24 文章
今年,Google正式发布Allo —一款我们期待已久的即时通讯工具,尤其是许多酷炫功能及隐私保护更是令人满怀期待。但Google却做了些改变,使得这款app与我们此前期望的相去甚远。
在《口袋妖怪Go》正式发布不到3个月时间,犯罪分子就偷偷将恶意软件植入Google Play以将”训练师们”作为攻击目标。我们的专家们在几天前就发现了该木马病毒,随后立即报告给了Google。可惜在发现时,称为”《口袋妖怪Go》游戏指南”的恶意应用已下载了超过50万次。
一年一度的Google I/O大会每年都会聚集许多的应用开发者,为新一年的开发工作寻找新的方向和灵感。今年也不例外:参会者们获得了最新Android N操作系统的深刻洞见。其他亮点:对可穿戴设备操作系统- Android Wear进行彻底变革;此外,Google还承诺将继续致力于VR技术的开发。
”验证码”是”全自动区分计算机和人类的图灵测试”的缩写。验证码技术背后(以及图灵测试背后)的理念其实相当简单:一种人类很容易通过但在线机器人却难以完成的测试。验证码通常以扭曲的文字图片形式出现,用户需要正确填写以证明自己不是’机器人’。不幸的是,reCAPTCHA技术似乎并没有最初想象的那般绝对安全。
本月开始,Google将逐步停止对OS X 10.6(雪豹)、10.7(狮子)和10.8(美洲狮)这些老版本系统上的Chrome浏览器提供技术支持。
我的朋友们,我想说的过去一周对于安全信息行业简直是噩梦一般。如果说上一周我们只是发现了些有趣的bug、零日漏洞以及安全研究专家寻找已久的漏洞的话,那本周真正的灾难才刚刚降临:网络犯罪分子已利用所有这些缺陷渗透进了存在漏洞的软件。尽管这些内容相当重要,但人们对这样的新闻或多或少已有些厌倦。每一次,我们的新闻博客-Threatpost都会带来安全信息领域新鲜热辣的新闻,同时还会在其中精选三篇有关安全补丁修复的文章,而文章摘选工作远比你们想象的要难得多。 不管怎么样,这些内容都相当重要!找到一个漏洞需要花费不少的时间和精力,但更难的是在没有遭受黑客攻击之前就将其修复。软件开发者可以找出千万种不立即(或当季度或无限期)对特定bug修复的理由。但问题最终总是要解决的。 在本周最热门的三个新闻故事中,无一例外其中所含的bug均还未能修复。这里我再次重申《安全周报》的编辑原则:每周Threatpost的团队都会精心摘选三条当周要闻,并加上我自己独到的见解。往期的内容可以在这里找到。 另一个存在于Google Admin内的安卓系统bug Threatpost新闻故事。MWR实验室研究。 我们发现了哪些漏洞? 你是否注意到最近有关bug的新闻纷涌而至?哎,难道只是一辆车遭到黑客入侵?我们在许多车内都发现了数十种安全漏洞!同时,在有关安卓的最新新闻中,我们也很容易注意到同样的情况。首先是Stagefright漏洞,然后是一些稍小的bug,现在则轮到了Google Admin,即通过该工具绕过沙盒。 作为安卓系统级的应用程序之一,Google Admin可以接受来自其他应用的URL地址,而且事实证明,该工具可以接受所有URL地址,甚至是以’file://’开头的路径。结果是,具有网页下载功能的简单联网工具开始向类似整体文件管理器演变。是否因此所有安卓应用就可以相互隔离呢?当然不是,Google Admin只是拥有更高的权限,一旦不幸读取某些流氓URL地址,任何应用都能绕过沙盒访问私人数据。 漏洞是如何修复的? 首先,请容许我简要介绍该独立研究和漏洞披露的整个过程。这一漏洞是在三月份被发现,随后相应的报告即提交给了Google。大约5个月后,当研究专家再度检查Google Admin的安全状况时,发现这个bug依然还未修复。8月13日,有关这一bug的信息被公开披露,目的是敦促Google尽快发布相关补丁。 顺便提一下,Google拥有一支内部研究团队,任务是花费大量时间和精力到处寻找bug,且不仅限于Google自行研发的软件。Google的Project Zero项目小组通常在将找到的bug公诸于众前,给予软件开发者90天的时间修复漏洞,但我们依然对Google能否在90天内成功修复漏洞持怀疑态度。 