SIM-swapping (SIM card偷換) 攻擊雖然主要在歐美地區發生，但既然愈來愈多港人準備移民，當然要了解一下如何避免成為這種攻擊方法的受害者，特別是去年因 SIM-swapping 導致的損失高達過億美元，當中更有著名 KOL、體壇明星、名人，千萬不能掉以輕心。 所謂 SIM-swapping 攻擊，是一種透過非法手段，從電訊商員工手中騙取其客戶電話號碼使用權的攻擊，例如假扮其客戶訛稱遺失手機，要求電訊商員工將其電話號碼收到的來電、SMS 短訊全部轉接至另一號碼，或重設該客戶的登入密碼等。騙徒亦可以直接賄賂電訊商員工進行上述操作，不過由於被查出的風險較高，所以一般都會以詐騙手法達成。不知道是否因為歐美與亞洲存在的文化差異影響，這類騙案較少在亞洲發生，而歐美等地則非常猖獗。如想了解為何能夠輕易騙取電訊商員工更改號碼，可以參考以下社交工程 (social engineering) 攻擊的經典示範。 https://www.youtube.com/embed/BEHl2lAuWCk?wmode=transparent&rel=0&feature=oembed 騙取到電話號碼使用權後，如騙徒手上已持有該客戶的一些帳戶登入資料 (如銀行或 Facebook 帳戶)，而又需要額外 SMS…

由 2 月 18 日起，政府有條件開放食肆晚市堂食、健身室、美容院等處所，要求進出以上處所人士，強制使用「安心出行」應用程式或登記個人資料作出入紀錄，否則將被罰停業。但此項防疫措施引起社會對私隱及監控問題的憂慮，同時亦再次令大眾關注應用程式索取的手機權限會否過量。wepro180 找來跨國資訊安全公司 wizlynx group 資訊安全服務總監盧振宇（Mike），探討安心出行權限注意位及其他應用程式的安全問題，以及使用時的自保方法。 「安心出行」應用程式最令人「不安心」的部分是要求存取的權限是否全部都具必要，根據該應用程式 Andriod 1.1.6 版本所列出的權限所需，包括相機拍攝功能、全面網絡存取權、擷取執行中的應用程式、控制震動、防止手機進入休眠狀態、啟動時執行及接收互聯網資料。雖然創新及科技局長薛永恒曾多次強調，程式沒有追蹤功能，政府亦不會刻意查看市民出行記錄，所有資料會存放在用戶手機，不會存在中央資料庫，但政府的說法仍未釋除市民疑慮，不少人仍對「安心出行」抱有戒心。 擷取執行中的應用程式成爭議點 「安心出行」最受爭議需索取的權限為「擷取執行中的應用程式（Retrieve running apps）」，意即「安心出行」可知道用家的電話同時在運行中的應用程式，由於政府沒有作出相關解說，因此難以推斷需要此權限的真正原因，網上亦引起不少猜測。Mike 估計，此權限或因程式開發人員編寫時用上第三方程式庫，例如需要配合其他應用程式使用，如掃描 QR code 時要用上第三方程式，便需要用到此權限；不過 Mike…

Philip Hue、Amazon Kindle、Apple Watch、Google Home Voice Controller、August Smart Lock、Kuri Mobile Robot、Dyson Pure Cool Link Air Purifer、NEST T3021US Learning Thermostat、WeMo Insight…

有跨作業系統「AirDrop」之稱的手機應用軟件SHAREit，由於可以供用家自由於 Android、iOS 及 Windows 上交換檔案，所以深受 Android 用家歡迎，至今已有 100 億用家下載使用。不過，現時一項已知漏洞已被 Trend Micro 專家公開，而且至今仍未被修復，有可能被黑客利用來盜取手機內的檔案或作中間人攻擊 (man-in-the-middle)，用家必須即時停用。 Trend Micro 手機威脅分析專家 Echo Duan 早在三個月前，已發現由新加坡公司 Smart…

