想開始試用智能家居，最方便嘅方法就係買個具備管家功能嘅智能喇叭，好似 Google Home、Amazon Alexa 呢兩個智能喇叭就非常多人買，當中又以 Google Home 較受歡迎，因為無論喺支援嘅品牌同埋語音操控表現上，都穩佔上風。不過，唔少用家都會擔心，呢啲喇叭會唔會偷偷錄低自己講嘅嘢再傳送出去？事關 Google 同 Amazon 都承認會收集語音嚟改善佢哋嘅助理功能，而事實上 Amazon 曾經喺 2017 年應阿肯色州警方及控辯雙方要求，交出一段兇殺案現場嘅錄音作為呈堂證供，所以話，用唔用真係好視乎大家覺得個人私隱有幾重要。 為咗證明呢啲智能喇叭真係存在安全漏洞，德國網絡安全研究實驗室 SRLabs 嘅白帽黑客，分別為 Google…

想偷取目標對象嘅資料，而又可以做到神不知鬼不覺，原來唔需要好高科技，只要喺對方嘅防火牆、路由器等硬件上加裝一粒晶片就做到。有專家示範只要喺網上買粒價值兩蚊美金嘅晶片，再偷偷地裝入硬件嘅底板上就得，提醒大家係無想像中咁難㗎！ 示範呢個技術嘅係 ICS 安全公司 FoxGuard 嘅專家 Monta Elkins，嚟緊佢將會喺月尾嘅安全大會 CS3sthlm 上詳細公佈佢嘅 PoC 內容。為咗俾大家知道佢嘅研究有料到，所以佢係提前公開部分內容。Elkins 首先喺一塊價值兩蚊美金嘅 Digispark Arduino 底板上搵咗粒 ATtiny85 晶片嚟修改程式，呢塊晶片只係得 5mm 大，睇相就明白喺底板上出現一塊咁細嘅晶片，唔單只好難發現，同時亦係好合理。…

科技愈發達，帶嚟嘅方便就愈多，好似以前揸車要周圍搵車匙先可以撻車，但自從有咗無車匙 Keyless Go 技術，只要車主袋住車匙喺身就得。不過，呢種無線識別嘅技術，亦令到受攻擊嘅層面加大，黑客利用意想唔到嘅方法，將車匙遙距拎到手，根據 The Association of British Insurers 發表嘅統計數字顯示，單係 2018 年經佢哋處理嘅失車數字就多達 56000 架，比起 2017 年上升咗 12%。雖然唔係全部都因為呢種技術而失車，但 ABI 都警告 Keyless…

做咗資安界咁多年，其中一個印象最深刻嘅場景，就係 2010 年嗰屆 Black Hat 網絡保安大會，研究員 Barnaby Jack 現場示範點樣快速入侵一部提款機，成功令佢嘔晒所有錢出嚟。當部機嘔緊錢，畫面仲要顯示「JACKPOT」老虎機中獎畫面，所以日後呢類型入侵都叫做「jackpotting」。 雖然嗰次示範已經為提款機嘅保安響起警號，但話晒都要有番咁上下技術先做到，加上又未有真實案例出現，所以開頭都唔係咁多人關心。事隔幾年就唔係咁講喇，2017 年德國就開始出事，當地部門發現由 2 月開始到 11 月，總共發生咗至少十單 jackpotting 事件，雖然唔係每單都成功偷到錢，但加加埋埋都令銀行唔見咗 140 萬歐元！ 你可能會諗，銀行網絡咁高保安，佢哋係點樣入侵到部提款機嘅呢？其實好簡單，入侵銀行網絡難度咁高，梗係唔係人人咁做，大部分黑客係直情撬開部提款機，將裝咗 jackpotting 程式嘅…

好多人都會用打機嚟減壓或 kill time，雖然只係娛樂嚟，但大家都唔好忽視佢嘅安全性。Cyware 網絡安全分析師就近發表一篇文章就指出，無論係玩家抑或遊戲開發商，都要改變一下大家嘅想法，否則好易造成個人私隱外洩，後果可以好嚴重咁話。 其實大家間唔中都會聽到玩家帳戶被搶嘅消息，除咗因為廠方管理玩家嘅私隱不善導致外洩，例如上個月手機遊戲開發商 Zynga就洩露咗兩億玩家帳戶資料，另外亦可能同玩家設定嘅密碼太過簡單有關。專家 Ryan Stewart 解釋，唔少玩家覺得打機只係娛樂，認為無乜特別風險，為咗快速登入帳戶，所以傾向選擇簡單嘅密碼組合，就算廠方提供雙重認證登入方法，都唔會特別選用。Ryan 亦指出加上大部分玩家都係青少年，佢哋亦唔認為個人私隱有幾重要，所以對守護帳戶疏於防範。 Ryan 話如提升打機嘅安全性，無論玩家或開發商都要有所提升。首先係玩家方面，其實資深玩家嘅帳戶係地下市場有市有價，而且有時帳戶入面仲會有玩家嘅信用卡資料，所以絕對會成為黑客攻擊嘅目標，所以玩家一定要設定複雜嘅密碼，同時唔好同其他帳戶共用密碼，絕對唔好貪方便直接用Facebook 或 Google 帳戶嚟登入，萬一私隱外洩就有可能令呢啲帳戶同時失守。如果打機嘅裝置有防毒軟件，玩家亦應該考慮安裝。 至於遊戲開發商方面，Ryan 話應該主動提醒玩家安全事項同提供實際做法俾玩家參考，自己亦要做好防禦工作，以免將玩家資料外洩。仲有一點較為特別，就係開發商應引入行為分析工具，當發現玩家嘅行為出現異常，例如短時間內登入位置過遠、登入時間大幅度改變，都有可能係帳戶被黑客攻擊嘅徵兆，咁就可以為玩家提供多一重保障。簡單哋講句，即係玩都要玩得專業啦。 資料來源：https://bit.ly/2OPkoF1

