收集人臉、指紋特徵，話就話可以方便大家出入私人地方或購物，甚至推動智慧城市；但一旦負責機構唔小心外洩，受害人係無得改呢啲「個人密碼」㗎！ 又唔係話完全無可能，只要整容或換指紋就得，不過睇完都覺得荒謬啦，人哋唔小心洩漏咗客戶嘅生物特徵，竟然要受害者二次遇害？所以每個人都要小心，喺選擇係咪授權其他機構採集及使用自己嘅生物特徵時，真係要諗清楚係咪必須，好似如果只係方便買嘢、出入閘口等等，特別係信唔過或唔知邊個機構負責管理呢啲資料，都係用返相對傳統嘅方法例如感應式支付卡、密碼或門匙好啲。 指紋特徵公開存放 點解突然咁講呢？唔係因為沙田第一城撤回人臉識別系統測試，而係因為外國真係出咗事。一間開發指紋識別系統 Biostar 2 嘅公司 Suprema，喺 8 月初被網絡安全公司 VPNMentor 嘅研究員發現超過 100 萬筆指紋資料被公開存放於網絡上，部分更有姓名、住址、履歷、相片等，大部分受影響嘅都係英國公司，中招者包括英國警方用嚟出入禁區或特殊機關嘅資料，絕對有可能被恐怖份子所利用。 VPNMentor 研究員發現呢堆合共 23GB 嘅資料後非常震驚，因為只要黑客攞到生物特徵資料，受害者真係一世受困擾，於是第一時間想通知 Suprema 處理，不過打齊官網上所有電話，都搵唔到負責人士，搞到呢堆資料喺網上公開存放在…

勒索軟件肆虐，美國唔少行政機關都飽受困擾，中招者糾纏於是否交付贖金嘅決定之中，正宗俾又死唔俾又死。而勒索軟件對於黑客嚟講，絕對係一件成本低、回報大嘅攻擊，加上暗網有大量勒索軟件發售，只要略懂電腦技術就可以買嚟用，然後坐喺度等收錢。 以往勒索軟件主要發生於電腦作業系統之上，好似 Windows、Linux 系統等等，不過網絡安全公司 Check Point 研究員就發現，Canon 相機嘅 PTP （Picture Transfer Protocol）數碼圖片傳輸協定存在 6 個漏洞，其中 5 個係關於 Buffer Overflow，最後一個就係暗中升級韌體。通過呢幾個漏洞，黑客可以透過 USB 或…

以為响手機裝防毒軟件就冇問題？點知原來個防毒本身就有問題…… 網絡安全公司 Comparitech 最近為 21 款 Android 免費防毒軟件進行分析，結果真係嚇死人，發現當中竟然有 3 款存有嚴重安全漏洞、7 款根本無能力偵測樣本病毒；整體上，47％ 產品未能成功達標，真係唔裝好過裝喇。 Comparitech 從安全性、私隱度及廣告推送三方面進行測試，發現大多數 App 都貨不對辦：首先有三分之一嘅 app 根本無能力準確偵測病毒，而且幾乎所有 app 都响度監察緊你嘅行為。咁都未算，研究員仲發現有…

香港電腦保安事故協調中心（HKCERT）剛啱發表咗香港第二季《香港保安觀察報告》，統計數字顯示釣魚電郵嘅個案，數字由第一季嘅 289 宗飊升至第二季嘅 1,306 宗，升幅高達三倍，其中有四成更係假冒 apple.com 及 icloud.com 嚟發送電郵。釣魚電郵之所以能夠歷久常新、講極都有人中招，都係因為黑客用咗唔少有創意嘅方法，去減低目標人物嘅警覺性。 最近網絡安全公司 ReversingLabs 又發現咗一個新趨勢，研究員指出以往釣魚電郵嘅欺詐方法，主要係透過引誘收件人點擊電郵入面嘅連結，然後去到一個冒牌網站例如 Apple、Amazon 或各大銀行等等，部分冒牌網站會整到同官網一樣提升可信性，務求令收件人輸入登入資料，黑客就可以盜用帳戶嚟購物或攞到信用卡資料。 千方百計呃人Login 不過，最近有黑客就改為喺附件到放置一個 PDF 檔案，電郵內容係提醒收件人嘅 Amazon 帳戶有一啲稅務費用，講明唔係收費通知，只係要求用戶登入檢查。由於喺美國…

