二百萬 Google, Yahoo, Facebook 密碼網上任意觀看

資料來源:二百萬 Google, Yahoo, Facebook 密碼網上任意觀看

一間安全顧問公司發現一個俄文網站張貼了超過二百萬個 Google, Yahoo, Facebook, LinkedIn, Twitter 等賬號和密碼,他們相信這些資料是透過受害人電腦內的惡意程式蒐集,另一方面 Google, Facebook, Yahoo 等公司均表示他們的網站並沒有受到攻擊,但已經聯絡受害人重設密碼。

Linux 蠕蟲攻擊網絡裝置、路由器、機頂盒、監察鏡頭

資料來源:Linux 蠕蟲攻擊網絡裝置、路由器、機頂盒、監察鏡頭

有研究員發現一種新的 Linux 蠕蟲,專門攻擊網絡裝置,包括路由器、機頂盒、監察鏡頭、工業上的操作系統等等,這些裝置的用戶大都不知道裝置內部的操作系統是 Linux,也不會經常保持內部的軟體和韌體在最新狀態,所以很多裝備或已受到攻擊而不知曉。

這條蠕蟲是由 Symantec 的研究員發現,它首先隨機產生一個目標 IP 地址,然後嘗試連接到目標機器的一個特定路徑,使用一些常見的賬號名稱和密碼登入,然後發送一個 HTTP POST 請求,這個請求利用一個 PHP-CGI 安全漏洞,促使目標機器從一個惡意伺服器下載蠕蟲的程式,目標機器執行這個程式便會把蠕蟲繼續散播開去。

有關的 PHP-CGI 安全漏洞其實已經在 2012 年 5 月修正,但是用較早期版本的 PHP-CGI 的裝置在網絡上肯定有很多,他們都可能成為攻擊的目標。

Symantec 表示從惡意伺服器下載回來的蠕蟲似乎除了不斷繁殖外,不會進行任何破壞。此外,他們暫時也沒有收到被褥蟲入侵的報告,但考慮到很多網絡裝置的用戶都不知道裝置內的操作系統是 Linux,蠕蟲本身也沒有明顯的破壞行為 (除了系統負荷加大了),所以有可能很多裝置已受到感染,但用戶並不知曉。

預防的方法是把裝置的軟體保持最新狀態,使用強密碼,和阻擋外部 HTTP POST 請求連接到 -/php-cig/php* 路徑。

Google Nexus 安全漏洞,SMS 可使手機癱瘓

資料來源:Google Nexus 安全漏洞,SMS 可使手機癱瘓

使用 Android 4.X 的任何型號 Google Nexus,若果受到大量特定形式的 SMS,可引致手機癱瘓、或重新啓動、或失去網絡連線。發現這個問題的研究員說,他在超過一年前已經通知 Google,但直到半年前 Google 才回覆說會在 Android 4.3 修正問題,怎料直到 4.4 仍然不見蹤影,於是他在十一月在一個於羅馬尼亞舉行的電腦安全會議上公佈此事,成功逼使 Google 承諾調查這個漏洞。

發現這個問題的是一個德國系統管理員 Bodgen Alecu,他說當 Google Nexus 接收大約 30 個 Flash SMS 便會失靈,症狀包括手機表示簡訊應用程式已停止運作、手機重新啓動 (最常見的症狀)、和手機無法接收流動數據。

Flash SMS 又稱為 Class 0 Message,是一種透過 SMS 系統傳送,但只會在主屏幕上顯示,不儲存在收件箱的 SMS,也不會觸動振動或聲響提示,主要用作緊急通知 (例如火警通知),或隱秘訊息 (例如發送一次性的密碼)。

在 Google 解決此問題前,Nexus 的用戶可以安裝 Class0Firewall app 防治問題發生。

Android 4.3 安全漏洞,Apps 可撤銷所有系統鎖定功能

資料來源:移除 Android 手機的鎖定功能

Google 在九月宣佈 Android 手機新增一項功能,用戶可以遙控把手機鎖定,當手機被盜或違失時特別有用,新功能會撤銷本來的鎖定設定,並設定密碼保障手機的安全。這本來是一個好主意,但是有人發現 Android 一個安全漏洞,Apps 可以撤銷 Android 4.3 所有鎖定功能,令這個遙控鎖機功能形同虛設。更令人驚訝的是,發現這個漏洞的公司向 Google 通報,但 Google 一直不作回應,他們唯有把問題公開,希望用家關注。