Google Admin工具在有些方面的确很糟糕:首先,有些方面确实糟糕;其次,我们都知道未必所有存在漏洞的安卓设备上都能修复漏洞。你是在说月度安全更新?那如果是长达半年的漏洞修复过程又如何呢?看!看! 施耐德电气SCADA系统内发现开放式漏洞 Threatpost新闻故事。ICS-CERT报告。 欢迎来到重要基础设施的奇妙世界!请坐好,不必拘束,但千万不要碰可怕的红色开关,也不要摸那些莫名突出在外的电线。没错,它们本来就突在外面。这没什么问题。多年以来一直就这样。你一碰的话,我们就全完蛋了。 SCADA(监控与数据采集)系统作为重要基础设施的一部分,负责像锅炉(主要位于公寓大楼甚至核电站内)这样重要设备的操作和运行。此类系统无法进行篡改、关闭或重启。千万不要在这一系统上修改任何参数,说得简单点,不要碰任何东西! 如果你有任何问题的话,千万不要自己去冒险尝试,最好读一读我们这一主题的文章。同时,我们还必须承认,尽管这些系统的重要性不言而喻,但却常常部署在运行老版本Windows系统的PC电脑上。与一般企业不同的是,重要基础设施通常至少过5年后才会升级或更换所用的硬件和软件,有些工业设施机器人或离心机为了将一些致命化学品分离,可能会数十年不停歇地使用同一个硬件运行。 我们发现了哪些漏洞? 安全研究专家们在其中一个系统内—施耐德电气Modicon M340(多么浪漫的名字!)的PLC站内发现了大量bug。简而言之,这一连串漏洞将能让非工作人员完全掌控系统…基本上来说,可通过系统调节所有参数。其中还找到一个相当普遍的漏洞(顺便说下,该漏洞常常出现在许多路由器和物联网设备内),我们称之为硬编码器凭证。 关于工业SCADA系统内到底对哪些程序进行了硬编码,目前依然未知(尽管理由很明显),但我们完全可以做大胆的假设:这是一个由供应商提供的为简化维护程序而提供的默认登录凭证,或者是供应商可能只是忘了从编码中挑一个测试密码。或者你自己也可以想个理由出来。 漏洞是如何修复的? 根本就没有得到修复。从安全研究专家Aditya
这一最令人震惊的网络威胁不断触动着安卓手机用户原本就脆弱的神经:Zimperium zLabs在2015年4月报告了Google操作系统内的6个漏洞。他们还告诉《福布斯杂志》:尽管Google向其合作伙伴发送了补丁,但有些令人难以置信的是,大多数生产商并未修复这些补丁来保护他们的客户。这些bug被认为有史以来发现的最严重的安卓缺陷。 安全研究人员宣称95%的安卓设备–约9.5亿部智能手机–暴露在漏洞利用的危险之下。运行2.2版本以下安卓操作系统的老式手机可确保无安全之忧,同样安全的还有Silent Circle最新推出的Blackphone(黑手机),其操作系统已打上了相关安全补丁。同样针对Nexus手机的相关安全补丁也将于近期发布。 只要知道你的手机号码,黑客们就能将恶意软件植入你的手机:即通过受病毒感染的MMS(多媒体短信服务)实现。只要你接受此类短信—恶意软件就能开始自动运行。你甚至不打开受感染的多媒体短信就可能不幸成为受害人,因为手机的操作系统会’帮助你’执行一切操作。这绝对是一种可怕、高效且悄无声息的网络攻击,你说呢? 该漏洞存在于Stagefright软件库内。Google Hangouts同样遭受牵连,原因在于该应用常被用作处理视频短信的默认应用程序,因此会激活病毒。 一旦不幸安装,该恶意软件则会清除原先的MMS来掩盖所有踪迹。一旦成功运行后,该病毒将不仅通过手机摄像头和麦克风监视你的一举一动,还会将你的个人数据共享到互联网并开展其他犯罪活动。 Google最近针对其Nexus手机开发了另外一些安全补丁,并承诺将于近期发布。但如果你不幸使用其它手机的话,则可能永远也看不到针对你手机的相关安全补丁发布的一天。不幸的是,众多智能手机生产商在提供安全补丁方面可谓名声不佳,尤其当你的手机已上市超过18个月。 而与此同时,作为安卓替代系统的CyanogenMod也于近期发布了修复补丁。如果你手机的生产商无法提供安全更新补丁的话,可以参考以下我们精心准备的安全防范措施。 