All posts

1026 文章

2016 Google I/O开发者大会:独立于智能手机外的安卓系统

一年一度的Google I/O大会每年都会聚集许多的应用开发者,为新一年的开发工作寻找新的方向和灵感。今年也不例外:参会者们获得了最新Android N操作系统的深刻洞见。其他亮点:对可穿戴设备操作系统- Android Wear进行彻底变革;此外,Google还承诺将继续致力于VR技术的开发。

用USB数据线充电:智能手机可能存在危险

有一天在外面,突然发现自己的手机快没电了,身上也没带充电器或充电宝。但此时此刻,却有一个重要电话需接听,或者要发个短信或电邮等等,我想每个人都可能会遇到这样的窘境。 这种情况下,许多人的第一反应就是四处寻找宝贵的充电电源—只要是USB接口都可以。但这是否安全呢?答案显然是否定的。事实上,的确可能存在危险性:不法分子完全可以通过USB连接窃取你的文件,以及让手机感染木马病毒—甚至造成手机彻底无用。 “难以驾驭”的电流 在正式涉及手机数据安全问题前,我们首先必须指出:并非所有充电器都适合你的手机。网上就有许多用户在抱怨,自己的手机因使用二手(或非原装)充电器充电而发生故障。有些情况还会导致手机直接”寿终正寝”。而有些人甚至因充电时使用手机而触电受伤甚至不幸身亡。 不幸的是,这绝非是意外事故那么简单。例如,去年我们在市场上发现了一款被戏称为”夺命U盘”(USB Killer)的恐怖装置。从外形看和普通U盘并无差别,但内含一组杀伤力极强的电容器,能将220 V电流加载至USB接口。高电流加载至少会摧毁USB接口,最坏的情况下还可能烧毁电脑主板。如果你觉得自己手机够”坚固的”话,可以尝试一下。 嗨朋友,把你的文件给我看下 其次,设计USB接口不仅仅单是为了充电,还能进行数据传输。因此,只要移动设备连接了USB接口,都会尝试进行数据交换和传输。交换数据最多的非4.x及以下版本的安卓系统手机莫属—默认以MTP(媒体传输协议)模式连接,因此会将手机内的所有文件泄露个精光。 一般来说,只需100 kb多的数据流量就能让主系统识别出手机的文件和文件夹—打个比方,相当于一本《爱丽丝奇境记》电子书的大小。 锁屏固然能避免手机数据泄露—但老实说,你真的能在手机充电时忍住不用吗?如果在手机充电时突然收到短信,你能保证每次都拔掉USB接口再查看短信吗? 即使手机处于”仅充电”模式下,也会通过USB接口传输数据,现在让我们一同仔细看看其中的”奥妙”。数据的传输量由手机的平台和操作系统决定,但无论如何都远不止”纯充电”那么简单—这些数据包括:设备名称、手机厂商名称及手机序列号等。 获取完全的数据访问权(甚至更多) 你可能认为数据传输问题并不算什么大事,但其关键在于—我们只要找到关于某家特定手机厂商的公开信息—就能获得有关手机系统的更多”秘密”。 这是如何做到的呢? 开发,目的是启用调职解调器和PC电脑通信。在这之后,该系统被包含在了GSM标准内,而如今所有智能手机都支持这一通信标准。 关于AT commands的强大功能,这里可以给你们透露一点:网络攻击者能利用AT commands获得陌生人手机号码,并下载保存在SIM卡内的通讯录。然后,他们就能用你的号码—不花一分钱,随心所欲地拨打电话。(如果还开漫游的话,那你卡内的钱很快就会被扣个精光)根据不同的手机厂商,这一模式下攻击者几乎可以安装任何应用程序—甚至包括恶意软件。 即使智能手机锁屏的情况下,上述操作也同样可以暗地里进行。 概括来说:就算表面看上去再平淡无奇的USB接口,背后很可能也是”暗流涌动”。你根本不知道USB接口的后面到底是什么,可能是专门收集数据的设备、存在缺陷的电源、功率强大的电容器或者是会在你移动设备上安装后门的计算机。你根本不知道将手机插上USB接口后会发生什么—那么还是不用为妙吧。

Danti和Co:当心那些已经被遗忘的漏洞!

