香港人而家已經習慣電子支付，尤其係疫情下大家為咗避免用實體貨幣購物，更加速咗呢種付費方式。就算用信用卡俾錢，都傾向非接觸式付款，呢種方法嘅好處係設有金額上限，用嚟買啲幾百蚊貨仔嘅嘢，完全唔需要簽名認證，非常方便。不過，一班瑞士學者就發現呢種方法存在漏洞，可以突破金額限制進行交易，對卡主毫無保障！ 正常嘅非接觸式支付過程，係 POS 收費系統發出收費指示後，卡主人拍卡進行付費，如果金額超過上限，就有需要額外輸入密碼去確認，不過專家就喺交換訊息過程中做手腳，將毋須額外密碼驗證嘅訊息傳返俾 POS 系統，成功突破盲腸。不過，要達成呢種攻擊手段，專家話要預備四種材料，首先要有兩部 Android 手機，開發小組研製嘅應用程式同埋一張非接觸式 VISA 信用卡。兩部智能手機要分別安裝 Android 特製程式，令佢哋分別模擬 POS 收費系統及信用卡，而呢兩個特製應用程式係唔需要破解手機先至可以安裝，專家話佢哋已成功喺 Google Pixel 及華為手機上試驗過，同埋亦喺真實店鋪內成功通過測試添！ 至於運作過程又係點呢？首先扮演 POS 系統嘅…

Apple 推出咗新嘅系統更新檔 iOS 13.7，而喺呢個新版本嘅「設定」版面，就多咗一個「暴露通知」（Exposure Notifications）功能，到底佢有乜作用呢？原來佢係有助終止 COVID-19 傳播鏈喎！不過又會唔會有私隱漏洞存在呢？ 新冠疫情反覆，有傳染及感染學專家更認為將要同病毒共存，難以好似 SARS 一樣短時間內減，呼籲公眾做好心理準備。事實上，唔想好似早前香港第三波疫情爆發嘅場面再度出現，就一定要做好病源及傳播追蹤，先可以將緊密接觸者全部隔離。而今次 Apple 喺推出嘅 iOS 13.7 更新版本中，就追加咗一項有助追蹤確診人士接觸過邊啲人嘅 contact tracing 功能，唔使政府部門自己開發及營運一隻獨立嘅追蹤應用軟件。 Apple 嘅「暴露通知」追蹤系統運作原理，主要係利用…

近年網絡隱私關注度高，保護用家私隱甚至成為某些瀏覽器製造商的賣點，然而，無所不在的廣告仍能透過不同方法追蹤網民。就以之前 Facebook – Cambridge Analytica (CA) 醜聞為例，透過用戶在性格分析的遊戲答案，收集大量個人資料，令用戶成為更準確的廣告目標。事件更憑藉用戶的朋友網絡，收集了超過 5000 萬份用戶的個人資料去達到不同的廣告目的。 不想自己的瀏覽隱私被廣告商 target？我們介紹了一些方法去提高您的隱私設置，令您冇跡可尋！ 基本設置: 禁止瀏覽器位置跟踪和搜索引擎自動完成功能、關閉密碼自動填充功能、定期刪除瀏覽歷史記錄更改預設搜索引擎，提高隱私。例如 DuckDuckGo 搜索引擎，由於它拒絕對用戶搜索進行追蹤，就算搜索結果未必能及 Google 深入，卻受到不少著重私隱用家的青睞。如果想進一步提高隱私度，可以嘗試使用可信賴的虛擬專用網路 (VPN)。 港人常用瀏覽器私隱設置: 1. Chrome…

無論甚麼話題，AI 都係一個萬能 Solution；編輯？律師？醫生？會計？教師？司機？廚師？將來都係 AI 黎㗎啦。的確，將來咩都有機會係 AI Driven，首當其衝仲會係高薪專業，因為最有取代價值；律司點記 Court Case，都唔會夠 AI 個 Database 龐大，夠快夠準摷到正確 Reference 打官司。問題係，幾時？ 芬蘭係個好重視 Digitization 嘅國家，2019 年推出一個免費網上課程《Elements of…

Tesla 股價近期升到「坎坎聲」，仲要拆股上市，自然會吸引好多人虎視眈眈，尤其係一班黑客犯罪份子，恨不過搵到個機會敲詐 Tesla 一筆。一個俄國公民早前就被揭發，企圖買通一個 Tesla 職員，要佢幫手喺公司植入勒索病毒，應承事成之後會分返 100 萬美金作為酬勞，好彩最後呢個職員「企硬」，主動告發事件，Tesla 先至避過一劫。 根據美國司法部嘅資料，呢名俄羅斯人叫 Egor Igorevich Kriuchkov（下稱克留奇克夫）7 月嘅時候去到美國內華達州 Tesla 超級工廠嘅所在地，搵到一名喺 Tesla 做嘢嘅俄語非美國人，以事後分帳 100 萬美金作為賄款，要佢將勒索軟體放入超級工廠嘅作業系統內入面，打算咁樣去勒索…

突如其來的疫情爆發，打亂了一直以來的教學模式。「停課不停學」成為近期學校間的口號，遙距教學令學校不受距離和時間限制。不少學校更選擇採用 Microsoft 365 教育版雲端協作平台以隨時隨地展開遙距教學，令教學模式更爲靈活、有彈性。 與此同時，隨著網上教學及在家工作越趨普及，網絡安全亦備受關注。在家工作大大增加電郵使用量，尤其是大量視像會議邀約及學校通告都是透過電郵發放，員工及教師在網絡安全意識較弱的情況下在家工作，或會讓騙徒有機可乘，讓自己和學校蒙受損失。 誠邀貴校出席 Microware x Green Radar 舉辦的網上研討會，一齊了解更多 Microsoft 的雲端教育方案，以及如何有效保護校園雲端電郵的安全。參加簡單問答遊戲仲有機會贏取 HKTVmall 港幣 200 元購物禮劵，立即登記報名！ 內容概要： • Microsoft 365…

