今次受影響嘅 Android 手機相當之多,而且有證據顯示該漏洞已經被黑客利用,真係發動咗攻擊,各位務必留意。 日前,Google 安全研究團隊 Project Zero 研究員 Maddie Stone發現,一項高嚴重性安全漏洞(CVE-2019-2215),屬於Android內核嘅資料夾驅動程序內存在釋放後使用(use-after-free)漏洞,配合另一個 Chrome 漏洞,可容許黑客越過沙盒,提升 Root 訪問權限並取得裝置控制權。呢個漏洞影響之廣,遍及十多款 Android 手機,Google 親生仔 Pixel 系列亦榜上有名,其他仲包括 Google、三星、華為、OPPO、小米、Moto…
Search Results: AR (2094)
美國 FBI 嘅 Internet Crime Complaint Center上星期發出通告,警告觀察到美國企業受勒索軟件攻擊嘅風險大增,再一次強調唔可以俾贖款,應該搵佢哋幫手解決問題。不過,始終有人唔可以無咗或急住用被鎖死嘅檔案,所以都會選擇交贖款。 反入侵黑客C&C 一個喺九月尾成為勒索軟件受害者嘅 Tobias Fromel,由於黑客闖入咗佢可被公開搜尋到嘅 QNAP NAS 裝置,然後啟動咗名為 Muhstik 嘅勒索軟件,令到佢檔案全部被鎖死。可能因為黑客只係要求大約 700 美元嘅 Bitcoin,唔算太大數目,所以Fromel 權衡過後都係選擇俾錢。…
涉及侵害個人私隱嘅法例推行,會唔會影響到國外投資者信心,以及侵害到國家喺國際上嘅競爭力問題,最近又成為咗澳洲政府獨立安全法監察局(Independent National Security Legislation Monitor,INSLM)檢討緊嘅問題。負責今次調責嘅 Dr Renwick 就話,雖然現時全球政府都面對住加密技術妨礙搜證嘅問題,但如果呢啲侵入性法例會令到公眾懷疑佢嘅安全性,同時會令執法機關行使不必要嘅權力,咁就有機會要修正喇。 方便搜證疑侵害私隱權 講緊嘅係澳洲上年年尾通過咗一條Telecommunications and Other Legislation (Assistance and Access) Act 嘅修正法例,目的係為咗方便執法人調查罪犯,以防佢哋以加密方式收起犯罪證據,因此建議但凡唔肯向執法人員提供手機同埋手提電腦密碼,有機會被判五年監禁及罰款50000澳幣。 咁都不特止,正所謂魔鬼永遠喺細節度,原來條例仲講明,如果執法機構要求科技公司幫手,解開某人嘅電子設備密碼,而科技公司拒絕配合,分分鐘要面臨約 5000萬港幣嘅罰款!而如果科技公司嘅員工向任何人透露執法機構嘅要求,亦有機會被判五年監!外國公司亦可以用呢條法例,叫澳洲律政部長查你部電腦,睇下有無境外犯法,總之一句講晒,就係條法例好鬼惡啦! 澳洲政府嘅理據係,因為近幾年科技發展太快,影響到執法同埋危害國家安全,所以先打算立呢條法例,新南威爾斯州公民自由委員會副主席Lesley…
