中國一年一度的黑客破解大賽「天府杯」剛於上星期六、日舉行，15 支參賽隊伍合共破解 13 款知名電腦產品及應用服務，包括 iOS 14、Samsung Galaxy S20、Windows 10、Chrome、VMWare EXSi、TP-Link 及 ASUS router 等等。冠軍由奇虎 360 政企安全漏洞研究院奪得，共取得大賽的 2/3 獎金，即約 74 萬美元，連續三年稱霸賽事！…

不少網絡安全機構都曾發出警告，呼籲普羅大眾切勿使用公共 Wi-Fi 熱點，處理涉及個人私隱的事情，例如登入帳戶、網購、理財等，因為它們缺乏數據加密保護，很容易被黑客攔截數據。而 Google 最近便推出針對公共 Wi-Fi 的 VPN 服務，只要用戶訂購每月 2TB 雲端儲存服務，即可免費獲得保障，好抵用！ 現時不少人都會使用 VPN (Virtual Private Network, 虛擬私人網絡) 服務，理由各異，例如要收看有地區版權限制的劇集、隱藏自己的上網蹤跡、阻擋廣告追蹤等，而經常要在戶外工作人士，由於經常需要連接公共 Wi-Fi 熱點上網，節省數據用量開支，就更加需要使用 VPN…

朋友在通訊 App 分享連結時，若果有 Preview，感覺比一條普通連結實在，可以衡量登陸網頁的必要。不過看似窩心的 Feature，原來潛藏資安漏洞，隨時出賣用戶 IP，甚至破壞 End-to-End Encryption（E2EE）加密原則以及用戶對平台的信任。 網頁預覽顯示的初心，絕對方便用家，故大部分通訊 App 都備有此功能，像 Tiktok 與 WeChat 般不設預覽的 App 僅佔少數，向用戶提供預覽選擇的 Signal 與 Wire…

Google 近年不斷強化用戶的私隱保護功能，例如招聘特別安全人員去篩選 Google Play Store 上的可疑 Android app ，加強 Android 11 作業系統的安全功能。而在最新推出的 Chrome 瀏覽器版本86上，亦特別加強密碼管理、反下載惡意程式方面的功能，一定要盡快更新。 去年 Google 推出 Chrome 79 時，新增…

雖說現時Apple的iOS 14及Google的Android 11作業系統，已大大增加應用軟件取用手機功能的權限透明度，甚至可讓用家逐次授予使用權。不過，面對著一些合理地取用全球定位功能、卻不合理地使用資訊的app，如用家未有留意細則或用法，便有可能洩露自己的行蹤。最新的例子是不少港人都有使用的運動記錄app Strava，預設功能可讓擦身而過的用家閱覽你的個人資料及經常出沒的運動地點，遇著立心不良的匪徒，隨時有人身安全危機！ 作為一隻運動記錄應用軟件，Strava在安裝時，要求取得定位權限，合理至極；而且相信絕大部分用家，為免每次使用app時都要重新授權，都會選擇長期開放取用位置權限，減少麻煩。不過，其中一位Strava用家Seward在Twitter上透露，當他完成一次跑步記錄後，竟發現記錄內tag了一位當日曾與他擦身而過的女跑手，Seward甚至可以細閱這位女跑手的Strava帳戶資料及運動記錄。經深入調查後，Seward發現原來Strava app預設的私隱分享功能非常「無私」，個人資料、運動記錄、團體活動等都設定為可供任何人查閱，而當中Flyby功能便是今次事件的元兇，因為開啟後，系統便會與附近的用家分享運動及位置記錄。雖然這功能用在正途上，或可組織該區的運動愛好者一起訓練，但卻同時洩露了過多個人資訊，包括經常出沒位置及所使用的運動手錶等，匪徒便有可能在路上埋伏，又或借助詳細的個人資料，發動社交工程(Social Engineering)攻擊。 事件經報導後，Strava即時出面澄清，並表示會通知所有用家有關修改這項私隱設定的方法。用家如希望關閉這項功能，可登入Strava官網，在設定中點選Privacy Control，於Flyby點選「No One」便可。用家亦可同時修改其他私隱設定，例如只跟朋友分享資訊或運動記錄，減少不必要的危險。 資料來源：https://bit.ly/3361ZL2

