資安

       

Facebook 資安出包無極限 ,數年來有逾上億用戶帳密可直接被 2 萬員工存取

看來 Facebook 的資安原則的薄弱程度,可說是超乎所有人想像,而且也只有他們可以超越自己。跟先前劍橋分析(Cambridge Analytica)的個資洩漏案有過之而無不及,Facebook 最近被專家爆料居然自 2012 年來,將用戶的登入憑證資訊以無加密 / 明碼的狀態(就... 一般純文字),並且可被約兩萬名臉書內部的員工 看光光 存取。最有意思的是,臉書在得知此事之後所發的聲明,除了避重就輕說到他們已經在一月發現這個沒有對敏感登入資訊加密的漏洞外,還說「截至目前為止無證據跡象顯示任何內部的人濫用或不當使用這些資料」-- 感覺真的是超負責任的啊(反義)。繼續閱讀 Facebook 資安出包無極限 的詳細報導。

Google 祭鐵腕 開始移除亂要求電話歷史 / 簡訊權限的 App

近年 Google 可說是相當積極地希望讓民眾可以改變對於自己在資安方面的不信任,除了針對招牌的 Chrome 瀏覽器做了許多無論是針對惡意軟體或誤導廣告的對應政策 -- 最近更是提供了廣告攔截機制。而在去年針對 Google Play 上應用更是改變策略,針對希望取得通話紀錄與 SMS 簡訊資料的應用加以控管審核,最近 Google 祭鐵腕 已經準備要開始移除未申請過關的應用了。

名人自拍對照應用 Twinning 資料大漏洞 ,路人都能抓你我自拍照…

雖然網路上用照片分析相似度或是透過問券騙個資,甚至是「誘導」你付費的應用真的不少,但像是本篇這個由 Popsugar 這樣犯下低級資安錯誤的應用,那可就算是比較異數的了(天然呆?)。因為他們的雙胞胎相似程度對照應用 Twinning 資料大漏洞 ,最近被外媒發現其實只要簡單透過網址,便能找到儲存所有上傳圖片的 Amazon 網路空間。所以只要是上傳到這個應用做為分析的自拍照,都等同於分享給全世界(!)。

Google+ 資安漏洞連續爆 ,要提早說掰了

雖然官方透露的主因是使用率太低,但應該就是因為誇張的資安漏洞(而且還時隔半年才公布)而預計在明年 8 月底關閉個人版本的 Google+,這兩天官方部落格又宣布,由於「又」一個影響 5,250 萬用戶的 API 漏洞 -- 你沒看錯,上一次「才」50 萬,這次根本算是大炸鍋了 -- Google+ 將會提早到明年 4 月正式關閉個人版本。是說,這 Google+ 資安漏洞連續爆 的印象之差,企業版的用戶真的還敢用嗎?重點是這次的影響範圍也包括企業用戶啊...

會洩漏精確定位資訊的 Google Home 與 Chromecast 漏洞 ,官方正尋求解決辦法

資安專家近期發現,Google Home 以及 Chromecast 這兩個裝置,由於對於三方取用隱私資訊的資訊安全保護機制相對薄弱的關係,導致惡意服務可能取得使用者相對 IP 位址所能給予的資訊要更為精確的定位資訊(僅 30 英呎之差... 其實有點恐怖啊)。對此,Google 則是承諾將會在七月中提供修正這個 Google Home 與 Chromecast 漏洞 。

因為網址 ssugest.com 沒繳錢,可能導致三星數百萬手機遭殃

外文媒體 Motherboard 發現,三星因為忘了一個網域的續費,將可能導致上百萬支三星手機的安全性問題。至於這網址不是一般的廣告用網域,而是 ssugest.com ,這個網域會用在幾乎所有三星手機的預設軟體服務上,若這個網址落入駭客手中,攻破三星手機就輕易得多。

提升帳號資安性! new password meter 測試及提供建議如何增強你的密碼

建立強度高的密碼,一直以來都是網路使用者非常重要的課題,雖然現在很多網站在新建帳號時,都會提供偵測密碼強度的功能(如:Google),但幾乎只會出現弱、中或強的字眼,不會有任何建議,對使用者的幫助有限,依舊必須自己想出怎樣的密碼,才是讓人難猜。而最近美國卡内基梅隆大學隱私安全實驗室,與芝加哥大學開發出一款新密碼強度偵測與建議的服務 new password meter,要來幫助網路使用者更輕鬆建立高強度的密碼,只要將想要設置的密碼輸入,就能獲得回饋,像是將密碼改成怎麼樣的順序更好、增加哪些字母或數字等等。另外它也是開放源(Open Source),因此加入到任何服務中。

資安問題很重要 中國智慧型情趣用品傳出「可被遠端入侵操控」

常看東洋島國謎片的讀者應該對這樣的橋段十分熟悉,「工作人員走在路上,拿著無線跳蛋的遙控器對著路上的正妹按,結果按著按著突然發現有個女生走到一半突然整個軟癱在地上,隨著工作人員按開關的節奏,這個女生整個難以起身,於是工作人員就上前搭訕這名不明原因腿軟的女子…」。當然,在事實上的確有可能會發生這樣的橋段,畢竟大部分的無線跳蛋,都是透過RF紅外線來遠端操控,如果情趣用品廠商真的為了節省成本,讓旗下商品都是搭配同一組Code的話,就會發生謎片中這樣「拿著A的遙控器來控制B的跳蛋」的事情。但各位可知道,現在除了這樣RF紅外線遙控的跳蛋外,其實現在也有使用藍芽遠端操控的高級產品嗎?