网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者的2000人超级QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】蓝牙加密配对漏洞曝光:请速更新操作系统或驱动程序

2018-07-26 09:30 推荐: 浏览: 72 views 字号:

摘要: 蓝牙加密配对漏洞曝光:请速更新操作系统或驱动程序据外媒报道,最近曝出的一个加密错误(Crypto Bug),对苹果、博通、英特尔、高通等硬件供应商的蓝牙实施和操作系统程序都产生了较大的影响。其原因是支持蓝牙的设备无法充分验证“安全”蓝牙连接期间使用的加密参数。...

蓝牙加密配对漏洞曝光:请速更新操作系统或驱动程序据外媒报道,最近曝出的一个加密错误(Crypto Bug),对苹果、博通、英特尔、高通等硬件供应商的蓝牙实施和操作系统程序都产生了较大的影响。其原因是支持蓝牙的设备无法充分验证“安全”蓝牙连接期间使用的加密参数。更准确的说法是,配对设备不能充分验证用在 Diffie-Hellman 密钥交换期间,生成公钥的椭圆曲线参数。该 bug 导致了弱配对,使得远程攻击者有机会获得设备使用的加密密钥,并恢复在“安全”蓝牙连接中配对的两个设备之间发送的数据。

参考来源:

https://www.cnbeta.com/articles/tech/750505.htm

李飞飞亲自宣布:Google 第三代 Cloud TPU 要来了7 月 24 日,Google Cloud Next 2018 大会在美国旧金山正式召开,本次大会有超过 20000人参与,可以说是规模最大的一次 Google 活动了。在大会的压轴环节,登台的是 Google AI首席科学家李飞飞。她在演讲中谈到,AI意味着赋能,而 Google 希望能够实现 AI 的民主化,从每个人到每一个公司——而 AutoML 毫无疑问在这个过程中扮演者重大角色。基于这一理念,在此前的 AutoML Vision 和 Cloud AutoML 基础之上,李飞飞公布了 Auto ML 的两个重大进展:AutoML Natural Language和AutoML Translation。

参考来源:

https://www.cnbeta.com/articles/tech/750473.htm

推特清理逾14.3万款应用 防止剑桥分析式丑闻据《财富》北京时间7月25日报道,Twitter当地时间星期二表示,它在2018年4-6月期间对恶意应用进行了清理,共下架逾14.3万款应用。Twitter曾在一篇博文中称,它“不容忍利用我们的API(应用编程接口)制造垃圾信息、操控会话、借助Twitter侵犯人们的隐私”。Twitter清理恶意应用正值Facebook的剑桥分析数据泄露丑闻发酵之际。Facebook面临国会议员的激烈批评:没有能阻止一名学术研究人员通过在其平台上开发的一款应用窃取大量用户信息。与Facebook和谷歌旗下YouTube一样,Twitter也因没有能阻止俄罗斯相关部门在其服务上创建账户,在美国大选期间传播虚假信息受到密切关注。

参考来源:

http://tech.ifeng.com/a/20180725/45081833_0.shtml

新版Chrome堪比小型杀毒软件:标记不安全HTTP,拦截恶意广告作为世界上最受欢迎的浏览器,7 月 24 日,Chrome 的版本号已经不知不觉更新到了 68。在安全方面,这一版 Chrome 也再创里程碑,它居然能直接标记出不安全的 HTTP 网站了。当然,这是今年 5 月谷歌早就透露的新版 Chrome 的重要功能。当时,它还宣布,从 Chrome 69 开始(今年 9 月发布),如果网页缺乏安全防护,HTTP/HTTPS 页面上就只会显示“不安全”的标记了,而 HTTPS 网页上的“安全”标记则会被移除。据 Cloudflare 推测,全世界流量排在前 100 万名的网站中,有 542605 个都不使用或将用户重新定向到 HTTPS 版本,这也就意味着,用户使用 Chrome 68 访问网页时,大概率会见到“不安全”的标记。

参考来源:

https://www.leiphone.com/news/201807/MO8AUNzBdBHpjHjm.html

恶意 EOS 合约存在吞噬用户 RAM 的安全风险据慢雾安全团队消息,慢雾安全团队收到慢雾区伙伴美图区块链实验室技术情报:恶意 EOS 合约存在吞噬用户 RAM 的安全风险。慢雾安全团队预警这类风险带来的攻击风险可能会很大,需要各大交易所、钱包、代币空投方、 DApp、用户等的警惕,避免遭受损失。慢雾安全团队与美图区块链实验室决定走这类风险的负责任披露过程,细节暂不直接公开,相关项目方如需提前了解详情并做修复,可以通过其官方邮箱联系慢雾安全团队。

参考来源:

http://www.bishijie.com/kuaixun_82603

安卓银行木马Exobot源代码泄露,大规模网络攻击可能随时到来据外媒报道,一款顶级安卓银行木马的源代码已经被泄露到了网上并迅速传播,这使得众多安全研究人员开始担心新一轮的恶意软件攻击浪潮可能正在酝酿之中。这个恶意软件被称为Exobot,一种安卓银行木马,于2016年底首次被发现。在今年1月份,其开发者放弃了对它的继续开发,并将其源代码进行了出售。对于被安全研究人员称之为MaaS(Malware-as-a-Service,恶意软件即服务)或CaaS(Cybercrime-as-a-Service,网络犯罪即服务)的经营模式来说,恶意软件的开发者通常只会按每月或每周收费来出售其恶意软件的使用权。如果恶意软件的开发者决定出售完整的源代码,这通常意味着他正准备开发其他的恶意软件,或者是“退出江湖”。在一般的情况下,当有人购买了这些源代码之后,它们很快就会网上出现。

参考来源:

https://www.cnbeta.com/articles/tech/750321.htm

奖金10万美元 约翰·迈克菲招募黑客攻击Bitfi数字钱包McAfee反病毒软件创始人约翰迈克菲最近在社交媒体上高调招募黑客攻击他公司新产品Bitfi数字钱包,他表示会给那些可以闯入Bitfi钱包的人提供10万美元奖金。约翰迈克菲表示,对于那些声称没有什么设备是不可破解的人来说,Bitfi钱包真的是世界上第一个不可攻击的设备,任何可以破解它的人都可获得10万美元的赏金。

Bitfi营销团队已经足够快速地制定了一些关于这场比赛的官方规则。这个团队表示:“我们坚信奖金的价值在于努力解决任何可能对Bitfi钱包安全性的担忧。这个赏金计划并不是为了帮助Bitfi识别安全漏洞,因为我们已经声称我们的钱包安全性是绝对的,并且钱包不会受到外部攻击的攻击或侵入。相反,这个活动旨在向任何声称或认为没有任何不可攻击或者他们可以侵入Bitfi钱包的人展示,这样的尝试是徒劳的,并且关于Bitfi钱包的广告声明是准确的。”

参考来源:

https://www.cnbeta.com/articles/tech/750649.htm

关于安全帮

安全帮,是中国电信北京研究院旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。

联系站长租广告位!

中国首席信息安全官


关闭


关闭