藍牙(Bluetooth)通訊技術最近連環被揭發存在漏洞,例如較早前有安全專家指Bluetooth 4.0及5.0版本存在的「BLURtooth」漏洞,可讓黑客竄改兩部裝置配對時所產生的「跨傳輸埠金鑰」(Cross-Transport Key Derivation),強行與目標裝置進行配對,繼而入侵裝置。而最近被公佈的BLESA(Bluetooth Low Energy Spoofing Attack)漏洞的影響就更大,估計全球正有數以億計支援BLE制式的藍牙裝置,曝露於攻擊之中。 相對於傳統藍牙制式,BLE制式的特點在於耗電量低,適用於須長期保持連接的裝置使用,其中一個最常見的使用例子是現時商場安裝的室內定位器,只要顧客開啟商場的手機應用程式,就可即時掌握所在位置或附近店舖提供的購物優惠。由於這些定位器須長期啟動,而且安裝位置又未必有電源,所以BLE制式便最適合這些裝置採用。 這次由美國Purdue University研究團隊發現的BLESA漏洞,便專門針對在BLE制式下,兩部已進行配對的裝置在重新連接(Reconnection)時,有否進行身份驗證;結果發現,當兩部裝置因超出接收距離或訊號不良而斷線後,在重新連接的過程中不會強制進行身份驗證,可能只需符合相關條件(如裝置名稱、MAC address)便可reconnect。從示範影片可見,研究團隊以電腦假扮一個BLE制式指環,成功與已配對的手機進行連接,並向手機發送兩個互相矛盾的訊息。團隊續指無論是Linux、ios、Android的BLE制式均存在上述漏洞。雖然現時部分作業系統已進行修補,但由於這些BLE裝置大多不支援連線,要逐一拆下來安裝修補檔將會非常痛苦! 資料來源:https://zd.net/32LFdrP
Search Results: 藍牙 (29)
美國加州警方表示,最近汽車爆竊案嘅數字明顯大增,因為匪徒手上擁有一件「殺手級」武器——藍牙掃瞄器,只要喺你車旁邊掃一掃,就知你架車入面收埋咗啲乜嘢貴重電子產品,令匪徒能夠「快、狠、準」達成爆格任務,你話幾咁好用呢! 根據加州三藩市警方表示,汽車爆竊案件喺 2017 年明顯增加咗 24%,而嚟到 2019 年更係破盡過往紀錄。而加州警方口中所講嘅藍牙掃瞄器,其實只係一隻手機應用軟件,有免費同收費兩種選擇。不過小編摷過 App Store,就算免費版本,其實已經提供到足夠資訊,俾匪徒決定係咪出手。到底有乜嘢資訊會俾隻 app 掃到,首先就係藍牙訊號嘅強度,等匪徒大約估到件嘢到底放喺車廂邊個位置,其次就係通過對比藍牙產品資料庫內嘅「電子指紋」,隻 app 仲可以顯示埋車入面嘅電子產品型號,甚至有埋相你睇。有咗呢張咁齊全嘅 catalogue,匪徒就可以慢慢揀,避免敲爆車窗後只偷到一啲廉價嘅平板電腦、手機、notebook,大大提升每次爆格嘅效率同價值啦。 由於呢啲藍牙掃瞄 app 可以隨便喺 iOS App Store…
除咗 Wi-Fi,我諗日常用得最多嘅無線科技,一定係藍牙!揸車嘅一日到黑都用藍牙免提唔在話下,就算好似我呢啲無車一族,都好鍾意用支藍牙遙控自拍棍影下相,或者駁部手機去藍牙喇叭聽下歌,但係藍牙有樣好衰嘅嘢,就係每次配對都好鬼蹝時間,所以一旦配對好,大部分人都會keep住由佢繼續用,咁就好易出事! 點解咁講?你睇下近期嘅新聞就知原因,首先係上個月喺拉斯維加斯舉行嘅黑客大會 DEF CON,就有參加會議嘅黑客示範點樣可以入侵唔同款式嘅藍牙喇叭,然後遙控佢播放高頻音效,邊個唔好彩身處喇叭附近就有機會聽覺受損,所以大會俾所有與會人士嘅建議只得一個:熄咗藍牙佢! 