有一种较老的漏洞就非常受网络罪犯和网络间谍攻击者的青睐,即CVE-2015-2545。这是一种MSOffice漏洞,允许通过使用特殊的Encapsulated PostScript (EPS)图形文件任意执行代码。这段时间内,这种漏洞为黑客提供了绝佳的攻击机会。

谁动了我的奥运会门票,谁让我的钱打了水漂

再过几个月,第31届奥运会也将在巴西里约热内卢盛大开幕。无论是奥运会还是世界杯,每一届之间似乎都着不少共同之处,但这里我们并不准备探讨体育。网络犯罪分子当然不会放过这一”大肆敛财”的好机会,将长千上万的体育迷们作为攻击目标。

我们对勒索软件的了解有多少?

与过去恶意软件攻击(目的各有不同)不一样的是,勒索软件的目的可谓简单直接:就是为了敛财。这一目的驱使着恶意开发者不断推陈出新、升级换代,导致勒索软件数量急剧上升,且传播范围不断扩大。 如果你对勒索软件还不了解的话,许多人其实和你一样—但这却是一种不幸。但随着人们对勒索软件的关注程度日益提高,同时高调攻击包括医院、学校和警察局在内的重要政府机构。为此,卡巴斯基实验室最近委托调研公司- Opinion Matters对美国和加拿大的5000多名互联网用户进行问卷调查,以了解公众对于勒索软件的认知及重视程度。 结果显示消费者对勒索软件可以说是漠不关心—原因可能是他们并不知道勒索软件的范围和影响。 为何勒索软件受到如此重视 简单来说,勒索软件就是恶意软件的一种。其行为是通过加密锁住受害人的文件—或者访问他们的计算机或移动设备—进而以此为要挟向受害人索要赎金以恢复文件。 勒索软件受害人包括PC和Mac用户、移动设备用户以及政府机构—总之,任何人都可能成为受害人。 在去年,卡巴斯基实验室曾预测2016年勒索软件将”开辟新战场”,比如:物联网—包括用户难以技术控制的联网设备和电器。勒索软件的”直接敛财”模式对网络犯罪分子有着极强的吸引力,其消费者模式也构思得相当巧妙,对每个受害人索要相对较少的钱。 调查结果显示… 在所有受访的用户中,43%的人对勒索软件一无所知,而9%的人则认为勒索软件是以盗取的社交媒体账号向受害人索要赎金。 更令人担忧的是,一旦此类攻击发生在自己头上,用户根本不知道该如何应对。有1/4的受访者认为让受感染的计算机断网就能阻止攻击。有相当比例的受访者—15%美国受访者和17%加拿大受访者—会选择拔掉电源插头或关机,认为这样做可行(警告!剧透:这样做毫无作用)。 更令人担忧的是,15%的美国受访者和17%的加拿大受访者认为拔掉电源插头或关机就能阻止勒索软件攻击 多数用户(53%)认为只会损失一些照片和视频,因此不愿支付赎金。而那些愿意支付赎金的受访者则表示只会付很少的钱来恢复他们的个人数字文件。 此外,还有26%的美国受访者和24%的加拿大受访者表示愿意永远放弃使用社交媒体,以换来个人数字文件的安全保护。 类似于的多数网络安全软件,都能保护用户免于多种形式的勒索软件攻击。但11%的美国受访者和12%的加拿大受访者表示,他们从不在自己的个人数字设备上安装任何安全产品。 互联网安全知识必不可少 随着勒索软件攻击数量不断增加,互联网用户不仅需要知道问题所在—还应清楚如何避免勒索软件攻击以及发生后的应对方法。 在回答有关勒索软件攻击的问题时,46%的受访者并不知道受到感染后该如何应对。调查结果也显示,不知道感染后该采取何种应对措施的受访者比例与年龄有关,且年龄越大不知道的比例也越高:16-34岁年龄区间是37%,55岁以上则达到了54%。 付还是不付,莎士比亚式的问题 近1/4(24%)的受访者表示支付赎金能让网络犯罪分子停止攻击,而超过一半(53%)的受访者则完全不愿支付赎金。 那些表示会支付赎金的受访者,只愿意支付很少的一笔钱来恢复个人数字文件—低于平均每月的午餐费。 而卡巴斯基实验室则不建议受害人向不法分子支付任何赎金。我们的建议是:定期备份文件并使用强大的安全解决方案来保护设备的安全。 寄语未来 由于缺乏对勒索软件的了解,因此不少用户都极易受到这一发展迅速的网络犯罪形式的危害。只要人们还倾向于点击不明邮件内的附件,或常常访问可疑网站观看最新的病毒视频,网络犯罪分子始终能利用勒索软件危害广大用户的安全。 但调查也有好消息:大多数受访者都在设备上使用网络安全软件。超过3/4(77%)的受访者在自己的计算机(PC或Mac)上安装有网络安全软件,而在智能手机和平板电脑上安装的比例也分别达到47%和31%。 除此之外,受访用户还会定期备份自己的文件。几乎所有(84%)的受访者表示他们都会备份自己的数字文件。 尽管许多人都认为不应向网络攻击者支付赎金,并经常备份自己的数字文件,但了解最新安全动态同样也是防范勒索软件攻击的好方法。

