今天的早餐包括:NiceHash暂停运营,因黑客入侵造成支付系统中6400万美元比特币遭受损失;Chrome 63 版本中全新安全功能——站点严格隔离;即便GPS是关闭的,Apps依旧可以定位用户的位置;OpenSSL中两项安全漏洞得到修复。
【国际时事】 NiceHash暂停运营,因黑客入侵造成支付系统中6400万美元比特币遭受损失
加密货币矿业公司NiceHash暂停运营,原因是支付系统中遭到黑客入侵导致6400万美元的损失。斯洛文尼亚市场营销主管AndrejŠkraba表示,黑客侵入了该公司的比特币账户。他告诉路透社,这个入侵是非常专业的,涉及了“复杂的社会工程” – 目前造成的损失达到4700比特币。
而由于近期数字货币的价值继续猛涨,本周比特币汇率达到1 BTC对16,000美元。目前还不清楚NiceHash用户的账户是否也受到了损害,官方通告中表示
我们建议,作为一项预防措施,用户最好可以重新设置自己的在线密码。
[来源:infosecurity]
【Web安全】 Chrome 63 版本中全新安全功能——站点严格隔离
Google最新发布的 Chrome 63 版本中有一个全新的实验性功能“Strict Site Isolation”。据谷歌工程师介绍,该功能一个应用Chrome内置沙盒技术的附加安全层功能。谷歌工程师并没有对沙盒和站点隔离功能的区别上进行详细解释。
但这种“Strict Site Isolation”功能能够在现有沙盒机制之上,对于站点之间的安全界限进行更有力的区分和防护。
谷歌表示,新功能能够有效为用户提供有效防护,用户如果开启了站点隔离的功能,每一个在浏览器内页打开的站点都会在在单独的进程中打开,与其他站点保持隔离。这样就可以维持一个独立的安全域。
[来源:bleepingcomputer]
银行应用程序被发现容易遭受中间人攻击
安全专家发现,多数常见的移动银行应用程序存在一个严重的漏洞,导致银行凭证容易遭受黑客攻击。这个漏洞是伯明翰大学安全和隐私部门的研究人员发现的,他们分析了数百个iOS和Android银行应用程序,发现其中有几个应用很容易受到中间人攻击。
受影响的银行应用程序列表包括爱尔兰联合银行,合作社,汇丰银行,NatWest和Santander。和这几个受害银行应用共享相同网段的攻击者可以拦截银行应用程序的SSL连接,检索用户的银行凭证。
[来源:securityaffairs]
【终端安全】 即便GPS是关闭的,Apps依旧可以定位用户的位置
普林斯顿研究员发布概念验证,证明APP可以持续追踪用户位置,即便终端上的GPS是关闭的。研究人员表示,这是可能的,因为现代手机配备了大量精确的传感器,能够跟踪大量的数据,如果不获取GPS数据,应用还可以可以用外部来源(如地图和天气数据)来证实用户所在的位置。
研究人员创建了一种PinMe应用程序来证明这种攻击是可能的,研究小组创建了一个名为PinMe的应用程序,它们使用了Galaxy S4 i9500,iPhone 6和iPhone 6S等手机安装了测试程序均取得了成功。
[来源bleepingcomputer]
【网络安全】 OpenSSL中两项安全漏洞得到修复
OpenSSL项目周四宣布推出OpenSSL 1.0.2n版本,该版本修补了Google研究人员发现的两个漏洞。Google的安全研究员David Benjamin利用OSS-Fuzz fuzzing挖掘出了这些漏洞。其中一个安全漏洞CVE-2017-3737与OpenSSL 1.0.2b版本中引入的“错误状态”机制有关。该机制会在在发生致命错误后尝试继续握手。问题是如果直接调用SSL_read()或SSL_write()函数,则该机制无法正常工作。
OpenSSL在其随后中表示:“如果SSL_read()/ SSL_write()随后被应用程序调用了相同的SSL对象,那么它将成功,并且数据会在在没有直接从SSL / TLS记录层解密/加密的情况下传递。虽然这个漏洞可能有严重的影响,但目前评级中这个漏洞只是评为“中等严重性”。因为出现问题只钱,目标应用程序需要出现一个错误,导致在致命错误后SSL_read()或SSL_write()会被调用。
[来源:securityweek]
【国内新闻】 网络账号注销难背后暗藏玄机 用户担心信息泄露
社交媒体、购物网站、各种应用客户端,随着移动互联网的发展,一大波网络服务“入驻”用户手机。想体验这些服务,用户必须先填写个人信息,随后顺利注册账号。不过,如果用户有一天不想使用这些功能了,想注销这些账号、抹去个人信息,却没有注册那么容易。作为用户个人权利的注销账号,为何有些难?
随着互联网的发展,各种各样的网站、App纷纷出现,人们在使用这些网站、App的过程中,往往都要注册相应的账号。然而,记者在采访时发现,出于各种考虑,有的用户希望将曾经申请过的网络账号注销,但是,不仅注销过程本身比较繁琐,而且无法彻底注销。
“用户主要还是担心各种各样的网络账号太多导致自己的信息泄露。比如修改某云服务商的个人信息或者某社交媒体的相关信息时,需要自己手持身份证进行验证。网络账号信息量太大,还牵涉到银行卡,如果网络账号的个人信息泄露就会出现其他一系列问题,甚至威胁到人身安全。”
为进一步了解网络账号注销难背后的问题,记者采访了一位就职于北京市朝阳区某互联网公司的产品经理。
据这位产品经理介绍,网络账号注销难的主要原因在于,企业在运营过程中会特别注重服务器用户注册量和每日用户活跃度,注册量和用户活跃度高,广告就可以卖得贵一点,投资商也会根据用户量来评定投放精准度,企业用户量基数越大也越容易吸引投资商。返回搜狐,查看更多
责任编辑:
