iOS 13 版本更新再更新，不過，獨立安全研究人員就發現一個關乎歷代 iOS 裝置嘅硬件漏洞，就算裝咗最新嘅 iOS 13.1.1 ，都可以輕易玩 jailbreak，之後就可以唔再受 Apple 限制，裝乜 app 嚟用都得喇。 發現呢個漏洞嘅安全研究員 @axi0mX 表示，呢個取名為 checkm8 嘅漏洞，其實對用家嘅安全問題無大影響，因為要破解部機，必須要用實體線連接電腦，啟動 DFU 模式先可以做到，唔可以遙距發生，所以基本上係安全嘅。但問題係…

Apple 嘅 iPhone 11 系列將於下星期五推出，伴隨住新機出爐，作業系統亦會升上 iOS 13。不過，早前 Apple 放出供測試嘅 iOS 13 GM（Golden Master） 版最然係最接近完成嘅版本，但就俾網絡安全研究員 Jose Rodriguez 篤爆 Apple 仲未修補到之前佢舉報嘅漏洞，可以喺唔使機主解鎖嘅情況下，讀取機主嘅聯絡人資料。 Rodriguez…

唔好講咁多，即刻掹咗張 SIM 卡出嚟先，因為最新發現嘅呢個漏洞，正影響緊全球 10 億以上流動網絡用家，黑客只要發出一個含有惡意代碼嘅 SMS，就可以發動 SIMjacker 攻擊，喺你部裝置上面執行惡意程式，暗中控制你部裝置，包括打電話、發送假訊息、報告位置、傳輸數據、停用 SIM 卡，甚至執行其他惡意指令。由於漏洞存在喺 SIM 卡上，所以無論你用邊款手機，以及各種可以插 SIM 卡上網嘅裝置，例如平板電腦、IoT 裝置，統統走唔甩，而且暫時係完全無修補方案，你話除咗掹 SIM 卡靠 Wi-Fi 上網之外，仲可以點做呢？ 呢個核彈級…

大部分人用社交網站，都係不停 post 相 post 片，你睇 Apple iPhone 11 系列嘅賣點集中晒喺影相功能上面，就知影相同分享相、片係幾咁重要。而作為社交平台龍頭大佬嘅 Facebook，每日用戶上傳嘅相閒閒地都超過一億，但原來早前喺 Facebook 自家開發嘅 HHVM（HipHop Virtual Machine）開源虛擬機器上，就存在住兩個上傳相片嘅漏洞，黑客可以透過上傳一張帶有惡意內容嘅 JPEG 相，令系統出現記憶區溢位（memory overflow），從而達成越位讀取記憶區數據，又或發生阻斷服務情況。 Facebook 自家開發嘅…

Google Project Zero 近排喺 Apple iOS 推出版本更新後，多次公佈由佢哋舉報嘅漏洞，而且有 14 個之多，當中更有兩個嚴重漏洞存在超過兩年，iOS 裝備用家只要睇過某啲網站就中招，可以睇埋 WhatsApp、Telegram 等用 end to end Encryption 技術加密嘅訊息。如果有裝置仲行緊 12.1.4 版本或以下，就要快啲更新喇。 Project…

Fact check 真係好緊要，不過假新聞發佈速度咁快，唔係下下都 check 到。試諗下，新聞都咁難 Fact check，如果換成一條片，要睇下佢有無造假，就更加需要大量功夫啦！ 科技發展得咁快，而家開個手機 app 都可以隨時換臉，要變成明星定一隻兔仔都冇難度，最火熱嘅話題叫 deepfakes，就算真人無講過佢說話，都可以用 A.I. 將影片加工，做到真嘅一樣。其中一個 deepfakes 高手德籍華人科學家黎顥，最近接受訪問時就話佢愈做愈驚，仲喺上月中國大連舉行嘅世界經濟論壇搞咗個攤位，俾嚟參加論壇嘅國家元首同富豪「體驗」一下換面係幾咁容易，希望藉此提醒佢哋關注 deepfakes 問題。 黎顥接受訪問時話，原來好細個已對電腦影像有興趣，12 歲睇《侏羅紀公園》，對電腦可以畫出世界上唔存在嘅恐龍表示非常震驚，所以佢一直立志要從事電腦影像嘅工作，喺端士讀完碩士就加入咗電腦影像行業，代表作係後前製作幫《狂野時速7》加入大量 Paul…

