利用 SMS Swapping 漏洞嚟搶奪帳戶持有權嘅個案，相信發生得非常頻密，只不過今次發生喺 Twitter CEO 身上，仲令到呢個社交平台要暫停 SMS 出 tweet 功能，先至咁受關注咋。 事實上，SMS Swapping 攻擊並唔繁雜，黑客只要透過唔同方法，例如偷走/冒領目標人物嘅 SIM 卡，又或攔截目標人物嘅 SMS 短訊，就有可能搶奪對方嘅登入帳戶。因為唔少公司都會用 SMS 作為申請重設密嗎嘅發送渠道，所以如果掌握到目標人物用嚟登入帳戶嘅名稱，而又做到…

今時今日，私隱比一切都重要，Mozilla 亦深明用戶訴求，最新推出嘅 Firefox 69 就堅實地預設增強追蹤保護及Flash攔截功能，堪稱地上最強保護！ 越來越多用戶抗拒被網站追蹤，因為冇人知道自己嘅資料會點樣被利用。因此，Mozilla宣布，從 Firefox 69 開始，所有新版會將「增強追蹤保護」（Enhanced Tracking Protection，ETP）功能預設為標準配置，並會根據列表阻擋第三方嘅Cookie。 Mozilla 透露，自今年 6 月推出以來，現時已有超過 20% 用戶啟動咗「增強追蹤保護」功能以保障私隱，而 Firefox 69 將之設為標準配置之後，就期望推展到 100% 用戶受保護。當「增強追蹤保護」功能啟動時，用戶嘅瀏覽器中 URL 地址欄上將會有一個小盾牌 icon，而用戶可以擊點小盾牌以理解更多細節。 此外，Firefox 69 將會預設攔截挖礦程式（Cryptominer），雖然 CoinHive 已經壽終正寢，不過仍有為數少嘅挖礦程式依然活躍，攔截挖礦程式絕對係網民嘅福音，以後就唔怕部腦俾黑客利用，無啦啦被賣豬仔去挖礦。 Firefox 69 另一個非常重要新功能，就係強化阻擋自動播放影片嘅功能，以往可以阻擋有聲影片自動播放，依家就增加咗阻擋所有自動開始播放影片嘅選項。用戶可於 Firefox 設定中，Privacy & Security 一欄之下，Autoplay 選項之中啟動。 此外，Adobe Flash 一直備受黑客青睞，而 Firefox 針對 Flash 擴充套件的處理，就乾脆預設關閉 Flash，如用戶於網頁開啟 Flash，Firefox 就會衝出來攞你批准，藉著棄用 Adobe Flash Player，Firefox 以後亦毋須於 64 bit 嘅 OS 辨識 32bit 版本瀏覽器，變相減少用戶嘅活動痕跡，提升更高隱私安全。 另外，Firefox…

講咗咁耐個人私隱有幾咁重要，特別係涉及生物特徵嘅資料千祈唔好咁易交出嚟，但原來真係唔會令大家驚㗎！玩 key 樣 app 玩到要准許對方點用你上載嘅自拍相都得？Sorry 真係無可能囉！ 好多人都鍾意玩美圖、改圖 app，淨係睇下之前社交平台成日俾啲交換人樣、男變女女變男、變老變後生嘅相洗版，就知大家有幾熱衷變臉。最近有一款 key 樣 app 就係內地嘅 App Store 爆紅，呢款叫做 ZAO 嘅 app，好玩之處係只要影一張自拍相，佢就可以將你個樣 key 入一啲電影或電視嘅角色上，例如《權力遊戲》、《鐵達尼》等，而且根據…

當網絡安全公司 Check Point 今年三月舉報呢幾間公司嘅手機有漏洞，有兩間好快就推出修補檔，而華為就「計劃」喺下一代手機再修補，Sony 仲勁，直頭回應話已跟足指引毋須改善添，大家買手機識揀啦！ SMS訊息設定手機傳輸 今次 Check Point 安全專家發現嘅漏洞到底係乜嘢嚟？原來係同 OMA CP 訊息有關。OMA CP 即係 Open Mobile Alliance Client Provisioning，係一種俾網絡供應商推送通訊設定嘅單向訊息，等手機可以用嚟發送圖片、電子郵件或傳輸數據，所以每次用新手機接駁網絡供應商，又或有新嘅網絡設定，網絡供應商都有需要發出呢種訊息，一旦黑客可以假扮供應商發出訊息，用家又同意安裝，黑客就可以通過改動手機嘅傳輸設定，將用家嘅電訊、網絡連接引導去惡意伺服器。…

