以公民的身份、民间的角度、人道与法律的基点和建设性的理性行为来关注、争取和维护公民的权利,
为培育公民意识和建设人道开放公正的公民社会及法治国家而持续努力。

近期安全动态和点评(2019年3季度)

文章目录rpG维权公民
★隐私保护rpG维权公民
★高危漏洞rpG维权公民
★网络与 WebrpG维权公民
★移动设备rpG维权公民
★网络攻击与网络战rpG维权公民
★言论审查与网络屏蔽rpG维权公民
★安全工具rpG维权公民
★硬件与物理安全rpG维权公民
★密码学rpG维权公民
★安全编程rpG维权公民
rpG维权公民
  明天开始放假,俺选在9月最后一天,发这篇3季度的《近期安全动态和点评》。rpG维权公民
  这篇有点长,外部链接有点多。来不及看完的同学,可以在假期慢慢看。

★隐私保护

 

◇十个你需要关闭的 Windows 10 隐私设置

rpG维权公民
  大名鼎鼎的《连线》杂志发了一篇文章(如下),介绍 Windows 10 的隐私选项。rpG维权公民
The Windows 10 Privacy Settings You Should Check Right NowrpG维权公民
rpG维权公民
  编程随想注:rpG维权公民
  这些选项都涉及【数据收集】,并且默认是【启用】状态。rpG维权公民
  即使把这些选项都关掉之后,你依然无法确保——微软不再收集你的隐私数据。但“禁用”总比“启用”更保险一些。rpG维权公民
  至于那些善于捣鼓技术的同学,完全可以告别 Windows,并切换到某种 Linux 发行版之下。

◇监视技术的全球化趋势

rpG维权公民
AI 监视扩大到全世界 @ Solidot

在中国之后,越来越多的国家部署 AI 去跟踪公民。卡内基国际和平基金会称,有至少 75 个国家在使用人脸识别等 AI 工具。它发表了报告《The Global Expansion of AI Surveillance》。rpG维权公民
使用某种形式 AI 的国家有自由民主国家如美国和法国,但更多是专制政府。报告称,华为、海康威视、大华和中兴为首的中国科技公司向世界输出了大量 AI 监控技术。其它如日本的 NEC、美国的 IBM、Palantir 和思科都是 AI 监控技术的主要供应商。rpG维权公民
中国还为外国政府购买中国的监控工具提供了贷款。肯尼亚、老挝、蒙古、乌干达和乌兹别克斯坦等国,如果没有中国的贷款不太可能采购 AI 监控工具。

  编程随想注:rpG维权公民
  面对技术监控的这种趋势,有必要再次重温 EFF 创始人的那篇《赛博空间独立宣言》。rpG维权公民
每周转载:EFF 创始人约翰·佩里·巴洛和他的【赛博空间独立宣言】

◇面部识别

rpG维权公民
南京中国药科大学试点面部识别 @ SolidotrpG维权公民
瑞典禁止学校部署面部识别技术 @ SolidotrpG维权公民
rpG维权公民
  编程随想注:rpG维权公民
  上述两条新闻,放在一起对照,令人印象深刻啊。rpG维权公民
rpG维权公民
ZAO App 换脸玩大了,陌陌被工信部约谈要求自查整改 @ 搜狐

ZAO的火爆可以说是在一夜之间。自8月30日上线,不到24小时,这款 APP 就以火箭般的速度在各应用商店免费应用排行榜中蹿升至第二位,同期更是微博热搜前十话题。rpG维权公民
rpG维权公民
但是却有细心用户发现其用户协议里暗藏玄机。协议中有一条写道:用户上传发布内容后,意味着同意授予 ZAO 及其关联公司以及 ZAO 用户在“全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利”。rpG维权公民
rpG维权公民
这就等同于用户在使用该APP时同时也将自己的肖像权“转让”了出去。ZAO 及其所属公司陌陌可以利用用户的肖像做任何其他事情。其危险可想而知。

rpG维权公民
网店出售人脸数据引发争议

国内媒体报道,在一网络商城上,有商家公开兜售 “人脸数据”,数量达17万条。报道称这些 “人脸数据” 覆盖2000人的肖像,除了人脸位置的信息外,还有人脸的106处关键点,如眼睛、耳朵、鼻子等的轮廓信息。这其中有明星也有普通市民,还有部分未成年 人。店家称,自己平时从事人工智能的相关工作,因此收集了很多人脸数据,发售出来 “挣个饭钱”,并不提供当事人的人名和身份证号等信息。记者举报后,商品被下架。有律师表示,此举已涉嫌侵犯他人隐私权

 

