监视

7 文章

隔墙有耳:语音助手的危险

俗话说”隔墙有耳”,以前这只是个比喻,而现如今却已成为事实。 “电幕能够同时接收和放送。温斯顿发出的任何声音,只要比极低声的细语大一点,它就可以接收到……当然,没有办法知道,在某一特定的时间里,你的一言一行是否都有人在监视着。”这是乔治•奥威尔所著的《1984》中对老大哥监视装置的描述。 但如果老大哥不是唯一有权访问电幕的会怎么样?如果只要掌握必要技能的人就能监听你的对话呢?如果电幕不只用于政治宣传,还用于播放个性化广告又会怎样,比如你刚刚向配偶抱怨说头痛,就立即看到一个止痛药广告?这一切不再是反乌托邦小说中的情节;它渐渐走进现实 – 听起来有些未来主义色彩,但实际上在不久的将来很有可能变成现实。 如今我们周围已经有处于萌芽状态的电幕,它们的新功能(如语音助手)就十分有能力成为新的威胁。 虚拟助手(如苹果的Siri)可以在智能手机、平板电脑和笔记本电脑上使用,也可以在Amazon Echo或Google Home智能音箱等固定设备上使用。人们通过Siri打开和关闭音乐、查看天气预报、调节室温、在线购物等等,可以做很多很多事情。 这些灵敏的麦克风会带来任何威胁吗?答案是确定无疑的。首先想到的第一种可能性是个人和公司数据泄露。但除此之外,还有另一种可能性,这种可能性让网络犯罪分子更容易借此牟取暴利:你是否在网站上填写表单时口述过你的信用卡号和一次性密码? 智能音箱可以识别语音,即便周围环境嘈杂或有音乐播放也不受影响。你甚至无需说得很清楚,智能音箱就能领会:根据我的经验,常见的Android平板电脑上安装的Google语音助理对于3岁孩子的话语,理解得比他们的父母还要好。 下面关于不同语音助理和智能小工具的几则故事,可能会让你感到既有趣又震惊。科幻作家一直梦想着我们制造出能与其交谈的机器,但即便是他们也完全想不到这些现实生活中发生的情况。 音箱造反 2017年1月,加利福尼亚州圣地亚哥CW6频道播出了一则有趣的新闻,是关于亚马逊Echo音箱(配备Alexa虚拟助手)漏洞的。 节目主持人解释说,该系统无法根据语音来区分不同的人,这意味着Alexa会遵循周围任何人发出的指令。结果,这导致小孩子在网上进行了大量计划外购物,因为他们并不知道要求父母给他们零食和要求Alexa给他们玩具有什么区别。 之后其中一位主持人在节目中说:”我喜欢小女孩,说”Alexa,给我订购一个玩具屋。””随后投诉滚滚而来。整个圣地亚哥地区的人报告称他们的语音助理自发购买了玩具屋。Alexa听到电视节目中的这句话,把它当成了一条指令,并迅速完成该指令。 亚马逊向”Al造反”事件的受害者保证,他们可以取消订单,不用付款。 宣誓作证的小工具 可以监听的小工具对于执法机构来说非常有用,他们可以(通常)重放听到的任何内容。下面是2015年发生在阿肯色州的一则警探故事。 有四个人在一起聚会。他们看足球赛、喝酒、泡澡放松 – 一切都很平常。但第二天早上,房主发现其中一人死在浴缸里。房主很快被当成第一嫌疑人;其他客人都说他们离开得时候,什么事都没发生。 警探留意到家里有很多智能设备:照明和安全系统、气象站和Amazon Echo智能音箱。警方决定向智能音箱提问。警探们希望获得谋杀案当晚的录音。他们要求亚马逊提供相关数据,但据说亚马逊拒绝了。 亚马逊开发商称,Echo不会一直记录声音,只有用户发出唤醒词(默认情况下是Alexa)时才会记录。指令只会在公司服务器上存储有限的一段时间。亚马逊称它们存储指令仅仅是为了改善客户服务,用户可以在自己的帐户设置中手动删除所有记录。 不过,警探又发现了另一台设备并从中收集到了线索。他们将搜集到的证据作为一个…智能水表的证词。被害人死亡后,也就是清晨,水表显示使用了超大量的水。房主声称那个时候他已经睡着了。但调查人员怀疑这些水被用于清洗血迹。 值得注意的是,智能水表的读数似乎并不准确。除了在半夜有极大量用水外,在聚会这一天每小时的用水量不超过40升,但这点水量是装不满浴缸的。被告在接受了StopSmartMeters.org的采访(是的,这是痛恨智能水表的用户创建的网站);他说他认为水表上的时间设置不对。 该案今年已向法院提起诉讼。 电影中的虚拟助手 (剧透警告!)

