如果你係 Toyota Auris、Camry、Corolla、Hi-ace、Hilux、Land Cruiser、Yaris 嘅車主，又或係 Hyundai IX20 、I40，Kia Rio、Soul、Optima等型號嘅車主，咁就唔好彩喇，你架車嘅原廠防盜有漏洞，隨時有可能俾人偷走部車，快啲買返個軚鎖啦！ 之前我哋都報導過採用 Keyless Go 汽車系統嘅弱點，就係罪犯可以透過放大車匙嘅訊號，甚至以接力形式拉長訊號傳送距離，令佢哋唔需要偷或複製車匙，就可以遙距解鎖車門及偷車。咁係咪傳統電子式車匙就穩陣啲呢？最近比利時及英國嘅研究員就發現，Toyota、Hyundai、Kia 旗下部分車款，原來可以好容易俾罪犯破解電子式車匙內嘅解鎖碼，解除車身防盜系統運作。受影響嘅車款有好多，可以參考下面嘅附表。 呢一批車原來都有一個共通點，就係防盜系統採用咗 Texas Instruments 嘅加密系統 DST80。不過，又唔好以為係呢套系統有漏洞喎，只不過係上述三間車廠喺應用呢套系統嘅設定上各自存在漏洞。Toyota 喺產生密鑰時，係基於電子式車匙嘅…

用得 VPN，除咗用嚟翻牆，或使用一啲有地區限制嘅服務外，唔少用家仲會用嚟隱藏自己嘅網上行蹤。不過，如果只係安裝免費應用程式，咁個人私隱其實都未必有保障喎！好似分別喺 iOS app store 及 Google Play Store 都有提供免費 VPN 俾人用嘅 Sensor Tower，就俾傳媒踢爆暗中採集旗下 VPN 及 ad-blocking 應用程式用家嘅數據，受影響用家多達 3500 萬！…

隨著 5G 及 Wi-Fi 6 新一代流動通訊及無線網絡制式上馬，突破了從前的傳輸速度及頻寬的限制；更被視為推動第四代工業革命開展的核心一環，有利於物聯網（Internet of Things, IoT）技術應用及發展，使利益隨時獲利倍翻。現時對IoT裝置缺乏統一的規格及監管，部分生產商為了搶銷量降成本，退而求其次地犧牲網絡安全性，卻令 IoT裝置安全漏洞百出。企業要借助IoT拓展業務就不能過於大意，否則便有如大開中門，「邀請」黑客隨意出入。 物聯網普及 提升自動化及數據分析 IoT的應用層面非常廣泛，例如網絡監控鏡頭、溫度及濕度感應器、防漏水感應器、智能門鎖、電力監測系統、智能燈光系統等，最大優點是可讓作業自動化完成，減少人力成本。此外，IoT 應用亦逐漸與傳統的 IT 系統結合，包括操作型科技系統 (Operation Technology, OT）、工業控制系統（Industrial Control…

加密貨幣（Cryptocurrency）採用區塊鏈（Blockchain）技術，分散式帳本大大提升造假帳嘅難度，安全程度甚至被譽為牢不可破。不過，其中一隻加密貨幣 bitcoin gold（BTG） 最近又被黑客成功造假數，呃咗約 7.2萬美元，仲要係兩年內再度出事，乜嘢叫做不可竄改？Are they a joke to you？ 除咗 BTG，其實已有唔少加密貨幣出過事，好似 Verge、Monacoin、Ethereum Classic 等等。又話區塊鏈技術不可竄改，咁到底發生乜嘢事？原來要篡改加密貨幣並唔係完全無可能，只要黑客控制到呢隻加密貨幣喺整個網絡上嘅51%運算能力（Hash rate,哈希率），就可以將新挖出嘅貨幣隱藏唔廣播，然後迅速將貨幣喺市場上出售及提取資金，跟住先將挖出嘅貨幣廣播等其他節點驗證，咁黑客就可以成功擁有呢個貨幣之餘，之前嘅交易亦會被視為無效但錢已攞，達成Double Spending雙重支出攻擊。由於黑客要攞到 51% 嘅演算能力去控制「賽果」，所以除咗叫做 51%攻擊，亦可以叫做多數派攻擊（majority…

