唔少黑客都喺暗網上出售惡意軟件,例如上星期就有黑客打包出售 1300 款釣魚工具收藏。視乎惡意軟件嘅實力,叫價可以輕易破萬美元。好似 Android 銀行木馬軟件 Cerberus,月初因為瞞過 Google Play Store 監測、成功上架而響朵,而最近開發者就喺暗網上準備將呢隻「有實積」嘅軟件全套出售,開出五萬美元底價,話目標係以十萬美元賣出!網絡安全專家就話,今次開發者咁急住賣出呢套軟件,而唔繼續靠佢搵食,原來係因為開發團隊已經拆夥⋯⋯ Cerberus 點解咁出名呢?係因為佢嘅入侵手法非常精密,同埋入侵後可以做到嘅嘢極多。當呢隻軟件喺 Google Play Store 上架嘅時候,佢只係一隻好「清純」嘅匯率兌換 app,不過當下載量過千,Cerberus 先至開始做嘢,透過軟件更新引入惡意程式,之後只要用家喺手機開啟理財或銀行 app,Cerberus 就會用透明畫面記低用家輸入嘅資料,同時截取埋用家收到嘅…
Search Results: 竊聽 (17)
黑客入侵手法有幾咁估佢唔到?淨係靠燈膽震動呢一招嚟偷聽對話,就肯定無乜人會諗到;就算諗過吓,都唔信真係得啦!不過,專家宜家話俾你知,呢招真係work㗎! 今次做實驗示範嘅學者,分別來自以色列 Ben-Gurion University 及 Weizmann Institute of Science。佢哋將呢個旁道攻擊(side-channel attack)技術稱之為「林峯」(Lamphone),主要係透過分析燈膽被聲音振動嘅幅度,再用人工智能即時還原成聲音,達成偷聽任務。 唔係啩,燈膽震幅真係睇得到咩?答案又真係得喎,喺今次示範入面,專家就喺一個距離目標會議室25米嘅地方,用一支搭上價值 400 美元電子光學感應器嘅望遠鏡,再將鏡頭讀取到嘅燈膽震動變化傳輸至解讀裝置,成功還原會議室內播放嘅侵侵演說以及 Beatles 嘅「Let It Be」歌曲,後者嘅清晰程度仲足夠俾 Shazam 認出係邊首歌曲嚟添。 留意今次實驗由於只係「單聲道」發聲,並唔存在多人同時講話,所以未必真係咁實用。不過,如果係牽涉到極重要機密,就點都要防範一下,例如唔好再用燈膽、壓低音量、播放背景音樂,甚至拉埋窗簾,先至可以減少被竊聽嘅風險。專家已就今次研究發表「林峰」報告,另外佢哋亦會今年八月舉行嘅黑客大會…
「Best Buy 感謝閣下多年支持!現在附上本公司50 美元儲值禮物卡,可選購指定商品,商品清單可於 USB 手指內查看。」當你收到附有 Best Buy 禮物卡嘅感謝信,你會唔會想八吓有乜嘢換?除非你無幫襯過 Best Buy,戒心可能會大啲,但如果你又係 Best Buy 常客,真係好易中招㗎喎! 美國 FBI 最近發現,國內正流行一種復古欺詐手法。犯罪集團 FIN7 Gang 利用購物卡,利誘對象將裝有惡意程式嘅…
喺 WFH 模式下,近排好多人都好關注 Zoom 視像會議應用工具嘅安全性,美國 FBI 警告大家最近有好多黑客以 Zoom-bombing 或 Video-teleconferencing hijacking 攻擊嘗試潛入會議,有研究員又發現 Zoom 嘅設計存在 UNC Link 漏洞令與會人士有外洩登入資料風險。為咗加強本地企業嘅安全性,香港電腦保安事故協調中心(HKCERT)就喺 blog 上,羅列出一系列安全注意事項俾大家參考。咁多人發聲,都係擔心機密會議內容會被竊睇竊聽;之不過,Home Office…
