摘要

将微型电脑嵌入我们的大脑或许会让我们的生活变得更简单。用’脑电报’代替短信，我们只需在自己心里’低声细语’就能发送消息。如果大脑中突然’灵光一闪’？你可以立即通过脑电波与你的朋友分享！而只需花费2.99美元就能让你回忆起妻子嘱咐你的购物清单。 而尚未成熟的生物接口将以每分钟百万兆字节的速度向电脑（基本上可能会是没有显示屏的智能手机）传送数据，不仅会在搜索数据时产生的巨大背景噪音，同还需要未来更强大的处理器。 他们为什么要将5V和12V 的输出设备嵌入人们的大脑中？说实话，我真不知道。 不管怎么说，未来的iPhone手机一定会告诉你想知道的一切。Google在经过34场品牌再造活动和8次结构重建后，将在占地球表面2%面积的数据中心保存和处理所有数据。当这一突破性技术再成熟一些的时候，他们或许会考虑如何保护这一庞大数据量的安全。 不幸的是，在这些数据受到安全保护之前，很可能已落入黑客之手并流入’黑市’。直到那时，我们才可能最终思考这样一个问题：我们收集和保存了哪些数据以及收集和保存的方式。 这些在不久的将来一定会发生。重新回到现在，我不知道是否有人关心过有多少用户背景的陀螺仪数据遭外泄。安全研究常常滞后于商业技术，而技术设计员在设计自己的小玩意时几乎很少会反复考虑其安全性。 在今天的上周重要新闻摘要中，我们将重点关注那些如今用户数量已达到数百万的软件和硬件设备。这里我再次重申《安全周报》的编辑原则：每周Threatpost的团队都会精心摘选三条当周要闻，并加上我自己独到的见解。往期的内容可以在这里找到。 从越狱iPhone手机盗窃数据的木马病毒 新闻。Palo Alto Networks研究。简单介绍哪些人该为这一木马病毒而担心。 并非所有关于数据外泄或bug的报告都能用语言解释清楚，但以下这个除外。在中国发现了一款流氓iOS应用程序；它会偷偷潜入智能手机与苹果服务器间的通讯并盗取iTunes密码。该恶意软件之所以最终被’逮到’是因为吸引了太多的注意：许多用户陆续向苹果报告自己的iTunes账户被盗（就报告记录来看，由于银行卡与苹果账户绑定，因此只需输入密码即可在线支付）。 很酷吧？错！该攻击仅针对越狱用户。来自中国的独立研究人员向WeipTech报告他们偶然破解的网络犯罪分子的命令与控制服务器，并发现了超过22.5万个用户凭证（越狱用户数量同样让人吃惊），包括用户名、密码和设备的全球唯一识别符。 该恶意应用程序通过Cydia（iOS app store的替代应用商店）侧载。随后自动嵌入设备与苹果服务器间的通讯，接着采用老式但依然有效的中间人攻击方法并将遭劫持数据重新定向至黑客运行的服务器。受害用户的噩梦远不止如此：该恶意软件还使用了动态加密秘钥-‘mischa07’（仅供参考：在俄文中’Misha’表示英文中’Michael’这个名字，同时也有’熊‘的意思。） Mischa07盗取iOS用户密码 目前尚不清楚’Mischa’是否已通过KeyRaider攻击大发横财。”振奋人心”的是，越狱后的iPhone手机相比安卓设备更易于遭受网络攻击。一旦强大的iOS保护功能被攻破，事实证明就再也没有其他的保护措施，任何不法分子都可以对你的设备为所欲为。 几乎所有强大系统均存在这样的缺陷：在外部，全面部署功能强大的防火墙和物理保护方法，系统本身也从不联网–总而言之，整个系统就如一座堡垒坚不可摧。而在内部，却依然在使用运行Windows XP系统的普通奔4电脑，且12年未打过任何安全补丁。但如果有黑客能成功潜入系统内部后果将不堪设想？ 那针对iOS的问题也随之产生：如果有黑客能成功编写出操作简单的root漏洞利用工具又会怎么样？苹果是否还有备用方案？这能否能证明安卓在这方面具备的优势，毕竟，安卓早已有乐遭黑客入侵的准备，到时各个开发商均会采取各自的应对措施？ Google、Mozilla和微软将在2016年（甚至更早）彻底告别RC4 新闻。 在上周刊登的第35期《安全周报》（我们讨论针对GitHub的man-on-the-side分布式拒绝服务攻击那一期）中，我们总结了使用HTTPS无论对用户还是Web服务所有者无疑都是福音。但事实是并非所有HTTPS部署均对用户安全性有利–此外，其中有一些部署了老式加密方法的HTTPS甚至还存在危险性。 举几个例子，是否还记得POODLE攻击中SSLv3的作用，SSLv3投入使用已快18年了，即将”步入成年行列”，而所用的RC4加密算法技术之陈旧甚至可以追溯到上世纪80年代。至于说到web，很难确定使用RC4加密是否会导致连接本身受攻击。早期的互联网工程任务组承认理论上针对RC4的攻击在互联网上很快能被实施。 