通过智能灯泡渗漏数据
软件风险评估与管理公司Checkmarx的研究人员创建了两个手机应用,可以滥用智能灯泡进行数据渗漏。在实验中,研究人员使用了安卓和iOS系统通用的 Magic Blue 蓝牙智能灯泡。
标签:数据渗漏, 智能灯泡
沸沸扬扬的“微信支付勒索病毒”,始作俑者竟然是个95后!
隔壁的病毒木马都削尖了脑袋往虚拟货币世界里钻,一款新的勒索病毒却逆流而行,转而走“人性化定制”挣钱路线,闪转腾挪最终聚焦在了“微信支付”上,从事的依旧是加密文件、勒索赎金的反社会活动,受感染用户需通过微信扫一扫支付110元赎金才能解密。
标签:勒索病毒, 微信支付, 易语言
神奇的数字“3”:一次翻转3个比特即可实现Rowhammer攻击
来自荷兰的一组研究人员已经证实,可以避开纠错码(ECC)保护机制来执行Rowhammer内存操纵攻击。据悉,介绍该攻击技术的论文《利用纠正码:关于利用ECC内存对付Rowhammer攻击的有效性》,并将于明年在安全与隐私研讨会上正式发表。
标签:rowhammer, 内存操纵攻击, 数据安全, 纠错码(ECC)保护机制
JavaScript代码可欺骗浏览器标签页以窥探浏览内容
计算机科学家展示边信道攻击技术,该技术可绕过最新隐私防护措施,跟踪浏览器用户访问网址。科学家的研究结论是:单个Web浏览器标签页中的恶意JavaScript代码可监视其他已打开标签页,获取用户正在访问的网站信息。
标签:恶意JavaScript代码, 边信道攻击, 隐私防护措施
CarsBlues蓝牙漏洞 影响全球数千万辆汽车
11月15日,Privacy4Cars披露了名为CarsBlues的汽车黑客攻击。该攻击通过蓝牙协议利用多款汽车上的资讯娱乐系统,用现成的廉价硬软件即可在数分钟内实现,且不需要高深的技术知识。
标签:CarsBlues, Privacy4Cars
幽灵再现:数据泄露漏洞影响英特尔、AMD、ARM芯片
CPU制造巨头坚称现有防护措施可抵御攻击,但研究人员不怎么认为。计算机安全研究人员又发现了一组CPU瞬时执行攻击,本地攻击者可藉此访问特权数据,实现今年年初熔断和幽灵漏洞曝光时的预言。
标签:CPU瞬时执行攻击, 幽灵漏洞, 熔断
新边信道攻击针对图形处理器(GPU)
3种新攻击绕过CPU从GPU抓取数据。全新边信道漏洞曝光,这次受攻击的不是CPU,而是GPU了。加州大学河滨分校的计算机科学家公布了3组新漏洞利用,个人用户和高性能计算系统均面临潜在风险。
标签:GPU漏洞, 数据泄露
新型边信道漏洞来袭!英特尔芯片可泄大量敏感数据
近日,研究人员指出,新发现的侧信道攻击可能会从使用同步多线程(SMT)架构的英特尔微处理器中泄露加密数据。在继续文章前,先让我们了解一下几个专业术语:什么是边信道攻击?什么是同步多线程?
标签:数据泄露, 英特尔芯片漏洞, 边信道攻击
重大漏洞:多款固态硬盘硬件加密均可被绕过 Bitlocker根本没用
荷兰拉德堡德大学的研究人员发表论文,描述了固态硬盘流行加密软件Bitlocker中的关键漏洞。固态硬盘需要口令来加密和解密其上存储的内容,但该口令可以被绕过。只要能接触到设备,固态硬盘(SSD)所用加密系统中的漏洞可被黑客用于轻松解密数据。
标签:bitlocker, 口令加密, 固态硬盘, 硬件漏洞
德州仪器BLE蓝牙芯片漏洞 全球数百万无线接入点面临远程攻击
今年夏天Armis便通告了受影响供应商有关该漏洞的情况。德州仪器发布 BLE-STACK version 2.2.2 解决了CVE-2018-16986。至于OAD相关漏洞,该芯片制造商指出,此功能就不应该用在生产环境中。思科和Aruba也发布了受影响产品的相关补丁。
标签:供应商, 德州仪器BLE, 蓝牙芯片漏洞
如何在50秒内盗走一辆特斯拉
敬告特斯拉车主:如果你尚未开启 PIN to Drive 安全功能,就只能期望贴出拍下窃贼快速盗走特斯拉 Modle S 的监控录像能敦促相关方面帮你找回爱车了。
标签:无钥匙车安全, 特斯拉
NFCdrip攻击:近场通信也可用于长距离数据渗漏
研究证明,较长距离上也可通过近场通信(NFC)协议渗漏小量数据,比如口令和加密密钥。NFC协议可供两个设备在10厘米距离内相互通信。大多数智能手机具备NFC功能,常用于购物支付、文件共享和身份验证。
标签:数据泄露, 身份验证, 近场通信(NFC)协议
Torii:打不死的隐秘IoT僵尸网络
安全公司Avast发现,Torii至少自2017年12月起开始活跃,该恶意软件对远程登录(Telnet)协议弱凭证下手,初步入侵后执行Shell脚本以确定设备的架构,并通过HTTP或FTP下载合适的攻击载荷。
标签:Avast, Shell脚本, Torii, 远程登录漏洞
“奇点”中的黑客与蠕虫
OpenWorm项目不免令人想到未来学家 Ray Kurzweil 描述的奇点(Singularity)问题:人类意识与人工智能融合,或被人工智能超越的时刻。奇点之后,历史将被定义为“奇点前”或“奇点后”,因为人类文明将发生翻天覆地的变化。
标签:OpenWorm, 人工智能, 人类意识, 奇点
技术小白看 DEFCON GROUP 010
让一个孩子似的黑客来组织DEFCON GROUP 010无疑是有趣而冒险的的,毕竟这场活动是中国首个被DEF CON大会授权支持成立的地区性黑客交流平台。不过,从现场效果和观众评价来看,李均们所追求的黑客精神在这里已经得到了淋漓尽致的体现。
标签:DEFCON GROUP 010, IoT安全
电子取证:FBI如何在网络空间抓捕罪犯
该实验室是在FBI的索伦托科技谷高层办公大楼里始创,定位是一家调查合作机构。从埃尔卡琼警察局到海军罪案调查处,共17个司法机构为该实验室的工作小组贡献了人员。
标签:FBI, 电子取证, 防弹证词时代
网页缓存中毒:投放恶意代码新方法
Portswigger,开发出Web应用攻击平台 Burp Suite 的公司,再添超越前版缓存中毒的新技术。
标签:Portswigger, Unity, 缓存中毒
显示器逸出的超声波可泄露屏幕内容
声学边信道攻击的精准度令人惊讶,目的明确的攻击者很可能进一步精炼其机器学习技术。如此之多的显示器都在无意泄露这些信号,整个世界都是有动力有技术的攻击者尽情尝试的舞台。
标签:声学边信道攻击, 数据安全, 超声波
黑客组织从28个国家盗取印度Cosmos银行1350万美元
据报道,朝鲜著名黑客团伙Lazarus针对印度Cosmos银行展开复杂攻击进而谋财。通过28个国家的ATM从印度一家银行盗得1350万美元。该攻击案发前几天,FBI才刚刚警告过即将发生针对被黑银行的“取现”攻击。
标签:ATM, Lazarus, SWIFT支付系统, 印度Cosmos银行