Apple 嘅 iPhone 11 系列將於下星期五推出，伴隨住新機出爐，作業系統亦會升上 iOS 13。不過，早前 Apple 放出供測試嘅 iOS 13 GM（Golden Master） 版最然係最接近完成嘅版本，但就俾網絡安全研究員 Jose Rodriguez 篤爆 Apple 仲未修補到之前佢舉報嘅漏洞，可以喺唔使機主解鎖嘅情況下，讀取機主嘅聯絡人資料。 Rodriguez…

唔好講咁多，即刻掹咗張 SIM 卡出嚟先，因為最新發現嘅呢個漏洞，正影響緊全球 10 億以上流動網絡用家，黑客只要發出一個含有惡意代碼嘅 SMS，就可以發動 SIMjacker 攻擊，喺你部裝置上面執行惡意程式，暗中控制你部裝置，包括打電話、發送假訊息、報告位置、傳輸數據、停用 SIM 卡，甚至執行其他惡意指令。由於漏洞存在喺 SIM 卡上，所以無論你用邊款手機，以及各種可以插 SIM 卡上網嘅裝置，例如平板電腦、IoT 裝置，統統走唔甩，而且暫時係完全無修補方案，你話除咗掹 SIM 卡靠 Wi-Fi 上網之外，仲可以點做呢？ 呢個核彈級…

除咗 Wi-Fi，我諗日常用得最多嘅無線科技，一定係藍牙！揸車嘅一日到黑都用藍牙免提唔在話下，就算好似我呢啲無車一族，都好鍾意用支藍牙遙控自拍棍影下相，或者駁部手機去藍牙喇叭聽下歌，但係藍牙有樣好衰嘅嘢，就係每次配對都好鬼蹝時間，所以一旦配對好，大部分人都會keep住由佢繼續用，咁就好易出事！ 點解咁講？你睇下近期嘅新聞就知原因，首先係上個月喺拉斯維加斯舉行嘅黑客大會 DEF CON，就有參加會議嘅黑客示範點樣可以入侵唔同款式嘅藍牙喇叭，然後遙控佢播放高頻音效，邊個唔好彩身處喇叭附近就有機會聽覺受損，所以大會俾所有與會人士嘅建議只得一個：熄咗藍牙佢！ 另一單就再嚴重啲，有研究員發現藍牙原來存有漏洞，傳送嘅數據可以俾黑客截取同埋改動藍牙傳送緊嘅內容，即使係一啲早已成功配對嘅產品，都可以喺配對後入侵，都係嗰句，你唯一可以做嘅，就係熄咗藍牙佢！ 夠驚嚇未？未算！幾星期前，有研究員示範點樣利用 Bluetooth Low Energy 嘅運作方式，透過 AirDrop 拎到你個電話號碼；另外《紐約時報》亦揭發好多店舖裝咗藍牙接收器，只要你部手機開著藍牙，喺顧客唔知嘅情況下追蹤佢哋嘅行蹤，仲將呢啲數據賣俾廣告商……林林總總多不勝數，如果你唔想成為以上事件嘅受害者，都係一句，熄咗藍牙就最穩陣啦！ 資料來源：https://bit.ly/2HfZQkI

大部分人用社交網站，都係不停 post 相 post 片，你睇 Apple iPhone 11 系列嘅賣點集中晒喺影相功能上面，就知影相同分享相、片係幾咁重要。而作為社交平台龍頭大佬嘅 Facebook，每日用戶上傳嘅相閒閒地都超過一億，但原來早前喺 Facebook 自家開發嘅 HHVM（HipHop Virtual Machine）開源虛擬機器上，就存在住兩個上傳相片嘅漏洞，黑客可以透過上傳一張帶有惡意內容嘅 JPEG 相，令系統出現記憶區溢位（memory overflow），從而達成越位讀取記憶區數據，又或發生阻斷服務情況。 Facebook 自家開發嘅…

