今次受影響嘅 Android 手機相當之多，而且有證據顯示該漏洞已經被黑客利用，真係發動咗攻擊，各位務必留意。 日前，Google 安全研究團隊 Project Zero 研究員 Maddie Stone發現，一項高嚴重性安全漏洞（CVE-2019-2215），屬於Android內核嘅資料夾驅動程序內存在釋放後使用（use-after-free）漏洞，配合另一個 Chrome 漏洞，可容許黑客越過沙盒，提升 Root 訪問權限並取得裝置控制權。呢個漏洞影響之廣，遍及十多款 Android 手機，Google 親生仔 Pixel 系列亦榜上有名，其他仲包括 Google、三星、華為、OPPO、小米、Moto…

識得玩，一定玩 GIF 圖。比起唔識郁嘅相，GIF 嘅創作空間自然大得多。WhatsApp 喺三年前開始支援 send GIF，但原來喺今年 5 月，有網絡安全專家發現 Android 版 WhatsApp 喺玩 GIF 圖方面竟然存在重大漏洞，用家一旦中招，原先開放俾 WhatsApp 嘅權限，亦會同時間送埋俾黑客。不過唔使驚，WhatsApp 用咗接近三個月時間，而家已經修補咗漏洞，大家可以安心繼續玩喇！ 新作業系統先出事 唔知大家仲記唔記得，究竟提供咗啲乜嘢手機權限俾…

平常一聽到同銀行有關嘅運作程序，一定覺得會安全到不得了㗎啦，但接二連三嘅事實話俾大家知，無論間公司有幾大，規管有幾嚴謹，都一定會有「濕滑」嘅員工。加拿大最大銀行 Scotiabank（加拿大豐業銀行）近日被揭發出低級網絡安全錯誤，低級嘅程度更直逼「布偶級」（muppet-grade），大家明啦！ 日前網絡安全研究員 Jason Coulls 揭發，加拿大 Scotiabank 喺 GitHub 嘅儲存庫竟然存有未受保護嘅檔案，當中有外幣匯率 SQL 數據庫系統嘅軟件藍圖及 access key、手機應用軟件程式碼，後台服務及數據庫實例嘅登錄憑證、原始編碼等，簡直係黑客金庫。 Scotiabank 嘅回應當然都估到，首先話呢啲資料並不會危及客戶、員工或合作夥伴，又話已經展開調查、修復問題、移送法律資料中。而加拿大法律規定，銀行出事就要即刻通報，加拿大金融機構監管辦公室方面就已接獲通知，正密切監察事態發展。 GitHub 於去年被 Microsoft 收購，成一時佳話。除咗極多開發者會用，亦有唔少企業機構都會用，因此，保安係其中最大課題。有時開發人員為咗貪方便唔使次次登入，會喺開發階段將…

唔好以為你無用 Facebook，就唔會俾佢攞到個人私隱資料，事關 Facebook 專為手機應用軟件開發者提供 SDK 系統開發套件，方便佢哋嵌入軟件內，收集用家數據用嚟推送相關廣告賺錢，所以如果係女士又用緊生理周期記錄 app 嘅話，姨媽幾時到、經期徵狀同埋性生活都會一一上報，唔知妳又想唔想呢？ 私隱直送服務 專門監察政府及企業有無過份採集個人私隱嘅獨立組織 Privacy International，上星期發表咗一個調查報告，佢哋今次選擇咗生理周期手機應用軟件為調查目標，利用儀器攔截輸入 app 內嘅資料，睇吓開發商會將幾多用家私隱傳送去 Facebook。結果發現，最多人用嗰幾隻 app 包括 Period Tracker（Leap Fitness）、Period…

唔少 IT 公司或應用軟件開發商都有自己嘅網絡安全團隊，不過隨住開發時間愈縮愈短，就算行埋 DevOp 甚至 DevSecOp 制，都只可以盡量減少軟件推出後嘅漏洞問題，所以唔少 IT 巨頭好似 Google、Microsoft、Facebook、Tesla 都會推出賞金計劃，鼓勵街外人幫手捉蟲。 作為 Android 作業系統開發者，Google 面對住嘅其中一個大難題，就係 Play Store 上由第三方開發商推出嘅 app 有太多安全問題，根本點睇都睇唔切，…

