通訊軟件 WhatsApp 近排因有新用戶條款，要求用家與 Facebook 共享資料，爆發私隱危機。鬧得熱烘烘之際，有印度媒體揭發，Google 再次將 WhatsApp 群組聊天連結編入索引，此舉意味著任何人都能以簡單搜尋發現有關連結，繼而進入私人群組！ WhatsApp 今次所面臨的安全危機，是因為 Google 一共為 4,000 多個邀請加入私人聊天群組的連結作索引。WhatsApp 發言人 Alison Bonny 表示，（群組聊天連結）就如在可搜索的公共渠道中，能搜尋得到的所有內容一樣，因此在互聯網上公開發布的 WhatsApp 邀請連結，也會在搜尋頁面中找得到。Bonny…

為了確保帳戶不被盜用，啟動雙重因素 (two factor) 或多重因素安全驗證 (multi-factor authentication) 機制一向被視為較安全的做法，特別是硬體安全鑰 (hardware security keys) 就更保險。不過，Google Titan 及 YubiKey 系列產品卻被發現可被黑客複製，雖然手續比較麻煩…… 雙重或多重因素安全驗證，一般來說指的是除密碼以外，登入帳戶還須配合其他因素如生物特徵、額外安全編碼等。現時最多人採用的方法以後者居多，而額外安全編碼也可分為透過電郵或短訊接收，或硬體安全鑰認證兩種。早前已有網絡安全專家指出，以電郵或短訊接收安全驗證碼會有危險，因為只要上網裝置如電腦、手機已被黑客入侵，他們就可偷偷安裝惡意軟件，盜取帳戶登入資料並截取安全驗證碼。相反硬體安全鑰則必須在登入帳戶時，插入裝置或以藍牙技術近距離連結，所以安全性會較高。 不過，法國網絡安全研究員 Victor Lomne 及…

不少網絡安全機構都曾發出警告，呼籲普羅大眾切勿使用公共 Wi-Fi 熱點，處理涉及個人私隱的事情，例如登入帳戶、網購、理財等，因為它們缺乏數據加密保護，很容易被黑客攔截數據。而 Google 最近便推出針對公共 Wi-Fi 的 VPN 服務，只要用戶訂購每月 2TB 雲端儲存服務，即可免費獲得保障，好抵用！ 現時不少人都會使用 VPN (Virtual Private Network, 虛擬私人網絡) 服務，理由各異，例如要收看有地區版權限制的劇集、隱藏自己的上網蹤跡、阻擋廣告追蹤等，而經常要在戶外工作人士，由於經常需要連接公共 Wi-Fi 熱點上網，節省數據用量開支，就更加需要使用 VPN…

唔少人鍾意用 Google Drive 分享檔案，一來用開 Google Gmail，順理成章攞個免費儲存空間用，二來遙距工作模式下，將檔案放上雲端再分享俾同事或客戶，又的確係就手好多。不過，Google Drive 存在嘅一個更新檔案版本漏洞，就有可能被黑客利用嚟散播惡意軟件，中招話咁易。 今次呢個漏洞嘅運作原理，其實好簡單亦唔難識破，只要當事人夠小心，喺下載完個檔案後無立亂打開就得。如果有用開 Google Drive 嘅分享檔案功能，應該會知道 Google 容許用家將檔案上載去 Google Drive，再選擇只會同指定對象分享，或只要知道儲存連結嘅人就可以下載。 為咗方便用家更新已上載檔案嘅內容，用家只要喺檔案上 right-click 揀選「Manage Versions」，就可以置換新嘅檔案，而問題就出喺呢度嘞，因為…

唔少黑客都喺暗網上出售惡意軟件，例如上星期就有黑客打包出售 1300 款釣魚工具收藏。視乎惡意軟件嘅實力，叫價可以輕易破萬美元。好似 Android 銀行木馬軟件 Cerberus，月初因為瞞過 Google Play Store 監測、成功上架而響朵，而最近開發者就喺暗網上準備將呢隻「有實積」嘅軟件全套出售，開出五萬美元底價，話目標係以十萬美元賣出！網絡安全專家就話，今次開發者咁急住賣出呢套軟件，而唔繼續靠佢搵食，原來係因為開發團隊已經拆夥⋯⋯ Cerberus 點解咁出名呢？係因為佢嘅入侵手法非常精密，同埋入侵後可以做到嘅嘢極多。當呢隻軟件喺 Google Play Store 上架嘅時候，佢只係一隻好「清純」嘅匯率兌換 app，不過當下載量過千，Cerberus 先至開始做嘢，透過軟件更新引入惡意程式，之後只要用家喺手機開啟理財或銀行 app，Cerberus 就會用透明畫面記低用家輸入嘅資料，同時截取埋用家收到嘅…