單係電話騙案已經好難防備，如果再加埋人工智能嚟扮聲扮口音，中招風險肯肯定大增。以為好難攞到你把聲？少年，你太年輕了。 而家最多人討論嘅欺詐科技，一定係 Deepfake 技術，透過 AI 模擬技術，就可以令浸浸、朱克伯格等名人，喺影片中講出你想佢講嘅說話，要製造災難性假新聞真係一啲都唔難，跟車太貼嘅個案亦只會愈嚟愈多。不過，現階段模擬像真度都仲有啲瑕疵，小心留意絕對可以發現唔自然嘅地方。 語音分析提升像真度 如果唔睇畫面，淨係聽聲又如何？相信會仲多人中招。好似今年三月英國一間能源公司嘅 CEO，就因為收到德國母公司上司一通電話，就將 200 萬港幣轉咗去匈牙利供應商嘅戶口。呢個 CEO 事後話騙徒唔單只把聲同佢上司一模一樣，而且仲連語氣、口音都無分別，所以就咁上當，如果唔係對方幾分鐘內又再要求過數令佢起疑，隨時會二次中招添。 欺詐案調查專家 Rudiger Kirsch 喺收到承保嘅保險公司委托，經調查後發現今次唔單只係一般電話騙案，仲係加入咗人工智能元素。由於保險公司從未處理過同 AI 有關嘅個案，所以先搵佢幫手。佢話自己都測試過一啲黑客用嚟模擬語音嘅軟件，像真度極高，而且唔難買到，所以預期呢類騙案會大幅增加。 其實上年網絡安全公司…

大量網絡安全統計數字顯示，醫療機構已成為黑客其中一個至愛目標，除咗因為佢哋保存咗好多病人資料，亦因為醫療機構有大量聯網器材，喺設計時根本無乜點諗過會被黑客攻擊，所以有唔少漏洞可以被利用。 而最新一份由網絡安全公司 FireEye 發表嘅調查報告，就指出由上年十月初至今年三月尾，喺地下討論區內刊登咗大量出售病人私隱嘅廣告，呢啲病歷紀錄主要來自美國、英國、加拿大、澳洲同印度，當中更包含病人嘅電郵地址、駕照、醫療保險資料等等，而最平一宗交易涉及約 20 萬病人資料，價錢只由千六蚊港幣起。考慮到黑客可以攞住呢啲資料，之後用嚟向病人發動社交工程、釣魚攻擊，甚至進行勒索嘅話，呢筆費用絕對係價廉物美。記憶猶新，上年新加坡醫療機構 SingHealth 被黑客盜取嘅 150 萬個病歷中，更包括總理李顯龍，當然如果有呢啲名人資料，價錢就唔會咁平啦。 主動調查黑客攻擊目標 除咗售賣病人私隱外，亦有黑客賣埋醫療機構嘅登入資料，等買家可以自由出入醫療網絡、喺系統植入木馬，甚至橫向發展，感染其他醫療機構嘅系統。而根據 FireEye 嘅報告，嚟自中國嘅 APT 黑客團體，對醫療機構最有興趣嘅係同癌症研究相關嘅研究報告。FireEye 專家話喺今年四月初，多個中國黑客團體嘗試向美國一間醫療中心發動攻擊，偷偷潛入系統去挖掘癌症醫療報告。FireEye 專家指出佢哋喺隔離系統內放置嘅各類誘餌文件中，全部黑客團體都嘗試盜取一份癌症會議文件，專家解釋話相信係中國醫療企業想了解美國治癌嘅最新發展，希望可以搶先喺市場上推出新藥物。 喺報告嘅最後，專家指出醫療體系絕對有必要建立更強及統一嘅網絡安全標準，因為隨著而家愈嚟愈多醫療器材具備上網功能，黑客可以隨意修改一啲醫療設備嘅參數，令病人服用過量或不足的藥物，致病人於死地；亦可以偽造各類檢查報告嘅結果，例如電腦掃描、磁力共振、血液化驗等等，同樣可以令有病變無病，無病變有病添！ 資料來源：https://bit.ly/2L6oG7y