近年推同科技有關嘅產品,只要加人工智能或 AI 字眼,身價即時上升。不過到底點先算係人工智能?然後機器學習(Machine Learning,簡稱ML)功能又係咩嚟呢?擁有機器學習功能就一定有 AI?下面就為大家一次過解答。 要解釋人工智能同機器學習嘅分別,首先就要回一回帶重溫歷史。如果有睇過幾年前《解碼遊戲》呢部戲,男主角 Alan Turing 一直都俾人叫做「電腦之父」,其實佢亦係第一個提出人工智能概念嘅人。佢喺上世紀 50 年代寫咗篇論文,用一個簡單測試去分辨機器識唔識得思考。方法好簡單,只要將相同問題搵人同電腦解答,得出嚟嘅答案係分唔到由邊個解答,就代表部電腦能夠思考擁有智慧,後世就叫呢個做 Turing Test。 呢個測試好有代表性,因為佢將人工智能嘅概念規範化,不過直到今時今日,都未有人可以百分百做到一部符合 Turing Test 要求嘅電腦,所以為咗貼地少少,有人就將人工智能定義收窄少少,只要電腦可以自行完成單一工作,而且做得比人類好,就叫人工智能喇!然後喺呢個狹義嘅人工智能定義下,又衍生咗機器學習呢個分類。1959年,當時喺 IBM 做工程師嘅 Arthur…
自從有咗外賣 app,食嘢真係多咗好多選擇,幾個同事夾份叫,講真運費又唔係多,但就可以跨區食好西,就算喺馬鞍山、青衣、小西灣呢啲美食沙漠返工,開飯都唔使做阿愁。不過,最近外國嘅外賣 app 就接連出事,除咗 DoorDash 一氣過洩咗 490 萬用戶資料,另一隻叫 Chipotle 嘅外賣 app,近日亦有用家投訴帳戶被瘋狂盜用。 美國用家 Jessica Gallenstein 最近喺俄亥俄州 Glenway Avenus 用 Chipotle 嗌咗個外賣俾自己,點知隔日就收到銀行通知,話佢張簽帳卡已經碌爆額。Jessica…
識得玩,一定玩 GIF 圖。比起唔識郁嘅相,GIF 嘅創作空間自然大得多。WhatsApp 喺三年前開始支援 send GIF,但原來喺今年 5 月,有網絡安全專家發現 Android 版 WhatsApp 喺玩 GIF 圖方面竟然存在重大漏洞,用家一旦中招,原先開放俾 WhatsApp 嘅權限,亦會同時間送埋俾黑客。不過唔使驚,WhatsApp 用咗接近三個月時間,而家已經修補咗漏洞,大家可以安心繼續玩喇! 新作業系統先出事 唔知大家仲記唔記得,究竟提供咗啲乜嘢手機權限俾…
被稱為全球現時最嚴厲的私隱保障及安全法規,歐盟《一般資料保護規則 》(GDPR) 已實施超過一年。此規則旨在為歐盟公民個人資料的儲存和處理,提供更好的保障,但仍然有許多公司未有對此嚴格遵守,當中包括歐洲以外的知名公司。 例如,美國酒店連鎖巨頭萬豪國際集團 (Marriott International)因駭客盜取了 3.83 億條客人訂房記錄,結果要面對 1.25 億美元巨額罰款;谷歌亦因其用戶意見征求政策,以及未對使用用戶信息進行足夠監管,而被罰款 5,680 萬美元。 儘管以上案件備受矚目,全球任何機構在針對或收集與歐盟成員國家人民有關的資料的行為上,亦必須嚴格遵守 GDPR,只要有任何一個客戶屬於歐盟公民,都要遵守該新法,但香港一些公司仍然以為這法規與其業務運作無關。事實上,歐盟是香港的第二大的貿易夥伴,排名僅次於中國內地;在香港,市面上更有逾 2,200 家來自歐盟國家的公司正在進行業務。 為幫助本地企業遵守 GDPR,香港電腦保安事故協調中心(HKCERT)已經找出可造成資料外洩的四種主要網絡攻擊,若採取適當的保安措施,便可以減低其影響。這些攻擊包括: 網絡釣魚攻擊:網絡釣魚是最常見的攻擊手法之一,有很高的騙取用戶憑證成功率。因此,應定期進行用戶意識培訓,以保持工作人員對可疑網站和電子郵件的高度警惕。利用系統漏洞攻擊:實施計劃周全的修補程式更新管理,包括修補程式更新週期,例如在推出到生產環境之前在預備環境進行「用戶接受度測試」(UAT),以及訂立針對終止支援的系統的適當退出計劃,對防止攻擊者通過舊版或未進行修補程式更新的系統損害公司網絡,尤關重要。若企業因一些實際的理由而無法替代舊版系統,便需要一層額外的保護(即防火牆)來控制和監視對它的訪問。來自不可信的網路的攻擊:一旦員工試圖通過公開的網絡(例如互聯網或公共 Wi-Fi)進入公司網絡,資料外洩的風險就會大大增加,例如設備丟失、會話劫持等,所以必須應用嚴格的身份驗證,例如雙重驗證、使用 VPN…