另一單就再嚴重啲,有研究員發現藍牙原來存有漏洞,傳送嘅數據可以俾黑客截取同埋改動藍牙傳送緊嘅內容,即使係一啲早已成功配對嘅產品,都可以喺配對後入侵,都係嗰句,你唯一可以做嘅,就係熄咗藍牙佢! 夠驚嚇未?未算!幾星期前,有研究員示範點樣利用 Bluetooth Low Energy 嘅運作方式,透過 AirDrop 拎到你個電話號碼;另外《紐約時報》亦揭發好多店舖裝咗藍牙接收器,只要你部手機開著藍牙,喺顧客唔知嘅情況下追蹤佢哋嘅行蹤,仲將呢啲數據賣俾廣告商……林林總總多不勝數,如果你唔想成為以上事件嘅受害者,都係一句,熄咗藍牙就最穩陣啦! 資料來源:https://bit.ly/2HfZQkI
在香港這個建造業發達的城市,卻幾乎每個月都會發生致命的地盤意外事件。根據勞工處的統計數據,本港在 2023 年有 23 人在工業意外中喪生,其中 19 人是建造業工人。如何加強工地安全並保障工人的生命,可謂刻不容緩。當局已經加強罰則,着力提高建築業界的工地安全意識。而業界亦已積極推行智慧工地,即「4S 管理」(Smart Site Safety System),希望以科技幫助解決這個長期問題。 想睇更多專家見解?立即免費訂閱! 然而要實現智慧工地,是一項相當困難的任務。因為工地的結構往往十分複雜,涉及高架、地下挖掘、地下水道和密閉空間等不同工程及場景,而不平坦的地表更散佈着各種建築材料,要安裝人工智能科技並貼合不同工程的需求進行系統設置,絕不簡單。筆者近年經常就處理有關建築安全的項目,透過物聯網(IoT)、人工智能(AI)及大數據分析以改進工地的安全性及效率。當中,有很多先進的硬件可以採用,包括智能手錶、頭盔、標籤、鎖、空氣質量檢測儀、警報器等,但最大的挑戰是如何把這些智能硬件串連,並透過中央管理平台控制,以有效地做到數碼化追蹤、數碼化工作許可、危險區域進出管制、智能監控設備等各項功能。 分享近期一個地下水道工程項目的一點心得。地下水道的建設是城市發展不可或缺的,而當中有不少密閉的施工空間,諸如水泵房和地下室等。當工人深入地底或在密閉空間工作時,有機會面臨缺氧或吸入有毒氣體的危險。另一方面,一旦在地下水道發生意外,其環境的複雜性也大大增加救援的難度,救援人員往往需要花費大量時間才能找到受困工人的位置。 要在地下水道和密閉空間等項目實現「4S 管理」,必須考慮到其空間環璄的特殊情況,而科技設備的便攜性更是十分重要。在維護電源上,要用上智能標籤(Smart Tag)方案,一年無需充電也可無縫運作,可配合即插即用(Plug-n-Play)設定模式的裝置,以及可移動電源的空氣傳感器和藍牙感應器等裝置。 而當工人配戴智能手錶或智能頭盔時,所有硬件設備與智能中央管理系統相結合,可監察施工區域工人人數,以及工人們的身體狀況等。當工人需要進入危險區域施工時,只需在應用程式提交申請,系統將即時處理;如果申請獲准,應用程式的二維碼將會更新。 工人在施工期間穿戴相關的配備裝置,智能設備將持續監測工人的健康指數,一旦發現問題(如工人的心率不正、缺氧、處於昏迷狀態,或檢測到空氣質素出現異樣),不用工人發出求救,系統已可即時透過簡訊或手機 App…
早前瑞士傳媒 Aargauer Zeitung 刊登一份報道,指有 300 萬智能牙刷遭黑客入侵,向一間瑞士公司發動 DDoS 攻擊,導致該公司的網站癱瘓近四小時,並稱消息引述自網絡安全公司 Fortinet 的研究員。報道隨即被其他傳媒及網民瘋狂轉載,不過,Fortinet 稍後否認是真實事件,只是員工在接受訪問時作出的假設,難道這次全民炒車? 想知最新科技新聞?立即免費訂閱! 「攻擊」事件引來多間傳媒轉載 事發在今年一月尾,瑞士傳媒 Aargauer Zeitung 在網站上刊登了一篇「牙刷攻擊」的報道,內容是引述由 Fortinet 研究員提供的 IoT…
