5 文章
向来以安全著称的苹果设备中竟然发现了蠕虫病毒。大约有40个iOS应用从App Store中下架,原因是感染了恶意代码,目的是在苹果设备范围以外建立僵尸网络。 恶意软件XcodeGhost感染了包括:微信(超过6亿用户)、NetEase的音乐下载应用、名片管理器CamCard以及Didi Kuaidi类似于优步的打车应用在内的数十个应用。更糟糕的是,《愤怒的小鸟2》中文版也不幸中招–这难道还不够严重吗? 苹果花费大量时间和精力对Apple Store内的每一个应用进行监控,并将App Store与Google Play等第三方应用商店相隔离,后者常遭到各种恶意软件的窥视(至少Google在2014年发布了恶意软件扫描系统)。 在这一背景下,苹果经历了”黑色9月”:安全专家们在目标越狱设备内发现了恶意软件,并被广大苹果用户称之为”有史以来针对苹果账户最大规模的盗窃案件“;而现在Palo Alto Networks公司又在App Store内发现了受病毒感染的软件。 Xcode是什么,XcodeGhost到底又是’何方神圣’? Xcode是软件开发者使用的一套免费工具,用来为Apple Store编写iOS版应用。Xcode的官方版本由苹果发布,而许多第三方应用商店也推出了各自的非官方版本。 XcodeGhost则是一种恶意软件,目的旨在影响Xcode继而感染由受感染工具编写的应用。受影响应用将会窃取用户私人数据并发送至到黑客处。 应用是如何感染病毒的? 苹果的官方版本Xcode并未受到病毒感染,但问题是该工具的非官方版本被上传到了百度(相当于中国的Google)云存储服务。中国用户习惯从第三方网站下载必要的工具,而本次事件证明了这是一种非常不好的习惯。 中国应用开发者之所以选择非官方且不安全的网站代替安全官方资源,是因为中国的互联网接入速度相当缓慢;此外,中国政府将国外服务器访问限制在三个网关。由于Xcode工具的安装包大小约为3.59 G,因此要从苹果服务器下载需要耗费很长的时间。 XcodeGhost背后的犯罪分子需要做的就是让非官方工具包感染智能且隐蔽的恶意软件,从而让合法的开发者被他们所利用。Palo Alto Networks的研究专家确定恶意的Xcode工具包在发布6个月时间里,多次被下载并用来编写大量全新的iOS应用,同时也用作升级更新之用。之后就顺理成章地被加入进App Store并巧妙地绕过了苹果的反恶意软件扫描系统。 后续跟踪 最近苹果向路透社证实了这一消息:所有已知的恶意应用均已从App Store下架且苹果公司正在与相关开发者展开合作,以确认他们使用的Xcode版本是否正确。 不幸的是,所有问题并未彻底解决。目前依然不清楚到底有多少应用被病毒感染。路透社注意到,中国安全公司奇虎360科技有限公司宣称其已发现有344款iOS应用感染了XcodeGhost病毒。 本次事件可谓开启了网络犯罪的”新纪元”,从此开发者也将如非官方应用商店和普通用户那样面临安全风险。XcodeGhost作者的策略和经验也完全可以为其他网络犯罪分子所借鉴。此外,美国系统网络安全协会(SANS)报告了XcodeGhost作者在GitHub发布了该恶意软件的源代码,目前可免费下载。 巧合的是,在今年早些时候Xcode工具已进入了媒体的视野。当时在一场由CIA(美国中情局)赞助的秘密年度https://theintercept.com/2015/03/10/ispy-cia-campaign-steal-apples-secrets/中有所提及。
Ashley Madison最终还是未能阻止黑客公布该网站的用户个人数据。2015年8月18日,黑客在线公布了近10GB的遭窃数据。现在任何人都可以从黑暗网络下载这些记录,包括:邮箱地址、信用卡交易记录以及3200万Ashley Madison注册用户的个人资料。 让我们回顾整个事件始末:这家偷情网站在7月份遭到黑客入侵。攻击者指责Ashley Madison欺骗消费者,并要求其母公司Avid Life Media立即关闭这家网站。由于ALM的团队拒绝按照黑客要求关闭网站,网络攻击者们(他们自称”Impact Team”)因此公开了ALM客户的隐私。 我们已经解释了ALM和网站会员的愚蠢以及欺骗行为。现在, 每个人都可以看到他们的数据。请记住,网站精心伪造了数千份女性个人资料。我们将对Ashley Madison伪造用户资料的行为提起法律诉讼;男性用户的真实比例占到了90-95%。即使你的丈夫(男朋友)注册了世界上最大的偷情网站,讽刺的是他很可能从未与真正的女性”偷情”过。他只是试图”偷情”,但可能从未成功,如果你认为这两者之间有区别的话。 这些男人实在够倒霉,他们冒着极大的风险偷情但最终什么也没有得到,还泄露了自己的隐私。ALM做得太不厚道,你从未向用户兑现过保护他们个人隐私的承诺… 你看到有趣的统计数据,黑客宣称该偷情网站注册用户的男女比例大约为6:1。那问题来了:这是否意味着许多用户从未通过该网站有过一次成功的”偷情”? 泄露的数据已引起从记者和社会活动家到普通百姓几乎所有人的兴趣。比如,喜欢刨根问底的用户通过对这些数据的深入研究,发现了一些令人好奇的邮箱地址。事实证明,对于偷情的热衷,政府雇员完全不输于普通民众。有些人甚至还在这份清单中找到了托尼•布莱尔(英国前首相)的邮箱。但由于ALM从未验证用户邮箱,因此许多邮箱地址很可能是伪造的。 有些发现可能会产生相当严重的后果—最高可能处以一年的监禁。正如《华盛顿邮报》提到的,在军队中偷情属于犯罪行为,你可以看到有数千名Ashley Madison用户都使用了后缀是.mil的邮箱地址来注册账号。当然,除军人以外的用户也将承受毁灭性的后果。 Ashley Madison对此予以了激烈的回应:本次事件绝非仅仅是黑客入侵行为,更是一种犯罪行为。这是针对AshleyMadison.com个人会员以及任何选择在线进行完全合法活动且有着自由思想的人的一种违法行为。 公司承诺”不会坐以待毙”并将继续与执法机构展开合作以找到这些网络犯罪分子。与此同时,受害用户应检查自己的邮箱地址是否出现在了外泄记录中,尽力缓和事件所带来不良后果的同时,还应进一步深思—这么做到底值不值得?