你首先需获得安卓手机的root权限,然后禁用Stagefright。当然,你还可以选择使用其他的手机操作系统。 你还能买一部在这方面有安全保障的新智能手机(生产商很重要!),然后放心使用直到再出现新的严重安全漏洞。 更改设置并停止接收MMS。 无论你选择哪一种方法,都仍然会遇到各种不便和麻烦。最快的方法是禁用Hangout的MMS自动抓取功能。只需按照以下步骤操作即可轻松实现: 打开Hangout; 点击左上角选项; 点击设置-> SMS; 在高级选项卡内取消勾选自动检索MMS选项。 如果你使用的是默认消息应用,同样可以实现: 打开消息应用; 点击更多->设置->更多设置 点击多媒体消息->关闭自动检索 我们依然希望智能手机生产商最终能严肃地对待这些安全问题。此外,我们还可以通过向那些在推特上有客户支持账号的智能手机生产商直接发送推文,敦促他们尽快发布相关安全补丁。
尽管AI能够学习简单的事情,比如:驾车或讲本国语言,但它们依然无法代替人类做自主决策。从短期角度来看,AI很可能导致某些’附带伤害’,例如:消灭出租车司机这一职业,但无法对人类产生全球性的威胁。
尽管Google I/O大会实际上是一年一度的开发者大会,但却依然能够吸引到全球记者和消费者的关注。原因很简单:每年的I/O大会上,Google都会展示其崭新的特性、服务以及产品,这些东西将在不久的将来足以改变我们的生活。现在让我们从安全的角度共同来审视其中最重要的内容。
现在很多人都在谈论大数据,它既有优点也有缺点,同时也潜力巨大,这也让我们不禁想搜寻并向读者介绍全世界各地的大数据项目。在本文中,你将能了解到那些使用目的各异,且不乏严肃、有趣甚至令人惊讶的大数据使用案例。接下来就让我们共同赏析一番吧! 那么,大数据能帮助我们… #1.从互联网上精确搜索想要的内容 可能你从未想到过Goole、雅虎、Yandex、必应以及其他搜索引擎正是利用大数据来挑选你搜索查询的结果,事实上他们就是这么做的。 搜索引擎需要处理数以万亿的网络对象并分析数十亿人的在线行为,从而精确了解他们的搜寻内容。这些科技巨头自然在许多领域成为了数据分析的先驱者,并推出了大量与大数据相关的产品。 #2.畅行都市,远离交通拥堵 例如,Yandex公司在不断增强其数据分析技术的同时,决定从换个角度来使用他们的数据。这最终使Yandex.Traffic解决方案孕育而生。该技术能够对不同来源的信息进行分析,继而在城市地图上实时显示交通状况。 #3. 拯救濒危动物,抓捕偷猎者 偷猎者对于濒临灭绝的孟加拉虎的盗猎可谓屡禁不止,这主要是因为一些迷信的中国人认为它们的骨头有药用的价值。这些偷猎者对于孟加拉虎栖息地每一处的地形都了如指掌,因此执法人员很难抓到他们,但却可以借助…大数据。 #4. 让我们的城市变得更加环保 纽约市由于一些古树年代久远且缺少照料,时常会倒下砸落到市民头上或造成财产损失,有关部门因此而焦头烂额。现在,大数据将教会他们如何保护”城市森林”。 #5. 了解印度料理为何如此独一无二 科学家通过对大量食谱进行研究后发现在全世界各国的料理中,食材搭配都非常好—除了印度料理以外。 #6. 在非洲与疟疾流行病作斗争 由Google资助的一项大型项目通过利用大数据技术来解决全球健康问题。许多即使居住在偏远地区的非洲人都拥有自己的手机。他们可以通过文本数据发布他们服用药物情况,从而使科学家能够追踪疾病的传播范围以及治疗方法。 #7. 种出理想的圣诞树 科学家通过连接超过15个大型种植数据库的基因、物理和环境数据,从而研发出能够种出更好的农作物、植物以及理想圣诞树的工具。 #8. 了解我们的语言充满了幸福感 事实证明,全球各地语言所含的积极正面的词汇数量要多于消极负面的词汇,且会让人感觉幸福。 #9. 让体育比赛变得更加富有乐趣 职业体育教练利用大数据来制定战术、训练球员以及设计合理的食谱,甚至与体育迷之间的互动都能让运动员在赛场上发挥出更好的水平。 #10. 改善工作条件
