华为、LG等11厂商手机易遭遇“AT命令攻击” 美国防部将AI列为优先事项 印度生物识别数据库打造完美“监控国”
E安全早新闻,起床一戳,即知全球安全资讯大事件...
更多全球网络安全资讯尽在E安全官网www.easyaq.com
小编来报:各位看官,早安。今天农历7月18星期二,宜祈福、解除,无忌可言。祈福什么呢,祈福家里的IoT设备不要沦为僵尸网络中的一只肉鸡,祈福手机里的零花钱安全,如此,祈福完毕。今天不用忌什么,那就敞开吃吧。今天新闻有什么看点,iPhone运营商的PIN码暴露,小编在“设置”——“电话”——“SIM卡PIN码”,打开PIN码,弹出对话框,要求输入PIN码。度娘一下找到缺省的是1234。然后重新开机就会显示SIM卡已锁定,无法打电话。完成一次自黑,物理黑客,这曝光的数据有什么价值呢,陷入沉思,看官们,可留言告知,小编将选取优质留言赠送E安全T恤;怕什么来什么,美选民数据库遭泄露,中期选举安全堪忧,FBI安全人才现破窗效应,人才流失加剧,今日二条文章有详细介绍;更多看点看下面。
华为、LG等11家安卓厂商手机易遭遇“AT命令攻击”
来自佛罗里达大学、石溪大学和三星美国研究中心的一组安全研究人员发现,11家 Android 厂商的数百万台移动设备易遭遇通过 AT 命令发起的黑客攻击。这支研究小组分析了11家安卓厂商(华硕、谷歌、HTC、华为、联想、LG、LineageOS、摩托罗拉、三星、索尼和中兴)2000多款安卓固件镜像后发现,这些设备支持3500多种不同类型的 AT命令,其中一些AT命令授权访问非常危险的功能。据研究人员披露,部分手机通过 USB 接口暴露 AT 命令。研究人员发布了受影响的手机型号和固件版本,详见:https://atcommands.org/atdb/vendors。
来自佛罗里达大学、石溪大学和三星美国研究中心的一组安全研究人员发现,11家 Android 厂商的数百万台移动设备易遭遇通过 AT 命令发起的黑客攻击。这支研究小组分析了11家安卓厂商(华硕、谷歌、HTC、华为、联想、LG、LineageOS、摩托罗拉、三星、索尼和中兴)2000多款安卓固件镜像后发现,这些设备支持3500多种不同类型的 AT命令,其中一些AT命令授权访问非常危险的功能。据研究人员披露,部分手机通过 USB 接口暴露 AT 命令。研究人员发布了受影响的手机型号和固件版本,详见:https://atcommands.org/atdb/vendors。
苹果商店安全漏洞暴露7200多万iPhone用户的PIN码
苹果在线商店和手机保险公司 Asurion 网站的安全漏洞曝光了7200多万个 iPhone 用户的 PIN 码。苹果网站的漏洞曝光了无线运营商 T-Mobile 用户的 iPhone
PIN 码,而 Asurion 网站的安全漏洞则曝光了 AT&T 用户的 iPhone PIN 码。
当用户在苹果在线商店购买
T-Mobile 版 iPhone,并选择通过 T-Mobile 进行月付后,苹果网站会要求用户输入 T-Mobile
号码和账户PIN码,或社会安全号的最后四位数进行验证,但页面会允许在 PIN 码输入框无限制输入,从而使得黑客能够猜测到 T-Mobile
电话号码相关的 PIN 码。
苹果在线商店和手机保险公司 Asurion 网站的安全漏洞曝光了7200多万个 iPhone 用户的 PIN 码。苹果网站的漏洞曝光了无线运营商 T-Mobile 用户的 iPhone
PIN 码,而 Asurion 网站的安全漏洞则曝光了 AT&T 用户的 iPhone PIN 码。