上月多個名人如 Bill Gates、Elon Musk 嘅 Twitter 帳戶被黑客入侵，於平台騙取 Bitcoin，成功騙取約11萬美元 Bitcoin。的而且確，奪取到原帳戶再向受害人身邊嘅親友落手，成功率會較高，但複製帳戶呢種極度簡單嘅方法，都會有人上釣。曾因利用社交工程（Social Engineering）手法進行詐騙而入獄，後來改邪歸正嘅網絡安全專家 Jake Moore 就親身示範，只須複製目標人物嘅帳戶，都可令對方嘅朋友信以為真，乖乖過數！ Jake 原本嘅 Instagram 帳戶有 1,611 個 posts，同時有…

睇過「竊聽風雲」嘅朋友，都會覺得原來偷聽係要咁大陣象，真係無「國安級」嘅設備，可能都未必做到。不過有研究人員就發現，有不法之徒利用高清通話（透過 4G LTE 網絡所連接嘅通話服務）存在嘅漏洞，偷聽手機對話，而用嚟偷聽嘅裝置費用，只係需要 7000 美金，即係大約 54000 蚊港紙。 一般流動電訊商都會用相同嘅加密金鑰，嚟保護透過同一手機訊號發射站，進行嘅多個 4G 語音通話。而研究人員就發現，當流動電訊商用一樣嘅金鑰嚟做加密，或者手機訊號發射站會重複用同一個密碼，又或者用可預測的AI演算法生成加密金鑰，就好容易成為竊聽者攻擊嘅對象。 竊聽者嘅攻擊分為兩個主要階段，第一個階段係記錄階段，透過截取目標裝置嘅加密無線訊號（亦稱為第一個通話），記錄低目標裝置同受害者之間嘅加密訊號，喺呢個階段，竊聽者要有一部可以偵察到無線電層傳輸方向嘅裝置，唔知鴨記有無得賣，不過部嘢真係唔洗 1400 蚊美金就做到。當偵察到目標配置，竊聽者可以對目標無線電嘅配置記錄進行解碼，直到拎到佢嘅加密資料(PDCP)。 當第一個通話結束，竊聽者就會進行第二步：呼叫階段，就算竊聽者手上並無受害者嘅任何金鑰解碼嘅材料，竊聽者都可以係第二階段用一部商用現成電話，知道受害者嘅電話號碼同佢而家嘅位置，然後打畀受害進行第二次通話，再用第二次用到嘅加密流量同第一次通話嘅流量進行比較，從而推斷出加密金鑰嘅位置，一旦有咗呢段「金鑰流」，竊聽者就可以利用佢嚟恢復返第一次通話嘅內容，專家將呢個漏洞命名為 ReVoLTE。（詳情參看下圖） 研究人員亦都提醒，竊聽者與受害者傾電話嘅時間越長，佢可以能夠解密先前對話嘅內容就越多，又指出發起 ReVoLTE 攻擊嘅設備成本只係需要 7000…

日前，一名匿名黑客在論壇上發布了 900 多個 Pulse Secure VPN 企業服務器的用戶名稱、密碼以及許多其他敏感資料。攻擊者可能利用了去年九月發布的 CVE-2019-11510 安全漏洞，以攻擊具有相關安全漏洞的系統。 以上新聞可能爲大家帶來啟示：儘管許多人認為 VPN 對於所有需要在家辦公的員工來說，是一種安全的解決方案，但我們都必須意識到——VPN 只是保護系統安全和數據隱私的眾多安全層之一。 在沒有其他適當的安全層情況下，將 VPN 部署為唯一的安全控制層，會給許多公司帶來「很有安全感」的錯覺。而事實是，黑客透過 VPN 入侵的實例比比皆是，近期較熱門的事例便有三菱電機 VPN 攻擊和…

IoT（Internet of Things, 物聯網）可以話係現時其中一個網絡安全嘅大敵，因為生產商大多數認為要賺錢嘅話，出嘢一定要快、功能要多同易用，至於網絡安唔安全？呢啲問題真係可以遲啲先算。產品對象為企業客戶嘅都可能講究啲，但做一般用家生意真係睬你都傻啦！明嘅，不過嚟緊就唔可以咁 hea 喇，事關唔少國家都準備為規管 IoT 產品而立法，最快仲要明年一月就有規管添！ 根據網絡安全產品供應商 F-Secure Labs 嘅統計數字顯示，IoT 漏洞主要有兩方面，一係弱登入驗證，二係無提供更新檔修補漏洞。前者嘅問題係好多產品推出時可能唔使用密碼嚟配對，但出廠預設嘅登入名及密碼一式一樣，最出名嘅就當然係「admin」同「0000」之類嘅組合啦。只要用家買咗返嚟又懶得改，黑客就好易破解進入。另外，有產品出廠時根本無諗過會提供漏洞修補，所以即使被發現有漏洞，廠方都唔會理，甚至連更新渠道都欠奉，除非廠方回收，否則用家只可以決定用或唔用。 禁用相同出廠密碼 不過，呢啲情況將會有改變，美國加州喺 2018 年通過及 2020 年 1…