免费SS | 加入收藏 | 设为首页 | 我要投稿 | 赞助本站 | RSS
 

freefq.comfree——免费、自由fq——翻墙

困在墙内,请发邮件到freefqcom#gmail.com获得最新免费翻墙方法!
您当前的位置:首页 > 网络安全

近期安全动态和点评(2019年3季度)

时间:2019-10-07  来源:编程随想的博客  作者:
文章目录vO7免费翻墙网
★隐私保护vO7免费翻墙网
★高危漏洞vO7免费翻墙网
★网络与 WebvO7免费翻墙网
★移动设备vO7免费翻墙网
★网络攻击与网络战vO7免费翻墙网
★言论审查与网络屏蔽vO7免费翻墙网
★安全工具vO7免费翻墙网
★硬件与物理安全vO7免费翻墙网
★密码学vO7免费翻墙网
★安全编程vO7免费翻墙网
vO7免费翻墙网
  明天开始放假,俺选在9月最后一天,发这篇3季度的《近期安全动态和点评》。vO7免费翻墙网
  这篇有点长,外部链接有点多。来不及看完的同学,可以在假期慢慢看。

★隐私保护

 

◇十个你需要关闭的 Windows 10 隐私设置

vO7免费翻墙网
  大名鼎鼎的《连线》杂志发了一篇文章(如下),介绍 Windows 10 的隐私选项。vO7免费翻墙网
The Windows 10 Privacy Settings You Should Check Right NowvO7免费翻墙网
vO7免费翻墙网
  编程随想注:vO7免费翻墙网
  这些选项都涉及【数据收集】,并且默认是【启用】状态。vO7免费翻墙网
  即使把这些选项都关掉之后,你依然无法确保——微软不再收集你的隐私数据。但“禁用”总比“启用”更保险一些。vO7免费翻墙网
  至于那些善于捣鼓技术的同学,完全可以告别 Windows,并切换到某种 Linux 发行版之下。

◇监视技术的全球化趋势

vO7免费翻墙网
AI 监视扩大到全世界 @ Solidot
在中国之后,越来越多的国家部署 AI 去跟踪公民。卡内基国际和平基金会称,有至少 75 个国家在使用人脸识别等 AI 工具。它发表了报告《The Global Expansion of AI Surveillance》。vO7免费翻墙网
使用某种形式 AI 的国家有自由民主国家如美国和法国,但更多是专制政府。报告称,华为、海康威视、大华和中兴为首的中国科技公司向世界输出了大量 AI 监控技术。其它如日本的 NEC、美国的 IBM、Palantir 和思科都是 AI 监控技术的主要供应商。vO7免费翻墙网
中国还为外国政府购买中国的监控工具提供了贷款。肯尼亚、老挝、蒙古、乌干达和乌兹别克斯坦等国,如果没有中国的贷款不太可能采购 AI 监控工具。
  编程随想注:vO7免费翻墙网
  面对技术监控的这种趋势,有必要再次重温 EFF 创始人的那篇《赛博空间独立宣言》。vO7免费翻墙网
每周转载:EFF 创始人约翰·佩里·巴洛和他的【赛博空间独立宣言】

◇面部识别

vO7免费翻墙网
南京中国药科大学试点面部识别 @ SolidotvO7免费翻墙网
瑞典禁止学校部署面部识别技术 @ SolidotvO7免费翻墙网
vO7免费翻墙网
  编程随想注:vO7免费翻墙网
  上述两条新闻,放在一起对照,令人印象深刻啊。vO7免费翻墙网
vO7免费翻墙网
ZAO App 换脸玩大了,陌陌被工信部约谈要求自查整改 @ 搜狐
ZAO的火爆可以说是在一夜之间。自8月30日上线,不到24小时,这款 APP 就以火箭般的速度在各应用商店免费应用排行榜中蹿升至第二位,同期更是微博热搜前十话题。vO7免费翻墙网
vO7免费翻墙网
但是却有细心用户发现其用户协议里暗藏玄机。协议中有一条写道:用户上传发布内容后,意味着同意授予 ZAO 及其关联公司以及 ZAO 用户在“全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利”。vO7免费翻墙网
vO7免费翻墙网
这就等同于用户在使用该APP时同时也将自己的肖像权“转让”了出去。ZAO 及其所属公司陌陌可以利用用户的肖像做任何其他事情。其危险可想而知。
vO7免费翻墙网
网店出售人脸数据引发争议
国内媒体报道,在一网络商城上,有商家公开兜售 “人脸数据”,数量达17万条。报道称这些 “人脸数据” 覆盖2000人的肖像,除了人脸位置的信息外,还有人脸的106处关键点,如眼睛、耳朵、鼻子等的轮廓信息。这其中有明星也有普通市民,还有部分未成年 人。店家称,自己平时从事人工智能的相关工作,因此收集了很多人脸数据,发售出来 “挣个饭钱”,并不提供当事人的人名和身份证号等信息。记者举报后,商品被下架。有律师表示,此举已涉嫌侵犯他人隐私权
 