新型冠狀病毒疫情擴散全球，除咗南韓、意大利、伊朗、日本告急，美國亦有急升跡象。唔少外國企業都好似香港一樣，開始允許員工在家工作。為咗幫企業度過難關，各大IT公司都將原本收費嘅協作應用服務，免費開放使用。無論係企業工作，抑或學校教師用嚟遙距授課都啱用。 Microsoft Teams 本身已經有收費版同免費版，當中嘅功能當然有好大分別。不過，而家微軟就開放咗部分收費功能，例如規劃排程、管理工作等等，為期六個月，至於錄影或錄音功能都仲係要俾錢至用得。另外，電話會議排程功能亦會喺3月10日開放免費使用。 網址：https://bit.ly/2VMUTb8 Google Hangouts Meet Google就選擇開放Hangouts Meet嘅視像會議功能，只要係 G Suite、G Suite for Education用戶，就可以喺7月1日前免費使用。免費功能包括支援最多250人大型視像會議、支援10萬觀眾串流直播，以及可以將會議內容儲存去 Google Drive。 網址：https://bit.ly/3cxfENN Cisco Webex…

新型冠狀病毒疫情嚴重，加上病徵又唔明顯，唔做過病毒測試，都好難話自己無中招。企業嘅電郵系統亦一樣，雖然每日都攔截到好多有問題嘅郵件，但實際上有無走漏？收得最多嘅惡意電郵係邊類型？有邊個員工嘅中招風險最大？電郵設定有無漏洞？真係唔驗過都唔知對病毒嘅反應係陰性定陽性。 雲端安全解決方案供應商 Barracuda，現時正為企業免費提供電郵威脅檢測服務，只要經 Barracuda Email Threat Scanner 一掃，各種病徵速速現形。簡單嚟講，會分幾方面俾企業客戶了解問題嚴重性。 1.電郵逐個捉：準確揪出有問題電郵，詳細分析發信人嘅地址到底係真定假，又或有無偽裝企業員工。同時間亦會指出電郵內有風險嘅地方，例如附有惡意連結、不尋常嘅後續要求，令IT管理者全面掌握各員工嘅風險所在。 掃描完畢，就會自動揪出郵箱內有可疑的郵件及提供分析。 2.域名風險：企業採用嘅電子郵箱設定有無漏洞？是否存在被冒認或其他風險？系統掃完電郵信箱後，就會搵出問題所在，同時提供修補建議。 如發現Domain有問題，系統會提供修改建議。 3.高風險員工：掃完企業整個電郵信箱，系統就會根據各項要素，例如職位、接收有問題郵件次數、有無被冒認等，分析出邊個員工面臨最大危機，IT管理者就可以根據風險評級，優先處理呢啲有問題嘅帳戶，減低受攻擊嘅風險。 哪個員工的電郵帳戶已被入侵，或接收到最多電郵攻擊，一望即知，IT管理者便可優先處理問題。 免費檢測服務名額有限，先到先得，請即登記使用。 登記：https://bit.ly/2R0EwEP

唔少人去餐廳或 cafe 嗰陣，都習慣將手機放喺枱面，方便隨時檢查下有無短訊或接聽來電。而為咗私隱問題，通常都會將屏幕朝下，咁就唔怕其他人（特別係另一半）睇到自己同邊個傳緊短訊，甚至係訊息內容啦！不過，有網絡安全專家指出如果手機啟動咗語音助手功能，放喺枱面呢個行為已足夠俾有心人奪取你部手機嘅控制權，暗中讀取你嘅私隱，最驚係可以用你部電話打俾其他人傾偈，而你係完全唔會發現㗎！ 發現呢個漏洞嘅研究員，係來自華盛頓大學電腦科學及工程嘅 Ning Zhang，佢稱為 Surfing Attack 所利用嘅方法，其實只係人耳聽唔到，但手機收音咪就接收到嘅高頻音效，於是就可以暗中向手機嘅語音助手發出指令，例如讀取剛收到內有雙重因素認證（2FA）碼嘅訊息、甚至係用你部手機打電話同人傾偈添。研究員試用過市面上 17 部智能電話，包括 iOS 陣營嘅 iPhone，以及 Android 陣營嘅 Samsung Galaxy 等等，佢話只要將手機放喺枱面，無論將枱用金屬、玻璃、木作為材料，甚至喺 30呎外，都一樣可以通過枱作為媒介，將高頻音效傳送過去，而且正面或反面咁擺，都完全無問題，不過屏幕朝下就更難察覺手機運作緊咁解。…