惡意木馬軟件 Mirai（未來）又有新變種，雖然都係針對 IoT 產品嚟攻擊，但就識得透過 Tor 洋蔥網絡嚟隱身，令網絡安全專家難以追蹤 C2（Command and Control）嘅位置，一旦黑客控制呢啲受感染 IoT 嚟發動攻擊，想阻止或壓制佢嘅感染力，就會變得好困難喇。 Mirai 專搵 IoT 缺口 Mirai 呢隻木馬軟件，喺 2016 年曾引發過多宗 DDoS…

Visa 信用卡嘅非接觸式感應付款技術，早於上年已被研究人員警告，因為其付款金額限制功能唔夠穩陣，只要有辦法繞過認證機制，限制交易金額嘅保護機制就會形同虛設，黑客就可以實現「真‧無限簽帳」喇！ 網絡安全公司 Positive Technologies 研究人員 Leigh-Anne Galloway 與 Timur Yunusov 最近完成測試，成功利用漏洞繞過 Visa 信用卡感應式付款驗證限制，而且試埋用英國 5 間主要銀行所發出嘅信用卡，全部都可以做到，理論上，其他英國銀行應該都無一倖免。 研究人員嘅攻撃方法，係利用一部裝置攔截信用卡同終端機之間嘅訊號，即係中間人攻擊（man in the middle…

專門幫助慘遭勒索軟件攻擊嘅「No More Ransom」（拒絕勒索軟體）計劃剛剛慶祝成立 3 周年，計劃自 2016 年 7 月至今，共幫助超過 20 萬名苦主免費解鎖，慳返約 1.08 億美元贖款。團隊加油，繼續幫苦主鬆綁！ No More Ransom 計劃成立以嚟，其中一場勝仗必定要數 GandCrab。自 2018 年…

WhatsApp 固然多香港人用，但 Telegram 憑住各種私隱功能，近來亦大受用家歡迎。不過，大家要小心，事關近日接連出現關於 Telegram 及 WhatsApp 嘅負皮新聞，唔係講笑，睇吓係乜事先。 Android 版 Telegram 缺陷 日前網絡安全公司 Symantec 研究員指出，黑客可以利用 Media File Jacking 漏洞，於用戶開啟媒體檔案如相、錄音檔前，進行攔截。 受影響嘅…

雖然 iOS 系統比較封閉，安全性一直較 Android 為高，但始終唔可能百分百安全，好似最近又被網絡安全專家發現，黑客可以利用一種名為 URL Scheme 嘅漏洞，透過惡意應用程式去盜取用戶登入其他應用程式，例如 WeChat 嘅個人資料，如果用戶一個唔留神，仲有可能幫黑客嘅消費找埋數添！ URL Scheme 基制提升客戶體驗 為咗防止應用程式暗中讀取其他應用程式嘅執行數據，Apple 喺 iOS 作業系統上利用咗沙盒（Sandbox）功能，將每個應用程式放置喺隔離空間執行，咁就可以防止互相讀取資料嘅行為。不過，為咗方便用戶喺用緊一個應用程式時，點擊一個功能鍵或網址連結就可以打開另一應用程式，或透過 Facebook、Gmail、WeChat 帳戶作為登入其他應用程式嘅認證，Apple 就喺…

人哋用得你嘅服務，梗係相信你可以守護佢哋嘅私隱，點知上載嘅相可以喺網上任睇，全無私隱可言，咁仲唔係虛假宣傳？Online Buddies 就係因為咁而被告喇。 網絡安全公司嘅研究員經常會進行一啲網上調查，分析一啲應用服務供應商提供嘅服務有無漏洞存在，因為服務供應商未必有足夠人手去監測自己嘅伺服器有無問題，所以當研究員發現到漏洞所在，就會第一時間通知對方修補，而喺漏洞修補後或對方過咗一段時間都無反應，先至公開漏洞等對方正視。一般嚟講，服務供應商都會即刻解決問題，以免影響用家嘅信心，或被黑客入侵造成更大嘅損失。 Online Buddies、Jack’d 共用儲存平台 除咗以上兩項風險，服務供應商仲有可能被執法機關起訴。美國紐約一個專門提供同性戀交友平台應用服務嘅公司 Online Buddies，喺上星期五就俾紐約州總檢察長 Letitia James 檢控，指出被告公司早年收購嘅 Jack’d 手機約會應用軟件存有誤導成分，令用戶相信其上載嘅相片有足夠私隱保護，可以防止被授權以外嘅人睇到，但被告一方卻對漏洞視而不見，收到報告一年都無修補漏洞，令用戶嘅個人私隱蒙受損失，結果判處罰款 24 萬美元，同時勒令 Online Buddies 要持續改善網絡安全程度。…