顺便提供一份最近研究的成果：如果将任何强大加密方法改为RC4加密的话，黑客只需52个小时就能破解cookies（即劫持会话）。黑客要想成功的话，首先需要劫持一些cookies，将可能出现的结果铭记于心，随后暴力破解网站，如此即可提高成功的概率。这是否可行？当然，但需要考虑若干变量。是否有人曾真的用过呢？谁知道呢。在斯诺登公开的文件中，声称情报部门有能力破解RC4加密。 好吧，也有好的方面新闻：可能存在漏洞的加密算法在为安全起见退出历史舞台之前从未被成功破解（至少并非是全球范围）。即使现在，针对RC4加密的攻击也鲜有发生：Chrome浏览器在所有连接中仅有0.13%选择使用RC4加密–就绝对数量而言，这已经是很多了。各大互联网巨头已做出官方声明，将从2016年1月26日（火狐浏览器44）到2月末（Chrome浏览器）逐步停止对RC4加密的技术支持。 微软还计划于明年初禁用RC4（针对Internet Explorer和Microsoft

OpenSSL Heartbleed bug终于不再是本周的头条新闻。我在撰写本文时已近下午3点，但到目前为止我一整天都没看到过一篇关于Heartbleed bug的文章，真让人惊奇。但别担心，不谈Heartbleed，我们还有很多其他内容要讨论： 零日漏洞 本周早些时候，卡巴斯基实验室宣布发现Adobe Flash Player中存在零日漏洞。说来也奇怪，卡巴斯基发现这种漏洞的工具正是用于发现新恶意程序样本的工具。零日漏洞被发现时，已经通过一种叫做”水坑攻击”的威胁肆虐于叙利亚地区。水坑作为一种有针对性的攻击，攻击者侵入攻击对象可能会访问的合法网站，在其中植入恶意程序，当用户访问这些网站时，就会被恶意程序感染。Adobe已经针对这种漏洞提供相应的补丁，所以请尽快安装Adobe公司发布的所有更新。 微软的Internet Explorer浏览器也同样存在零日漏洞问题。在此我不打算深究此漏洞的技术细节。但我想说的是零日漏洞被广泛利用，能针对各种目标发起攻击；显而易见，确保安装微软称之为”Out of Band”的紧急安全补丁十分重要。此类补丁是指微软在每月固定的周二补丁日以外的时间发布的补丁。如果漏洞收到out-of-band补丁，这通常表明这是一个严重漏洞。 微软Internet Explorer浏览器和Adobe Flash Player零日漏洞取代OpenSSL Heartbleed登上本周安全要闻头条，成为主要讨论话题。 本已封刀退隐，无奈重陷江湖 关于周二补丁日：还记得本月早些时候我们曾讨论过不再向Windows XP发送安全补丁吗？但我们错了（至少从技术角度来说是这样）。因为上述Internet Explorer零日漏洞主动有针对性攻击的目标主要是Windows XP系统，微软心一软，也发送了针对XP用户的Internet Explorer发送out-of-band补丁。 又见AOL！ 最近，大量AOL电子邮件用户遇到了麻烦，他们发现自己的帐户被用于向自己联系人列表中的用户发送垃圾邮件。我们曾在上周的新闻回顾中讨论过这个问题。对此AOL声称，这完全属于”电子欺骗”攻击的内容。他们表示，此问题没有任何危害，只是看起来好像电子邮件是来自AOL用户电子邮件帐户。实际上，该公司在最初的声明中就表示过，电子邮件发件人只是使其看上去仿佛电子邮件是来自AOL用户电子邮件帐户。 如果我没记错，上周我们曾谈到AOL对事件的解释让人匪夷所思，因为事实上电子欺骗行为可能仍在继续，这没法解释攻击者是怎么搞到所有这些联系人列表的。可以肯定的是，本周AOL承认，已向用户发送通知，敦促用户更改密码。所以，如果您使用的是AOL帐户，那么最好更改密码。 Facebook和隐私 Facebook宣布推出一款全新的功能，名叫匿名登录。Facebook创始人马克•扎克伯格昨天在公司的F8会议上对开发人员说，”匿名登录”将允许用户使用Facebook帐户登录到第三方应用，而无需使用自己的Facebook凭证，也不必与第三方共享个人信息。 “这一功能的理念是，你不希望应用获知你的身份，但又想感受简化的登录体验，那么利用此功能可免去繁琐的表格填写工作，”扎克伯格说。”它能让你放心大胆地试用应用。” “匿名登录”目前为Beta测试版，只适用于某些应用；例如，Flipboard就是首批适用的应用之一。登录时，Facebook用户可以选择使用自己的Facebook凭证登录应用，也可以选择使用”匿名登录”来试用应用。”匿名登录”本身采用黑色屏幕，而不是Facebook惯常的蓝色，通过”匿名登录”，用户能够避免与外部应用共享已经与Facebook共享的任何数据。