Tag: 安全漏洞

【加拿大都市网】网络订购商品是不是要担心信息全都泄露呢？如果在沃尔玛网络商城(Walmart.ca)订了东西后，可以发现客户的姓名、运送和帐单地址、订单日期、付款方式以及所使用的信用卡的最后四位数字都完整展示出来，要轻松泄漏个人机密信息非常容易。 CTV报道，无论是在安省订购一台1,500元的笔记本电脑，或在萨省订一台700元的自行车，或在卑诗省买婴儿用品，结果都是一样，每个客户的资料都已经摊在阳光下。 巴蒂亚（Sanjay Bhatia）是沃尔玛的网络订购客户，他偶然发现该公司的网购系统存在着一位安全专家所说的高度敏感数据暴露漏洞，从事IT工作的他觉得这太离谱了。“这是一个巨大的漏洞。我被吓坏了，非常生气，因为，我的东西都在网上。没有人希望自己的讯息就那样摆在那里让人看。” CTV通过巴蒂亚的说明，发现果然能够轻松地在沃尔玛网站上复制一些步骤而能调集到全国大量的客户订单，但在亚马逊的网站上(Amazon.ca)尝试了类似的步骤，却没有客户敏感信息被曝光。 Walmart.ca上显示的信息包括完整的客户名称、帐单邮寄地址，无论产品是送货到家庭地址还是沃尔玛在店内取货。还可以查看订单是否使用Visa，Mastercard，Amex或PayPal付款。 CTV向沃尔玛取得联系后，可用于访问个人信息的网页已重定向到用于网络购物的“联系我们”页面。 但是巴蒂亚发现仍然可以通过Walmart.ca上的另一个相关网页访问客户信息，CTV查询后，该页面随后也被禁用。 沃尔玛发言人格拉希尼克（Adam Grachnik）在一封电子邮件声明中说：“我们非常重视客户隐私，并制定了许多安全协议来保护它。今天这个问题引起我们的注意，出于谨慎考虑，我们立即禁用了该网页。我们正在进一步调查此事。” 网络安全专家史蒂文斯(Yuan Stevens)认为这种数据泄漏的安全漏洞并不罕见，已出现在Open Web Application Security Project（OWASP）2017的十大常见网站安全风险列表中。 史蒂文斯也是漏洞赏金计划的专家（公司会激励人们发现系统中的漏洞），史蒂文斯指出，沃尔玛不太激励道德黑客为公司寻找安全漏洞，依照该公司规定，如果有人发现漏洞，“可能有资格获得赏”。相比之下，亚马逊的激励措施很明确，根据发现的漏洞的严重程度，支付的费用从100元到15,000元不等。 据openbugbounty.org称，2017年有人在沃尔玛的墨西哥网站上发现漏洞时，公司花了6个月的时间对其进行修复。黑客公司Hackerone的数据显示，亚马逊的响应和解决问题的速度快多了，平均时间为22天。 史蒂文斯认为沃尔玛的对网络工程的重视度远不如亚马逊，它们不激励民众发现漏洞，又要花很长时间才修补好安全问题。在应用程序安全性测试的immuniweb.com上，沃尔玛评价为B，得分在60到69之间，相比之下，Amazon.ca的得分为A，或者得分在90到99之间。 史蒂文斯说，如果网站上存在多个弱点，黑客可以透过漏洞，从而给公司或网站用户带来更大的风险，这些风险可能包括身份欺诈，欺骗个人的身体心理或造成财务伤害。 图：CTV v01 （文章来源：星岛综合）

美国苹果公司iPhone及iPad的“邮件”（Mail）应用程式，被揭存在安全漏洞，可能令超过5亿部手机容易被黑客窃取资料。苹果公司表示已知悉存在有关漏洞，将在下次更新时推出修补程式。 去年底，三藩市手机安全公司ZecOps在调查一个北美洲客户遭到的网攻时，发现这种漏洞。除了iPhone，iPad也存在这种漏洞。ZecOps行政总裁亚伯拉罕（Zuk Avraham）表示，一个恶意程式至少从2018年1月开始，就利用苹果iOS作业系统的弱点。他并发现证据显示黑客利用这个漏洞，至少侵入了另外5间公司，分别位于日本、德国、沙特和以色列，但无法判定黑客是谁。 苹果公司发言人表示已知悉iPhone与iPad的“邮件”应用程式存在漏洞，并已开发出修补程式，会在下次更新时推出。 亚伯拉罕表示，黑客可能从远端启动这个漏洞后，侵入高知名度的用户。受害者会从邮件App收到一封空白电邮讯息，导致手机当机或重开，这期间黑客就可窃取装置内其他资料，例如相片和联络资讯。 亚伯拉罕怀疑这种黑客手法只是连串恶意软体的其中一环，其他的手法尚未被揭发。ZecOps宣称这种漏洞让黑客得以远端窃取iPhone资料，就连最近版本的iOS也无法幸免。

