Search Results: Samsung (28)

    一個存在了近 16 年的打印機驅動程式漏洞,最近被網絡安全組織 SentinelOne 公諸於世,受影響的打印機品牌包括 HP、Samsung 及 Xerox,只要黑客取得本機帳戶登入資料,就可借漏洞提升至最高權限,過程中完全毋須電腦用家參與,而且防毒軟件亦無法阻止其他惡意軟件繼續進入,估計有數以百萬計用家有被入侵風險…… 由 SentinelOne 發現的有問題打印機驅動程式檔名為 SSPORT.SYS,專家發現只要它被安裝在 Windows 作業系統後,即使在未有接駁打印機的情況下,每次開機時都會首先被執行,因而成為絕佳的攻擊弱點。發動攻擊的必要條件是黑客必須首先取得本機的基本帳戶權限,然後就可利用漏洞引發緩衝記憶體溢滿 (buffer overflow),進而提升至最高帳戶權戶,於 Kernel mode 執行惡意編碼,從而繞過防毒軟件的攔截,繼續引入其他惡意軟件。 專家指出,當黑客提升帳戶權限後,就可安裝任何程式、編輯電腦內的檔案,甚至執行加密程序,後果可大可小。而又因為…

    早前英國一個 Samsung S10 用家,意外發現自己部手機喺加裝矽膠保護套後,指紋鎖竟然變成任何人都開得。Samsung 喺事後又承認呢個 Bug 真係存在,但當時只係建議用家要用返原裝保護套,對解決件事毫無幫助。不過,Samsung 而家已開始推出更新檔,俾受今次事件影響嘅 S10、S10+、Note 10、Note 10+ 嘅用家,如果收到通知,就要即刻更新同埋重設指紋認證喇。https://www.youtube.com/embed/e-uG8ZO28hU?wmode=transparent&rel=0&feature=oembed 指紋鎖愈驗愈醇 根據 Samsung 嘅公布,呢批手機採用嘅超聲波指紋鎖存有漏洞,佢原本嘅解鎖原理,係透過收集超聲波反射嘅數據,去重建 3D 指紋圖案再進行驗證。不過,由於矽膠手機套本身嘅材料或入面嘅紋理有可能會被指紋鎖誤認為指紋特徵,所以如果戴咗套做指紋登記,呢啲「數據」會被記錄為指紋嘅一部分;而即使無戴套做指紋登記,亦會因手機系統慢慢「適應」咗用家嘅指紋誤差,令戴套後變得更容易解鎖。知道呢個漏洞後,NatWest、Royal Bank 等銀行已即時移除咗支援…

    Samsung S10 嘅超聲波指紋鎖,推出以嚟真係問題多多,例如之前有黑客成功用 3D 打印嘅指紋嚟破解指紋鎖,又因為超聲波掃描技術要緊密接解手指嘅關係,唔可以用無法緊貼住屏幕嘅玻璃保護貼,令到用家無乜選擇。而最新發現,原來要解指紋鎖係唔使咁麻煩嘅,只係一個廉價矽膠保護套,就可以令指紋鎖無效化,如果唔見咗部手機而又有設定到電子付款,今次真係可以俾人盜用嚟購物! 發現呢個大漏洞嘅人並唔係乜嘢安全專家,只係英國一個尋常女用家 Lisa。話說佢最近收到老公送嘅 Samsung S10 後,就諗住買個保護套嚟保護個曲芒。點知 Lisa用3蚊英磅買咗個矽膠保護套返嚟之後,就發現指紋鎖竟然廢咗武功,佢本身只係登記咗一隻指紋用嚟解鎖,但戴咗套後就變成十隻手指就開得到;唔單只咁,就連佢老公嘅指紋一樣得。由於 Lisa 嘅妹妹都係用 Samsung S10,經測試後發現個套一樣可以令指紋鎖無效化!相信事件嘅元兇就係個矽膠保護套喇。 Lisa 即刻打去 Samsung 客戶服務部舉報呢件事,不過 Samsung…

    關公災難近來接二連三爆出,一班公關認真忙,緊急安排完深夜時分嘅記者會解畫都算,完會後又要再度新聞稿為解畫而解畫,心血少啲都應付唔嚟。不過,又唔係所有關公災難都由老闆或高層引起,有時公司其他團隊都無諗過出於好意會便咗踩地雷,認真難搞。 最新出事嘅係美國 Samsung 支援部,早兩日佢哋喺 Twitter 上開 tweet 提醒智能電視嘅用家,內文話唔單只要定期為電腦掃描惡意軟件及病毒,如果 QLED TV 有連接 Wi-Fi,都一樣要每隔幾個禮拜就要用內置嘅安全應用方案去掃描電視先得,同時仲提供埋手動啟用 QLED TV 安全系統嘅視頻。 成件事嚟到呢度都好正路,點知 Twitter 上嘅 followers 突然爆…