网络摄像头与用户安全

最近关于IP摄像头被黑客入侵和私人录像非法在线销售的新闻再一次让互联网成为热议焦点。这类标题新闻现在已经司空见惯,不足为奇;然而,一个新案例的出现触动了大众的敏感神经。

手机保存信息可能作为”呈堂证供”

安全专家们为现代移动设备起了一个相当贴切的”绰号”:’司法的金矿’,因为移动设备保存了大量有关机主的信息。任何一款智能手机都存有通话记录、短信、照片、视频和访问的网站清单—所有这些数据均附有准确的时间和地理位置信息。

复杂的艺术:拨打私密匿名电话

摄影师Curtis Wallen于周日在纽约布鲁克林的art-house艺术馆举办了名为”Proposition For An On Demand Clandestine Communication Network”的艺术展。这一作品旨在对一个普通人如何在这个网络监视无处不在的时代拨打完整的私密匿名电话进行了探究。 从根本上说,Wallen此次展出的作品是一组复杂得令人难以置信的指令集,从理论上说,依照这些指令完全可以躲避政府监听来拨打私密电话。尽管Wallen本职工作并非是一名安全专家,但在2013年,他却通过Tor(洋葱路由)使用比特币购买了伪造的驾照、社会保险号、医疗保险卡以及有线电视账单。 换句话说,他在私密和匿名领域拥有一定的经验。当然了,他的技术并没有经过专业分析且真正效果也存在争议,但他作品的主题是关于一段行程,而且是一段十分荒诞的行程。快公司(Fast Company)于上月最先报道了Wallen的计划。 那么Wallen到底是如何拨打这样一个秘密电话的呢? 首先,他购买了法拉第笼式的证据袋。这些袋子由网状导电金属构成,可以保护里面的东西免受电子操控。从理论上讲,外部信号无法穿透法拉第笼,因此外部也无法与放置在法拉第笼内的手机进行通讯。 在买好这些袋子后,Wallen去了Rite Aid买了一部预充值的非接触式手机,即装有著名”burner”应用程序的手机。这样推测起来,他可能使用现金而非可被追踪到的信用卡或借记卡购买了该应用程序。随后他就将burner手机放到了证据袋内。 从行为角度讲,Wallen向快公司透露在试验之前他还对自己的日常活动进行了分析,旨在寻找那些 “定位点”以及他手机不会改变位置的其他时间,他称之为”休眠期”。当你能获取他人日常位置信息时,就完全可以精确地识别该对象。 从日常生活来说,我们几乎每一个人都有相对标准的日常活动程序。我们每天起床,然后去公司上班,一天工作结束后回家。通常来说,每个人从自己的家里到工作地点的路线都是完全不同的。这些就是我们的”定位点”。 当需要激活”burner”应用程序时,Wallen在休眠期期间将他真正日常使用的手机留在了一个定位点。随后他从自己的定位点离开,并随身携带装有”burner”手机的法拉第袋子。尽管我们对其中的细节并不完全清楚,但他很可能只步行或乘坐没有监视摄像头的公共交通,旨在避开追踪车牌的监视系统,这样也能提高保持匿名状态的几率。 他随后通过一个公共Wi-Fi访问点连接互联网,并使用了一台装有干净操作系统(可以想到的是Tails操作系统,也可能是在ephemeral模式下经适当配置的Chromebook上网本)的电脑以完成真正的激活程序。 通过这一方式,手机将不会与任何人的姓名或账单信息相关联,从理论上讲,也没有任何可能将其注册信息与任何人的个人电脑相连接。此外,其真正手机的服务提供商也没有任何他前往并激活手机的位置信息。一旦创建完毕,Wallen即将仍然放在法拉第袋子的手机留在非定位点位置。 实现高度隐私的关键在于如何消除或降低可能会引起监视雷达注意的异常现象,例如过于强大的加密 一旦手机被激活,如何协调真正的电话呼叫依然是个问题。Wallen采用了被称为”一次性密码本”的密码系统对消息进行加密,该消息内含有burner手机号码以及呼叫者拨打burner手机的期限。 电话必须在休眠期内拨出,这一点非常重要,因为这就好似Wallen正在家里或正在用他真正日常使用的手机拨打电话。似乎他将真正日常使用的手机留在了”定位点”以隐匿自己的真实位置。 只有消息的预定接受者拥有能解密使用一次性密码本加密的消息的密钥。Wallen随即登入了Tor匿名网络,并之后登录了匿名的推特账号并推送了加密消息。拨打burner手机的人随后对消息进行加密并在既定时间内拨打推送的号码。 “实现高度隐私的关键在于如何消除或降低可能会引起监视雷达注意的异常现象,例如过于强大的加密。”Wallen对快公司如是说。”我预先安排了一个账户以推送密文,该密文以’随机’文件名形式发送,可以看到备推送到公开推特账号的图片并随即记下文件名—手动加密—但实际上并没有载入图片。” Wallen在指定的时间重新回到他遗留burner手机的地点,并接听拨入的电话。一旦通话结束,Wallen即清除一切通话证据(可能是指纹和数据)并彻底毁掉burner手机。 这就是Wallen拨打隐秘电话的整个过程。 Wallen为此还特别咨询了一名安全研究人员,他因成功处理黑客”The

