Search Results: Apple (95)

    漠視意見,只會帶來嚴重嘅後果。就好似宿命一樣,但凡有漏洞唔解決,就一定會俾黑客利用。Apple 都冇辦法擺脫呢個 Murphy’s Law,佢嘅 GateKeeper 漏洞冇解決,就出事喇…… 是咁的,今年初研究員 Filippo Cavallarin 發現 MacOS GateKeeper 存有漏洞,允許黑客繞過 Gatekeeper 安全機制,然後喺冇顯示冇通知嘅情況下執行惡意程式。最㷫嘅係,Filippo 通知咗 Apple 之後,Apple竟然漠視意見,一直唔修補呢個漏洞。Well,該研究員惟有將行動升級,喺上個月將呢個漏洞資料公開…… 呢個漏洞主要出自 Gatekeeper…

    世界衞生組織上星期發出指引,警告一歲以下小朋友唔可以接觸電子屏幕產品,而 2 至 4 歲小朋友每日亦唔可以睇多過一個鐘,否則會對小朋友發展有影響。家長為咗更有效率控制小朋友玩電子產品嘅時間,喺電子產品安裝 家長控制 應用軟件(Parental Control app)係其中一個最簡單嘅方法。不過,最近就有俄羅斯網絡安全公司,入禀控告 Apple 違法將呢類軟件下架,以打擊對手及壟斷市場! 打擊對手壟斷市場 近年唔少研究都指出小朋友用得太多電子產品,例如兩年前香港大學曾有一項調查研究,指出小朋友接觸過多手機、平板等電子屏幕類娛樂,會大大增加小朋友嘅情緒問題或過動症問題,風險較一般小朋友高 23.2%或 32%。會對腦部發展造成唔同程度嘅影響,不過,唔少家長為咗令小朋友乖乖哋食飯或為自己換取一刻嘅安寧,都會借助呢類電子奶咀去吸引小朋友嘅注意力,而為咗幫家長手控制小朋友用電子產品嘅時間,App Store 上就出現大量家長控制應用軟件,通過設定限制使用時間,減少家長同小朋友之間嘅拗數。不過,最近俄羅斯網絡安全公司 Kaspersky Lab 就喺入禀法院,以反壟斷條例指控…

    Apple macOS 用於控制應用軟件存取權限的 TCC 技術再一次被發現漏洞,Microsoft 365 Defender 研究團隊去年六月向 Apple 舉報的 powerdir 漏洞,可讓有心人繞過安全限制,暗中竊取用家的私隱資料。現時漏洞已被堵塞,所以研究員就可以放心公開。但對還未更新 macOS 作業系統至 12.6 或以上的用家來說,被入侵風險就大大提高! macOS 的 TCC (Transparency,…

    美國、英國、新西蘭等多國政府的安全機構,相繼向當地公私營機構發出警告,因為 Apache 一個名為 Log4j 的 Java 日誌管理平台存在的零日安全漏洞,將有可能引發出如 SolarWinds、Kaseya 安全事故的影響。而從不同安全機構捕捉到的攻擊樣本可見,黑客集團正爭相利用漏洞散播挖礦軟件、木馬程式,再加上受影響企業數以萬計,難怪各國政府如此慌張! Apache Log4j 本身是一個極受歡迎的開源 Java 日誌管理平台,它可以讓企業完整監察及記錄應用軟件的各種使用數據及錯誤數據,因此不少企業也有採用。而就在上星期五,有安全專家發現網上遊戲《Minecraft》所使用的 Apache Log4j 有漏洞,經調查後,專家指黑客可利用該漏洞引導用戶瀏覽一個藏有隱藏惡意代碼的伺服器,於伺服器的日誌中留下一句惡意編碼,其後當 Log4j 收集伺服器的日誌時,錯誤地執行將惡意編碼,被強制到訪黑客的控制中心,進一步下載一個以 Base64…

    Google 的威脅分析小組 (Threat Analysis Group, TAG) 透露,有黑客正利用 macOS 中以前未公開的漏洞或零日漏洞,來監視針對香港網站瀏覽者,並捕捉用戶的按鍵和屏幕截圖等動作。Google 未透露攻擊所針對的網站,但指出當中包括香港媒體機構和民主派的勞工和政治團體。 大約在 Google TAG 研究人員發現該漏洞被利用一個月後,Apple 在 9 月的 macOS Catalina 更新並修補了這個漏洞,編號為…

