摘要: 谷歌工程师在无聊之余破解了办公区的安全门禁系统据外媒报道,去年 7 月的时候,谷歌工程师David Tomaschik 发现了一个软件漏洞,使之能够打开园区里的一闪门,这原本应该配合 RFID 钥匙卡才能生效。在砍掉了一些代码之后,Tomaschik 将之发送...
谷歌工程师在无聊之余破解了办公区的安全门禁系统
据外媒报道,去年 7 月的时候,谷歌工程师David Tomaschik 发现了一个软件漏洞,使之能够打开园区里的一闪门,这原本应该配合 RFID 钥匙卡才能生效。在砍掉了一些代码之后,Tomaschik 将之发送到了公司的网络上,然后很快就见到办公室的门禁指示灯从红色变成了绿色。Tomaschik 发现自己能够做到这一点,而不会留下任何有关其行为的数字记录。反之,他也能够阻止谷歌员工打开原本应该准许其进入的大门。万幸的是,公司已经对其网络进行了细分,以防止出现严重的后果。与此同时,Software House 加强了自家安全门禁系统的加密形式,提出了一个需要在客户站点更换硬件的解决方案。
参考来源:
https://www.cnbeta.com/articles/tech/764053.htm
Google的Tink 库让你丢掉手中成百上千页的密码学书籍
近日,谷歌在其安全博客中详细介绍了其开源的一款多语言、跨平台加密开发库Tink,该加密软件库用以帮助内部开发人员提供安全的加密代码。谷歌介绍,在内部,Tink 已经被用于保护许多产品的数据,如 AdMob、Google Pay、Google Assistant、Firebase 与 Android Search App 等。Google 在两年前将 Tink 于 GitHub 上开源,此次借着其第一个支持云、Android 与 iOS 的 1.2.0 版本发布,谷歌为开发者介绍了它的特性、意义与使用示例等内容。
参考来源:
https://www.leiphone.com/news/201808/nG3xrSFX2iLQVGGr.html
英美等五眼联盟(Five Eyes)国家发布声明要求科技企业自愿提供后门
美国、英国、澳大利亚、新西兰和加拿大五眼联盟(Five Eyes)国家政府发布联合备忘录,要求各大科技企业向政府提供其加密产品的后门,以供执法部门有能力获得访问权。如果企业拒绝提供,那么这些政府会寻求技术的、执法的、 立法机构的或者其它手段,进入加密的设备或者服务。
这份声明来自上周召开的五眼联盟(Five Eyes)国家会议,五眼联盟,是指二战后英美多项秘密协议催生的多国监听组织,联盟国之间互相分享敏感情报。在声明中,五国政府向科技企业施压,要求提供加密产品的后门以供在犯罪调查时“合法”访问设备。该声明鼓励企业自愿向政府提供后门,如果科技企业拒绝并且阻挠,政府将采用强制措施集中力量进行加密破解。
参考来源:
https://www.cnbeta.com/articles/tech/764195.htm
Android漏洞经WIFI泄露设备信息,Kindle都未能幸免
Nightwatch网络安全研究公司公布了他们发现的重要漏洞:Android操作系统的系统广播向设备上运行的所有应用程序暴露了用户设备的信息。泄露的信息包括WiFi网络名称,BSSID,本地IP地址,DNS服务器信息和MAC地址。其中一些信息(MAC地址)不再通过Android 6或更高版本的api访问,通常需要额外的权限才能访问其余的信息。但是,通过监听这些广播,设备上的任何应用程序都可以捕获这些信息,从而绕过任何权限检查和现有的缓解措施。
参考来源:
https://www.hackeye.net/securityevent/15998.aspx
Github 造假产业链曝光,花钱就能买 Star
最近知乎上出现了一篇《中国内地 GitHub 造假呈指数级增长,其背后是……》的文章,将Github上伪造 Star 数量的现象推到风口浪尖。由于国内有些公司在招聘开发者的时候,会要求面试者展示自己开发的个人项目,并会将此作为依据之一衡量开发者的技术水平。而国内一些开发者为了谋求一个好的工作,就想到了花钱对自己开发的个人项目进行包装,包括:刷 Star、刷 Fork 等,而这样的服务不但真实存在,而且只要你有需要,连 Pull Request 都能请中介帮搞定。一些热心的网站随后展开调查发现,这样的产业链的确存在,某宝中介会通过邮件或群聊向有需要的人兜售服务.
参考来源:
https://www.oschina.net/news/99612/fake-star-on-github
窃听风云: 你的MikroTik路由器正在被监听
MikroTik是一家拉脱维亚公司,成立于1996年,致力于开发路由器和无线ISP系统。奇虎旗下的安全实验室报告,7500+ 台 MikroTik 路由器被植入挖矿代码并将用户流量转发给攻击者指定的 IP 地址。Wikileaks 披露的 CIA Vault7 黑客工具 Chimay Red 涉及到 2 个 MikroTik de 漏洞利用,包括 Winbox任意目录文件读取(CVE-2018-14847)和 Webfig 远程代码执行漏洞。研究人员利用蜜罐发现恶意软件正在利用 MikroTik CVE-2018-14847 漏洞植入 CoinHive 挖矿代码,启用 Socks4 代理,监听路由器网络流量。通过对受害者 IP 分析,俄罗斯受影响最严重。
参考来源:
日本筑波市正在试验区块链在线投票系统
日本筑波市政府已成为批测试基于区块链的投票系统的国家机构之一,日本测试的这个系统主要是让居民投票选择城市发展项目。据日本时报报道,筑波政府,一个从20世纪60年代以来一直以科学发展而闻名的城市,于8月28日完成了一个区块链项目的测试,参与投票的总共由119票。这项技术主要是用于选出对于社会具有贡献意义的项目,主要面向的是基于政府网站的技术应用(包括物联网和人工智能)等。报告称,该系统将身份验证机与去中心网络集成在一起。在把身份证放在机器上进行身份核实后,选民们就可以选择他们喜欢的方案。该系统通过防篡改的分布式网络对选票数据进行加密和存储。
参考来源:
https://www.easyaq.com/news/2058915010.shtml
关于安全帮
安全帮,是中国电信北京研究院旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。
