要保障自己嘅網上帳戶安全，好多時網絡安全專家都會叫大家改個複雜嘅密碼，而且仲要逐個帳戶改，唔可以重複，但大家都知道要做到幾乎係無可能，真係設定咗，都要成日㩒「忘記密碼」，實用性極低。於是專家就會建議大家啟用雙重因素驗證（2FA）提升登入安全性，或安裝密碼管理器去管理所有帳戶嘅密碼，咁樣的確係安全好多嘅，但問題係首先要服務供應商安全先得。可惜嘅係，最近有研究員發現，無論係 2FA app 供應商 Google 或 Microsoft，抑或係密碼管理app 例如 喺雙重因素驗證 app 方面，網絡安全供應商 ThreatFabric 發現，只要黑客成功誘騙 Android 手機用家安裝惡意軟件 Cerberus，就有機會盜取用家經 Google Authenticator 或 Microsoft…

雖然 Google Play Store 嘅 app 都唔係百分百安全，但起碼叫做有人把關，而第三方 app store 甚至來源不明嘅 apk，危險程度就非常之高，所以一直都呼籲 Android 用家唔好安裝 Play Store 以外嘅 app。不過，黑客總係可以利用人心漏洞，例如最近好多人想好容易咁掌握最新肺炎疫情資訊，所以黑客就整咗隻 CovidLock 手機app 出嚟，話保證睇到最新情報，結果有…

Google 嘅 Android 智能手機應用軟件商店 Play Store， 一直俾人垢病把關不力，成日有內藏惡意軟件嘅 app 上架。當中原因，係 Android app 嘅取用權限政策過於寬鬆，開發者可以較容易攞到一啲同自己隻 app 功能無關嘅手機功能權限，例如影相 app 會問用家拎埋聯絡人使用權限等等，其實可能未必同隻 app 本身嘅功能有關係，但 Google 方面又會批准上架喎，首先咁做已可以增加到開發者竊取私隱嘅風險，另一方面，如果搞唔清楚攞到呢啲權限原來會出現系統漏洞，同樣會造成私隱危機，好似上年網絡安全研究團隊…

Facebook 早兩星期先向以色列公司 NSO Group 提出起訴，指佢哋非法利用 WhatsApp 漏洞去竊取用家私隱。話口未完，早幾日 Facebook 公布叫用家更新 WhatsApp，用嚟修復另一個漏洞，只要用家開啟咗一個惡意 MP4 檔案，就有可能俾黑客入侵，發動阻斷式服務或遙距執行程式碼等攻擊。唔知你呢排有無收同開過可疑嘅 MP4 檔案呢？ 今次 WhatsApp 被利用嘅漏洞，屬於堆疊緩衝區溢位（stack-based buffer overflow），當 WhatsApp…

Apple 嘅語音助理 Siri，一直都被用家視為好幫手，唔使特別記指令，講幾句語音就可以幫手打電話、睇天氣預報、send 電郵短訊，真係好方便喎！不過，原來 MacOS 嘅 Siri 竟然係鬼，佢會自動儲起 Apple Mail 內嘅部分內容，將本來加咗密嘅內容以無加密方式儲起，如果有應用軟件攞到讀取權限，就好易俾人偷走入面嘅電郵內容。 發現呢個漏洞嘅係專門研究 Apple IT 嘅網絡安全專家 Bob Gendler，有日佢突然間對Siri 點樣為 MacOS 用家提供聯絡人及其他資訊嘅建議，所以就開始深入研究，最終俾佢發現到…

WhatsApp 係今年 4 月 29 日至 5 月 10 日期間，曾經俾以色列公司 NSO Group 開發嘅軟件天馬（Pegasus）利用軟件漏洞，透過撥打 Video Call 去控制對方手機，進行竊取資訊及監控嘅行為。之前收購咗 WhatsApp 嘅 Facebook 話，受影響嘅只得少部分人，但經過內部深入調查後，有指今次事件應該唔止影響…

