WhatsApp暴安全漏洞,仅需一个电话呼叫就可以在手机上安装间谍软件

英国《金融时报》的一份报告详细介绍了 WhatsApp中的一个安全漏洞,该漏洞允许攻击者通过该应用的通话功能在手机上安装以色列间谍软件。

这个名为 Pegasus 的复杂间谍软件是由以色列 NSO Group 公司开发的,通过 iOS 和 Android 上的 WhatsApp应用拨打用户电话进行入侵。

该软件可以安装在 Android 和 iPhone 手机上,只需通过 WhatsApp应用给目标人打电话。 即使用户没有接听 WhatsApp 的电话,也可以被入侵。在多数情况下,WhatsApp的通话记录会从目标设备中消失,从而销毁任何表明他们的手机被入侵的证据。

有关这一漏洞的许多细节仍不清楚,但报告表明,这一漏洞已存在数周。WhatsApp 在一份声明中说:

这次攻击与一家和政府合作提供间谍软件的私营公司的特征全部吻合。 据报道,间谍软件接管了手机操作系统的功能 。我们已向多个人权组织分享了我们能够提供的信息,并与它们合作通知民间社会。

WhatsApp表示,他们仍在调查此事,现在说有多少用户受到间谍软件的影响还为时过早,这暗示受影响的人只是被特定选择的人。据报道,WhatsApp上周向美国司法部披露了这一问题,并于上周五开始在其服务器部署修复程序。

WhatsApp 告诉用户,确保他们在设备上运行的是最新版本的应用。公司还建议用户确保其移动操作系统是最新的,以确保得到适当的保护,防止旨在访问手机上数据的潜在目标漏洞。

Pegasus 间谍软件通常被授权给政府机构,政府机构使用它来访问调查目标的移动设备。

NSO Group在一份声明中说, 其技术被 “授权的政府机构用于打击犯罪和恐怖活动”。公司并不运行该系统,经过严格的许可和审查程序,情报和执法机构自行决定如何利用该技术支持其公共安全任务。该公司表示,他们随时在调查任何“可信的滥用指控,必要时我们采取行动,包括关闭系统”。

它补充说: “在任何情况下,NSO Group都不会参与其技术的操作或目标的确定,而其技术完全由情报和执法机构操作。NSO Group不会或不能自行使用其技术针对任何个人或组织 “。

阅读英国《金融时报》的完整报告

调查显示消费者非常关心他们的隐私、安全以及如何处理他们的个人信息

根据IPSOS Mori代表互联网协会和消费者国际在美国、加拿大、日本、澳大利亚、法国和英国进行的调查,超过一半(55%)的人不信任他们的互联网设备会保护他们的隐私,而且相似的比例(53%)不相信互联网设备会负责任地处理他们的信息。

互联设备无处不在, 许多人愿意成为物联网 (IoT) 变革的一部分。69% 的受访者表示, 他们拥有如智能电表、健身监控、互联网玩具、家庭助理或游戏机等互联网玩具。

不过, 多个消费者组织在一系列新上市的产品中测试发现, 大部分产品几乎没有考虑到基本的安全和隐私保护。

调查结果显示, 77% 的消费者表示, 有关隐私和安全的信息是他们决定购买产品的重要考虑因素, 近三分之一 (28%)没有互联网设备的人不会因为这些问题而购买智能产品。消费者认为这与成本一样是一个障碍。

互联网协会总裁兼首席执行官安德鲁·沙利文 (Andrew Sullivan) 表示: “调查结果显示, 物联网制造商需要在设计产品时考虑到安全和隐私。”安全不应该是后顾之忧。很明显, 制造商和零售商需要做更多的工作, 以便消费者能够信任他们的物联网设备。

hlwdc1

接受调查的人还认为, 互联设备问题的责任应该由监管机构、制造商和零售商承担。88% 的调查对象认为监管机构应确保物联网隐私和安全的标准, 81% 的人认为制造商需要提供这种保证, 80% 的人认为零售商必须解决隐私和安全问题。60% 的市场参与者认为消费者对其互联网设备的安全和隐私负有主要责任。

消费者国际总干事海伦娜·勒伦特说: “消费者告诉我们, 他们承认他们对物联网产品的安全和隐私负有一定责任, 但事实并非如此。他们和我们都希望看到制造商、零售商和政府在这个问题上采取切实行动。这必须是一项集体努力, 而不是某一个群体的责任。

“我们正在探讨与积极制造商的对话。我们正在共同寻找创造以人为本的技术的机会, 人们不仅喜欢使用, 而且感到这样做是安全和有保障的。通过做这项业务, 可以解决那些不参与这项技术的人的担忧, 并向每个人开放物联网的好处。

调查参与者的其他主要结果显示:

  • 84% 的澳大利亚人同意制造商应该只生产可以保护隐私和安全的互联网设备。
  • 82% 的澳大利亚人同意零售商应确保他们销售的互联网设备具有良好的隐私和安全标准。
  • 在实际拥有互联网设备的澳大利亚人中,有 64% 的人认为设备收集个人及其行为的数据的方式 “令人毛骨悚然”。