數碼轉型的好處，相信毋須特別多提；不過隨著愈來愈多企業將重要工作或數據轉移雲端，網絡安全的問題亦陸續浮面，例如難以把握的多雲(Multi-Cloud)架構、複雜的存取權限管理，特別是「影子 IT」」（Shadow IT）應用失控，每走一步似乎都可以引發難以預計的洩密風險。既要繼續移雲，但對網絡安全又有大量疑雲，應該如何自處？ 發展過快 監管困難 先來看看現時企業管理者面對的難題，愈趨複雜的多雲架構及存取權限問題都較易理解，但到底「影子IT」應用又是什麼一回事？它其實代表未經企業 IT 部門允許的應用軟件。根據最新發表的一份網絡安全調查顯示，企業管理者認為員工使用的雲端應用軟件數量為 452 種，但實際上卻是 1807 種，足足接近 4 倍之多，完全低估了實際使用情況，這些影子 IT 應用既然未被允許使用，企業 IT 部門所採購的網絡安全設備自然難以洞察及堵塞其漏洞，大大增加黑客潛入的門路。 除了雲端應用「失控」， BYOD（Bring…

裝得防毒軟件，梗係希望可以攔截病毒或去錯虛假網站，但如果佢會洩漏你嘅行蹤，你又會唔會用？ 網絡防毒軟件供應商 Kaspersky 嘅產品，最近就被發現原來有呢種「附加功能」，而且喺過去四年一直發生緊。網絡安全獨立調查員 Ronald Eikenberg 發現，Kaspersky 旗下嘅防毒軟件 Anti-Virus、Internet Security、Total Security、Free Anti-Virus 及 Small Office Security，喺用戶訪問每個網站時，都會遙距注入一個 JavaScript 檔案去目標網站，以確定呢個網站有無被 blacklist。呢一個名為 Kaspersky…

無論係企業抑或個人，喺轉售、棄置或因中毒而要重設電子產品嘅時候，都應該要注意小心處理入面儲存嘅資料。以為刪除晒入面嘅資料或回復原廠設定就得？等英國國家網絡安全中心嘅專家話你知得唔得。 英國國家網絡安全中心（UK National Cyber Security Centre, NCSC）早前發佈咗一份關於 電子裝置還原原廠設定或重新配備嘅安全指引，指引內模擬咗四個唔同嘅場景，分別係：裝置受惡意軟件感染、設定新裝置、於組織內將裝置重新交由另一相同職級嘅人使用，及清洗裝置以作出售或於組織內將裝置重新交由較低權限的人使用。根據以上呢四個場景，NCSC 對 Android、iOS 作業系統嘅裝置都有唔同建議。 Android 裝置唔建議放售 首先係清洗病毒及內存資料方面，專家指一旦 Android 受惡意軟件感染，單係回復原廠設定或重裝系統並唔足夠，因為先進嘅惡意軟件可以繼續存在於系統內，同時間，做完以上動作都唔會清除到 SD 卡上嘅資料。如果裝置係牽涉到接觸高度機密資料，專家就建議中毒後要換過部新機，而且由於 Android 裝置係無認證方法可以完全清除所有資料，所以無論部機有無中過毒都好，只要入面嘅資料唔外洩得，都唔好拎去轉售，又或交俾組織內權限較低嘅人使用。…

Google Assistant、Amazon Alexa、蘋果 Siri 及微軟 Cortana 相繼被揭發將用戶對話語音檔交予第三方，作轉錄抄寫並進行分析。剛剛 Facebook 亦承認，將 Messenger 用戶嘅語音通話交出去轉錄抄寫，美國五大科技公司一個不漏，齊晒！唔想私隱外洩？都係快快刪除語音助理通話紀錄啦！ Amazon 及 Google 早於年初被揭發同類問題，其 Echo 及 Google Assistant 嘅用戶對話語音檔被送去分析，雖然所有錄音都係喺功能啟動後先被記錄，但其內容仍然非常私人，如包括醫療資訊、毒品交易乃至親密情節。由於私隱問題備受爭議，Google、Apple…