每当看到那些生产普通电子产品的非垂直整合科技制造商因听到有关苹果即将进军另一个产品类别的传闻而紧张不安的时候,总是让人感到非常有趣。这些公司无一例外都缺乏自己的平台以及用户体验。此外,这些公司还总是想通过闭门造车力图赶上那些永远引领科技最前沿的公司,但往往事与愿违,最终以失败而告终。在这里请原谅我开玩笑式的幸灾乐祸。 Apple Watch正是其中最典型的一个例子:一听说苹果即将发布Apple Watch,包括三星和阿尔卡特在内的众多高科技公司立即放下手上的一切工作,匆忙地赶制出一些半成品的所谓”智能手表”。有时候,在苹果发布新产品之前,往往这些公司早已推出了第二代甚至第三代的类似产品,尽管可能外观看上去非常精美,但实际上却充满了各种漏洞和缺陷。 就这一点而言,我不得不提到在2015世界移动通信大会上所发布的两款智能手表:LG Urbane LTE和Huawei Watch。这两款智能手表均获得了极大的关注度和极高的评价。有些人甚至评价后者为外形最精致的安卓可穿戴设备。可惜的是,单从设计角度而言这两款产品可谓彻头彻尾的失败作品。 人们总是最先会关注到外表,但设计并非只是外表好看而已,还需要考虑到戴上后的感受以及感知,还有就是人机交互的功能。如果从这个角度看Huawei Watch的话,再考虑到所有安卓可穿戴设备的潜在问题,你就会立即发现其中存在众多的缺陷。 苹果公司设计师乔纳森·伊夫于近期向消费者阐述了自己的观点,圆形屏幕并非是最理想的用户界面形状,因为许多屏幕空间会因此而被浪费。可能的解决方案则是将选择项目放大,就如同Dock工具栏在Mac OS X系统内的工作方式。但1)Google的材质设计避开了拟物化设计;2)这一解决方案将无法适用于其它许多场合,例如:显示带二维码的登机牌。 LG的Urbane智能手表的设计则要合理许多,除了部署了网络操作系统资源,同样也采用了圆形用户界面,但看上去似乎经过了一番深思熟虑并针对特殊硬件进行了适当调整。但可惜的是,类似于发短信和打电话的功能在圆形屏幕上依然看着有些变扭。为什么有人在智能手表上需要有蜂窝网络连接功能呢?Omate还是其它设备?原装电池的电量似乎也不足以长时间使用这些功能。 这两款智能手表均存在重大缺陷:设计得过于中规中矩,毫无智能亮点。过于突出的边缘以及又长又厚的表带看上去感觉过于男性化,让人无法将注意力放在屏幕显示上!作为一款智能手表,屏幕显示的功能才是其核心所在。 有些评论家以下面的Huawei Watch图片作为证据,说明相比Moto 360而言其外观要酷得多。但于我而言,这却是一个反面的证据:摩托罗拉的设计师显然更为出色,因为他们对于何谓”智能手表”有着自己更深层次的理解。但苹果却拥有更为顶尖的设计师,他们”无情地”将所有不适用该产品特性的元素全部摒弃。 目前所有安卓可穿戴设备以及其它智能手表产品似乎是专为那些极客而量身定制的,这类人根本无需了解产品的价值、功能以及该产品类别的潜力。似乎苹果将再一次在整个市场上掀起营销风暴,小心翼翼并耐心地将其产品推广给普通消费者,从而大幅拓展其目标市场。苹果将因此收益颇多:就算苹果最终只获得了10%的市场占有率,但就这10%的消费者将能为苹果带来超过50%的利润。 而对于普通消费者来说也有好的地方,他们并不会对售价仅为19.99美元的电子产品抱有太大的功能期望。他们一直会等到相关功能技术都成熟以后才会出手购买,例如:工作出色、整体体验良好以及日常使用方便等。在其它方面,还可能将LTE技术引入智能手表:事实上还是有些为时尚早,主要是考虑到现有蜂窝网络的覆盖密度以及智能手表电池的技术水平。WiFi是最佳的折中解决方案,Google已在研究中,预计下一次对安卓可穿戴设备进行更新升级时会将WiFi功能加入其中。 然而,这并不是意味着蜂窝模块就永远也不会出现在Apple Watch上。恰恰相反,苹果习惯于将每一种新产品类别与另一种功能更为强大的产品类别相连接,随后再逐步分离,这方面早已有成功的过往案例。起先,消费者必须有一台拥有成熟操作系统的个人电脑,才能拥有并使用一款便携式的苹果设备。目前,无论是iPod touch、iPhone还是iPad只需在iCloud的帮助下,即可完全独立开启、设置和运行。 对于那些以浏览内容为主的用户而言,iPad早已成为了苹果笔记本电脑完美的替代品。