当用户在苹果在线商店购买
T-Mobile 版 iPhone,并选择通过 T-Mobile 进行月付后,苹果网站会要求用户输入 T-Mobile
号码和账户PIN码,或社会安全号的最后四位数进行验证,但页面会允许在 PIN 码输入框无限制输入,从而使得黑客能够猜测到 T-Mobile
电话号码相关的 PIN 码。
腾讯封停部分区块链和加密货币微信公众号
部分涉及区块链、加密货币和数字资产交易相关的微信公众号近日被封停,外媒称此举说明中国巩固了对加密货币交易和 ICO(首次币发行)市场的消极立场。遭遇暂停或永久封停的账号包括火币资讯、金色财经等,被关停的原因是这些账号违反了《即时通信工具公众信息服务发展管理暂行规定》。
部分涉及区块链、加密货币和数字资产交易相关的微信公众号近日被封停,外媒称此举说明中国巩固了对加密货币交易和 ICO(首次币发行)市场的消极立场。遭遇暂停或永久封停的账号包括火币资讯、金色财经等,被关停的原因是这些账号违反了《即时通信工具公众信息服务发展管理暂行规定》。
美国德克萨斯州约1500万选民数据遭泄
据报道,一名安全研究人员无意间在一个服务器上发现约16GB的未受保护的数据文件,涉及美国德克萨斯州约1500万选民数据(包括姓名、地址、性别、投票历史年份、投票类型、种族、电话号码等)。
据报道,一名安全研究人员无意间在一个服务器上发现约16GB的未受保护的数据文件,涉及美国德克萨斯州约1500万选民数据(包括姓名、地址、性别、投票历史年份、投票类型、种族、电话号码等)。
爱尔兰电信公司 Eir 因笔记本失窃致3.7万客户数据泄露
爱尔兰电信公司Eir近日遭遇数据泄露事件,3.7万名客户的个人数据遭遇泄露。据 Eir 透露,这起事件的根本原因是包含这些数据的未加密笔记本被盗。暴露的数据包括姓名、电子邮箱、电话号码和 Eir 账号,不涉及财务数据。
爱尔兰电信公司Eir近日遭遇数据泄露事件,3.7万名客户的个人数据遭遇泄露。据 Eir 透露,这起事件的根本原因是包含这些数据的未加密笔记本被盗。暴露的数据包括姓名、电子邮箱、电话号码和 Eir 账号,不涉及财务数据。
澳大利亚内阁改组,网络防御缺关注
据报道,澳大利亚财政部长莫里森(Scott Morrison)8月24日赢得党团会议投票,成为主要执政党自由党党魁,出任澳大利亚新任总理。此前担任前澳大利亚执法与网络安全部长的 Angus Taylor 如今调任能源部长,但网络安全部长目前仍空缺,这意味着目前未具体关注执法和网络安全事务,这些责任明显回到了内政部长Peter Dutton 提供的指导之下。澳大利亚信号局(ASD)2018年7月1日成为独立的法定机构。ASD 直接向澳国防部长汇报,但网络安全政策制定的工作仍归内政部。然而,Dutton 对数字通信需要保护的想法并不是特别强烈。
据报道,澳大利亚财政部长莫里森(Scott Morrison)8月24日赢得党团会议投票,成为主要执政党自由党党魁,出任澳大利亚新任总理。此前担任前澳大利亚执法与网络安全部长的 Angus Taylor 如今调任能源部长,但网络安全部长目前仍空缺,这意味着目前未具体关注执法和网络安全事务,这些责任明显回到了内政部长Peter Dutton 提供的指导之下。澳大利亚信号局(ASD)2018年7月1日成为独立的法定机构。ASD 直接向澳国防部长汇报,但网络安全政策制定的工作仍归内政部。然而,Dutton 对数字通信需要保护的想法并不是特别强烈。
2018年秋季,美国或对伊朗启动新一轮“制裁”
