网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】Let’s Encrypt 2019:保持强劲增长 并带来振奋人心的新功能

2019-01-02 09:40 推荐: 浏览: 0 views 字号:

摘要: 谷歌针对短信推出垃圾电邮保护功能据CIO 12月31日报道,经近六个月的研发,谷歌针对Messages为安卓用户推出了垃圾电邮保护功能。12月28日晚间报道,据部分知情人报道,目前已上线该垃圾电邮保护功能,但并非对所有人开放。 某些用户一打开Messages便...

谷歌针对短信推出垃圾电邮保护功能据CIO 12月31日报道,经近六个月的研发,谷歌针对Messages为安卓用户推出了垃圾电邮保护功能。12月28日晚间报道,据部分知情人报道,目前已上线该垃圾电邮保护功能,但并非对所有人开放。 某些用户一打开Messages便可看见名为“全新垃圾电邮保护”的提示。 该报道补充道,“此次改变似乎是针对服务器方面的,目前只对部分设备部署了该功能,因为在我们测试过的其他设备(包括我自己的)中尚未开放该功能。若您的设备已开放该功能,您启动Messages时,便可看见类似上文的通知。”

参考来源:

https://www.easyaq.com/news/2127221107.shtml

最热门硬件密币钱包被曝芯片级和固件级漏洞研究人员展示了某些硬件密币钱包的安全性有多脆弱。安全专家测试了 Trezor One、Ledger Nano S 和 Ledger Blue 应对供应链和侧信道攻击的能力,找到了多个芯片级和固件级的漏洞。研究员 Dmitry Nedospasov、ThomasRoth 和 Josh Datko 在6月份开始研究工作,并设法找到了多种攻陷目标密币钱包安全的方法。在周四举办的混沌通信会议 (3C) 上,研究人员展示了攻击者如何在抵达终端用户之前篡改设备或以伪造的变体替代。

参考来源:

http://hackernews.cc/archives/24524

 Guardzilla 家庭摄像头录像可遭任何人访问Guardzilla 一体化视频安全系统是一个提供室内视频监控的家庭安全平台。GZ501W 型号的摄像头包含一个共享的用于在亚马逊云中存储视频数据的硬编码亚马逊 S3 凭证,Rapid 7的研究人员指出,“嵌入式 S3 凭证对所有 账户的S3存储桶都具有无限制的访问权限。这是通过对设备配置的固件静态分析完成的。一旦提取出固件,root 密码 ‘GMANCIPC’ 就遭到破解,而亚马逊 S3 桶的访问密钥就被恢复。”攻击者能够使用这些访问密钥连接到亚马逊 S3 账户并访问和该服务相关的多种存储桶,包括名为“免费视频存储”、“永久免费视频存储”、“收费视频存储”和“永久收费视频存储”的内容。

参考来源:

http://codesafe.cn/index.php?r=news/detail&id=4638

Let’s Encrypt 2019:保持强劲增长 并带来振奋人心的新功能Let’s Encrypt 是一家不以盈利为目的提供免费 CA 证书的机构,它旨在让全世界所有的互联网服务能够简单自动化部署加密协议,让 HTTPS 能够在所有的网站中普及。在 2019 来临之际,Let’s Encrypt 项目负责人、ISRG 执行董事及前 Mozilla 雇员 Josh Aas 发文公布了 Let’s Encrypt 的 2019 年计划,并对 2018 年做了一个简短的回顾。Josh Aas 表示 Let’s Encrypt 的 2018 是美好的一年,目前已为超过 1.5 亿个网站提供服务,同时保持着良好的安全性和合规性记录。最重要的是,根据 Mozilla 的统计数据,加密的 Web 页面在 2018 年从 67% 增加到了 77%。这是一个十分值得骄傲的增长率。

参考来源:

https://www.cnbeta.com/articles/tech/803857.htm

未经用户同意,某些流行安卓应用程序与脸书共享用户的数据“隐私国际”(Privacy International)组织研究了脸书对开发员的数据共享安排,这些开发员会将该公司的SDK整合到他们的应用程序中。研究发现,逾61%参与测试的应用程序会在用户打开应用程序时,自动将数据传输至脸书,且该情况不受用户是否拥有脸书账户或是否登录脸书影响。 研究还发现,某些应用程序会定期向脸书发送极为详细的敏感数据。同样,未登录或没有脸书账户的用户也受该情况影响。

参考来源:

https://www.easyaq.com/news/799333403.shtml

为绕过安全系统,黑客在谷歌云存储上托管恶意程序的实体据报道,网络犯罪分子通过滥用谷歌合法云存储服务托管恶意程序的实体,并通过绕过安全控制破坏企业网络。该攻击是攻击者针对谷歌云存储服务域storage.googleapis.com发起的,而全球多家公司使用的都是该服务域。 自八月起,该活动主要针对银行的员工及位于美国及英国的金融服务公司。 该攻击起初是通过大规模电邮方式分发的,电邮中包含指向由谷歌云服务托管的恶意网站的钓鱼链接。 研究人员经分析发现,有4,600个网络钓鱼网站使用了合法托管服务,也可称为“名誉联网”,该方法可借知名的流行托管服务来躲避检测。

参考来源:

https://www.easyaq.com/news/1333024362.shtml

201811月十大最活跃恶意软件榜单发布:Emotet木马再度崛起Check Point最新发布的全球网络安全威胁指数显示,在经历了数次重大更新升级之后,Emotet木马重新回到了十大最活跃恶意软件榜单中,而Coinhive加密货币矿工已经连续12个月占据榜首。在今年11月份,Check Point的研究人员发现了多起旨在传播Emotet木马的恶意活动,这也是导致Emotet木马能够重新在该榜单的占领一席之地的诱因所在。从Check Point发布的指数来看,Emotet木马不仅重新回到了榜单中,而且排在了第7位。

参考来源:

https://www.hackeye.net/threatintelligence/18234.aspx

联系站长租广告位!

中国首席信息安全官


关闭


关闭