這個漏洞由德國的 Curesec Research Team 發現,Android 操作系統讓用家使用密碼、手勢、或面孔識別來鎖定及解鎖手機,若果手機安裝了意圖不軌的 Apps,它可以繞過這項安全要求,無需知道解鎖方法和密碼也可以把手機解鎖。該公司說:

漏洞來自com.android.settings.ChooseLockGeneric 類別,這個類別是用來給用戶修改鎖定的機制。

澳洲與外國情報夥伴分享國民的通訊資料

資料來源:澳洲與外國情報夥伴分享國民的通訊資料

英國衛報刊登斯諾登最新的泄密文件,顯示通訊監控的「五大眼」國家曾經在 2008 年討論如何分享國民的通訊資料,部分國家表示要把資料「最少化」(只分享必要的部分),但澳洲的情報機關卻大方地表示夥伴們可以得到完整的原始數據,即使涉及醫療、法律和宗教範疇的數據也不受限制。

「五大眼」是指美國、英國、澳洲、加拿大和新西蘭,斯諾登的文件顯示,他們的情報機關 2008 年 4 月在英國國家通訊總局 (GCHQ) 位於卓特咸 (Cheltenham) 的總部開會,討論分享哪些情報,澳洲情報機關的代表表示可以分享國民的原始通訊數據,無須刪除與隱私相關的資料:

只要不是蓄意針對澳洲某一位國民,DSD (澳洲情報機關當時的名稱) 可以分享整批的、未經選擇的、完整的元數據。

DSD (Defence Signals Directorate) 現已改名為 ASD (Australian Signals Directorate)。

不過加拿大卻清楚地表明與夥伴們不同的態度,他們願意分享整批的通訊資料,不過條件是國民的資料必須被「最少化」,即是說要刪除部份數據,保障國民的隱私。

Google Glass 涉侵隱私,美國一餐廳聲言禁用

資料來源:
Google Glass 涉侵隱私,美國一餐廳聲言禁用
Lost Lake Cafe & Lounge 宣布禁止在餐廳內配戴 Google Glass

美國西雅圖一間餐廳規定,顧客要麼把 Google Glass 留在家中,否則請離開。餐廳在 Facebook 上宣布新規定,引起贊成和反對的聲音,有人甚至聲言杯葛,但餐廳老闆指杯葛的行為可笑。相信有關 Google Glass 侵犯隱私的爭議將陸續有來。

該餐廳名為 Lost Lake Cafe & Lounge,在 Facebook 的宣布中她說曾經驅逐一名堅持佩戴 Google Glass 的粗魯顧客離開,因為恐怕他會在未經其他顧客同意便把別人攝入鏡頭。由反對者說:「我不會光顧你,我的朋友也很可能會杯葛你!好好學習一下新科技吧,我很可能只是要拍攝我的食物,白癡!」餐廳老闆回應說:「……簡直是瞎說一通,我們就是要這樣做,Google Glass 支持者的杯葛委實可笑。」

這不是 Google Glass 第一次引起爭議,曾經有聖地亞哥司機因佩戴 Google Glass 而被票控,因為他裝備了「在駕駛時可被觀看的屏幕」。

美國警察局繳付 $750 美元贖金取回被 CryptoLocker 劫持的檔案

資料來源:美國警察局繳付 $750 美元贖金取回被 CryptoLocker 劫持的檔案

勒索軟體 CryptoLocker 令微軟視窗的用戶風聲鶴唳,人人自危,它在一週之內感染了 12,000 台美國電腦,並在英國對數以百萬計的電腦構成威脅。英國國家犯罪局 (UK National Crime Agency) 上週呼籲民眾不要交付贖金給 CryptoLocker,因為不能保證罪犯收到贖金後是否真的送上解密鑰匙。現在,連警察局也不能倖免於 CryptoLocker 的攻擊,美國一間警察局便為此繳付了 2 BitCoin (當時大約等於 $750 美元) 贖金。看來真正面對危機的時候,執法機構也未必能說到做到。