OKCupid网站注册用户?赶快更改密码

根据丹麦研究专家的说法,个人数据是任何人都能挖掘的宝藏。OKCupid”获取”了2014年11月到2015年3月这段时间的网站数据,并随后发表了相关的研究报告。他们甚至还将7万名用户的真实个人数据免费分享到了开放科学工具箱。虽然并未透露真实姓名,但却分享了用户名、所在位置以及性习惯、政治派别和性取向等真实用户信息。

Mischa和Petya:一对形影不离的”勒索软件”组合

Petya与Mischa之间的差别主要体现在两方面。Petya会让整个硬盘无法访问,而Mischa只会加密某几种文件,这可能是个好消息。而坏消息是,和Petya不同的是,Mischa并不需要管理员访问权限。似乎黑客作者早已想好了Petya和Mischa能取长补短,成为”无敌组合”。

现在就更改你的领英账号密码

又有黑客在网络黑市上兜售1.17亿个该网站的登录名和密码,并声称是同属于2012年网站被攻击时泄露的同一批数据。但奇怪的是(同时也令人恐慌),这一数字大大超过了原先所认为的泄漏数量。

ATM机又遭劫难:”隐形”盗读器横空出世

不管你知不知道ATM盗读器(skimmer)是什么,都该读一读这篇博文—了解如何保护自己银行卡的安全。你需要时常注意ATM机上是否有可疑的附着物,并避免使用看上去有问题的ATM机。但如果未发现任何附着物,又或者盗读器是完全隐形的呢?

安全指南-如何设置你的新iPad?