◇手机应用在【不】授予权限的情况下,依然能收集相应数据

vO7免费翻墙网
More than 1,000 Android apps harvest data even after you deny permissions @ CNETvO7免费翻墙网
vO7免费翻墙网
  编程随想注:vO7免费翻墙网
  文中提到了某些技巧,比如说——vO7免费翻墙网
  某个 app 虽然没有权限拿到“地理位置信息”,但可以收集手机中拍摄的照片,从照片的 EXIF 元数据中可以提取到“地理位置信息”。vO7免费翻墙网
  咱们还可以更进一步设想——vO7免费翻墙网
  如果该 app 有照相机的权限,就可以定期拍照,提取 EXIF 元数据之后再删除照片——就可以不断跟踪用户的位置变化。

◇多款知名的国产 app 存在隐私问题

国家计算机病毒中心发布了《移动 APP 违法违规问题及治理举措》。其中 APP 和 SDK 存在的六大类问题,包括远程控制、恶意扣费等八大类恶意行为、涉嫌侵犯公民个人隐私、涉嫌超范围采集公民个人隐私等。vO7免费翻墙网
其中,MOMO 陌陌(版本8.18.7)、今日头条(版本7.2.7)、京东金融 (版本: 5.2.32)、云闪付(版本: 6.2.6)等下载量很高的应用也名列其中。
 

◇(新疆)中国边检人员在过境旅客手机安装监控软件

vO7免费翻墙网
  编程随想注:vO7免费翻墙网
  在上一期的《近期安全动态和点评》中才说到:前些年,俺在博客评论区与读者交流时就提到过——新疆警方可以随意盘查路人手机(以“反恐”的名义)。vO7免费翻墙网
  如今更牛逼了,新疆警方不仅可以随意盘查手机,还可以在手机上强制安装某个【监控软件】。以下是外媒的报道。vO7免费翻墙网
vO7免费翻墙网
中国边警在游客手机中安装监控 App @ 德国之声
中国政府在入境游客手机上秘密安装一种应用软件,搜集并监控游 客私人信息。《南德意志报》周三(7月3日)报道说,取名为“蜂采”的这一手机应用可获取游客各种信息,从电邮、短信、驻地或通信名单,无所不包。此前, 《南德意志报》与北德意志电台、英国《卫报》、美国《纽约时报》等传媒共同做了评估。vO7免费翻墙网
vO7免费翻墙网
根据这一报道,受到影响的是从吉尔吉斯斯坦经由陆路进入新疆的游客。他们在边境口岸被要求解码手机,警察拿上手机进入另外一个房间,在那里将应用软件置入手机。vO7免费翻墙网
vO7免费翻墙网
新出现的情况是,似乎所有经陆路进入的外国人都已成为手机检查的目标。游客们在边境口岸被要求解码手机,警察拿上手机进入另外一个房间,在那里装上这一应用软件,并且不对当事人详加解释。
vO7免费翻墙网
  编程随想注:vO7免费翻墙网
  上述报道中提及了监控软件名为【蜂采】。下面这篇提到了这款软件的出处。vO7免费翻墙网
vO7免费翻墙网
在新疆,你手机上不能有的73000项内容 @ 纽约时报
出现在蜂采源代码的名称显示,该应用程序由南京烽火星空通信发 展有限公司(Nanjing FiberHome StarrySky Communication Development Company)制作,烽火星空是烽火通信科技股份有限公司(FiberHome)的子公司,后者是一家光缆和电信设备生产商,部分归中国政府所有。烽火 星空在其官网表示,它提供的产品可以帮助警方收集和分析数据,并表示该公司已与中国各地的安全机构签署了合作协议。
 