而家乜都講智能，手機如是、家居如是，所以又點少得車呢？而最容易令座駕變得智能嘅做法，就係幫架車出隻 app，用嚟管理行程、汽油零件損耗，甚至當作車匙用嚟開閂門同撻車，好似 Tesla、Mercedes-Benz 都有為車主推出專用 app。而今次車主資料外洩事故，就發生喺後者身上嘞。 美國西雅圖一位 Mercedes-Benz 車主，早前喺打開自己手機內嘅專用 app 時，發現除咗佢嘅個人帳戶資料之外，竟然仲睇到其他 Mercedes-Benz 車主嘅帳戶資料，而且呢啲個人資料包含車主嘅姓名、電話、地址、電郵、保險幾時到期等等，當然仲有架車嘅位置都睇到啦！另一位車主亦發現相同情況，佢仲嘗試用上面嘅電話聯絡另一位車主，發現佢都有呢個問題。呢次真係提供咗一個好好嘅途徑俾 Mercedes-Benz 車主聯誼，甚至組織車會都得啦！講笑啫，其實呢班車主當然陷入恐慌，因為呢隻專用 app 唔單只包含個人私隱，仲可以用嚟遙距解門鎖以及當 Keyless Go 車匙，不過好在經車主測試過後，解鎖同撻車呢兩項功能都應用唔到喺其他車主嘅車上，叫做唔怕俾人偷走架車。 刪app不如刪帳戶…

網絡安全好重視認證，不過，正如有安裝防毒軟件都唔係百分百安全，有認證其實都只係安全嘅第一步，因為黑客都識得以正常途徑攞認證，以 Apple Developer Certificate 為例，呢個就係黑客慣常使用嘅手段，用嚟瞞過 Mac OS 嘅 Gatekeeper、XProtect 防禦系統，等惡意軟件可以成功安裝。 最近上述嘅攻擊手段，又再次出現喺 Mac OS 之上。發現今次呢個 TARMAC 安全漏洞嘅係數碼媒體安全公司 Confiant，其實佢哋嘅專家早喺今年初，已發現 TARMAC 嘅前奏攻擊 Shlayer。當時專家指出 Shlayer…

號稱保安性極高嘅 Apple Card，推出無耐，已經出現咗首個被盜用簽帳嘅個案喇。受害人 David 打去 Apple 尋求協助，但獲得嘅回應竟然係話佢哋都唔知點解可以發生，而且一張卡同時出現喺兩個地方實在太奇怪。可能你會問，複製咗就得啦好難咩？咁我哋就首先回一回帶，睇吓 Apple Card 有乜咁巴閉先。 Apple Card 分為實體及虛擬卡，鈦金屬製嘅實體 Apple Card ，卡身只係得晶片同埋帳戶名稱，信用卡號碼、CVV保安號碼、到期日以及簽名位完全被消失，所以就算想複製張卡都唔係易事，而且就算俾人執到呢張卡，想用嚟網上購物都唔得。至於虛擬 Apple Card 就收喺 iPhone…

外判服務已經係大趨勢，例如公司要寫個網站或手機應用軟件，好多時都唔會係自己員工寫，一來呢啲project 通常都係一次性，寫完就唔會長期養住呢個人；二來有啲外判商收取嘅費用真心平，老闆當然樂於採用。唔係話全部廉價服務都唔好，但中伏風險實在大得多，例如售後服務唔見影、網絡防禦方案原來唔安全等等，做開報價嘅同事應該深受其害。其實點解有啲程式撰寫外判商收嘅價錢可以咁平呢？最近由一班電腦專家進行嘅調查報告，應該會俾到啟示大家。 抄得就抄 由全球大學電腦專家Morteza Verdi、Ashkan Sami、Jafar Akhondali、Foutse Khomh、Gias Uddin 及 Alireza Karami Motlagh組成嘅研究團隊，早前就對 Over Stack 上 72,000 組 C++ 語言寫成嘅程式碼進行驗證，佢哋發現喺呢個程式碼討論區平台上嘅…