WhatsApp 上周宣布,將在今年稍後為用戶提供點對點加密備份,用戶將可選擇使用加密密鑰作為儲存備份的方式。WhatsApp 將提供隨機創建的 64 位數的密鑰,用戶可自行保留這個密鑰作記錄。做法類似於 Signal 處理備份的方式,只需重新輸入密鑰就能恢復備份。 另一種儲存備份的方法是將隨機密鑰儲存在 WhatsApp 的基建內,即是被稱為以硬件為本的安全模塊 (Hardware Security Module-based, HSM) 的備份密鑰庫,用戶可用自行創建的密碼,存取在內的備份。 WhatsApp 在白皮書上列明,WhatsApp、用戶流動裝置連結的雲端服務,或者任何第三方都不知道密碼。密鑰存儲在 HSM 備份密鑰庫中,以便用戶裝置丟失或被盜時,都能恢復密鑰。另外,HSM 備份密鑰庫具備強制執行的密碼驗證,如果猜測密碼至一定次數次失敗後,該密鑰將會永久無法存取內容,WhatsApp…
Search Results: app (474)
雲端安全解決方案供應商 Barracuda 日前公布一項關於惡意機器人程式(Bad Bots)及自動化攻擊演變模式的報告,探討網絡流量模式的轉變和機器人行為,透過分析機器人攻擊的實際例子,了解自動化攻擊的最新趨勢。報告揭示,機器人程式佔用近三份之二的總網絡流量,而電子商貿應用程式及登入門戶,是先進機器人程式持續攻擊的主要目標。 《機器人程式攻擊:主要威脅和趨勢觀察報告》以網絡機器人行為和偵測的實際例子分析最新網絡流量趨勢,Barracuda 研究人員分析 2021 年 1 月至 6 月的網絡流量模式,包括惡意機器人程式相關的網絡流量、起源、每日攻擊次數和規律,同時剖析真實案例,發現機器人程式佔用近三份之二的網絡流量,其中惡意機器人程式佔總流量達四成,當中包括網絡爬蟲、自動攻擊程式等先進機器人程式。 報告亦指出,67%惡意機器人網絡流量由北美地區輸出,並主要來自公共數據中心,歐洲及亞洲地區分別佔 22% 及 8%。機器人流量主要來自 AWS 及 Microsoft Azure 兩大公用雲端,兩者比例大致相約。來自歐洲的惡意機器人程式流量,部分更有可能源自網絡供應商或住宅 IP…
最近有研究人員在軟體開發套件(Software Development Kit, SDK)中,發現有專門針對流動裝置的自定義 WhatsApp 構建 Triada 惡意木馬程式。Triada 早於 2016 年被 Kaspersky 研究人員發現,如今再次出現,今次被發現隱藏於一個 WhatsApp 改良版應用程式、名為 FM WhatsApp 的應用程式的廣告組件中。 該惡意軟件為受害者帶來大量不需要的木馬病毒,最新版本的 Triada…
用作監視子女或者配偶的應用程式,原來暗藏漏洞!防毒軟件公司 ESET 最近推出研究指,Android 的進蹤應用程式受到漏洞的威脅,並威脅受害者,有可能令受害者的私隱暴露和威脅其安全性。 ESET 研究人員表示,這類應用程式在近年變得相當流行,其開發人員多以可保護兒童作為招徠,但這些監視用的應用程式或會被第三方濫用。作案者會使用這些應用程式來監視受害者,並以之收集 GPS 位置、監視對話、取得瀏覽器歷史記錄、圖像以及儲存在設備上的其他敏感數據。研究人員分析了 86 個 Android 相關應用程式,並在 58 個應用程式中發現了逾 150 個安全漏洞,揭示受害者將面臨其他隱私和安全風險。 ESET 在此分析中,將安裝了應用程式並作遙距監視的人定義為「跟蹤者」,而「受害者」則是指被監察者通過應用程式監視的目標人物。最後,「攻擊者」則是指「跟蹤者」和「受害者」不知道存在的第三方。「攻擊者」可以利用應用程式或其相關監視服務中,所存在的安全性問題或私隱漏洞入侵。 而這個問題可能導致「攻擊者」直接接管操控用作監視「受害者」的設備,也可能上傳虛假證據以威脅受害者。研究人員按照他們為期 90…