苹果并不担心Apple Watch会冲击到苹果其它产品的销量,因为Apple Watch总有一天会演变成为一款”独立自主”的解决方案,超越iPhone甚至完全取而代之。苹果产品的演变路径:个人电脑->移动设备->可穿戴设备。 而可穿戴设备何尝不是通往”生物技术大门”的一个中转站呢。生物技术作为一项产业,显然将在提高全球人类生活质量方面超越IT行业,让某些人和企业变得非常非常的富有。目前成套的内置传感器以及开放ResearchKit源代码的举措表明了苹果已经明白这一未来趋势即将来临,而在即将到来的科技变革面前每一家科技公司的机会都是均等的。
最近包括联想事件(在其笔记本电脑硬盘内预装含有多个安全漏洞的垃圾广告软件)在内的隐私问题似乎又唤醒了人们对过去的记忆。再一次,因公开传统台式电脑操作系统的源代码允许第三方修改使得普通消费者的系统安全无法得到保护。尽管消费计算机行业已将更多的注意力放在设计得更为安全的移动平台,但有关”开放VS.安全”的话题依然争论不休。 尽管除iOS和安卓以外的移动操作系统规模小的可怜以及不存在Windows Phone install base进程,全球范围的一些移动领域理论分析师最近又在一个更加开放的论坛上重新讨论起了第三种可替代iOS和安卓的移动操作系统。这些与”第三种移动操作系统”相关的讨论无一例外地都谈到了需要某些定义模糊的”真正的开放”。 有些参与讨论的人恰巧是真正的开发者,其中即包括了Cyanogen公司的首席执行官Kirt McMaster。据Re/code网站报道,他首先在硅谷绕了一圈并随后北上,试图将安卓从”邪恶的巨兽”Google手中解救出来。而作为安卓系统投资者之一的微软,虽然完全有能力开发第三种替代iOS和安卓的移动操作系统,但依然更倾向于将源代码封闭。 最近Google为了保护其付出巨大成本的手机系统研发成果免于他人免费搭顺风车的一系列动作,遭到那些想在迅速增长移动市场分一杯羹的公司的强烈反对,这些公司对此极度失望,并向反垄断部门积极投诉Google的垄断行为。 这些反对Google的公司还采取了一系列的公关活动,号召每一名诚实的电脑迷将”神圣”的安卓系统从”邪恶的巨兽”Google手中解救出来。 然而再一次,我们需要歌手Meja提醒我们这一切都是为了钱。 为了更具体地阐述我的观点,我想与你们分享在过去的个人电脑时代我的一些个人经历:大约在10年前,当我还在读大学的时候,我常常勤工俭学通过给别人修电脑赚点外快。通过修复中国生产的廉价主板以及盗版的Windows系统,有时候能赚点现金,有时候则能享受到一顿免费餐。 干这活赚钱并不容易,有些难以解决的问题需要耗费我整整一天的时间,从早上一直干到晚上。其中有95%的问题是出在:这些毫无防范心的用户往往对大量的警告置之不理,并在安装软件或浏览互联网时点击了大量的提示窗口。最终他们的电脑因为不堪重负而停止运行,或因为安装了了大量垃圾软件和浏览器工具栏而死机。 计算机厂商为了多赚钱,在有些笔记本电脑和品牌个人电脑出厂时就已预装了过于臃肿的软件。你还记得为了给一台索尼VAIO笔记本装上干净版本的Windows系统需要多花50美元吗?这些场景依然历历在目。 每当听到a16z播客上播放的有趣观点:McMaster认为世界对于第三种移动操作系统早已渴望已久,我总能想起这些往事。他的观点是:这一即将出现的第三种移动操作系统必须不同于iOS和[不断减少]安卓系统,并对第三方开发者完全开放,以及能享受完全的言论自由。’毕竟,McMaster指出苹果和Goolge对于所有重要内容的完全控制正是亚马逊和Facebook力图撇开安卓系统另起炉灶的原因所在,如此他们才能更好地展示自己的品牌和产品。’ 从我与臃肿软件”斗争”的经验看来,这些公司之所以反对的真正原因是他们错过了Windows XP系统的”开放”机会。他们做梦都想有个机会能将自己以及其他公司的产品推销给我们,从而将同样臃肿的软件填满我们的手机,并帮助合作的公司在注意力经济时代赚取更多的钱。尽管是为了所谓的”公开”而战,但McMaster事实上正在为那些缺少创新能力或专业技术而无法赶上其他有实力公司的公司铺平了道路,这些公司无一例外缺乏专业技术、有吸引力的移动平台并且只专注于有利可图的广告收益。 换句话说,就这一点我们完全应该向那些”高筑围墙”的公司们致敬。
