PDF 係大家常用嘅文件檔，如果內容包含機密或敏感資訊，都會 set password 保護。但黑客而家有方法修改呢啲檔案，令到擁有解鎖密碼嘅人喺打開檔案嘅同時，傳送多一份解鎖內容俾黑客，做咗解鎖佬都唔知！ 用嚟加密 PDF 檔案嘅密碼演算法，本身其實好安全，不過喺整個 PDF 檔案嘅設計上就有破綻出現。一班歐洲網絡安全研究員，指出 PDF 檔案其中一個漏洞係檔案只會半加密，字串內容係受到保護，但檔案嘅結構就無加密可以讀取，所以黑客可以篡改結構內容，將惡意程式注入其中，當檔案被合法打開，就會暗中將內容傳送俾黑客；另一漏洞就係 CBC（Cipher Block Chaining）加密模式，由於本身缺乏一致性嘅驗證，令到黑客可以修改特定區塊內容而唔影響解鎖程序，於是黑客就可以加入惡意程式，暗中盜取檔案內容。兩個漏洞都可達到唔使知密碼，一樣睇到加密 PDF 嘅目的。 呢個被稱為 PDFex 嘅漏洞，經研究員測試後，發現喺…

日前，Google 呼籲所有 Windows、Mac 及 Linux 用戶立即更新 Google Chrome 至 77.0.3865.90 版本，以修補一個嚴重及 3 個高危威脅，涉及 use-after-free 使用已釋放記憶體漏沮，黑客可以遙距於目標系統執行任意程式碼及阻斷服務，受害用戶只須開啟或被引導至特定網頁，即可以觸發攻擊而毋須再有任何互動。 唔單只 Chrome 出事，擴充套件亦有問題。近日，網絡安全公司 Adguard 研究員發現兩款極之衰格嘅喬裝外掛，竟然冒充非常多人用嘅廣告封鎖套件…

大部分人用社交網站，都係不停 post 相 post 片，你睇 Apple iPhone 11 系列嘅賣點集中晒喺影相功能上面，就知影相同分享相、片係幾咁重要。而作為社交平台龍頭大佬嘅 Facebook，每日用戶上傳嘅相閒閒地都超過一億，但原來早前喺 Facebook 自家開發嘅 HHVM（HipHop Virtual Machine）開源虛擬機器上，就存在住兩個上傳相片嘅漏洞，黑客可以透過上傳一張帶有惡意內容嘅 JPEG 相，令系統出現記憶區溢位（memory overflow），從而達成越位讀取記憶區數據，又或發生阻斷服務情況。 Facebook 自家開發嘅…

驚住仔女、年長父母、寵物走失，所以買個 GPS 追蹤器俾佢哋，原意係好，但如果罪犯都睇到佢哋嘅位置，係咪仲唔安樂？ 網絡安全軟件公司 Avast 研究員 Martin Hron 發現，估計喺 Amazon 上發售、價錢介乎港幣 200 至 400 蚊嘅 GPS 追蹤器材當中，有大約 60 萬部存在安全漏洞，可以俾罪犯掌握佩戴者嘅即時位置、暗中啟動收音咪，甚至篡改衛星定位位置，令用家誤以為佩戴者喺「安全」地方活動。 Martin 特別指出一系列由 Shenzhen…

今時今日，私隱比一切都重要，Mozilla 亦深明用戶訴求，最新推出嘅 Firefox 69 就堅實地預設增強追蹤保護及Flash攔截功能，堪稱地上最強保護！ 越來越多用戶抗拒被網站追蹤，因為冇人知道自己嘅資料會點樣被利用。因此，Mozilla宣布，從 Firefox 69 開始，所有新版會將「增強追蹤保護」（Enhanced Tracking Protection，ETP）功能預設為標準配置，並會根據列表阻擋第三方嘅Cookie。 Mozilla 透露，自今年 6 月推出以來，現時已有超過 20% 用戶啟動咗「增強追蹤保護」功能以保障私隱，而 Firefox 69 將之設為標準配置之後，就期望推展到 100% 用戶受保護。當「增強追蹤保護」功能啟動時，用戶嘅瀏覽器中 URL 地址欄上將會有一個小盾牌 icon，而用戶可以擊點小盾牌以理解更多細節。 此外，Firefox 69 將會預設攔截挖礦程式（Cryptominer），雖然 CoinHive 已經壽終正寢，不過仍有為數少嘅挖礦程式依然活躍，攔截挖礦程式絕對係網民嘅福音，以後就唔怕部腦俾黑客利用，無啦啦被賣豬仔去挖礦。 Firefox 69 另一個非常重要新功能，就係強化阻擋自動播放影片嘅功能，以往可以阻擋有聲影片自動播放，依家就增加咗阻擋所有自動開始播放影片嘅選項。用戶可於 Firefox 設定中，Privacy & Security 一欄之下，Autoplay 選項之中啟動。 此外，Adobe Flash 一直備受黑客青睞，而 Firefox 針對 Flash 擴充套件的處理，就乾脆預設關閉 Flash，如用戶於網頁開啟 Flash，Firefox 就會衝出來攞你批准，藉著棄用 Adobe Flash Player，Firefox 以後亦毋須於 64 bit 嘅 OS 辨識 32bit 版本瀏覽器，變相減少用戶嘅活動痕跡，提升更高隱私安全。 另外，Firefox…