网络安全公司认为,如果白宫决定2018年秋季对伊朗实施新制裁,伊朗可能会对美国发起新一轮网络攻击。网络安全公司 Cyberreason 的情报服务高级主管罗斯·拉斯蒂奇表示,若美国对伊朗实施制裁,伊朗可能会打击金融行业,美国的制裁还可能会带来下游效应。Recorded Future 的情报副总裁李维·龚德尔特在2018美国黑帽大会上也表示,伊朗黑客通常需要三到四个月的时间发动攻击,这意味着美国威胁11月4日对其实施另一轮制裁与预期报复时间吻合。
网络安全公司认为,如果白宫决定2018年秋季对伊朗实施新制裁,伊朗可能会对美国发起新一轮网络攻击。网络安全公司 Cyberreason 的情报服务高级主管罗斯·拉斯蒂奇表示,若美国对伊朗实施制裁,伊朗可能会打击金融行业,美国的制裁还可能会带来下游效应。Recorded Future 的情报副总裁李维·龚德尔特在2018美国黑帽大会上也表示,伊朗黑客通常需要三到四个月的时间发动攻击,这意味着美国威胁11月4日对其实施另一轮制裁与预期报复时间吻合。
用众包的方式找软件漏洞,既赚钱又冒险
Bugcrowd 和 HackerOne 这类漏洞悬赏平台为愿意花时间寻找软件漏洞的人和愿意支付赏金的公司搭起了桥梁。这种网络安全经济已扩展到数十万黑客,包括安全从业者和自由职业者,优秀的自由职业者可因此赚取大笔资金。尽管自由职业者可以帮助缓解企业内部团队的压力,但漏洞悬赏平台还应提供更明晰的法律阐述,如道德黑客可安全使用的工具和技术。为了解决人才挑战,这些众包平台也在发布更多内容,以帮助黑客提升技能,吸引更多人参与其中,比如 Bugcrowd 刚刚推出了 Bugcrowd 大学,提供免费的网络研讨会和指导。HackerOne 也发布了更多培训资料。从法律方面来看,此类众包平台正在推动将更多“安全港”措辞写入管理漏洞赏金的合同当中。
Bugcrowd 和 HackerOne 这类漏洞悬赏平台为愿意花时间寻找软件漏洞的人和愿意支付赏金的公司搭起了桥梁。这种网络安全经济已扩展到数十万黑客,包括安全从业者和自由职业者,优秀的自由职业者可因此赚取大笔资金。尽管自由职业者可以帮助缓解企业内部团队的压力,但漏洞悬赏平台还应提供更明晰的法律阐述,如道德黑客可安全使用的工具和技术。为了解决人才挑战,这些众包平台也在发布更多内容,以帮助黑客提升技能,吸引更多人参与其中,比如 Bugcrowd 刚刚推出了 Bugcrowd 大学,提供免费的网络研讨会和指导。HackerOne 也发布了更多培训资料。从法律方面来看,此类众包平台正在推动将更多“安全港”措辞写入管理漏洞赏金的合同当中。
久邦数码(GOMO)应用5050万用户数据因开放的80端口暴露
2018年5月25日,名为 Flash Gordon 的研究人员在一个备份系统中发现开放的80端口,进而暴露了久邦数码(GOMO)应用5055万用户的个人数据,涉及用户名、密码、手机号码和设备信息。研究人员5月27日发现第二个 IP 地址,无需登录凭证便暴露了系统中的所有备份数据。GOMO 8月16日透露,技术团队修复 AWS 问题后未关闭80端口。研究人员指出,错误配置暴露的不仅仅是 GOMO 的用户数据,还包括久邦数码应用开发相关信息及内部和系统规范信息。
2018年5月25日,名为 Flash Gordon 的研究人员在一个备份系统中发现开放的80端口,进而暴露了久邦数码(GOMO)应用5055万用户的个人数据,涉及用户名、密码、手机号码和设备信息。研究人员5月27日发现第二个 IP 地址,无需登录凭证便暴露了系统中的所有备份数据。GOMO 8月16日透露,技术团队修复 AWS 问题后未关闭80端口。研究人员指出,错误配置暴露的不仅仅是 GOMO 的用户数据,还包括久邦数码应用开发相关信息及内部和系统规范信息。