哇哦–你买了一台最新的iPad平板电脑!当然在正式使用前,需要进行系统设置并安装许多应用程序。除此之外,在开始享受iPad带来的无穷乐趣前,还有一些事情必须要了解清楚。 介绍iOS应用的文章互联网上有很多,这里就不再赘述了。相反,我们将用较大篇幅介绍ipad一些基本设置,即不安装第三方应用的情况下如何保护自己设备 —并且最重要的是,能便于使用。 怎样的密码才算是最好的密码? 通过Touch ID与密码设置即可更改密码。多数情况下,用户选择最熟悉的4或6位数字码。使用iPad常需要输入密码:每次解锁屏幕、从AppStore购买应用或更改某些设置时。 就安全方面而言,简单往往不等同于最好。这也是为何强烈建议将简短密码组合替换为高强度密码的原因。打开Touch ID与密码->更改密码->密码选项并选择自定义字母数字代码。现在你可以使用传统密码组合,用字母、数字和其它符号的组合代替常规的4位数字密码。在这篇博文中,我们介绍了如何轻松创建并牢记一个高强度密码的方法。 如果你既想节省时间又不愿设置又长又复杂的密码组合,可以选择自定义数字代码并输入密码,至少由8位数字组成。多练习几次后,你就能像输入4位数字密码一样快了。 如何为AppStore购买应用设置密码 本条安全小贴士专为孩子偶尔会玩的平板电脑量身定制。如果你已将自己的信用卡与Apple ID绑定,则必须设置为每次购买项目时都需输入密码。无论是购买在线农场游戏的虚拟道具,还是为自己心爱赛车升级装备,孩子随随便便就能将你的卡刷爆,因为他们根本没有意识到这是在用真钱。 IPad在你最初安装时会提示这一选项。当然,之后你还可以在Touch ID与密码标签下更改这一设置。你可以使用指纹识别或传统密码,但为了安全起见,我们还是建议使用后者。 既然有Touch ID,为什么还要用密码? 指纹传感器采用创新设计且使用方便,但却并不安全可靠。因为在使用时,你的指纹很容易留在iPad屏幕上(即使刚洗过手也会留下痕迹)。一旦有人偷取了你的设备,很有可能会在屏幕上找到你的完整指纹,从而伪造出一模一样的手指—这其实并不难。 利用伪造手指,窃贼们完全可以解锁你的iPad并访问包括移动银行和AppStore在内的所有重要应用。 如果你实在想用Touch ID功能,可以用平时玩iPad时很少用到的手指,比如:无名指。 如何隐藏锁屏上显示的个人信息? 默认情况下,锁屏上常常显示大量信息。在不解锁的情况下查阅最新新闻,或浏览别人在你Facebook文章下的留言,这种感觉的确很棒。但另一方面,你的最新消息、信件和发自银行的一次性密码也可能会被他人窥视。 如果你不想让八卦的同事、朋友和家人看到你的通讯内容,打开设置->通知并选择希望在锁屏上显示或隐藏的信息。 为何必须禁止Wi-Fi自动连接? 自动连接至已知Wi-Fi热点原本是一项强大的功能。每次来到自己熟悉的咖啡店或购物中心,你的平板都会自动连接可用的Wi-Fi网络并上传最新更新—对此你早已驾轻就熟。但问题是,不法分子常常会伪造Wi-Fi网络(使用相同的热点名),欺骗ipad自动访问并盗取受害人的数据。 为此,我们需要设置为每次连接Wi-Fi时都请求是否允许。你可以前往设置>Wi-Fi,然后打开询问是否加入网络选项。不管怎么说,连接任何公共Wi-Fi时都需要小心谨慎,且千万不要使用不安全的网络进行任何资金交易。 有关iCloud的使用前须知 关于iCloud设置,你需要了解它的两个重要功能。首先,你需要检查哪些数据默认与苹果云服务同步。你是否还记得去年的好莱坞女星”艳照门”事件吗?许多女星感到奇怪的是,明明已经删除很久的照片,为何还会遭泄露呢。 因为如果你设置为自动将照片复制到iCloud,就算在本地删除照片也无济于事。为此,我们强烈建议您检查iCloud上存储了哪些内容:备忘录、联系人、文档还是照片等等。如果你想备份或永久删除某些文件,最好确保iPad并未将这些文件传送至苹果服务器。 此外,“查找我的iPad”功能也可以从iCloud设置中找到。建议开启,有备无患–因为的确非常实用。如果你确定iPad在家但就忘了放哪里,只需远程放首歌就很快能找到。

手机保存信息可能作为”呈堂证供”

安全专家们为现代移动设备起了一个相当贴切的”绰号”:’司法的金矿’,因为移动设备保存了大量有关机主的信息。任何一款智能手机都存有通话记录、短信、照片、视频和访问的网站清单—所有这些数据均附有准确的时间和地理位置信息。

专家建议:如何避免成为勒索软件受害人

而作为卡巴斯基实验室,我们建议用户主动出击保护自身免于这类网络威胁,而不是向犯罪分子支付赎金。而且,我们清楚知道犯罪分子几乎无所不用其极地寻找各种方法,试图榨取普通用户辛苦劳动的所得。那我们到底该采取哪些措施,才能避免落入’勒索软件’的圈套呢?

无人机变身”终极杀器”:安全漏洞仍然存在

在过去几年里,无人机从孩童手上的玩具变身为无所不能的强大工具。军队将其用作地形侦查、空中定位及代替海岸警卫队进行巡逻。当然,目前也广泛用于勘查事故现场和搜索幸存人员。此外,无人机还被开发出了许多其它功能,比如解除地雷、追踪偷猎者甚至监视著名的51区外星人。

你自认为擅长”多任务处理”?再好好想想。

在2015年,卡巴斯基实验室调查发现绝大多数人严重依赖智能手机,会将最重要的内容保存在智能手机内。一旦丢失将对他们的工作和生活造成巨大影响。这一现象被称为”数字失忆症”。那么你可能会问,智能手机和多任务处理到底有何关系?