PDF 係大家常用嘅文件檔,如果內容包含機密或敏感資訊,都會 set password 保護。但黑客而家有方法修改呢啲檔案,令到擁有解鎖密碼嘅人喺打開檔案嘅同時,傳送多一份解鎖內容俾黑客,做咗解鎖佬都唔知! 用嚟加密 PDF 檔案嘅密碼演算法,本身其實好安全,不過喺整個 PDF 檔案嘅設計上就有破綻出現。一班歐洲網絡安全研究員,指出 PDF 檔案其中一個漏洞係檔案只會半加密,字串內容係受到保護,但檔案嘅結構就無加密可以讀取,所以黑客可以篡改結構內容,將惡意程式注入其中,當檔案被合法打開,就會暗中將內容傳送俾黑客;另一漏洞就係 CBC(Cipher Block Chaining)加密模式,由於本身缺乏一致性嘅驗證,令到黑客可以修改特定區塊內容而唔影響解鎖程序,於是黑客就可以加入惡意程式,暗中盜取檔案內容。兩個漏洞都可達到唔使知密碼,一樣睇到加密 PDF 嘅目的。 呢個被稱為 PDFex 嘅漏洞,經研究員測試後,發現喺…
平常一聽到同銀行有關嘅運作程序,一定覺得會安全到不得了㗎啦,但接二連三嘅事實話俾大家知,無論間公司有幾大,規管有幾嚴謹,都一定會有「濕滑」嘅員工。加拿大最大銀行 Scotiabank(加拿大豐業銀行)近日被揭發出低級網絡安全錯誤,低級嘅程度更直逼「布偶級」(muppet-grade),大家明啦! 日前網絡安全研究員 Jason Coulls 揭發,加拿大 Scotiabank 喺 GitHub 嘅儲存庫竟然存有未受保護嘅檔案,當中有外幣匯率 SQL 數據庫系統嘅軟件藍圖及 access key、手機應用軟件程式碼,後台服務及數據庫實例嘅登錄憑證、原始編碼等,簡直係黑客金庫。 Scotiabank 嘅回應當然都估到,首先話呢啲資料並不會危及客戶、員工或合作夥伴,又話已經展開調查、修復問題、移送法律資料中。而加拿大法律規定,銀行出事就要即刻通報,加拿大金融機構監管辦公室方面就已接獲通知,正密切監察事態發展。 GitHub 於去年被 Microsoft 收購,成一時佳話。除咗極多開發者會用,亦有唔少企業機構都會用,因此,保安係其中最大課題。有時開發人員為咗貪方便唔使次次登入,會喺開發階段將…
無可否認,企業嘅網絡安全措施做得好,的確可以有效阻截黑客攻擊,不過,黑客亦唔會咁傻仔咁固執,攻你唔入,咪向你嘅第三方供應商落手囉! 講緊嘅係飛機製造商 Airbus,法新社(AFP)最新報導,兩間有份參與調查嘅網絡安全公司,透露 Airbus 喺最近一年內曾遭受四次大型攻擊,其中兩次係針對佢哋嘅引擎供應商 Rolls-Royce 及 Assystem 嘅子公司 Expleo。法新社引述專家嘅意見,佢哋話雖然 Airbus 有使用 VPN 嚟分隔內部網絡,但佢哋有時亦會允許第三方供應商入嚟做嘢,所以黑客只要能成功攻擊第三方供應商,就可以作為跳板攻入 Airbus。而根據專家嘅調查顯示,黑客進入 Airbus 網絡嘅目的,主要係針對佢哋嘅引擎科技,包括軍用機 A400M 、A350 客機,以及用嚟控制飛機各感應器嘅系統,盜取技術多過想偷個人私隱。…