在最近幾星期,COVID-19(新型冠狀病毒)危機令數百萬人留在家中,避免外出上班或進行面對面會議。儘管各具體預測的數據不一,但可以肯定的是,全球有多達 50% 的員工正在遙距工作。網上通訊平台已成為個人和企業與世界交流互動必不可少的工具。而憑著近 20% 的全球市場份額,其中Zoom 是最受歡迎的平台之一。 任何流行技術的好處顯而易見,卻也存在著風險。我們都聽說過應用程式使用不當的案例,據年初的 Check Point Research 報告稱,外部人員能夠竊聽私人會議和通話,這可能導致個人數據洩漏或商業間諜行為。 那麼,我們如何在享受 Zoom 帶來的好處的同時免遭主要威脅的影響?以下幾點值得考慮。 1.保持更新 為保持有效的安全性,必須經常更新 Zoom 軟件。科技公司為其產品提供的更新不僅增加了新的選項和功能,還會公佈已發現的「缺陷」和安全漏洞,比如上文提到的具有發現和竊聽會議的能力。重要的是,這與普遍的觀點相反,攻擊者能夠入侵的機會不會在安全漏洞修復後消失,而是在用戶進行軟件更新並收到公司的產品補丁之後才消失。這意味著未更新軟件的用戶仍然容易受到攻擊。 2.使用會議登入密碼 我們對…
唔少人都有用過語音助手,例如 iOS 嘅 Siri,又或唔同品牌嘅智能喇叭,而相信絕大部分人都有相信經歷,就係語音助手會失驚無神跳出嚟,有時仲會自動解答一啲你無問過嘅問題,認真令人費解。有美國大學就做咗一個為期半年嘅測試,了解一下呢啲智能語音助理嘅聽力障礙到底有幾嚴重,同埋會偷錄幾耐用家嘅對話,發現有語音助理一日可以誤啟 19 次,最長仲會偷錄 43 秒音效添! 今次呢個測試係由美國東北大學學者主導,首先佢哋搵嚟五部智能喇叭,包括 Google Home Mini、Apple HomePod、Harman Kardon Invoke by Microsoft、第二同三代 2 Amazon Echo…
旁路攻擊(Side-Channel attack),係透過一啲非正常渠道嘅手段,去竊取攻擊目標嘅訊息,例如通過人耳聽唔到嘅超高頻將 keylogger 截取嘅訊息傳送出去,又或者通過監測電腦硬件嘅耗電量,估計數據儲存位置而發動攻擊等等;不過,呢種攻擊通常唔容易發動,例如首先要喺目標電腦安裝咗惡意軟件,同時可以讀取到嘅數據量都唔會太大。 偷譯你聲音 最新發現應用喺手機上嘅旁路攻擊 Spearphone 就簡單得多,基本上只要用家安裝咗有問題嘅 app,黑客就一定可以將受害者啲私隱手到拿來。網絡安全獨立研究團隊最新發表一項研究報告,指出黑客可以通過 Android 手機上嘅加速器(accelerometer),讀取通過手機揚聲器發出嘅音訊內容。其竊取數據嘅方法,係透過加速器感應手機揚聲器發咗聲音後嘅殘響(reverberation),再通過語音辨識將佢還原為語音訊息。只要手機開啟咗揚聲器,用嚟進行語音通話、聽留言,加速器就可以感應得到,所以如果打電話上客戶服務部、對方同你核實私隱,又或手機語音助理讀取你嘅行事曆、聯絡電話出嚟嘅時候,黑客就可以攞得到。 不過研究團隊話,呢種旁路攻擊只可以喺開咗免提模式,同時將音量開到最大聲,先足以令加速器感應到足夠嘅數據,而且亦只可以「聽」到手機揚聲器發出嘅聲音,手機用戶嘅說話就無辦法讀取得到。 現時研究團隊發現 Google Play 上共有 1300 個以上嘅 app 可以做到呢種竊聽效果,因為…