美国防部如今将AI作为优先事项,希望借力硅谷
在2018年5月向总统提交的备忘录中,美国防部长马蒂斯希望特朗普制定一项国家 AI 战略。马蒂斯认为,美国没有跟上中国和其它国家雄心勃勃的计划,他呼吁成立总统委员会,鼓励全国上下一起努力,确保美国在国防和人类社会变革中处于领先地位。马蒂斯的备忘录反映出美国国防官员对 AI 的紧迫感。白宫在马蒂斯提交备忘录前三周就表示,将成立政府官员小组来研究 AI,但批评人士称,美国政府仍未采取足够的措施制定联邦政策。五角大楼似乎正在自行推进,寻找与 AI 研究人员加强关系的方法,尤其是硅谷的研究人员。据知情人士透露,五角大楼希望将其年度预算中的7500万美元用于2018年6月下旬宣布成立的联合人工智能中心(JAIC),并在未来五年对其投入170亿美元。
在2018年5月向总统提交的备忘录中,美国防部长马蒂斯希望特朗普制定一项国家 AI 战略。马蒂斯认为,美国没有跟上中国和其它国家雄心勃勃的计划,他呼吁成立总统委员会,鼓励全国上下一起努力,确保美国在国防和人类社会变革中处于领先地位。马蒂斯的备忘录反映出美国国防官员对 AI 的紧迫感。白宫在马蒂斯提交备忘录前三周就表示,将成立政府官员小组来研究 AI,但批评人士称,美国政府仍未采取足够的措施制定联邦政策。五角大楼似乎正在自行推进,寻找与 AI 研究人员加强关系的方法,尤其是硅谷的研究人员。据知情人士透露,五角大楼希望将其年度预算中的7500万美元用于2018年6月下旬宣布成立的联合人工智能中心(JAIC),并在未来五年对其投入170亿美元。
制造业因知识产权更易遭遇网络攻击
如今,网络攻击的频率和复杂程度不断提升,随着制造业日益互联,制造业深知网络攻击的影响,但该行业的企业却低估了网络威胁的范围和深度。如今的网络攻击更关注能带来长期利益的知识产权,制造业便也成为了网络攻击的目标。制造商会收到大量机密信息,包括客户需要其保护的图纸、合同、专利和其它敏感信息,虽然企业已开始投资安全来打击网络犯罪分子,但采取传统的方式未必有效。企业可部署身份验证、数据加密、统一威胁管理、Web 过滤服务等安全解决方案。
如今,网络攻击的频率和复杂程度不断提升,随着制造业日益互联,制造业深知网络攻击的影响,但该行业的企业却低估了网络威胁的范围和深度。如今的网络攻击更关注能带来长期利益的知识产权,制造业便也成为了网络攻击的目标。制造商会收到大量机密信息,包括客户需要其保护的图纸、合同、专利和其它敏感信息,虽然企业已开始投资安全来打击网络犯罪分子,但采取传统的方式未必有效。企业可部署身份验证、数据加密、统一威胁管理、Web 过滤服务等安全解决方案。
印度的生物识别数据库正在打造完美的“监控国”,谷歌、苹果公司欲参与其中
据报道,印度过去9年间收集了13亿人的指纹、虹膜扫描和照片,建立起世界上最大的生物识别数据库。对于微软、亚马逊和 Facebook 这样的科技公司而言,印度的 Aadhaar 项目可能是个大金矿。印度当地媒体多次报道,印度政府与苹果、谷歌等公司的高管就如何将 Aadhaar 整合到科技产品中的问题进行磋商。
据报道,印度过去9年间收集了13亿人的指纹、虹膜扫描和照片,建立起世界上最大的生物识别数据库。对于微软、亚马逊和 Facebook 这样的科技公司而言,印度的 Aadhaar 项目可能是个大金矿。印度当地媒体多次报道,印度政府与苹果、谷歌等公司的高管就如何将 Aadhaar 整合到科技产品中的问题进行磋商。
马来西亚总理马哈蒂尔:应继续保留“官方保密法”