    IoT(物聯網)的應用愈來愈廣泛,但對於 IoT 設備的安全保護卻成疑。五分之四的物聯網設備供應商未有公開其產品安全漏洞的相關資料,意味著用戶處於私隱洩露危機及網絡攻擊的危機當中。 物聯網安全基金會 (IoTSF) 作為鼓勵保護 IoT 安全的科技業界組織,早前分析了數百間常用的物聯網產品製造商,發現只有五分之一在公共渠道上曾公布產品安全漏洞,以便修復。儘管包括英國、美國、新加坡、印度、澳大利亞以及歐盟,都曾強調 IoT 設備網絡安全的重要性以及能夠披露漏洞的能力。但以這種形式公布安全漏洞的供應商只有 21%,自去年起略有上升。 報告指出,漏洞披露政策的有缺失的原因可能是由於「非傳統 IT 企業」首次進入 IoT 市場,例如時尚供應商推出連線產品或廚房電器製造商為其產品添加智能功能。有些 IoT 設備製造商首次面對須考慮將網絡安全功能納入產品內,因為漏洞不僅可以進入設備,而且沒有固定的報告漏洞的途徑。 儘管如此,該報告指出「自 2017…

    Microsoft 被稱為 Section 52 的 Azure Defender for IoT 安全研究小組近日發現,物聯網和營運技術(Operational Technology,OT)裝置上,有一系列的記憶體分配漏洞,可用來執行惡意程式。這個目前盛行的漏洞名為 BadAlloc,與不正確驗證的輸入有關,而這個漏洞會導致堆溢出,並最終執行這些代碼。 研究小組在發文指,這些漏洞都源於使用記憶體容易受攻擊的功能,如 malloc、calloc、realloc、memalign、valloc、pvalloc 等。當傳遞外部輸入時,這些函數就會出現問題,因為這些外部輸入可能導致整數溢出或迴繞函數,折回的結果是重新分配記憶體緩衝區。小組又指,儘管折回而分配的記憶體不多,但令與記憶體分配相關的負載,超過了實際緩衝區分配,導致了溢出;缺乏輸入驗證令入侵者開採記憶體分配功能,造成堆積溢位,而令他們可於目標裝置上執行任意程式。 Microsoft 正與美國國土安全部合作,向受影響的供應商發出警報,並修復漏洞。在通報中所示的受影響產品來自 Google Cloud、Arm、Amazon、Red Hat、Texas…

    如無意外,Android 12 的開發者預覽版本將會在今個月推出,到底新作業系統在保障網絡安全及功能上會有哪些改良?今次就根據現有傳聞來一個賽前預測。 加速手機廠更新 Google 的 Android 12 最大更新之一,預計會以 Project Mainline 模式去更新 Android Runtime,後者的主要功用是將系統編碼轉換成處理器可以理解的編碼,以往在更新韌體時必須整個更換,但 Project Mainline 則可獨立升級系統內的核心元件,這樣就可以加速 Google 更新系統漏洞的週期,可獨立為重要的漏洞進行緊急更新;同時第三方手機開發商亦可受惠,Android 手機用家的網絡安全性便更有保障。…

    無錯!在大家腦海中即時浮現的數字串「123456」,再次成為年度最多人用又最廢的密碼,可謂毫無懸念地登上冠軍寶座。今年排行榜照舊熟口熟面,不過都有後起之秀,雖然都一樣保護性欠奉就是了⋯⋯唔講咁多,立即去榜! 即使大家都知道,一個簡單易記又順序的密碼,無錯的確是方便自己使用,但這個所謂的密碼鎖是形同虛設,黑客可以不費吹灰之力,瞬間進入這類帳戶,肆意偷取個人資料。知名密碼管理商 NordPass 上周發布報告,公布 2020 年最常見的密碼,再一次不厭其煩提醒各位,如何設立安全的密碼,保障私隱。該研究亦指出,使用一系列連續數字受歡迎程度屹立不倒的原因,是因為它們易於記憶和鍵入,同樣道理,以在鍵盤上順序的qwerty鍵的字母作為密碼,也廣為人用。 根據 NordPass 的報告,今年 200 個最常用的密碼中,「123456」又一次毫無懸念地當上第一,一共有 250 萬人使用,而因使用這個密碼所引發的數據洩露次數,更超過 2,300 萬次。位居第二的同樣是一連串順序的數字「 123456789」,共有超過 961,000人使用,並且引起 780 萬次以上的洩漏。緊隨其後排在第三位的是「picture1」,是首次入榜的新密碼,由於混合了數字與英文字母,所以安全性算是比較高,雖然也只是一點點而已。第四名是密碼本尊:「password」,第五是「 12345678」,第六至九位順序是「111111」、「123123」、「12345」、「1234567890」,而排第十位的也是密碼本尊,只是換了另一種語言:葡萄牙話版密碼「senha」。…

    西班牙一間名為 Prestige Software 的應用服務開發商發生人為錯誤,令 AWS S3 bucket 內儲存的 24.4GB 資料變成公開任睇,而同大家最有關係的地方,是它的客戶包括 Agoda、Expedia、Hotels.com、Booking.com 等酒店預訂服務商,而有可能洩出的更包括客戶信用卡號碼及CVV等資料,好得人驚! 錯誤將雲端服務帳戶設定為公開的新聞,時有發生,例如去年 Samsung 儲存於 GitLab 內的 SmartThings 計劃內容,便因這類失誤而成就「無私分享」事件。而在恒常的網絡掃描期間,Website Planet…

    中國一年一度的黑客破解大賽「天府杯」剛於上星期六、日舉行,15 支參賽隊伍合共破解 13 款知名電腦產品及應用服務,包括 iOS 14、Samsung Galaxy S20、Windows 10、Chrome、VMWare EXSi、TP-Link 及 ASUS router 等等。冠軍由奇虎 360 政企安全漏洞研究院奪得,共取得大賽的 2/3 獎金,即約 74 萬美元,連續三年稱霸賽事!…