我们信赖上帝;但上帝以外的我们需要好好再检查一番-在网络安全方面我们都有一套聪明行事方法,这其中当然包括了对流行二维码的使用。很少有人会怀疑张贴在银行、公共交通工具甚至博物馆这样场所内的正式广告上的二维码都会被”掉包”。然而近期发生的众多案件表明一些合法的二维码竟然被不法分子巧妙地调换成恶意代码。 扫描之前检查是否安全! 有一些方法可以防范和解决针对二维码的网络钓鱼攻击,但这离不开你自身的防范和警惕意识。在你准备扫描任何二维码时,你必须使用抱有怀疑态度–万一这个是替代合法二维码的恶意代码呢?检查即将扫描的二维码链接可能听起来并不好玩,但却有可能避免遭受二维码网络钓鱼攻击。幸运的是,在如今这个数字时代,有一种更简单的方法可以保护你自己,例如:免费的卡巴斯基二维码扫描器应用程序。 其运行方式和普通的二维码扫描器并无二异,但加入了一些必不可少的功能:该应用程序会检查每一个扫描的二维码。卡巴斯基二维码扫描器能让你快速、简单和安全地访问网站、图片和文本,还能为你安全连接Wi-Fi并迅速保存名片内的联系方式而无需手动输入。 该应用程序提供苹果iOS和Google安卓两个版本。(目前在中国地区,只有iOS版本)。其操作界面整洁、简单且使用方便,不存在任何不必要的功能:先扫描和检查,如果安全的话再自动打开。一旦发现危险,即会发出警告。 使用卡巴斯基二维码扫描器可确保移动设备安全,免遭二维码欺诈。确保借助卡巴斯基的安全移动经验来检查其它应用程序,例如:卡巴斯基安全浏览器(iOS版和Windows手机版)、卡巴斯基安全网络安卓版以及卡巴斯基密码管理器(iOS版和安卓版)。
技术发展在某种程度上不是我们所能预测或预知的。接受这一事实,然后让我们一起穿越时光机回到上世纪60年代。在那个年代科幻小说的情节中,21世纪的机器人可以帮助人们做各种家务。在过了半个世纪以后的今天,这一科学幻想已然成为现实,我们的确拥有了家用机器人-但上世纪60年代的科幻小说作者很少有能辨认出21世纪版的机器人技术-小圆型的机器人真空吸尘器。尽管两者的理念非常相似–为人类减轻家务负担–但事实证明其相当单调且过于简单。 无人驾驶汽车可能注定要走相似的道路。我们通常所设想的理念类似这样:早上驾车去上班的途中,一边看着早报一边吃着早餐,享受着早晨的美好时光。一天繁忙的工作结束后,我们很多人都会去酒吧与朋友小酌两杯,随后无人驾驶汽车将载着你直接回家。如此,即使小孩、老人和残障人士都能够享受到舒适的驾车体验。 此外,交通事故和交通堵塞情况也将大幅降低。自动驾车功能将在两车之间保持最短的安全距离,并有助于实现最高车流量效率。此外,”机器人”不像人一样会受到不同路况或美女的干扰;同样也不会在驾车时睡着和突然头痛。 https://twitter.com/thegooglecar/status/535590615988195328 听起来相当诱人,不是吗?我们都非常急切地想知道这些理念设想对于普通驾车者是否能成真,对于这一急迫心情我们完全可以理解。 预测什么时候全自动化驾驶汽车能在大众市场实现商品化就如同彩票中奖一样。 预测什么时候全自动化驾驶汽车能在大众市场实现商品化就如同彩票中奖一样。Google联合创始人Sergey Brin在过去几年始终希望能这一技术能在2017年开始普及,而雷诺日产联盟领导者Carlos Gohn则预测在2020年。 老实说,此类预测除了能够推动自己公司向一家具有高瞻远瞩的创新型公司迈进以外,并无实质意义。所有未来主义者均同意最初开发的自动驾驶功能将受限于某些特定路况,这意味着驾车者需要在许多情况下避免自动驾驶,且必须时刻保持警觉,随时准备转为人工驾驶。 Proof you don’t need to put anyone behind the wheel to move forward: “Shelley,” the autonomous Audi TTS in 2009.