經電郵發動嘅攻擊與日俱增，黑客透過假冒發信人地址，或修改信件內容，繞過電郵驗證系統嘅攔截。雖然電郵系統設有 DMARC 驗證機制，但由於設定上比較麻煩，所以採用率偏低。Google 為咗吸引電郵用戶採用 DMARC 技術，而家喺 G Suite 新推出先導計劃，經驗證後嘅用戶可以喺電郵上顯示公司嘅標誌，唔知又有幾多公司會參與呢？ 為咗解決電郵造假問題，電郵驗證系統一般都設有 SPF（Sender Policy Framework）以及 DKIM（Domain Keys Identified Mail）兩種方法。SPF 主要用喺防止電郵造假，因為系統會先驗證發送者嘅電郵地址，睇下究竟有無喺寄件伺服器上存在，如果來源伺服器根本無呢個電郵，就好大機會證明係假電郵。DKIM 就用喺驗證電郵內容嘅完整性上，以攔截有可能喺發送過程中被修改嘅電郵。雖然有呢兩個系統把關，但由於有啲舊電郵系統唔支援呢兩種技術，所以有時都焗住要收入信箱。 DMARC（Domain-based…

國安法生效，要求全宇宙社群媒體平台配合，提供香港使用者資料，Google、Facebook、Twitter 隨即宣佈暫停向香港政府提供香港用戶數據。不過 Google 同 Facebook 有香港分部，若果中國嚴正執法，到底佢哋選擇撤出香法市場定配合法例跪低？而其實不論前者定後者，係人都知科企免費提供服務換取你的資訊，但實質掌握咗幾多會點樣用，你又知唔知？ 的確 Google 6 月宣佈替用戶自動刪除個人數據，但只限政策公佈後的新登記用戶，並預設儲存 18 個月後才刪，宣佈前經已係 Gmail 15 億用戶與 Android 25 億用戶嘅話，除非你主動更改設定，否則 Google 會永久儲存你的個人數據。CNET…

Mac 機俾人嘅印象一向都係比 Window 更加安全，而且只要小心咁用，應該都唔會輕易中毒或者被入侵，但係最近就有公司發現，一隻偽裝成 Flash Player 而實際上主攻 macOS 嘅惡意軟體，竟然可以透過 Google 搜尋器搵到，散播速度極高。 「Shlayer」係 Intego（Mac安全軟件開發公司）喺 2018 年 2 月發現嘅惡意程式，而今次發現嘅呢個變種版「Shlayer」，會透過 Google 搜尋結果傳播。佢會「變身」成第二種形式，繼而呃Mac用家「落踏」下載，仲可以繞過 Apple…

登入 IG 或Google 帳戶時，如果有設定雙重因素認證(2FA）嘅話，相信對 Google Authenticator 一啲都唔陌生。呢個 app 可以為已連結嘅網上帳戶產生一個驗證碼，通常係一組六位數字，用戶登入帳戶時要喺限時內輸入驗證碼，否則驗證碼就會失效，需要重新再產生一組數字。 不過同類嘅 app 好似 Authy 或 Microsoft Authenticator，都容許多部裝置共用同一個帳戶，即係如果你要登入一個啟用咗雙重因素驗證嘅網上帳戶，都唔會限定你用死一部手機，只要喺女相關裝置上安裝呢啲 app 再登入返你個帳戶就得。不過，舊版嘅 Google Authenticator…

喺啱啱上個禮拜，全球超過200個主要嘅內容傳遞網路(CDN)，發生咗邊界閘道器協定（Border Gateway Protocol,BGP）劫持事件，Google、Facebook等多個雲端或 CDN服務嘅數據流量，全部都被引導去俄羅斯一個 ISP─Rostelecom。 受影響嘅網路流量路由超過8800個，持續咗一個鐘左右，好多更加係大型嘅 CDN 同雲端網站，包括Google、Amazon、Facebook、Akamai、Cloudflare，以及 Line都中招。（詳細清單） 大多數 ISP 都係經 BGP 嚟同其他 ISP 建立路由連接，所以 BGP 劫持亦可當成 IP 劫持。由於…