11款不安全的移动与互联网消息应用

就在上周,我们介绍了电子前哨基金会(EFF)所发布的有关安全消息服务的评分报告,同时我们还制作了一份9款在隐私和安全方面表现出色的移动与互联网消息服务清单。而本周,我们将继续为您介绍位列该评分榜末尾的数款消息服务。 有趣的是,如果上周所介绍的消息应用在安全和隐私方面似乎有些过于难理解的话,那本周即将介绍的应用和服务清单在安全方面同样让人有些昏昏欲睡,因为采用了相似的评分标准。正是出于这个原因,我们会将主要篇幅放在一些最流行的消息应用上,当然还是免不了一些较为冷门的应用和服务。 11款在#安全和#隐私控制方面较弱的移动与互联网消息服务 背景 EFF对总共七大类的所有服务应用进行了评分。出于我们的目的,所有在以下问题中得到两个”是”回答或以下的服务提供商,其评分即为不及格: 1. 数据在传输过程中是否加密? 2. 是否在数据加密后,即使服务提供商自己也无法读取? 3. 你能否确定联系人身份的真实性? 4. 服务提供商是否采用完美正向隐私性的做法,即加密密钥是否是临时的,即使被盗也无法用来解密现有通讯? 5. 服务是否采用开源代码且可供公开审查? 6. 加密实施程序和过程是否留档? 7. 在过去12个月是否进行过单独的安全审查? 这七个问题旨在评估哪些服务应用提供最佳(最差)保护,以防止政府监视、网络犯罪分子窥探以及企业数据收集。这意味着,无论是EFF还是《卡巴斯基每日博客》都官方认可以下所有程序。但这一服务清单仅代表哪些应用一贯并未采用最佳安全与隐私做法。 9 mobile and Internet messaging services offering strong #security and