早前北京市司法局宣布,成功破解 Apple 的 AirDrop 無線轉送加密技術,可以透過比對自製的彩虹表,識別出由發送訊息或圖像的裝置的個人私隱資料,即用家的電話號碼、登記的 Apple ID 電郵地址,似乎在警告市民不要以為可以匿名散發不實或危害國家的訊息。不過,有網民就質疑這張彩虹表並非解密技術,只是一張大型的國民私隱資料對照表。 想知最新科技新聞?立即免費訂閱 ! 外界曾估計 AirDrop 受中國政府施壓 AirDrop 是 Apple 在 iOS 7 開始提供的無線訊息及檔案傳輸技術,由於可以由藍牙及…
2023 年網絡安全事故第一位,相信都要數 MOVEit Transfer 檔案共享服務遭入侵事件,安全專家指勒索軟件集團 Clop 於服務中發現零日漏洞,可以使用 SQL injection 技術遙距執行惡意編碼,提升帳戶特權任意讀取使用該服務的客戶資料。雖然開發商 Ipswitch 很快已推出修補檔,但不少客戶如英國航空、BBC 及 Boots 均表示已遭受入侵,有專家更估計已有 2706 個機構遭受牽連,至少有 9300 萬個人資料外洩。 想知最新科技新聞?立即免費訂閱…
有統計顯示,2023年全球約有 150億部IoT(物聯網)裝置,更預計到 2030 年數字將會翻倍。事實上,隨著全球企業開展數碼轉型,過程中須依賴相關裝置收集有價值數據,可以預期 IoT裝置 的投入量將會愈來愈多,TechOps 安全的重要性將會與日俱增。DICT數智通訊服務供應商中信國際電訊 CPC(以下簡稱 CPC)早前便舉辦了「Embracing Intelligence Operations:Secure TechOps for Realizing Forward-Thinking Business」活動,與嘉賓一起探討企業客戶在部署 IoT 裝置時最常引起的網絡安全問題及解救方法。 初創公司資源短缺 專業測試儀器助開發IoT裝置…
服務供應商如果有為用家推出 2FA (雙重因素驗證) 或 MFA (多重因素驗證),理論上都會覺得較安全。不過,網絡安全公司 Varonis Threat Labs 去年就發現,有實施 2FA 或 MFA 登入政策的雲端儲存服務供應商 Box,原來在驗證機制上出現漏洞,如果用家只登記使用 SMS 收額外驗證碼,黑客是可以完全避過驗證登入受害者的帳戶,不過漏洞現時已被堵塞,各位可以繼續使用。 雙重或多重因素安全驗證,是指用家除了要使用帳戶名稱及密碼登入外,還需配合其他因素如額外驗證碼、生物特徵等。額外安全編碼現時仍是主流驗證技術,視乎需要,它可透過電郵或 SMS 短訊接收,另外亦可使用如…
過去兩年我們面對新的工作與生活模式,唯一不變是對互聯網應用的需求從未減退。在商用領域中,Wi-Fi 設備與相關的架設工作一直持續,CommScope Ruckus 香港澳門台灣區域總監程俊邦(Wilson Ching)指出,之前市場曾有錯覺認為 5G 推出後,用戶每日花在 Wi-Fi 的用量會減少,但事實並非如此。目前流動網絡依然主力於室外應用,不過 5G 的架網成本與月費支出未有減少,加上用戶現時設備未必支援這項最新標準,故此 Wi-Fi 依然是日常互聯網連線的主要途徑。 Wilson Ching指出,Ruckus 推出針對 IoT 的 Wi-Fi AP…