Google 嘅 Android 智能手機應用軟件商店 Play Store， 一直俾人垢病把關不力，成日有內藏惡意軟件嘅 app 上架。當中原因，係 Android app 嘅取用權限政策過於寬鬆，開發者可以較容易攞到一啲同自己隻 app 功能無關嘅手機功能權限，例如影相 app 會問用家拎埋聯絡人使用權限等等，其實可能未必同隻 app 本身嘅功能有關係，但 Google 方面又會批准上架喎，首先咁做已可以增加到開發者竊取私隱嘅風險，另一方面，如果搞唔清楚攞到呢啲權限原來會出現系統漏洞，同樣會造成私隱危機，好似上年網絡安全研究團隊…

Emotet 嘅大名，好多 IT 行家都會聽過，呢隻近年非常活躍嘅木馬程式主要係透過電郵附件散播，而近排日本方面就發現，黑客利用各種武漢肺炎資訊作為電郵主題，吸引網民打開電郵附件，借用恐慌提升成功率。事實上，Emotet 喺度不停進化，除咗會利用被感染電郵發送更多惡意電郵，更有可能進一步下載及安裝其他惡意程式，例如專偷登入帳戶認證嘅 Trickbot 木馬病毒，又或勒索軟件 Ryuk。早前香港電腦保安事故協調中心（HKCERT）亦發現本地嘅 Emotet-Trickbot-Ryuk 三重組合攻擊有上升趨勢，所以攔截 Emotet 嘅重要性真係愈嚟愈高！ 事實上，如果電腦中咗 Emotet 係有迹可尋嘅，因為當佢安裝喺電腦後，Windows 嘅 LocalAppData 內就會出現一個半隨機嘅資料夾，而呢個資料夾嘅名會由兩組已被確認嘅字合併而成。不過，合併嘅字有成幾十個，要檢查都唔係咁容易。 日本電腦保安事故協調中心（JPCERT）剛啱就推出咗 EmoCheck…

【企業疫境自救】Home Office無有怕 VPN即時加密全面封關 武漢疫情嚴峻，有企業決定讓員工Home Office工作，減少感染病毒風險，亦有員工被迫滯留其他地方無法返港。不過，欠缺防護裝備，遙距工作除咗增加洩密風險，亦令黑客有機可乘，順勢入侵公司網絡！最有效防禦方法，企業可即時採用虛擬私人網絡（VPN）服務，全面加密員工與伺服器之間傳輸嘅數據，同時防止黑客追蹤員工嘅流動設備，發動其他攻擊。SonicWall嘅Secure Mobile Access（SMA）方案就包含應用層SSL VPN服務，支援多種作業系統，毋須於員工嘅流動設備上作任何維護，只須通過瀏覽器，即可隨時隨地進入公司內部網絡或雲端儲存工作，同時做到中央監控、身份驗證及精密嘅存取權限管理。未來14日係抗疫關鍵期，但網絡安全就一刻都唔遲得，即刻聯絡 SonicWall，一日即可打開企業安全防護罩！ 請即聯絡SonicWall香港唯一分銷商：Data World Computer & Communication Ltd.Enquiry: +852 2565 8733查詢：https://bit.ly/385v4pV ============================立即讚好 wepro180睿報，並設定為「搶先看」唔想錯過熱門網絡保安消息，請即訂閱…