Google Assistant、Amazon Alexa、蘋果 Siri 及微軟 Cortana 相繼被揭發將用戶對話語音檔交予第三方，作轉錄抄寫並進行分析。剛剛 Facebook 亦承認，將 Messenger 用戶嘅語音通話交出去轉錄抄寫，美國五大科技公司一個不漏，齊晒！唔想私隱外洩？都係快快刪除語音助理通話紀錄啦！ Amazon 及 Google 早於年初被揭發同類問題，其 Echo 及 Google Assistant 嘅用戶對話語音檔被送去分析，雖然所有錄音都係喺功能啟動後先被記錄，但其內容仍然非常私人，如包括醫療資訊、毒品交易乃至親密情節。由於私隱問題備受爭議，Google、Apple…

香港電腦保安事故協調中心（HKCERT）剛啱發表咗香港第二季《香港保安觀察報告》，統計數字顯示釣魚電郵嘅個案，數字由第一季嘅 289 宗飊升至第二季嘅 1,306 宗，升幅高達三倍，其中有四成更係假冒 apple.com 及 icloud.com 嚟發送電郵。釣魚電郵之所以能夠歷久常新、講極都有人中招，都係因為黑客用咗唔少有創意嘅方法，去減低目標人物嘅警覺性。 最近網絡安全公司 ReversingLabs 又發現咗一個新趨勢，研究員指出以往釣魚電郵嘅欺詐方法，主要係透過引誘收件人點擊電郵入面嘅連結，然後去到一個冒牌網站例如 Apple、Amazon 或各大銀行等等，部分冒牌網站會整到同官網一樣提升可信性，務求令收件人輸入登入資料，黑客就可以盜用帳戶嚟購物或攞到信用卡資料。 千方百計呃人Login 不過，最近有黑客就改為喺附件到放置一個 PDF 檔案，電郵內容係提醒收件人嘅 Amazon 帳戶有一啲稅務費用，講明唔係收費通知，只係要求用戶登入檢查。由於喺美國…

請立即更新 iOS 裝置嘅系統，呢句說話已經講咗唔知幾多次。不過，而家又要再講多次喇，因為 Google Project Zero 團隊早前向 Apple 提交 6 個 iOS 漏洞，雖然 Apple 喺新推出嘅 iOS 12.4 版本已經解決其中 5 個，仲有一個未解決到，但起碼減少被黑客攻擊嘅風險丫。…

旁路攻擊（Side-Channel attack），係透過一啲非正常渠道嘅手段，去竊取攻擊目標嘅訊息，例如通過人耳聽唔到嘅超高頻將 keylogger 截取嘅訊息傳送出去，又或者通過監測電腦硬件嘅耗電量，估計數據儲存位置而發動攻擊等等；不過，呢種攻擊通常唔容易發動，例如首先要喺目標電腦安裝咗惡意軟件，同時可以讀取到嘅數據量都唔會太大。 偷譯你聲音 最新發現應用喺手機上嘅旁路攻擊 Spearphone 就簡單得多，基本上只要用家安裝咗有問題嘅 app，黑客就一定可以將受害者啲私隱手到拿來。網絡安全獨立研究團隊最新發表一項研究報告，指出黑客可以通過 Android 手機上嘅加速器（accelerometer)，讀取通過手機揚聲器發出嘅音訊內容。其竊取數據嘅方法，係透過加速器感應手機揚聲器發咗聲音後嘅殘響（reverberation），再通過語音辨識將佢還原為語音訊息。只要手機開啟咗揚聲器，用嚟進行語音通話、聽留言，加速器就可以感應得到，所以如果打電話上客戶服務部、對方同你核實私隱，又或手機語音助理讀取你嘅行事曆、聯絡電話出嚟嘅時候，黑客就可以攞得到。 不過研究團隊話，呢種旁路攻擊只可以喺開咗免提模式，同時將音量開到最大聲，先足以令加速器感應到足夠嘅數據，而且亦只可以「聽」到手機揚聲器發出嘅聲音，手機用戶嘅說話就無辦法讀取得到。 現時研究團隊發現 Google Play 上共有 1300 個以上嘅 app 可以做到呢種竊聽效果，因為…