講咗咁耐個人私隱有幾咁重要，特別係涉及生物特徵嘅資料千祈唔好咁易交出嚟，但原來真係唔會令大家驚㗎！玩 key 樣 app 玩到要准許對方點用你上載嘅自拍相都得？Sorry 真係無可能囉！ 好多人都鍾意玩美圖、改圖 app，淨係睇下之前社交平台成日俾啲交換人樣、男變女女變男、變老變後生嘅相洗版，就知大家有幾熱衷變臉。最近有一款 key 樣 app 就係內地嘅 App Store 爆紅，呢款叫做 ZAO 嘅 app，好玩之處係只要影一張自拍相，佢就可以將你個樣 key 入一啲電影或電視嘅角色上，例如《權力遊戲》、《鐵達尼》等，而且根據…

研究員剛於 DEF Con 發表報告，指出大量 4G 路由器存在漏洞，黑客可輕鬆遠程突破。其實 5G 都嚟緊，做乜仲集中火力去調查 4G 路由器呢？原因好簡單，研究員話根據過往經驗，好多製造商喺開發新產品時，核心程式碼其實都會同舊產品差唔多，所以如果唔正視問題，呢啲漏洞將會喺 5G 產品上繼續出現，所以唔好以為產品過時就唔使理。 Pen Test Partners 於 DEF Con 發表報告中，指出唔少知名牌子嘅路由器均存有多重漏洞，包括命令注入及遠程代碼執行漏洞，黑客只須編寫含惡意代碼嘅網站，之後就可以靜候有漏洞嘅路由器登入中招。研究員更指出，部分漏洞更容許黑客盜取登入密碼及其他資料，之後就可以盡情截取數據或將連接路由器嘅用戶導向其他虛假網站，非常大鑊。Pen Test…

Robotic Process Automation（RPA）將會係大勢所趨，坊間好多文章嘗試以學術性手法去探討，但唔係人人都睇得明，或者未想像到 RPA 點落地。今日用個 layman 小小嘅方式解釋一下，希望大家了解流程機械人係幾咁重要，可以慳到幾多時間同減少幾多失誤。 今日講嘅 RPA ，唔好覺得佢係 Buzzword 或 Rocket Science，其實佢無機械臂，亦只係一個存在於 desktop 入面嘅 UI (User Interface)，主要係處理 UI…

單係電話騙案已經好難防備，如果再加埋人工智能嚟扮聲扮口音，中招風險肯肯定大增。以為好難攞到你把聲？少年，你太年輕了。 而家最多人討論嘅欺詐科技，一定係 Deepfake 技術，透過 AI 模擬技術，就可以令浸浸、朱克伯格等名人，喺影片中講出你想佢講嘅說話，要製造災難性假新聞真係一啲都唔難，跟車太貼嘅個案亦只會愈嚟愈多。不過，現階段模擬像真度都仲有啲瑕疵，小心留意絕對可以發現唔自然嘅地方。 語音分析提升像真度 如果唔睇畫面，淨係聽聲又如何？相信會仲多人中招。好似今年三月英國一間能源公司嘅 CEO，就因為收到德國母公司上司一通電話，就將 200 萬港幣轉咗去匈牙利供應商嘅戶口。呢個 CEO 事後話騙徒唔單只把聲同佢上司一模一樣，而且仲連語氣、口音都無分別，所以就咁上當，如果唔係對方幾分鐘內又再要求過數令佢起疑，隨時會二次中招添。 欺詐案調查專家 Rudiger Kirsch 喺收到承保嘅保險公司委托，經調查後發現今次唔單只係一般電話騙案，仲係加入咗人工智能元素。由於保險公司從未處理過同 AI 有關嘅個案，所以先搵佢幫手。佢話自己都測試過一啲黑客用嚟模擬語音嘅軟件，像真度極高，而且唔難買到，所以預期呢類騙案會大幅增加。 其實上年網絡安全公司…

為咗保障電郵、社交平台帳戶嘅安全，唔俾黑客搶奪，好多人都識得選用雙重因素認證（two factor authentication, 2FA），即係除咗輸入密碼外，再用另一種方法例如 SMS 收一次性驗證碼嚟確認。不過，由於黑客可以通過 SIM-swapping 技術嚟攔截 SMS 確認碼，唔算得上安全，所以自從 Google 今年將 Android 電話變成其中一種確認金鑰，都有唔少人轉用，亦有人會買一個 USB 或藍牙硬件金鑰返嚟，登入帳戶時一定要用佢嚟做確認。 雙重驗證得個樣 雖然好多帳戶已支援呢種登入方法，亦會主動鼓勵用家進行設定，不過，有呢項設定原來唔代表一定支援，好似 twitter 就係其中一個例子喇。…

Google Project Zero 近排喺 Apple iOS 推出版本更新後，多次公佈由佢哋舉報嘅漏洞，而且有 14 個之多，當中更有兩個嚴重漏洞存在超過兩年，iOS 裝備用家只要睇過某啲網站就中招，可以睇埋 WhatsApp、Telegram 等用 end to end Encryption 技術加密嘅訊息。如果有裝置仲行緊 12.1.4 版本或以下，就要快啲更新喇。 Project…