◇【五眼联盟】计划在 WhatsApp 内置政府后门

vO7免费翻墙网
  五眼情报联盟(美国、英国、加拿大、澳大利亚、新西兰)7月底8月初在伦敦举行峰会,讨论“加密聊天应用”所带来的挑战。vO7免费翻墙网
  美国佬(NSA)偏爱的是【算法后门】——类似的事情,NSA 已经干过好多次了(当年斯诺登曝光的【棱镜门丑闻】,包括其中一些)。vO7免费翻墙网
  而英国佬(GCHQ)提出了一个更狡猾的【ghost protocol】解决方案——通过修改聊天服务器的软件,在“单独聊天”或“群聊”时候,让某个【幽灵用户】参与其中。正常用户看不到这个 ghost,但 ghost 可以看到其它用户的聊天内容。vO7免费翻墙网
vO7免费翻墙网
  知名的密码学大牛 Bruce Schneier 在其个人网站连发两篇帖子(如下),表达了【反对意见】。vO7免费翻墙网
Facebook Plans on Backdooring WhatsApp @ SchneiervO7免费翻墙网
More on Backdooring (or Not) WhatsApp @ SchneiervO7免费翻墙网
vO7免费翻墙网
  编程随想注:vO7免费翻墙网
  俺本人反对“互联网监控”,不管是来自民主政权还是专制政权。vO7免费翻墙网
  更多的讨论,参见4年前(2015)写的《“对抗专制、捍卫自由”的 N 种技术力量

◇美国互联网巨头被重罚

◇斯诺登又走红了

vO7免费翻墙网
  斯诺登的自传《永久记录》(洋文“Permanent Record”)最近开始发售(此书的封面,是他的大头照,如下)
不见图 请翻墙
vO7免费翻墙网
  然后,美国政府对 Edward Snowden 提起民事诉讼,反而引发“史翠珊效应”,导致更多人关注此书。vO7免费翻墙网
  这本书刚出来,俺还没去找电子版。有空的话,会把电子版分享到俺的网盘vO7免费翻墙网
  引申阅读:vO7免费翻墙网
中美政府信息监控的差异——“棱镜门”丑闻随想vO7免费翻墙网
vO7免费翻墙网
vO7免费翻墙网

★高危漏洞

 

◇Microsoft 的漏洞

微软修复了四个远程桌面服高危漏洞,漏洞允许恶意程序像蠕虫一样传播,整个过程无需用户操作。vO7免费翻墙网
编号为 CVE-2019-1181、CVE-2019-1182、CVE-2019-1222 和 CVE-2019-1226 允许未经授权的攻击者通过发送特制信息执行任意代码。漏洞影响 Windows 7、8 和 10,以及 Server 2008、2012、2016 和 2019。vO7免费翻墙网
和今年五月修复的 BlueKeep 漏洞不同的是,它影响最新的 Windows 操作系统,而 BlueKeep 主要影响旧版本。在漏洞被逆向工程前计算机必须尽快打上补丁。
vO7免费翻墙网
  编程随想注:vO7免费翻墙网
  俺特地在上述引文中标注了粗体,提醒大伙儿注意。vO7免费翻墙网
vO7免费翻墙网
微软 CTF 协议曝出漏洞 @ Solidot
Google Project Zero 安全团队的研究员 Tavis Ormandy 报告,微软鲜为人知的 CTF 协议存在漏洞,很容易利用,已在受害者计算机获得立足之地的黑客或恶意程序可以利用该漏洞劫持任何 Windows 应用,接管整个操作系统。vO7免费翻墙网
......vO7免费翻墙网
漏洞影响到 XP 以来的所有 Windows 版本,不清楚微软是否或何时会释出补丁。
  编程随想注:vO7免费翻墙网
  俺特地在上述引文中标注了粗体,提醒大伙儿注意。vO7免费翻墙网
vO7免费翻墙网
研究人员发现 40 多个存在漏洞的 Windows 设备驱动 @ Solidot
安全公司 Eclypsium 的研究人员在硬件和固件安全研究中发现,至少 20 家供应商的 40 多个 Windows 设备驱动存在高危漏洞,允许绕过或提权。vO7免费翻墙网
这些设备供应商包括了华硕、东芝、英伟达和华为。这些设备驱动被广泛使用,并获得了微软的数字签名,允许攻击者能更方便秘密的渗透到目标网络。vO7免费翻墙网
设备驱动通常都具有非常高的权限,其中包括进行修改的权限,允许攻击者在系统中获得永久的立足之地。Eclypsium 已经通知了微软,英伟达已经释出了修复的驱动。
 

