年5月25日凌晨2点到4点陆续被下架,他们有着一个共同的特点,就是使用了国内著名 SDK 服务商“TalkingData”的服务。
根据相关的开发者透露,之所以自己的 App 被下架,是因为 TalkingData 的SDK包违反了Google Play的用户隐私政策。
Google Play开发者政策中心将对用户的“个人信息和敏感信息”有明确要求,如果开发者的应用会处理用户的个人数据或敏感数据(包括个人身份信息、财务和付款信息、身份验证信息,电话簿或通讯录数据,以及敏感的设备数据),那么应用必须:
1、提供隐私权政策(以及任何形式的应用内披露声明),以完整说明您的应用会收集、使用和分享所处理的任何用户数据,应用会如何使用这类数据以及这类数据的分享对象类型等。
2、以安全无虞的方式处理用户数据,包括使用新型加密技术(例如通过 HTTPS)传输数据。
TalkingData 官方就此事回应,称主要是由于Play商店审核策略调整,已推出TalkingData新版定制SDK,仅限Play商店使用。
6、“领英”四分之一用户信息落入黑客手中
最近,以窃取个人信息出名的黑客“Peace_of_mind”在暗网黑市“TheRealDeal”里“上架”了新货:著名职场社交平台领英(Linkedin)1.67亿的用户信息。准确地说,是167370910个个人数据。这么庞大的数据售价自然不菲,达到了5比特币,相当于1.5万人民币。
根据领英最新的用户数据资料,目前这个全球最大的职场社交网站拥有4.33亿注册用户。也就是说,每四个用户中,就有一个人的密码被黑客掌握。
【黑客在 TheRealDeal 上发布的出售信息】
然而,这些数据并不是最近才被窃取的。早在2012年,领英就遭遇过一次重大的攻击。而 Peace_of_mind 也直言不讳,表示这些数据就是当年那次攻击取得的。事实上,当年在攻击事件发生之后,随即有650万用户信息被泄露在互联网上,而领英当时保持了沉默,直到大家都渐渐淡忘这件事情,领英也没有透露究竟这次数据泄露有多严重。
虽然这些用户信息的密码是以“SHA-1”的哈希加密的方式存储的,但是安全人员表示,这些资料的存储没有“加盐”,也就是没有加入强混淆算法。对于这样的数据,如果用户密码比较简单,则黑客可能在一秒之内就破解。
勒索软件 TeslaCrypt 于去年中开始肆虐,当受害者的电脑感染TeslaCrypt之后,它会把文件加密为 .xxx、.ttt、.micro和.mp3为后缀的文件。当然,在被加密之后你再也无法打开这些文件,如果你不付赎金的话。
但是,事情突然出现了转折,因为 TeslaCrypt 从近期开始渐渐淡出黑客江湖了。有防毒软件公司发现,开发者已停止 TeslaCrypt 的运作。然而,作为一个负责人的勒索者,他们居然在网络上公开了之前勒索所使用的主密钥,还发表了一份简短的致歉声明“we are sorry!”
有了这个主密钥,安全人员就可以很容易地解锁这个勒索软件之前加密的所有信息。对于那些曾经被 TeslaCrypt 勒索的人来说,幸福来得有点突然,如果他们没有一气之下格式化自己硬盘的话。
【TeslaCrypt 发表的公开信】
安全研究人员随后发布一个免费的解密软件 TeslaDecoder。TeslaCrypt 有多个版本,早前已有针对旧版的解密工具。这次主解密金钥公开后,TeslaDecoder 可以解决包括 TeslaCrypt 3.0 及 4.0 在内的所有加密行为。
说到黑客公布这个主密钥,还是一个很有趣的故事:
杀毒软件ESET的研究人员在这之前已经注意到TeslaCrypt似乎要关门,正在切换到其它勒索软件,因此通过TeslaCrypt支付网站的聊天工具询问他们是否能释出主密钥。出乎他意料的是,对方同意了。
然而这不代表 TeslaCrypt 的开发者金盘洗手,因为 ESET 的研究员称他们转而发布另一款勒索软件 CryptXXX。不过 CryptXXX 1.0 和 2.0 的版本均已经被卡巴斯基破解。目测这群黑客正在开发新的加密勒索软件,安全人员在密切监视中。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。