◇手机应用在【不】授予权限的情况下,依然能收集相应数据

rpG维权公民
More than 1,000 Android apps harvest data even after you deny permissions @ CNETrpG维权公民
rpG维权公民
  编程随想注:rpG维权公民
  文中提到了某些技巧,比如说——rpG维权公民
  某个 app 虽然没有权限拿到“地理位置信息”,但可以收集手机中拍摄的照片,从照片的 EXIF 元数据中可以提取到“地理位置信息”。rpG维权公民
  咱们还可以更进一步设想——rpG维权公民
  如果该 app 有照相机的权限,就可以定期拍照,提取 EXIF 元数据之后再删除照片——就可以不断跟踪用户的位置变化。

◇多款知名的国产 app 存在隐私问题

rpG维权公民
国家计算机病毒中心发布违规 APP 和 SDK 名单 @ 新京报网

国家计算机病毒中心发布了《移动 APP 违法违规问题及治理举措》。其中 APP 和 SDK 存在的六大类问题,包括远程控制、恶意扣费等八大类恶意行为、涉嫌侵犯公民个人隐私、涉嫌超范围采集公民个人隐私等。rpG维权公民
其中,MOMO 陌陌(版本8.18.7)、今日头条(版本7.2.7)、京东金融 (版本: 5.2.32)、云闪付(版本: 6.2.6)等下载量很高的应用也名列其中。

 

◇(新疆)中国边检人员在过境旅客手机安装监控软件

rpG维权公民
  编程随想注:rpG维权公民
  在上一期的《近期安全动态和点评》中才说到:前些年,俺在博客评论区与读者交流时就提到过——新疆警方可以随意盘查路人手机(以“反恐”的名义)。rpG维权公民
  如今更牛逼了,新疆警方不仅可以随意盘查手机,还可以在手机上强制安装某个【监控软件】。以下是外媒的报道。rpG维权公民
rpG维权公民
中国边警在游客手机中安装监控 App @ 德国之声

中国政府在入境游客手机上秘密安装一种应用软件,搜集并监控游 客私人信息。《南德意志报》周三(7月3日)报道说,取名为“蜂采”的这一手机应用可获取游客各种信息,从电邮、短信、驻地或通信名单,无所不包。此前, 《南德意志报》与北德意志电台、英国《卫报》、美国《纽约时报》等传媒共同做了评估。rpG维权公民
rpG维权公民
根据这一报道,受到影响的是从吉尔吉斯斯坦经由陆路进入新疆的游客。他们在边境口岸被要求解码手机,警察拿上手机进入另外一个房间,在那里将应用软件置入手机。rpG维权公民
rpG维权公民
新出现的情况是,似乎所有经陆路进入的外国人都已成为手机检查的目标。游客们在边境口岸被要求解码手机,警察拿上手机进入另外一个房间,在那里装上这一应用软件,并且不对当事人详加解释。

rpG维权公民
  编程随想注:rpG维权公民
  上述报道中提及了监控软件名为【蜂采】。下面这篇提到了这款软件的出处。rpG维权公民
rpG维权公民
在新疆,你手机上不能有的73000项内容 @ 纽约时报

出现在蜂采源代码的名称显示,该应用程序由南京烽火星空通信发 展有限公司(Nanjing FiberHome StarrySky Communication Development Company)制作,烽火星空是烽火通信科技股份有限公司(FiberHome)的子公司,后者是一家光缆和电信设备生产商,部分归中国政府所有。烽火 星空在其官网表示,它提供的产品可以帮助警方收集和分析数据,并表示该公司已与中国各地的安全机构签署了合作协议。

 

◇【五眼联盟】计划在 WhatsApp 内置政府后门

rpG维权公民
  五眼情报联盟(美国、英国、加拿大、澳大利亚、新西兰)7月底8月初在伦敦举行峰会,讨论“加密聊天应用”所带来的挑战。rpG维权公民
  美国佬(NSA)偏爱的是【算法后门】——类似的事情,NSA 已经干过好多次了(当年斯诺登曝光的【棱镜门丑闻】,包括其中一些)。rpG维权公民
  而英国佬(GCHQ)提出了一个更狡猾的【ghost protocol】解决方案——通过修改聊天服务器的软件,在“单独聊天”或“群聊”时候,让某个【幽灵用户】参与其中。正常用户看不到这个 ghost,但 ghost 可以看到其它用户的聊天内容。rpG维权公民
rpG维权公民
  知名的密码学大牛 Bruce Schneier 在其个人网站连发两篇帖子(如下),表达了【反对意见】。rpG维权公民
Facebook Plans on Backdooring WhatsApp @ SchneierrpG维权公民
More on Backdooring (or Not) WhatsApp @ SchneierrpG维权公民
rpG维权公民
  编程随想注:rpG维权公民
  俺本人反对“互联网监控”,不管是来自民主政权还是专制政权。rpG维权公民
  更多的讨论,参见4年前(2015)写的《“对抗专制、捍卫自由”的 N 种技术力量

