旁路攻擊(Side-Channel attack),係透過一啲非正常渠道嘅手段,去竊取攻擊目標嘅訊息,例如通過人耳聽唔到嘅超高頻將 keylogger 截取嘅訊息傳送出去,又或者通過監測電腦硬件嘅耗電量,估計數據儲存位置而發動攻擊等等;不過,呢種攻擊通常唔容易發動,例如首先要喺目標電腦安裝咗惡意軟件,同時可以讀取到嘅數據量都唔會太大。 偷譯你聲音 最新發現應用喺手機上嘅旁路攻擊 Spearphone 就簡單得多,基本上只要用家安裝咗有問題嘅 app,黑客就一定可以將受害者啲私隱手到拿來。網絡安全獨立研究團隊最新發表一項研究報告,指出黑客可以通過 Android 手機上嘅加速器(accelerometer),讀取通過手機揚聲器發出嘅音訊內容。其竊取數據嘅方法,係透過加速器感應手機揚聲器發咗聲音後嘅殘響(reverberation),再通過語音辨識將佢還原為語音訊息。只要手機開啟咗揚聲器,用嚟進行語音通話、聽留言,加速器就可以感應得到,所以如果打電話上客戶服務部、對方同你核實私隱,又或手機語音助理讀取你嘅行事曆、聯絡電話出嚟嘅時候,黑客就可以攞得到。 不過研究團隊話,呢種旁路攻擊只可以喺開咗免提模式,同時將音量開到最大聲,先足以令加速器感應到足夠嘅數據,而且亦只可以「聽」到手機揚聲器發出嘅聲音,手機用戶嘅說話就無辦法讀取得到。 現時研究團隊發現 Google Play 上共有 1300 個以上嘅 app 可以做到呢種竊聽效果,因為…
Search Results: ERB (26)
唔少車主都會喺車上面安裝追蹤器,再利用專用 app 實時掌握汽車位置,如果汽車被盜,都可以增加搵返失車嘅機會。不過,最近外國一個黑客就高調宣布,佢已經破解咗兩隻 GPS 追蹤軟件 iTrack 同埋 ProTrack 嘅數以千計帳號,唔單只睇到用家嘅位置,如果係連接住汽車控制系統,仲可以遙距熄引擎添! 逆向破解 GPS 追蹤 對於 iTrack 及 ProTrack 呢兩隻 GPS 導航軟件,黑客 L&M…
唔知有無 Android 手機用家發現,最近啲 Data 數據用量好快乾塘,兼夾手機成日好似暖蛋咁熱?有嘅話就要小心喇,可能你部手機已裝咗藏有 DrainerBot 惡意廣告代碼嘅軟件,暗掗地幫你不斷睇廣告,每個月可以消耗 10GB 數據用量及不停為手機放電之餘,仲連品牌投放喺廣告上嘅預算都搾乾埋,好陰毒呀! 講緊嘅係全球企業軟件供應商 Oracle 早前發現,一款名為 「DrainerBot」嘅惡意廣告代碼,開始喺 Google Play 上嘅應用程式內出現,佢嘅作用,係會自動向廣告供應商要求下載廣告影片,但只會隱形播放,絕對唔會喺應用程式內嘅廣告位上出現,所以大部分受害者好難發現已經中咗招,只會懷疑自己係睇片或玩 Facebook 時洗大咗。 除咗手機用家受害,就連品牌一樣被牽連,因為呢啲已被「機械人」點擊播放嘅廣告,當然需要品牌找數,廣告費用猶如直接倒錢入海。而更無辜嘅係,因為好多開發者只係將下載廣告嘅程式代碼直接放入應用程式內,經過今次事件,連商譽都損失埋,呢鋪真係全世界都輸,唯獨廣告供應商有錢落袋。 根據…
駭客攻擊固然可惡,但人為的低級錯誤也本應可以避免,預防爆發一些顯而易見的危機。面對外憂內患,企業又應該如何做好資料保護措施,保障用戶個資免受駭客盜取,同時保全公司免觸犯 GDPR 而被開罰? 一、定期更新軟體 最基本的就是定期更新軟體。駭客技術雖然日新月異,但 antivirus(防護軟體)或其他軟體同樣與時並進。每次韌體更新除了一般除錯外,也有很多是為了填補已存在的資安漏洞或防禦新型病毒而進行的。 二、加入多重身份認證或生物認證 Broken authentication 是網路資安問題的第二大主因,而要做好身份認證這一步驟,除了傳統輸入密碼以外,現時已經有很多加強保安的驗證方式,比如雙重認證 (Two-factor Authentication, 2FA) 讓用戶輸入密碼後需要加上第二重認證步驟,常見的工具有: TOTP (Time-Based One Time Password):透過時間因素產生不一樣的一次性密碼,像是 Google…
「練習網絡保安技術有如學飛行,要用模擬器練習,因為不可能用真飛機。」Rick Tam 以學揸飛機比喻網絡保安訓練,因為唔會有老闆會畀間公司「教飛」。但問題係:如何練出實戰能力?「因此要有模擬訓練系統 Cyber Range。」 Cyberbit Range 登陸香港 「Cyber Range 是一種實戰訓練方法:提供一個模擬網絡環境,並給予真實攻擊,學員以環境中的工具學習應對的技術。」網絡保安,場場對弈,應變、實戰當然比紙上談兵重要。但成立一個 Cyber Range 訓練中心絕非易事,所以即將於九龍塘開幕嘅 Cyber Range Training Centre,絕對係業界喜訊。「其背後的支援系統,就是以色列的 Cyberbit Range。」…
Business Insider 報道指,上周六在一個黑客論壇上,一個用戶免費發布 5.33億名 Facebook 用戶的電話號碼和個人數據,含及包括電話號碼、電郵、全名、生日等個人資料。受影響用戶來自過百個國家,美國有超過 3,000 萬個帳戶、英國有 1,100 萬個帳戶,有傳媒更估計香港受影響用戶達 293 萬。愛爾蘭的數據保護委員會(DPC)正在調查該宗涉及數據庫的大規模數據洩漏,DPC還表示,最近洩漏的數據集似乎包含來自其他Facebook用戶記錄的信息,「可能來自(2019 年外洩的數據)後期」,意味著 Facebook 數據洩漏事故已受到歐盟數據監管機構的調查。 Facebook 發言人向 Business Insider 透露,今次事件中所涉及的數據,為 2019…