几个星期前,有人在Reddit网站发帖,帖子内容引述了三星智能电视服务条款:”请注意,如果你所说的话中包含了个人隐私或其他敏感信息,那些信息将被捕捉并通过您使用语音识别功能传输给第三方。” 在随后的几天,不管是旧媒体还是新媒体甚至是雪城大学的官方博客均陆续发表了关于智能电视窃听用户隐私的看法。不幸的是,在专业人士针对智能电视操作系统编写隐私扩展或类似”请勿追踪”和“广告拦截“的插件之前,唯一能阻止此类追踪的方法就是禁用语音识别功能。 让我来首先承认这样一个事实:我其实不管对三星过去的Google电视、现在的三星智能电视还是未来的Tizen 操作系统都不太熟悉,因此我无法确认反追踪或其它类似浏览器的插件是否能真的能起到作用。 然而在我从智能电视厂商的应用开发和审批程序所了解到的是,并没有阻止任何人编写隐私附加元件的明确政策,也不存在针对包括三星在内的所有智能电视系统的强大隐私插件。 如果你认为三星是唯一一家制定此类服务条款合同的智能电视厂商的话,我只能非常遗憾地告诉你:远不止三星一家 更为不幸的是,如果你认为三星是唯一一家制定此类服务条款合同的智能电视厂商的话,我只能非常遗憾地告诉你:远不止三星一家 苹果全部产品系列均保留以下权利:”使用[客户]个人信息以用于例如:审查、数据分析以及研究的内部目的,旨在改进苹果产品、服务和客户沟通”。同样,苹果也允许与其所有”附属公司”共享这些信息。 值得赞赏的是,苹果保证Siri不会保存用户iPhone手机外的位置信息。然而,苹果的隐私政策并没有明确表示Siri页面是否收集、保存或共享用户向Siri语言输入的信息。我们为此向苹果询问这方面的问题。但我并没有对苹果是否能作出回应抱有太大希望。 此外,Google也承认收集用户所使用服务的信息,尽管它巧妙地在弹出窗口内隐藏了详细内容,但依然有这些信息不幸被收集:数据使用和系统偏好设置、Gmail消息(顺便说下,就是消息的内容)、G+用户资料信息、照片、视频、浏览历史记录、地图搜索以及文档(即保存在你文档中的内容)等其它Google托管内容。 唯一了解某一家公司如何处理你个人数据的方式是阅读他们的隐私服务条款声明 我们只举了其中的几个案例而已,而唯一了解某一家公司如何处理你个人数据的方式就是阅读他们的隐私服务条款声明。然而,我们都知道这些声明文件篇幅过长、复杂难懂且使用了许多难以理解的法律术语。我们通常都会直接在”我已阅读并同意”选项上打钩,但真正读过内容的人几乎没有。 就算有人真的阅读了这些条款,但真正理解其中含义的也屈指可数。是否应直接勾选”阅读并同意”而不将整个内容看一遍,关于这一点长期存在争议。就目前而言,直接勾选”阅读并同意”已成为大部分用户的一种习惯,无论你内心是否真的非常渴望了解这些隐私声明和条款。 对于未来到底如何目前很难作出预测,但越多越多的联网设备将推出市场却是事实,其中许多就拥有更为强大的语音识别功能。Google、苹果、三星以及其它一些科技巨头在这一方面的技术稍领先于业内其它公司。无论你同意与否,这些公司已经意识到了隐私的问题。他们可能会将你的个人信息出售给第三方,但在这之前至少会考虑一下。 由于大多数应用厂商将语音识别功能和激活服务加入其产品的历史不超过十年的时间,且缺少更多有价值的隐私处理经验,因此我们还需要耐心等待。好吧,让我们一起拭目以待,到时候这一领域必将变得非常有趣。