一周要闻:Black Hat与DEF CON大会预览

全球黑客和安全领域两个最重量级的会议:Black Hat和DEF CON大会将于下周在内达华州的拉斯维加斯举行。在本周新闻综述,我们将展望这两个会议的同时,对本周发生的新闻进行一番回顾。 黑客大会抢先预览 Black Hat与DEF CON安全大会将于下周召开,我们将首先展望这两个会议来开始我们的本周新闻综述: 卡巴斯基实验室安全专家Vitaly Kamluk的演讲是我们最为期待的,他将在大会上再次提及Absolute Computrace漏洞问题,在之前2月份举办的安全分析师峰会期间我们曾有写到过。 此外,安全研究员Joshua Drake也将展示他所建造的工具,这一工具足以彻底颠覆目前全球对安卓系统安全性的研究。从本质上说,这一工具集中了所有他能找到的各种安卓设备,且各自适合的操作系统稍有不同。他们认为只有通过这样的方式,安全研究员们才能对目前众多的安卓操作系统有一个更加全面的了解。来自Bluebox Security的Jeff Forristal将作另一场有关安卓系统的有趣演讲,他的研究显示数百万台的安卓设备内存在一种关键漏洞,可使恶意应用伪装成受信任的应用,让攻击者能够将恶意代码植入合法应用,甚至直接控制受感染的设备。 而在今年的DEF CON大会上,主办方将举办一场以黑客入侵路由器为主题的比赛。选手们需要入侵SOHO Wi-Fi路由器,比赛规则公布在SOHOpelessly遭到入侵的网站上。参赛选手必须在DEF CON大会举办期间说明并展示他们如何利用零日漏洞来入侵路由器的。届时将向获胜选手颁发奖品,具体奖品类型尚不得知。 全球最大社交网络遭遇麻烦 接下来,我们将一一回顾本周已发生的新闻事件:本周有关Facebook的新闻可以说是喜忧参半。 首先是本周一,来自欧美的一个隐私倡导团体要求Facebook推迟实施全新针对性广告政策。此前,Facebook的广告几乎全部基于用户所钟意的页面。就在上个月,这家社交网络公司发布了一条令人不解的声明,表示他们将赋予用户更多对所见广告的控制权,同时还将开始收集用户更广泛的网络冲浪行为信息。 众多用户团体向美国联邦贸易委员会提出抗议,希望延迟或者完全阻止Facebook进一步采集用户在Facebook域名以外的上网信息。这些团体表示Facebook的这一计划直接反驳了与此前所做出的有关隐私和用户跟踪方面的声明。就在上个月,Facebook还表示”用户将能自主控制网页上所看到的广告”,此前的声明明显欺骗了用户。 破坏性巨大的攻击迫使组织重建整个系统。 据Threatpost报道,在周二,Facebook修复了其安卓应用内的漏洞,这一漏洞能够让攻击者在受害人设备上造成拒绝服务的情况,或通过在设备上传输大量数据导致受害人手机账单飙升。因此,如果你在安卓系统运行Facebook的话,确保安装了最新的更新补丁。 另外,Facebook颇为流行的照片共享服务Instagram的移动版本并未部署完全加密。因此,用户不得不面临暴露浏览行为及会话cookie被窃的风险,这可能最终导致安卓和iOS系统的账户同时被盗。Facebook和Instagram都意识到了这一问题,并表示将修复这一漏洞,但修复的具体时间尚未给出。访问Threatpost和Kaspersky Daily,阅读更多内容。 高级持续性威胁 本周还曝出了中国高级持续威胁(APT)黑客入侵的事件,入侵对象则是曾参与以色列臭名昭著的”铁穹”导弹防御系统开发的国防承包商。据报道,在2011年至2012年期间,他们先后从以色列的三家国防承包商手中盗窃了一种特定型号反弹道导弹的详细原理图、火箭相关信息以及成页成页的其他机械文件。 据报道,另一个中国APT小组也入侵了加拿大一家主要的技术研究组织,最终迫使他们脱机下线。Threatpost的Chris Brook在其文章中写到此次攻击破坏性巨大,最终迫使该组织重建其整个系统。加拿大方面并未表示攻击发生的时间以及被盗资料的信息。