运用一打iOS安全设置来保护移动设备听起来似乎不算麻烦。那么安卓系统呢?问题在于安卓移动操作系统貌似与iOS并无二异,但实际上却有很大的差别。安卓系统作为一种开源系统,使用灵活,正是这种特性让它在移动市场上独占鳌头,但同时也是导致碎片化问题的根源,这已经是如今人们频频讨论的一个话题了。 要区分在Nexus系统设备、三星/索尼/HTC智能手机上运行的安卓版本和在中国各种品牌机上运行的安卓版本非常简单。但有一些通用小贴士可确保安卓设备更安全,其中许多也同样适用于iOS系统。 当然,假设日常体验中存在折中做法,但在这种情况下,你得决定是使用舒适第一还是安全性第一。最终,用户总能在便利性和安全性两者之间找到最佳平衡点,并至少应该遵循下面列出的部分小贴士。 1.只从Google Play Store下载应用 实际上,安卓系统最”危险”的部分并不在操作系统本身,而在用户可以安装的应用上。相对于iOS,在安卓系统上自行安装应用或者”借助”其他用户的帮助来安装应用超级简单。但切勿从第三方平台和网站下载应用:这类应用很可能已被感染。更容易的办法是在设置中彻底禁用从第三方下载功能,并部署集成的应用安全检查。另外,还应拒绝root访问权限,因为授予此权限会使遇到被感染应用的风险大大上升。 好处所在:显著降低遇到恶意应用的机会。 设置方法:转至”设置”->”安全性”,取消选中”未知来源”框,选中”验证应用”。 2.小心应用权限 首先,应该只安装知名开发商提供的应用,或者安装Google推荐的应用。其次,每次安装应用时应该检查应用访问权限,了解应用要求有权访问哪些内容。如果壁纸应用或游戏要访问你的帐户、SMS、话筒、所在位置,或者要使用无限上网,那就非常可疑。 好处所在:显著降低遇到恶意应用的机会 设置方法:安装应用时,屏幕上会列出所有权限,在应用页面的底部还会有”查看权限”链接。如果已安装可疑的应用,请转至”Google设置”->”启用应用”,然后禁用不想运行的应用。 3.使用高强度密码 这是更加”全能型”的小贴士。用于解锁手机的密码应该使用复杂密码,而不是PIN码或图形码。最佳做法是使用至少包含10个字符的密码,其中含大小写混合字母、数字和符号。但每次解锁手机时,要输入许多符号并不方便,所以你应该多试几个密码,找到安全性高又方便使用的密码。密码应该定期更改。此外,请设置最短闲置时间,在此时间后启用锁定;另外还请禁用输入密码时显示密码的选项。注意,许多应用也利用了基于密码的安全性。 好处所在:显著减少他人访问你手机及上面内容的机会。 设置方法:转至”设置”->”安全性”->”屏幕锁定”,并选择”密码”作为锁屏方式。接着转至”设置”->”安全性”,并取消选中”显示密码”框。 4.加密数据 这非常简单!如果对手机上的数据加密,则没人能够访问这些数据,就算手机丢掉或被偷也不会发生数据泄露。最好是选择自己的密码,而不要使用PIN码,因为在目前的安卓版本中,加密只能基于密码/PIN码,并且加密强度只与密码强度息息相关。安卓5.0应该会改进此功能。 好处所在:在设备丢失时可防范数据外泄 设置方法:转至”设置”->”安全性”->”加密手机”,并另外选中”加密存储卡”。 5.小心Wi-Fi连接 默认情况下,安卓会尝试连接到你访问过的所有无线网络。对于某个开放接入点,很可能这并不是你使用的热点,而是网络犯罪分子创建的恶意热点。考虑到这点,首先请避免尝试接入公共热点,其次,对手机记住的Wi-Fi网络列表定期进行审核。此外,请禁用默认搜索开放的无线连接。 好处所在:降低意外连到潜在恶意Wi-Fi网络的机率。 设置方法:转至”设置”->”Wi-Fi”,按住记住的热点名称以调用菜单,通过此菜单可删除该网络;转至”高级设置”,并取消选中”始终搜索无线网络” 6.总是使用VPN 此贴士对于使用公共热点或不信任网络连接时非常管用。使用VPN能保护所传输的数据,同时(作为奖励)支持你访问在公共网络上因某种原因受限的资源。如今,可靠的VPN访问价格不再那么昂贵,最新型号的家用路由器都有自己的VPN服务器,你可以完全免费使用VPN访问。最好是使用L2TP或OpenVPN,它们提供的保护比广泛使用的PPTP要更可靠。为了防止在建立VPN连接之前数据外泄,请务必记得使VPN”始终启用”,或者禁用自动同步应用。 好处所在:加密流入和流出的数据。 设置方法:转至”设置”,在”无线连接和网络”中选择”更多…”-> VPN,在上下文菜单中,选中”始终启用VPN”,并选择连接;自动同步可以在”设置”->”帐户”中禁用。