Google Assistant、Amazon Alexa、蘋果 Siri 及微軟 Cortana 相繼被揭發將用戶對話語音檔交予第三方，作轉錄抄寫並進行分析。剛剛 Facebook 亦承認，將 Messenger 用戶嘅語音通話交出去轉錄抄寫，美國五大科技公司一個不漏，齊晒！唔想私隱外洩？都係快快刪除語音助理通話紀錄啦！ Amazon 及 Google 早於年初被揭發同類問題，其 Echo 及 Google Assistant 嘅用戶對話語音檔被送去分析，雖然所有錄音都係喺功能啟動後先被記錄，但其內容仍然非常私人，如包括醫療資訊、毒品交易乃至親密情節。由於私隱問題備受爭議，Google、Apple…

漠視意見，只會帶來嚴重嘅後果。就好似宿命一樣，但凡有漏洞唔解決，就一定會俾黑客利用。Apple 都冇辦法擺脫呢個 Murphy’s Law，佢嘅 GateKeeper 漏洞冇解決，就出事喇…… 是咁的，今年初研究員 Filippo Cavallarin 發現 MacOS GateKeeper 存有漏洞，允許黑客繞過 Gatekeeper 安全機制，然後喺冇顯示冇通知嘅情況下執行惡意程式。最㷫嘅係，Filippo 通知咗 Apple 之後，Apple竟然漠視意見，一直唔修補呢個漏洞。Well，該研究員惟有將行動升級，喺上個月將呢個漏洞資料公開…… 呢個漏洞主要出自 Gatekeeper…

世界衞生組織上星期發出指引，警告一歲以下小朋友唔可以接觸電子屏幕產品，而 2 至 4 歲小朋友每日亦唔可以睇多過一個鐘，否則會對小朋友發展有影響。家長為咗更有效率控制小朋友玩電子產品嘅時間，喺電子產品安裝 家長控制 應用軟件（Parental Control app）係其中一個最簡單嘅方法。不過，最近就有俄羅斯網絡安全公司，入禀控告 Apple 違法將呢類軟件下架，以打擊對手及壟斷市場！ 打擊對手壟斷市場 近年唔少研究都指出小朋友用得太多電子產品，例如兩年前香港大學曾有一項調查研究，指出小朋友接觸過多手機、平板等電子屏幕類娛樂，會大大增加小朋友嘅情緒問題或過動症問題，風險較一般小朋友高 23.2%或 32%。會對腦部發展造成唔同程度嘅影響，不過，唔少家長為咗令小朋友乖乖哋食飯或為自己換取一刻嘅安寧，都會借助呢類電子奶咀去吸引小朋友嘅注意力，而為咗幫家長手控制小朋友用電子產品嘅時間，App Store 上就出現大量家長控制應用軟件，通過設定限制使用時間，減少家長同小朋友之間嘅拗數。不過，最近俄羅斯網絡安全公司 Kaspersky Lab 就喺入禀法院，以反壟斷條例指控…

成日話要提升網絡安全，一定要將電腦設備嘅硬件軟件韌體全部保持喺最新版本，先可以堵塞保安漏洞，同時亦要認定係由原廠方提供嘅先好安裝。不過，Kaspersky 透過佢哋最新嘅偵測供應鏈攻擊（Supply Chain Attack）技術，發現100萬部 ASUS 電腦 就係因為咁而中招，俾黑客喺電腦上安裝咗木馬程式。 偷換 ASUS 自動更新檔 今次嘅保安事故係由網絡安全公司 Kaspersky 發現，透過佢哋最新嘅偵測供應鏈攻擊（Supply Chain Attack）技術，追蹤到有黑客喺 ASUS Live Update Utility 即時更新工具上造咗手腳，喺…

特權帳號管理方案領域上，CyberArk 絕對是龍頭，去年就繼續被 Gartner 欽點評為 Leader 了。最近，CyberArk 特別舉辦了 CyberArk Refresh，從 Endpoint、Cloud、DevOps 等不同角度介紹 CyberArk 強大功能，幫助用戶更好地發揮手中利器。 CyberArk 活動由 Jack Poon 揭開序幕，Jack 指出 Gartner…