麻省天鵝海市 (Swansea) 警察局在十一月初被 CryptoLocker 感染,CryptoLocker 把部分圖像和 Word 文件加密,威脅要在 100 小時內交付贖金,否則永遠無法解密那批檔案。

LG Smart TV 從家中區域網絡蒐集用戶資訊

資料來源:
LG Smart TV 從家中區域網絡搜集用戶資訊
Ars Technica 對此事的報導

繼上週我們報導過 LG Smart TV 記錄用戶觀看節目的資料和 USB 儲存器的內容,有人發現家中的 Smart TV 會記錄電視機的開關時間,並透過區域網絡蒐集其他電腦的資料,並上傳到 LG 管轄的網站。

Mark 家中有一台 42ls570 LG 電視機,當他知道 LG 的電視機會把用戶的資訊傳送到 LG,便決定使用 Wireshark (一個網絡封包竊聽軟體) 監視 LG 在網絡上的一舉一動。除了確認之前被發現的侵犯隱私的行為外,他還有以下發現。

首先他發現 Smart TV 會在開機時登入 LG 伺服器,關機或進入待機模式時會登出,這顯然泄露了用戶觀看電視節目的生活習慣。

他又發現 Smart TV 會透過家中的區域網絡,蒐集其他電腦的檔案資料,並上傳到一個伺服器,他根據該伺服器的 Whois 資訊發現它屬於 LG。若果當時 Smart TV 並沒有接上互聯網,它會把檔案的資料儲存起來,等到網絡恢復才發送資料。搜括得來的資料在網絡上傳送的時候,當然沒有加密。

Ars Technica 曾經就這宗報導向 LG 查詢,但得不到回覆。

LG 這件事令我們反思:家中還有有什麼電子產品接駁到互聯網?它們可靠嗎?

 

英國一間職業學校使用 RFID 掌握學生行蹤

資料來源:英國一間職業學校使用 RFID 掌握學生行蹤

我們日常使用的電子繳費工具包括香港的八達通、快易通,台灣的悠遊卡、臺灣通等,都是使用射頻辨識 (RFID) 技術,這種技術除了令我們的生活更方便,亦有可能被用作追蹤監視。英國一間職業學校使用「超寬頻主動式 RFID」(Ultra Wideband active RFID) 標籤,實時監察 500 名老師和大約 5,500 名全日制學生在校內的活動,誤差只在數寸之間。

主動式的 RFID 卡與傳統的電子繳費卡不同,那些卡屬於「被動」式,沒有內置電源,當閱讀器發送到那些卡的訊號足夠強,觸動卡內的電子線路,那些卡才會向閱讀器發送數據。主動式的 RFID 卡內置電源,每隔特定時間便會發送一束數據給四周的閱讀器,有一秒多次到每五分鐘或十分鐘一次,覆蓋範圍可達數百米,遠遠超過被動式的 RFID。

相對於 GPS、Wi-Fi 等技術,超寬頻主動式 RFID 的定位精確得多,GPS 等只能辨識一個人的地址,超寬頻主動式 RFID 卻可以把誤差控制在幾寸之內。

英國 ZDNet 前編輯 Rupert Goodwins 說,這種技術的雛形早在 1980 年代便已經出現,當時稱為「脈衝式射頻」(Pulse Radio),原意是用作穿牆式雷達,目標人物無須佩戴 RFID 標籤,並且與接收器中間隔著牆壁,也可以在 500 米外監察他的呼吸和辨別他的性別。後來科學家發現這種技術精確的位置辨識能力,足以透過觀察目標人物聲帶的震動,知道他正在說什麼。

由此可見超寬頻主動式 RFID 所收集的數據,超越了一所學校所需的門禁控制、出席紀錄等用途,它甚至可以知道你什麼時候跟什麼人接觸過,有什麼朋友等等。

大家也是時候翻一翻衣袋和錢包,檢查有沒有可疑的 RFID 標籤,若果這些標簽可以跟你的身份聯繫起來,你的隱私可能已被侵犯。