马来西亚总理马哈蒂尔承认,其“官方保密法”之前曾遭滥用,但他认为应继续保留此法。1972官方保密法允许马来西亚政府将任何文件归为保密文件,公开此类信息的人会被监禁最长7年之久。这项法律长期以来被视为马来西亚政府使其政务不透明,甚至掩盖丑闻的工具。据悉,尽管废除此法的可能性较小,但马来西亚掌管法律事务的首相署部长刘伟强8月曾表示将修订这项法律。据他透露,拟议的修订案旨在解决影响国家安全的网络和其它新兴威胁。
马来西亚总理马哈蒂尔承认,其“官方保密法”之前曾遭滥用,但他认为应继续保留此法。1972官方保密法允许马来西亚政府将任何文件归为保密文件,公开此类信息的人会被监禁最长7年之久。这项法律长期以来被视为马来西亚政府使其政务不透明,甚至掩盖丑闻的工具。据悉,尽管废除此法的可能性较小,但马来西亚掌管法律事务的首相署部长刘伟强8月曾表示将修订这项法律。据他透露,拟议的修订案旨在解决影响国家安全的网络和其它新兴威胁。
新型Android银行木马通过短信瞄准日本的银行
ESET的安全研究人员发现一款新型 Android 银行木马,这款木马通过短信瞄准日本的银行。该木马能通过虚假的更新通知自行更新,并绕过短信双因素认证。据传,网络犯罪分子旨在诱骗受害者下载这款木马,其目标在于窃取凭证访问目标,进而盗取资金并执行其它欺诈行动。这款木马目前的传播范围限于亚洲国家,但很快可能会扩散到其它地区。
ESET的安全研究人员发现一款新型 Android 银行木马,这款木马通过短信瞄准日本的银行。该木马能通过虚假的更新通知自行更新,并绕过短信双因素认证。据传,网络犯罪分子旨在诱骗受害者下载这款木马,其目标在于窃取凭证访问目标,进而盗取资金并执行其它欺诈行动。这款木马目前的传播范围限于亚洲国家,但很快可能会扩散到其它地区。
企业因物联网视频监控系统(VSS)面临严峻的网络威胁
物联网(IoT)的安全性令人堪忧,针对物联网的黑客攻击容易得手并不令人惊讶。黑客可利用数千台不安全的联网设备构建庞大的僵尸网络,发起大规模 DDoS 攻击。据福布斯预测,到2025年,互联网的智能设备将超过800亿台,并且大部分不安全的嵌入式固件极易遭受攻击。由于网络摄像头、数字视频录像机(DVR)和视频监控系统(VSS)易于部署、联网并被控制,因此越来越多的 VSS 进入物联网,这些系统通常使用来自多个厂商的设备进行构建,这意味着要么具有覆盖系统的标准化安全协议,要么根据未部署端到端的安全协议。安全和隐私仍是物联网面临的重要问题,对于 VSS 而言,这些问题对组织机构构成了更严重的威胁。
物联网(IoT)的安全性令人堪忧,针对物联网的黑客攻击容易得手并不令人惊讶。黑客可利用数千台不安全的联网设备构建庞大的僵尸网络,发起大规模 DDoS 攻击。据福布斯预测,到2025年,互联网的智能设备将超过800亿台,并且大部分不安全的嵌入式固件极易遭受攻击。由于网络摄像头、数字视频录像机(DVR)和视频监控系统(VSS)易于部署、联网并被控制,因此越来越多的 VSS 进入物联网,这些系统通常使用来自多个厂商的设备进行构建,这意味着要么具有覆盖系统的标准化安全协议,要么根据未部署端到端的安全协议。安全和隐私仍是物联网面临的重要问题,对于 VSS 而言,这些问题对组织机构构成了更严重的威胁。
以色列士兵敏感数据遭遇黑客入侵
以色列隐私保护局8月26日透露,数十万以色列士兵的个人数据几年来遭遇黑客入侵,并出售了第三方。以色列证券管理局(ISA)的调查显示,2011年至2014年,其招聘部门的工作人员访问了数千名以色列准士兵的档案。据以色列媒体报道,四名嫌疑人使用专门开发的程序从这些文件中搜索出个人数据,包括新兵及其亲属的联系人。嫌疑人称将此类信息出售了营销公司和其他第三方。