Samsung S10 嘅超聲波指紋鎖，推出以嚟真係問題多多，例如之前有黑客成功用 3D 打印嘅指紋嚟破解指紋鎖，又因為超聲波掃描技術要緊密接解手指嘅關係，唔可以用無法緊貼住屏幕嘅玻璃保護貼，令到用家無乜選擇。而最新發現，原來要解指紋鎖係唔使咁麻煩嘅，只係一個廉價矽膠保護套，就可以令指紋鎖無效化，如果唔見咗部手機而又有設定到電子付款，今次真係可以俾人盜用嚟購物！ 發現呢個大漏洞嘅人並唔係乜嘢安全專家，只係英國一個尋常女用家 Lisa。話說佢最近收到老公送嘅 Samsung S10 後，就諗住買個保護套嚟保護個曲芒。點知 Lisa用3蚊英磅買咗個矽膠保護套返嚟之後，就發現指紋鎖竟然廢咗武功，佢本身只係登記咗一隻指紋用嚟解鎖，但戴咗套後就變成十隻手指就開得到；唔單只咁，就連佢老公嘅指紋一樣得。由於 Lisa 嘅妹妹都係用 Samsung S10，經測試後發現個套一樣可以令指紋鎖無效化！相信事件嘅元兇就係個矽膠保護套喇。 Lisa 即刻打去 Samsung 客戶服務部舉報呢件事，不過 Samsung…

網絡安全好重視認證，不過，正如有安裝防毒軟件都唔係百分百安全，有認證其實都只係安全嘅第一步，因為黑客都識得以正常途徑攞認證，以 Apple Developer Certificate 為例，呢個就係黑客慣常使用嘅手段，用嚟瞞過 Mac OS 嘅 Gatekeeper、XProtect 防禦系統，等惡意軟件可以成功安裝。 最近上述嘅攻擊手段，又再次出現喺 Mac OS 之上。發現今次呢個 TARMAC 安全漏洞嘅係數碼媒體安全公司 Confiant，其實佢哋嘅專家早喺今年初，已發現 TARMAC 嘅前奏攻擊 Shlayer。當時專家指出 Shlayer…

根據全球市場調查公司 TrendForce 嘅報告顯示，HP 喺手提電腦市場上已經連續 13 季取得銷量冠軍，每季都賣出接近一千萬部 notebook，成績非常驕人。不過，當發現原來跟機預裝軟件竟然存在嚴重漏洞，就即係話愈多人中咗招，唔知會唔會影響下季銷量呢？ SafeBreach Labs 嘅安全專家 Peleg Hadar 發現，一款預裝喺 HP 電腦同手提電腦嘅軟件——HP Touchpoint Analytics，有漏洞可以俾黑客提升管理權限，進而下載惡意程式控制電腦系統。由於 HP Touchpoint Analytics…

睇開我哋嘅報導，應該知道而家喺盜用信用卡資料嚟講，邊個黑客集團最離譜。無錯，就係 Magecart 嘞。呢個慣犯好棘手，佢最叻就係喺網購網站加入一段好短嘅惡意程式碼，靜靜雞偷走用戶去網站買嘢時輸入嘅信用卡資料，英國航空、TicketMaster、Newegg、Forbes 等等好多大企業都中過佢哋招，有網絡專家調查後發現，Magecart 由2010年到而家，已經發展成超過十個小組，每個小組所採用嘅手法都唔一樣，而且愈後期出現嘅團隊，手法就愈複雜，增加偵查難度，真係搞到人人自危。 最近網絡安全專家 RiskIQ 又發表咗份報告，話 Magecart 攻陷嘅網站愈嚟愈多，而家已經超過 200 萬個網站中招，其中好多大企業都採用嘅網購平台 Magento 同埋 Opencart，更加係重災區。RiskIQ 專家話單係用 Magento 網購平台嘅已有 9,688 個網站存有…

做咗資安界咁耐，問親中小企老闆，普遍都仲係以為自己間公司咁細規模，啲黑客唔會有興趣，但係事實上好多調查及統計報告都話你知絕對係謬誤嚟，好似最新由 Verizon Data 公布嘅調查顯示，43% 嘅黑客攻撃係針對中小企，證明咗黑客搞唔搞你，並唔關公司大定細，而且調查仲話黑客就係睇準中小企疏於防範嘅心理，自然捨難取易。 好喇，中小企老闆呢個時候又會講，我哋真係中小企嚟㗎咋，邊似得大企業咁多資源，可以買咁多軟硬件同埋請人嚟對抗班黑客呢？咁又未必要咁大陣仗嘅，以最近 Barracuda 公布嘅 2019 資安調查報告為例，59% 有毒檔案嚟自文件檔，而中小企每日又要處理無數文件檔，好易中招，所以今次就教大家五招，有效防止喺收到文件時中毒。 有理冇理先解毒 好多公司以為裝咗防毒軟件，就乜都擋到，實情而家啲毒愈整愈複雜，甚至會因應被發現嘅病毒定義而不停變體，唔係咁易搵到佢哋出嚟。最佳方法係用 disarming malware 呢個方法，佢會當所有檔案都係毒，一收到任何檔案就會將佢解體，抽絲剝繭睇吓入面有冇唔屬於呢類型檔案嘅可疑物體，有就立即移走，而且確保移走咗都唔會影響文件原本結構，咁就令你永遠只收到乾淨嘅檔案啦！ 網絡電郵靠唔住 據統計，而家全球一日收成 2930 億封電郵，預計到…