後疫情催生無限危與機，資安界都有無數「不容錯過」Buzzword，當中 Secure Access Service Edge（SASE）獲 Gartner 等資安權威平台加持，原因同企業雲端化熱潮息息相關。科技資訊分析機構 Canalys 統計，雲端化企業數目在 2019 年增長 30％，資安平台 IDG 則大膽預測相關增幅在 2021 超過達 50％。 雲端化優點相信大家相當清楚，但於企業與雲服務平台間、資安責任誰屬上，暫時難以統一區分，黑客間接有機可趁，尤其企業發展猛迅的情況下，情況越兇險。幸而，在客戶資料外洩、非授權登入、介面漏洞等問題上，SASE 能夠靈活應對，有 SASE…

如無意外，Android 12 的開發者預覽版本將會在今個月推出，到底新作業系統在保障網絡安全及功能上會有哪些改良？今次就根據現有傳聞來一個賽前預測。 加速手機廠更新 Google 的 Android 12 最大更新之一，預計會以 Project Mainline 模式去更新 Android Runtime，後者的主要功用是將系統編碼轉換成處理器可以理解的編碼，以往在更新韌體時必須整個更換，但 Project Mainline 則可獨立升級系統內的核心元件，這樣就可以加速 Google 更新系統漏洞的週期，可獨立為重要的漏洞進行緊急更新；同時第三方手機開發商亦可受惠，Android 手機用家的網絡安全性便更有保障。…

疫情影響，企業加速 Digitization，AI 在當中有著重要角色。如果你有資源但不知應如何分配，可留意以下 3 個範疇。 (1)AI 實踐 AI 發展成熟，任何行業都可透過它大幅增值，加上 COVID-19 推波助瀾，Boston Consulting Group 報告指出，超過 80% 企業打算加快 Digitization，但只有 30% 能夠達到成效指標。首先，McKinsey 2020…

礙於營運成本，中小企業難以投入大量資金聘請安全專家、購置安全工具。有調查報告顯示小企業 CISO 明言無法阻擋入侵，而人手短缺更令安全工具無法被妥善運用。矛盾難解決？答案就是將網絡安全工作外判，或交由託管公司代管 (MSP)，便可借助對方的安全專家及先進的安全工具，守護公司。 早前生產力局轄下香港電腦保安事故協調中心（HKCERT）公布2020年網絡保安事故統計數字，指出上年處理了 8,346 宗安全事故，雖然數字上較 2019 年下跌 12%，但由於只是經 HKCERT 處理的個案，未有尋求協助的個案相信還有很多。而 HKCERT 方面亦呼籲企業盡快為新常態和新技術制定網絡保安策略，以應對因新冠疫情而加速的數碼轉型，以及 5G 通訊、物聯網和人工智能技術的廣泛應用。 作為守護公司大門的網絡安全團隊，自然不可能鬆懈，因為網絡攻擊招數層出不窮，加上黑客已不會只針對大企業或金融業發動攻擊，各行各業的中小企亦成為目標，對資源有限、人手緊絀的小團隊來說，難免每日生活在惶恐中。 新公布的一份調查報告《2021 Survery of…

數據加密與高速資訊儲存，從來就像水溝油，沒有並存空間。 科技界這一大困局，最近就由 Multisoft 聯同 Thales 及 PureStorage 攜手打破。數據加密與儲存系統的兩大科技界龍頭，合作推出簡稱 CTE的解決方案，CipherTrust Transparent Encryption – Efficient Storage，首創在點對點加密的環境下，仍可維持高壓縮比率，令用家同時做到防止數據洩漏及節省 Storage 成本。 CTE 背後的原理是甚麼？實際環境下可為企業節省多少成本？操作上是否很複雜？ 想知道更多有關 CTE…

Google Chrome 瀏覽器推出新版本，為用家提供更方便的帳戶密碼安全檢查服務，一旦發現帳戶曾涉及外洩事故，又或帳戶密碼容易被猜中及多個帳戶共用同一組密碼，就會彈出通知建議用家即時修改，不過暫時只更新了桌面電腦及 iOS 版本，Android 用家要等等。 事實上，Google 在去年的 Chrome 86 版本已加入了 Safety Check 密碼檢查功能，而且 Google 公布在這項功能推出後，現時每周均錄得 1,400 萬次用量，而且為了提升 iOS 裝置的用家體驗，以及鼓勵用家選用更複雜及高強度密碼，這些儲存於…