藍牙(Bluetooth)通訊技術最近連環被揭發存在漏洞，例如較早前有安全專家指Bluetooth 4.0及5.0版本存在的「BLURtooth」漏洞，可讓黑客竄改兩部裝置配對時所產生的「跨傳輸埠金鑰」(Cross-Transport Key Derivation)，強行與目標裝置進行配對，繼而入侵裝置。而最近被公佈的BLESA(Bluetooth Low Energy Spoofing Attack)漏洞的影響就更大，估計全球正有數以億計支援BLE制式的藍牙裝置，曝露於攻擊之中。 相對於傳統藍牙制式，BLE制式的特點在於耗電量低，適用於須長期保持連接的裝置使用，其中一個最常見的使用例子是現時商場安裝的室內定位器，只要顧客開啟商場的手機應用程式，就可即時掌握所在位置或附近店舖提供的購物優惠。由於這些定位器須長期啟動，而且安裝位置又未必有電源，所以BLE制式便最適合這些裝置採用。 這次由美國Purdue University研究團隊發現的BLESA漏洞，便專門針對在BLE制式下，兩部已進行配對的裝置在重新連接(Reconnection)時，有否進行身份驗證；結果發現，當兩部裝置因超出接收距離或訊號不良而斷線後，在重新連接的過程中不會強制進行身份驗證，可能只需符合相關條件(如裝置名稱、MAC address)便可reconnect。從示範影片可見，研究團隊以電腦假扮一個BLE制式指環，成功與已配對的手機進行連接，並向手機發送兩個互相矛盾的訊息。團隊續指無論是Linux、ios、Android的BLE制式均存在上述漏洞。雖然現時部分作業系統已進行修補，但由於這些BLE裝置大多不支援連線，要逐一拆下來安裝修補檔將會非常痛苦！ 資料來源：https://zd.net/32LFdrP

近年網絡隱私關注度高，保護用家私隱甚至成為某些瀏覽器製造商的賣點，然而，無所不在的廣告仍能透過不同方法追蹤網民。就以之前 Facebook – Cambridge Analytica (CA) 醜聞為例，透過用戶在性格分析的遊戲答案，收集大量個人資料，令用戶成為更準確的廣告目標。事件更憑藉用戶的朋友網絡，收集了超過 5000 萬份用戶的個人資料去達到不同的廣告目的。 不想自己的瀏覽隱私被廣告商 target？我們介紹了一些方法去提高您的隱私設置，令您冇跡可尋！ 基本設置: 禁止瀏覽器位置跟踪和搜索引擎自動完成功能、關閉密碼自動填充功能、定期刪除瀏覽歷史記錄更改預設搜索引擎，提高隱私。例如 DuckDuckGo 搜索引擎，由於它拒絕對用戶搜索進行追蹤，就算搜索結果未必能及 Google 深入，卻受到不少著重私隱用家的青睞。如果想進一步提高隱私度，可以嘗試使用可信賴的虛擬專用網路 (VPN)。 港人常用瀏覽器私隱設置: 1. Chrome…

「邊個作業系統最安全」呢個題目，龍頭資安企業與學術界肯定發表意見，民間高手亦在 Reddit、知乎甚至 YouTube 拍片分享高見，但多年爭論依然傾唔到標準答案，說服江湖。再加上推出新版本 OS 或更新、黑客手段演化等變數，令呢個爭論可以無限伸延落去。 Windows 真係咁脆弱？ 研究數據指出，全球電腦中有 77% 使用 Windows 作業平台，能夠上網的話，比例更大幅增加至 88％（呢點好重要，因為主流黑客都係透過網絡發動攻勢）。任何人都希望自己嘅「產品」可以打入最大市場，將利潤最大化，黑客都唔例外。即使一款惡意程式未必能夠侵略所有版本的 Windows，但相比市佔率只有 2％ 的 Linux 家族，主流幾代 Windows…

Apple 嘅年度大會 WWDC 剛啱舉行完，上年推出嘅「Sign in with Apple」功能，俾用戶開帳戶時隱藏真正嘅 Apple ID ，叫好叫座，至今錄得兩億次使用。今年 Apple 繼續提升 iOS 及 macOS 用戶嘅私隱保護，以減輕廣告商追蹤用戶嘅行為，一齊睇吓有邊幾方面？ 透明採集 Apple 規定，app 開發商將要清楚顯示將會採集嘅資料細節，同時要喺…

登入 IG 或Google 帳戶時，如果有設定雙重因素認證(2FA）嘅話，相信對 Google Authenticator 一啲都唔陌生。呢個 app 可以為已連結嘅網上帳戶產生一個驗證碼，通常係一組六位數字，用戶登入帳戶時要喺限時內輸入驗證碼，否則驗證碼就會失效，需要重新再產生一組數字。 不過同類嘅 app 好似 Authy 或 Microsoft Authenticator，都容許多部裝置共用同一個帳戶，即係如果你要登入一個啟用咗雙重因素驗證嘅網上帳戶，都唔會限定你用死一部手機，只要喺女相關裝置上安裝呢啲 app 再登入返你個帳戶就得。不過，舊版嘅 Google Authenticator…