◇Google 的漏洞

趋势科技 Zero Day Initiative 的研究人员披露了 Android 操作系统的一个 0day 提权漏洞,允许在受影响设备上已获得低访问权限的攻击者进一步提升权限。vO7免费翻墙网
漏洞位于捕捉实时视频的 V4L2 驱动中,是在执行操作前未验证对象的存在导致的。安全专家称,已获得 V4L 子系统访问权限的应用或代码可利用该漏洞进行提权。发现漏洞的安全研究人员称在3月通知了 Google,6月 Google 确认漏洞将会修复,但到了8月 Google 表示没有进一步的更新。漏洞至今没有修复。
 

◇Apple 的漏洞

Google Project Zero 安全博客披露了被利用了两年多时间的 iOS 漏洞,TechCrunch 则援引消息来源称此事与中国有关vO7免费翻墙网
Google 称,今年早些时候,它的安全团队发现了一组遭到入侵的网站利用 iOS 0day 漏洞对网站的访客不加区分的发动水坑攻击。如果成功利用,攻击者会在访客的 iPhone 手机上安装监视程序,这些网站每周大约有数千访客。攻击者使用可五个不同的 iPhone 利用链,组合了 14 个漏洞,其中浏览器 7 个,内核 5 个,还有两个沙盒逃逸,至少 1 个提权利用链属于 0day。
来顶一下
返回首页
返回首页
欢迎评论:免登录,输入验证码即可匿名评论 共有条评论
用户名: 密码:
验证码: 匿名发表

推荐资讯

苹果手机iphone的iOS版赛风浏览器
苹果手机iphone的iOS版
SGreen VPN-Simple Green & Safe下载链接
SGreen VPN-Simple Gr
Free VPN unlimited secure hotspot proxy by vpnify
Free VPN unlimited s
VeePN解除阻止网站 - 解除阻止代理应用程序
VeePN解除阻止网站 -
相关文章
栏目更新
栏目热门
墙外新闻
读者文摘

你可以访问真正的互联网了。You can access the real Internet.

管理员精中特别提醒:本网站域名、主机和管理员都在美国,且本网站内容仅为非中国大陆网友服务。禁止中国大陆网友浏览本站!若中国大陆网友因错误操作打开本站网页,请立即关闭!中国大陆网友浏览本网站存在法律风险,恳请立即关闭本站所有页面!对于您因浏览本站所遭遇的法律问题、安全问题和其他所有问题,本站均无法负责也概不负责。

特别警告:本站推荐各种免费科学上网软件、app和方法,不建议各位网友购买收费账号或服务。若您因付费购买而遭遇骗局,没有得到想要的服务,请把苦水往自己肚子里咽,本站无法承担也概不承担任何责任!

本站严正声明:各位翻墙的网友切勿将本站介绍的翻墙方法运用于违反当地法律法规的活动,本站对网友的遵纪守法行为表示支持,对网友的违法犯罪行为表示反对!

网站管理员定居美国,因此本站所推荐的翻墙软件及翻墙方法都未经测试,发布仅供网友测试和参考,但你懂的——翻墙软件或方法随时有可能失效,因此本站信息具有极强时效性,想要更多有效免费翻墙方法敬请阅读本站最新信息,建议收藏本站!本站为纯粹技术网站,支持科学与民主,支持宗教信仰自由,反对恐怖主义、邪教、伪科学与专制,不支持或反对任何极端主义的政治观点或宗教信仰。有注明出处的信息均为转载文章,转载信息仅供参考,并不表明本站支持其观点或行为。未注明出处的信息为本站原创,转载时也请注明来自本站。

鉴于各种免费翻墙软件甚至是收费翻墙软件可能存在的安全风险及个人隐私泄漏可能,本站提醒各位网友做好各方面的安全防护措施!本站无法对推荐的翻墙软件、应用或服务等进行全面而严格的安全测试,因此无法对其安全性做保证,无法对您因为安全问题或隐私泄漏等问题造成的任何损失承担任何责任!

S. Grand Ave.,Suite 3910,Los Angeles,CA 90071

知识共享许可协议
本作品采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可。