◇美国互联网巨头被重罚

rpG维权公民
Facebook 支付50亿美元巨额罚款,扎克伯格失去隐私权方面的最终决定权 @ 搜狐rpG维权公民
rpG维权公民
谷歌旗下YouTube因侵犯儿童隐私被罚款1.7亿美元 @ VOA/美国之音

◇斯诺登又走红了

rpG维权公民
  斯诺登的自传《永久记录》(洋文“Permanent Record”)最近开始发售(此书的封面,是他的大头照,如下)

近期安全动态和点评(2019年3季度)

rpG维权公民
  然后,美国政府对 Edward Snowden 提起民事诉讼,反而引发“史翠珊效应”,导致更多人关注此书。rpG维权公民
  这本书刚出来,俺还没去找电子版。有空的话,会把电子版分享到俺的网盘rpG维权公民
  引申阅读:rpG维权公民
中美政府信息监控的差异——“棱镜门”丑闻随想rpG维权公民
rpG维权公民
rpG维权公民

★高危漏洞

 

◇Microsoft 的漏洞

rpG维权公民
微软修复四个远程桌面服务高危漏洞 @ Solidot

微软修复了四个远程桌面服高危漏洞,漏洞允许恶意程序像蠕虫一样传播,整个过程无需用户操作。rpG维权公民
编号为 CVE-2019-1181、CVE-2019-1182、CVE-2019-1222 和 CVE-2019-1226 允许未经授权的攻击者通过发送特制信息执行任意代码。漏洞影响 Windows 7、8 和 10,以及 Server 2008、2012、2016 和 2019。rpG维权公民
和今年五月修复的 BlueKeep 漏洞不同的是,它影响最新的 Windows 操作系统,而 BlueKeep 主要影响旧版本。在漏洞被逆向工程前计算机必须尽快打上补丁。

rpG维权公民
  编程随想注:rpG维权公民
  俺特地在上述引文中标注了粗体,提醒大伙儿注意。rpG维权公民
rpG维权公民
微软 CTF 协议曝出漏洞 @ Solidot

Google Project Zero 安全团队的研究员 Tavis Ormandy 报告,微软鲜为人知的 CTF 协议存在漏洞,很容易利用,已在受害者计算机获得立足之地的黑客或恶意程序可以利用该漏洞劫持任何 Windows 应用,接管整个操作系统。rpG维权公民
……rpG维权公民
漏洞影响到 XP 以来的所有 Windows 版本,不清楚微软是否或何时会释出补丁。

  编程随想注:rpG维权公民
  俺特地在上述引文中标注了粗体,提醒大伙儿注意。rpG维权公民
rpG维权公民
研究人员发现 40 多个存在漏洞的 Windows 设备驱动 @ Solidot

安全公司 Eclypsium 的研究人员在硬件和固件安全研究中发现,至少 20 家供应商的 40 多个 Windows 设备驱动存在高危漏洞,允许绕过或提权。rpG维权公民
这些设备供应商包括了华硕、东芝、英伟达和华为。这些设备驱动被广泛使用,并获得了微软的数字签名,允许攻击者能更方便秘密的渗透到目标网络。rpG维权公民
设备驱动通常都具有非常高的权限,其中包括进行修改的权限,允许攻击者在系统中获得永久的立足之地。Eclypsium 已经通知了微软,英伟达已经释出了修复的驱动。

 

◇Google 的漏洞

rpG维权公民
研究人员披露 Android 0day 提权漏洞 @ Solidot

趋势科技 Zero Day Initiative 的研究人员披露了 Android 操作系统的一个 0day 提权漏洞,允许在受影响设备上已获得低访问权限的攻击者进一步提升权限。rpG维权公民
漏洞位于捕捉实时视频的 V4L2 驱动中,是在执行操作前未验证对象的存在导致的。安全专家称,已获得 V4L 子系统访问权限的应用或代码可利用该漏洞进行提权。发现漏洞的安全研究人员称在3月通知了 Google,6月 Google 确认漏洞将会修复,但到了8月 Google 表示没有进一步的更新。漏洞至今没有修复。

 

◇Apple 的漏洞

rpG维权公民
Google 披露被利用了两年的 iOS 漏洞 @ Solidot

Google Project Zero 安全博客披露了被利用了两年多时间的 iOS 漏洞,TechCrunch 则援引消息来源称此事与中国有关rpG维权公民网
Google 称,今年早些时候,它的安全团队发现了一组遭到入侵的网站利用 iOS 0day 漏洞对网站的访客不加区分的发动水坑攻击。如果成功利用,攻击者会在访客的 iPhone 手机上安装监视程序,这些网站每周大约有数千访客。攻击者使用可五个不同的 iPhone 利用链,组合了 14 个漏洞,其中浏览器 7 个,内核 5 个,还有两个沙盒逃逸,至少 1 个提权利用链属于 0day。

赞(0)
未经允许不得转载:维权公民网 » 近期安全动态和点评(2019年3季度)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址