加密貨幣 (cryptocurrency) 炒風熾熱,愈來愈多人參與其中,而要買賣各種加密貨幣,最簡單方法是使用管理 app。網絡安全服務供應商 Sophos 便發現,有黑客集團製作了 150 個以上虛假交易及管理 apps,通過不同手法吸引投資者安裝,從而盜取他們的電子錢包帳戶登入資料。有女投資者便因貪字得個貧,買樓基金一鋪清袋。 要盜取加密貨幣電子錢包帳戶,方法有很多種,比較困難的手法是入侵受害者的電腦,再於電腦的儲存數據內搜尋有關記錄。而今次 Sophos 留意到的手法就簡單得多,專家指黑客會嘗試通過不同途徑,推廣一些管理加密貨幣的手機應用 apps,例如利用社交平台賣廣告、於即時通訊工具內廣發推廣訊息,甚至發動社交工程 (social engineering) 攻擊,先與目標人物建立關係及信心,才引導對方安裝虛假 apps。 為了令目標人物更易上檔,黑客會倣製一些有名氣的手機應用 apps,由版面設計以至使用圖案,均模彷得極度逼真,然後才通過上述方法散播。Sophos 專家經深入調查後,發現當中有超過…
要被 Apple App Store 批准上架的門檻到底有多高?用數字來答這條問題,Apple 在 2020 年一共阻止了 100 萬個被評為具有風險或易受攻擊的應用程式進入 App Store,當中 48,000 個是因為應用程式包含隱藏或未記錄的功能,另有超過 150,000 個應用程式被拒絕是因為發現它們是垃圾郵件、涉及抄襲或具有誘導用戶付費的誤導內容等。 Apple 的應用程式審查團隊另拒絕讓超過 215,000 個應用程式上架,涉及開發人員索取的用戶數據超出了他們的需求,或對用戶數據處理不當。…
早前 WhatsApp 更新條款要求用戶允許與 Facebook 共享數據,引起全球關注。如果用戶拒絕,WhatsApp 將會限制其功能。雖然 WhatsApp 表示,不會刪除或停用反對其最新私隱政策更新的帳戶,但實際上用起來有何不同呢? 自 2021 年初以來,WhatsApp 推動的政策更新與去年的私隱政策相比,有了極大轉變,當時政策允許用戶選擇不與 Facebook 共享其帳戶信息。然而後來曾指如果不接受新條款,便會刪除或停用不妥協的用戶的帳戶。今年私隱政策更改之後,可以獲得 WhatsApp 用戶數據的公司就包括 Facebook、Facebook Payments、Onavo、Facebook Technologies 和…
令人聞風喪膽的勒索軟件集團 REvil 又有新受害者出現,REvil 聲稱從台灣電子產品代工公司廣達 (Quanta) 電腦手上取得多間公司的產品設計圖,當中包括 Apple 的手提電腦,以及 Lenovo 的 ThinkPad Z60m!不過,後者原來是 2005 年產品,居然夠膽叫 Lenovo 盡早聯絡,講真,「你咁樣係唔會令我驚㗎!」 勒索軟件集團 REvil 犯案纍纍,貨幣兌換公司 Travelex、電子設備製造商…
木馬程式無處不在,隨時誤中陷阱!最新發現 WhatsApp 出現一種針對 Android 用家的木馬程式,假稱 WhatsApp 推出粉紅色介面,一旦誤按下載,便會接管受害者的手機,更會自動回覆其 Signal、Telegram、Viber 及 Skype 的訊息,散播病毒。不得不再提醒,切勿貪新鮮下載非官方更新! 這個惡意軟件的大名叫 WhatsApp Pink,目前主要針對印度次大陸的 WhatsApp 用戶,並以群聊訊息散播。安全研究員 Rajshekhar Rajaharia 向 WhatsApp…
數碼轉型的一大特徵,是 Application 的爆發性增長。除了維護成本不斷上升,開發及管理的難度亦與日俱增。例如處理更新 App 時遇上不相容的情況,往往連帶整個系統停頓半日,已經足夠令人頭痛。因此,很多需要 Speed up to market 的中小企,及一些較有規模的 Application,都開始部署 App Modernization。 專門為企業提供一站式解決方案的 ELM,將會舉辦一場 Webinar,主題正是 App Moderinzation 在 PaaS…