    IoT(物聯網)的應用愈來愈廣泛,但對於 IoT 設備的安全保護卻成疑。五分之四的物聯網設備供應商未有公開其產品安全漏洞的相關資料,意味著用戶處於私隱洩露危機及網絡攻擊的危機當中。 物聯網安全基金會 (IoTSF) 作為鼓勵保護 IoT 安全的科技業界組織,早前分析了數百間常用的物聯網產品製造商,發現只有五分之一在公共渠道上曾公布產品安全漏洞,以便修復。儘管包括英國、美國、新加坡、印度、澳大利亞以及歐盟,都曾強調 IoT 設備網絡安全的重要性以及能夠披露漏洞的能力。但以這種形式公布安全漏洞的供應商只有 21%,自去年起略有上升。 報告指出,漏洞披露政策的有缺失的原因可能是由於「非傳統 IT 企業」首次進入 IoT 市場,例如時尚供應商推出連線產品或廚房電器製造商為其產品添加智能功能。有些 IoT 設備製造商首次面對須考慮將網絡安全功能納入產品內,因為漏洞不僅可以進入設備,而且沒有固定的報告漏洞的途徑。 儘管如此,該報告指出「自 2017…

    假扮網絡公司或政府機構公共 Wi-Fi 熱點 SSID 名稱、等待受害者自動連線的詐騙手法,大家應該都聽唔少,而部分 Wi-Fi 產品供應商如 Apple、Google、Microsoft 都有對應方法,阻止裝置連接虛假 SSID。不過,新的 SSID Stripping 攻擊就利用裝置先睇到的隱形文字,成功繞過攔截機制,聽落都幾匪夷所思。 專門提供無線網絡安全服務供應商 Aireye,早前在以色列科技學院研究員協助下,發現 Windows、macOS、Ubuntu、Android、iOS 等作業系統的電子設備,都有可能受到 SSID Stripping 攻擊。SSID…

    WhatsApp 上周宣布,將在今年稍後為用戶提供點對點加密備份,用戶將可選擇使用加密密鑰作為儲存備份的方式。WhatsApp 將提供隨機創建的 64 位數的密鑰,用戶可自行保留這個密鑰作記錄。做法類似於 Signal 處理備份的方式,只需重新輸入密鑰就能恢復備份。 另一種儲存備份的方法是將隨機密鑰儲存在 WhatsApp 的基建內,即是被稱為以硬件為本的安全模塊 (Hardware Security Module-based, HSM) 的備份密鑰庫,用戶可用自行創建的密碼,存取在內的備份。 WhatsApp 在白皮書上列明,WhatsApp、用戶流動裝置連結的雲端服務,或者任何第三方都不知道密碼。密鑰存儲在 HSM 備份密鑰庫中,以便用戶裝置丟失或被盜時,都能恢復密鑰。另外,HSM 備份密鑰庫具備強制執行的密碼驗證,如果猜測密碼至一定次數次失敗後,該密鑰將會永久無法存取內容,WhatsApp…

    Microsoft 即將為 Office 365 用家提供進階電郵防護服務,用家可以預覽被隔離電郵的內容,系統會抽走一切有可疑的圖像、檔案及追蹤 pixel,確保用家不會因為打開電郵而中招,而發信者亦無法通過 pixel 得知電郵有否被打開,保障用家的私隱。 多項研究發現,9 成以上網絡入侵事故由釣魚電郵發起,因此攔截可疑電郵便非常重要。不過,由於攔截準確度並非百分百準確,加上企業員工因工作需要 (如人事部收到求職信),即使電郵有可疑被隔離,亦必須要打開閱讀,所以在安全上仍然存在漏洞。Microsoft 即將於 Microsoft Defender for Office 365 新增的預覽隔離電郵新服務,便可有助企業版用家解決以上難題。 預覽電郵的運作原理非常簡單,如果用家想打開被隔離的電郵,Office 365…