Google 上星期公佈，新一代智能手機作業系統 Android 10 即將推出，新 OS 雖然喺保護個人私隱上落咗唔少功夫，但現時表明仍有 193 個漏洞有待解決，對 Android 超級粉絲嚟講，真正嘅考驗嚟喇！ 新一代 Android 一改以往用甜品嚟命名嘅作風，今次就咁叫做 Android 10，官方解釋話嚟到第十個版本，加上有 25 億裝置用緊 Android，係時候要改變咁話。喺確認推出日期之餘，Google 同時喺…

Facebook、Twitter 上嘅假消息問題嚴重，兩間公司尋日一齊發聲明話刪除咗大量針對香港示威活動嘅假消息及假帳戶。其實唔單只佢哋，網上嘅假新聞都係無日無之，所以唔少國家都意識到單係靠呢啲外國機構嚟審查係絕對唔夠；另外如果太多國民依賴外國社交平台，亦難以達到控制言論嘅目的。 越南政府信息部部長阮猛雄（Nguyen Manh Hung）早前喺一個會議上，就向胡志明市嘅 IT 界業內人士表明，政府希望越南可以擁有自家嘅社交平台，同時亦表明政府會為本地企業提供平台去測試新技術及網絡安全環境，唔使再靠 Facebook 等社交平台，同時亦可以幫國民過濾假消息。雖然外界對越南政府呢個願景有好多懷疑，例如係咪想拑制言論等等，不過，國內就已經有唔少地道嘅社交平台出嚟，而且佢哋嘅「野心」都唔細。 Hahalolo 呢個係一間以胡志明市為基地嘅旅遊資訊社交平台，今年 6 月先開業，但目標就係喺 2024 年吸引到 20 億用家使用。 Gapo 新鮮滾熱辣喺七月先開業嘅社交平台，提供聊天及貼文功能，CEO 話好有信心喺…

VLC media player 喺上個月被德國 CERT 及世界安全組織 MITRE 指軟件有漏洞，開發者 VideoLAN 就出嚟澄清，同時指責 MITRE 冇 Fact Check。事實上 VideoLAN 又好坦白，剛啱自爆修補咗 15 個漏洞，有錯就認，抵讚！ 呢 15…

專門幫助慘遭勒索軟件攻擊嘅「No More Ransom」（拒絕勒索軟體）計劃剛剛慶祝成立 3 周年，計劃自 2016 年 7 月至今，共幫助超過 20 萬名苦主免費解鎖，慳返約 1.08 億美元贖款。團隊加油，繼續幫苦主鬆綁！ No More Ransom 計劃成立以嚟，其中一場勝仗必定要數 GandCrab。自 2018 年…

旁路攻擊（Side-Channel attack），係透過一啲非正常渠道嘅手段，去竊取攻擊目標嘅訊息，例如通過人耳聽唔到嘅超高頻將 keylogger 截取嘅訊息傳送出去，又或者通過監測電腦硬件嘅耗電量，估計數據儲存位置而發動攻擊等等；不過，呢種攻擊通常唔容易發動，例如首先要喺目標電腦安裝咗惡意軟件，同時可以讀取到嘅數據量都唔會太大。 偷譯你聲音 最新發現應用喺手機上嘅旁路攻擊 Spearphone 就簡單得多，基本上只要用家安裝咗有問題嘅 app，黑客就一定可以將受害者啲私隱手到拿來。網絡安全獨立研究團隊最新發表一項研究報告，指出黑客可以通過 Android 手機上嘅加速器（accelerometer)，讀取通過手機揚聲器發出嘅音訊內容。其竊取數據嘅方法，係透過加速器感應手機揚聲器發咗聲音後嘅殘響（reverberation），再通過語音辨識將佢還原為語音訊息。只要手機開啟咗揚聲器，用嚟進行語音通話、聽留言，加速器就可以感應得到，所以如果打電話上客戶服務部、對方同你核實私隱，又或手機語音助理讀取你嘅行事曆、聯絡電話出嚟嘅時候，黑客就可以攞得到。 不過研究團隊話，呢種旁路攻擊只可以喺開咗免提模式，同時將音量開到最大聲，先足以令加速器感應到足夠嘅數據，而且亦只可以「聽」到手機揚聲器發出嘅聲音，手機用戶嘅說話就無辦法讀取得到。 現時研究團隊發現 Google Play 上共有 1300 個以上嘅 app 可以做到呢種竊聽效果，因為…