最近几周,移动安全领域分外热闹,苹果和Google两大巨头先后发表声明称保存在各自最新版本的iOS以及安卓操作系统的用户内容受到严格加密,且两家公司本身都无法对本地存储信息进行解密。 默认加密 执法机构当然无法对这一事实感到满意,因为这意味着即便有正当的理由,这些部门也无法保证能要求用户解密本地保存的数据。因此这些机构只能出动政府官员对广大用户进行明目张胆的恐吓–少不了借用恋童癖和恐怖分子的老套故事–迫使用户相信加密是不正当且危险的。 与此同时,隐私与安全倡议者们又进一步推出了新的全盘加密方案,似乎预示着消费者们即将迎来真正的移动数据安全时代。 有些人认为这一系列举措过于冒失和鲁莽;另一些人则将此举视为对现有安全环境所进行的一场彻底变革,因为目前情况下,政府在缺乏任何监督下可轻易收集用户的信息。 #Google #安卓操作系统的最新版本将步#Apple #iOS后尘,也将启用默认全#加密#。 本月早些时候,我们曾撰写过一篇关于”苹果新默认启用加密“的文章,你可更多地从执法机构的角度品味这篇文章。现在是时候从技术角度讨论Google借以兜售其最新Android Lollipop系统(简称为”Android 5.0″或”Android L”)的默认加密功能,”Android L”中的L代表的是罗马数字50以及”Lollipop”的首字母。 安卓加密简史 据来自Android Explorations博客的Nikolay Elenkov表示,自Android 3.0发布以后,安卓用户即可自行选择是否需部署全盘加密(FDE),同时也被称为”Honeycomb”。此后安卓的FDE服务一直并未多做改变,直到Google在Android 4.4内对其进行了进一步强化。在Android L中,该功能将再次得以增强,并在Android 5.0内首次将FDE设为默认功能。 Google最初部署在安卓操作系统的加密方案已被证明相当的安全。然而,其在软件中的实施情况却时常导致漏洞产生。该加密方案的安全性几乎完全取决于硬盘加密通行码的复杂程度以及它是否易于被暴力攻击攻破。 “如果密钥足够长和复杂的话,暴力攻击要想攻破加密的主密钥可能需要耗费数年的时间,” Elenkov解释道。”然而,由于安卓已选择重新使用锁屏PIN码或密码(最长可达16位),但在实际过程中大部分人都更倾向于采用位数相对较短或简单的硬盘加密密码。” 换句话说:安卓系统上的硬盘加密强度完全取决于你的锁屏密码。且大部分情况下,加密强度都极其脆弱,因为人们总是懒于设置位数较长的锁屏密码。 密码输错固定次数限制机制使得暴力攻击在实际操作中并不可行,因为攻击者一旦输错登录密码次数达到一定数量,则永远无法再重新进行尝试。当然,Elenkov在其博客中忽略这一保护机制。如果你想对他的错误大肆攻击一番,请随意去阅读他所做的分析内容,但这里就不多做探讨。问题在于:的确存在暴力攻破弱PIN码或密码的方法,为的就是解密保存于安卓设备上的内容。 暴力攻击方法对于强大的密码很难奏效。但如果你拥有一个典型的4-6位密码,毫不夸张地说,只需几秒钟即能解密用户的数据。 在Android 4.4系统中,Google进一步增强了其加密系统的能力。尽管如此,但依然是基于PIN码或密码。因此仍然有可能暴力攻破较弱的PIN码和密码,不同的是在Android 4.4中你可能需要花费数分钟而非原先数秒钟的时间。
今天《纽约时报》撰文报道了一个犯罪团伙如何从不同网站盗取了超过12亿个密码和用户名/邮箱。这似乎听起来是互联网有史以来最大的”密码盗窃案”,但由于相关细节还未公布,因此安全社区更多是持怀疑态度。首先,公众并不知晓底哪些网站成了攻击的目标。其次,也缺少技术方面的细节–几乎所有安全专家都想知道这些被盗密码是否采用了哈希加密。然而,普通用户只想道一件事–那就是现在是否需要采取行动,如果是,则应该采取哪些措施。 主要网络服务提供商并未向用户发出密码更改通知,这可能表示他们并未受到影响或根本就不想对终端用户造成不良后果。然而一家名为Hold Security的公司却公布自己的研究结果,声称受影响最多的是一些小型网站。这些网站通常并没有一套严格的安全程序,用户也无法指望从他们那儿收到数据泄露通知。 确保为每一个账户设置唯一密码,可将危险性降到最低。 本次所报道的”密码盗窃案”将是一个很好的契机,即改革当前混乱不堪的密码政策,转而使用更加安全和系统化的方法。”一旦你所使用的网络服务提供商遭遇黑客入侵,作为消费者你根本无能为力,但可通过为每一个账户设置唯一密码,将危险性降到最低。”英国卡巴斯基实验室高级安全研究员David Emm解释道。 设置唯一密码的安全性远高于其它的一些密码保护措施。用户计算机(例如:使用键盘记录器)或网络服务提供商遭到黑客入侵都有可能造成用户密码被盗。确保网络服务账号与其他重要账户使用的是不同密码。人们通常很难记住一长串字符,因此我们向大家推荐密码管理器。此外,每一个密码必须足够强大(可以用我们免费的密码检查器进行测试)。 密码泄露事件时常发生,使用唯一密码可将危险性降到最低。 对于一些重要账户(银行和Gmail等),我们强烈推荐采取额外的保护措施。这些网站通常都采用双重认证,即使密码被盗也影响不大。