美国 Google 集团的研究人员发现，苹果公司开发的上网浏览器 Safari 出现多重安全漏洞，容许第三方追踪及窥探用户的上网行为，例如浏览过甚么内容。 伦敦《金融时报》周三引述消息人士透露，根据一份即将发表的研究报告，Safari 浏览器内一种专门用来保护用户私隐的工具，出现漏洞，让第三方可以轻易取得电脑用户的敏感资料，例如他们的上网习惯。 该报指出，Alphabet 集团旗下的 Google 早于去年8月，已把这个漏洞通知苹果公司。去年12月，苹果公司一名工程师发表网志，证实收到 Google 研究人员的通知，而苹果的科研人员已经作出补救行动，堵塞那些漏洞。 苹果公司发言人周三也作出回应，证实 Safari 曾经存在 Google 研究人员所说的安全漏洞，但强调已于去年作出修正。

1月3日消息，社交新闻网站Reddit用户Dio-V曝光了自家小米摄像头的隐私安全问题。Dio-V将小米摄像头连接在Google Nest Hub上时，意外发现了其他人屋内的影像。影像中清晰可见房屋的各种设施、物品摆设，其中包括婴儿正在熟睡的场景。 这一问题迅速引发了Reddit社区内的讨论。许多网友怀疑如果自家安装了小米摄像头，这些涉及隐私的私人场景也将有可能出现在其他人的电子设备上。 对此谷歌回应称已经了解该问题，但这一问题与Google Nest Hub无关。公司已经切断了小米摄像头的访问权限，并且将在设备上全面禁用小米集成功能，目前正在联系小米以解决这一问题。这意味着包括小米摄像头在内的全部米家产品集成功能和命令都将被禁用，谷歌称目前这一禁令已经开始生效。 目前Reddit社区中有用户反映Google Nest Hub设备仍然能连接小米摄像头，但Dio-V确认自家摄像头捕捉的图像的确已经无法在Google Nest Hub上显现。Dio-V表示这一产品是自己最近在电商平台上购买的，因此不可能存在之前有人使用过的问题。 但就目前情况看，这一漏洞还并不具有普遍性。在Dio-V曝光这一问题后，并没有其他人跟进报告小米摄像头的隐私安全问题。这表明在目前看来，其影响的范围是有限的。 这并非是智能家庭安全摄像头第一次出现这样的问题，Google Nest此前被发现存在一个系统漏洞，这一漏洞让Nest相机将信息提供给以前的帐户持有人，直到谷歌对其进行修补问题才得以解决。此前也曾有亚马逊智能家用摄像头系统被黑客入侵，导致用户私人场景在互联网平台上被直播的负面消息。 调查机构Strategy Analytics发布《2019年智能家居监控摄像头市场预测和分析》指出，2019年全球消费者将在智能家居摄像头（包括可视门铃）上支出近80亿美元，并以14%的复合年增长率增长至2023年近130亿美元。 针对家庭安全监控市场，360、小米、华为、中兴等企业入场已超过5年。小米摄像头价格在百元上下，并涉及户外版、侦测人形版等多款产品版本，并已拥有了超过千万的用户数量。Reddit社区上已有小米用户对摄像头暴露出的隐私安全漏洞表示忧虑，截至发稿，小米还尚未对界面新闻就这一问题做出具体回应。（界面，图片来源网络）

据加通社新闻报道，谷歌表示最近发现的电脑英特尔处理器重大安全漏洞，在AMD处理器，智能手机，平板电脑也有，用户将受到影响。本周三关于电脑硬件问题可能引发的数据泄露引起轩然大波，重要隐私数据，包括用户密码等，在该漏洞影响下可能会被黑客攻破。更严重的是，如果用户根据提示升级软件以修复漏洞，又会令电脑运行速度大大减慢。该漏洞曝出的时候仅出现在电脑因特尔处理器上，但谷歌近日表示，不只是英特尔处理器，AMD处理器，手机，平板电脑等用ARM处理器的设备也将受到不同程度的影响。消息一传出，各大科技电子产品纷纷安慰用户。苹果称最新版本的iOS，macOS和tvOS系统安全防护已经升级，Safari网页浏览器也即将升级。苹果公司表示测试结果显示受到漏洞影响的几率小于2.5%.Google表示最新版本的安卓系统已经升级了安全防护，使用Chrome浏览器及Chromebook电脑的用户或许需要下载升级。C04