WPA3 协议报安全漏洞,黑客可轻易窃取 Wi-Fi 密码

研究人员在 WPA3 Wi-Fi 安全协议中发现了一些漏洞,这些漏洞的严重程度足以让黑客轻松获得 Wi-Fi 密码。

WPA3 于2018年1月由 Wi-Fi 联盟推出。WPA3 声称在各种方面都优于 WPA2, 例如保护免受离线词典攻击和前向保密, WPA3 认证的目的也是使 Wi-Fi 网络更加安全。但是, 研究显示, WPA3 存在许多设计缺陷。

纽约大学阿布扎比分校的研究人员 Mathy Vanhoef 和特拉维夫大学的 Eyal Ronen 发现了 WPA3 Wi-Fi 认证协议中的缺陷。他们在一篇技术论文中发表了他们的研究结果。Vanhoef 还发现了在2017年影响 WPA2 的 KRACK 漏洞。

研究人员发现了几个针对WPA3协议的攻击,他们把这些攻击分为三类。

第一类包括对支持 WPA3 的设备的降级攻击。可以使支持WPA2 / WPA3 的设备强制使用WPA2 ,然后使用对WPA2 类型的攻击方法。

第二类利用WPA3 Dragonfly握手系统的缺陷, 这些缺陷为黑客提供了足够的信息, 可以使用侧信道信息推断出密码。

最后一类是拒绝服务攻击。攻击者可以通过绕过 WPA3用于阻止使用假 MAC 地址的技术来消耗接入点的资源。只需要每秒16次伪造的连接尝试,就可以使网络停止服务。

研究人员还发现了 EAP-PWD 的严重缺陷。这是一种使用密码进行身份验证的协议。它用于 Android 4.0 和使用 RADIUS 协议的远程访问服务器。一些 Wi-Fi 网络也使用它。这些缺陷允许攻击者在不知道用户密码的情况下模拟用户并访问 Wi-Fi 网络。

研究人员在公布调查结果前通知了 Wi-Fi 联盟, 然后发布了新闻稿。针对这些问题, Wi-Fi 联盟澄清说, 所有这些漏洞都可以通过简单而定期的软件更新来解决。

美国执法部门利用谷歌的 Sensorvault 获取位置数据

据《纽约时报》报道,美国警方利用搜索巨头谷歌 Sensorvault 数据库中的信息协助全国刑事案件。Sensorvault 数据库拥有全球数亿部手机的详细位置记录。其目的是收集谷歌产品用户的信息,以便该公司能够更好地通过广告针对他们,并看看这些广告的效果如何。

但警方也一直在利用这个数据库协助调查案件。执法部门可以获得“地理围栏”搜查令,寻找位置数据。根据报道,这种搜查令在过去6个月中激增,在一周内最多曾收到的请求多达180份。

谷歌拒绝回答有关 Sensorvault 的具体问题, 但表示, 公司已经缩小了向警方提供多少可识别信息的范围。

谷歌执法和信息安全总监理查德·萨尔加多在一份声明中说: “我们大力保护用户的隐私, 同时支持执法的重要工作。我们为这些具体请求创建了一个新的流程, 旨在履行我们的法律义务, 同时缩小所披露数据的范围, 并仅生成在法律要求的情况下识别特定用户的信息 “。

据介绍, 对于地理围栏搜查令, 警方划分出一个特定的区域和时间段,谷歌可以从 Sensorvault 收集有关该窗口期间存在的设备的信息。这些信息是匿名的, 但警方可以对其进行分析,并将其缩小到他们认为可能与调查有关的几个设备,然后谷歌才向警方披露这些用户的姓名和其他数据。

执法部门在调查期间寻求科技公司帮助的情况并不少见。但 Sensorvault 数据的使用引发了人们对无辜民众被牵连的担忧。例如, 《纽约时报》采访了一名去年在谋杀调查中被捕的男子, 据报道, 谷歌的数据将他送进监狱。但一周后, 当调查人员查明并逮捕了另一名嫌疑人时, 他随即被释放。

 

微软确认网页邮件服务遭黑客入侵

微软向 TechCruch 证实,在今年 1 月 1 日至 3 月 28 日期间,有黑客利用客户支持代表的登录资料,入侵了旗下网页邮件服务的少数帐号。

微软表示,目前可以确定包括 Outlook.com、Hotmail 和 MSN 信箱等旗下邮件服务都有受到影响,黑客的入侵行为可能导致部分用户的电子邮箱中文件夹名、主题行泄露,但是邮件的具体内容和附件不受影响,目前尚不清楚有多少用户受到黑客行为的影响,也尚不清楚是谁发起了对其他账户的非法访问。

微软在声明中表示,受影响的用户只占很少一部分,当中约有6%的用户的邮件内容存在泄漏风险,但微软并没有透露具体的泄漏数字。根据微软正在提供欧盟数据保护官(DPO)所需的联络资料,显然部分的帐号是来自于欧盟地区。同时,企业帐号并未受到本次事件影响。

然而,外媒Motherboard采访到一位了解微软此次Outlook邮件服务被黑的知情人士,这位知情人士表示黑客不仅可以看到Outlook、MSN和Hotmail邮件账户的邮件主题和文件夹,具体的邮件内容也可以获取,甚至还可以编辑邮件正文。同时这位知情人士还向Motherboard提供了截图。

据了解,今年三月前就有消息人士向媒体透露,黑客可通过一个客户支持门户进入任意微软Outlook邮件账户,但企业账户除外,也就是说,企业付费之后获得的企业账户不会受到影响,只有普通消费者账户才会受到威胁。