以色列隐私保护局8月26日透露,数十万以色列士兵的个人数据几年来遭遇黑客入侵,并出售了第三方。以色列证券管理局(ISA)的调查显示,2011年至2014年,其招聘部门的工作人员访问了数千名以色列准士兵的档案。据以色列媒体报道,四名嫌疑人使用专门开发的程序从这些文件中搜索出个人数据,包括新兵及其亲属的联系人。嫌疑人称将此类信息出售了营销公司和其他第三方。
荷兰网络安全委员会向量子密码挑战赛的获胜者授予研究资格
荷兰网络安全委员会(CSR)近日在荷兰国家网络安全暑期学校(NCS3)举办量子密码挑战赛,一支为制造业提供政策建议的团队赢得比赛。CSR 向这支获胜团队授予量子密码研究资格。
荷兰网络安全委员会(CSR)近日在荷兰国家网络安全暑期学校(NCS3)举办量子密码挑战赛,一支为制造业提供政策建议的团队赢得比赛。CSR 向这支获胜团队授予量子密码研究资格。
Atlas Quantum加密货币投资平台数据泄露,影响26万客户
加密货币投资平台 Atlas Quantum 8月26日宣布,其所有用户的个人信息遭泄露。数据泄露指数网站 Have I Been Pwned 称,据其收到的数据副本显示,此次数据泄露事件大约影响了26.1万名客户,涉及姓名、电话号码、电子邮件地址和账户余额。Atlas Quantum 目前正在调查此事,奇怪的是黑客没有从用户中窃取任何资金。
加密货币投资平台 Atlas Quantum 8月26日宣布,其所有用户的个人信息遭泄露。数据泄露指数网站 Have I Been Pwned 称,据其收到的数据副本显示,此次数据泄露事件大约影响了26.1万名客户,涉及姓名、电话号码、电子邮件地址和账户余额。Atlas Quantum 目前正在调查此事,奇怪的是黑客没有从用户中窃取任何资金。
NEC投资美国生物识别系统公司Tascent
日本电气股份有限公司(NEC)于8月26日宣布对总部位于美国得生物识别公司 Tascent 进行投资,以加速其安全业务得全球扩张。据悉,借助此次投资合作,将利用 Tascent 公司的光学控制与UI技术以及 NEC 先进的生物识别引擎共同提升虹膜识别能力,为公共安全市场创建下一代虹膜认证产品。NEC 的虹膜识别在2018年上半年被美国 NIST 评为世界上最精确的虹膜识别,此外 NEC 的人脸识别和指纹识别技术也在近期被评为最精准的。
日本电气股份有限公司(NEC)于8月26日宣布对总部位于美国得生物识别公司 Tascent 进行投资,以加速其安全业务得全球扩张。据悉,借助此次投资合作,将利用 Tascent 公司的光学控制与UI技术以及 NEC 先进的生物识别引擎共同提升虹膜识别能力,为公共安全市场创建下一代虹膜认证产品。NEC 的虹膜识别在2018年上半年被美国 NIST 评为世界上最精确的虹膜识别,此外 NEC 的人脸识别和指纹识别技术也在近期被评为最精准的。
推荐阅读:注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com
- 网络冲突的三种趋势
- 区块链的历史、现实、和未来
- 五角大楼:中国自认网络作战功能滞后于美国
- 网络武器市场未来如何发展 | 华为中兴5G技术在澳洲被禁 | 安卓手机休眠也在收集用户数据
- 力压中国美国国防科技发展研究重点清单:定向能武器/AI/量子/永不中断通讯体系
- 微软迈克菲等为美国中期选举护航 举国抵御俄罗斯黑客
- 黑客文化正在改变——Black Hat创始人杰夫·莫斯访谈
▼点击“阅读原文” 查看更多精彩内容
关注 E安全
微信扫一扫关注公众号
