近期安全动态和点评（2019年3季度）

★隐私保护

◇十个你需要关闭的 Windows 10 隐私设置

◇监视技术的全球化趋势

在中国之后，越来越多的国家部署 AI 去跟踪公民。卡内基国际和平基金会称，有至少 75 个国家在使用人脸识别等 AI 工具。它发表了报告《The Global Expansion of AI Surveillance》。xuz免费翻墙网
使用某种形式 AI 的国家有自由民主国家如美国和法国，但更多是专制政府。报告称，华为、海康威视、大华和中兴为首的中国科技公司向世界输出了大量 AI 监控技术。其它如日本的 NEC、美国的 IBM、Palantir 和思科都是 AI 监控技术的主要供应商。xuz免费翻墙网
中国还为外国政府购买中国的监控工具提供了贷款。肯尼亚、老挝、蒙古、乌干达和乌兹别克斯坦等国，如果没有中国的贷款不太可能采购 AI 监控工具。

◇面部识别

ZAO的火爆可以说是在一夜之间。自8月30日上线，不到24小时，这款 APP 就以火箭般的速度在各应用商店免费应用排行榜中蹿升至第二位，同期更是微博热搜前十话题。xuz免费翻墙网
xuz免费翻墙网
但是却有细心用户发现其用户协议里暗藏玄机。协议中有一条写道：用户上传发布内容后，意味着同意授予 ZAO 及其关联公司以及 ZAO 用户在“全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利”。xuz免费翻墙网
xuz免费翻墙网
这就等同于用户在使用该APP时同时也将自己的肖像权“转让”了出去。ZAO 及其所属公司陌陌可以利用用户的肖像做任何其他事情。其危险可想而知。

国内媒体报道，在一网络商城上，有商家公开兜售 “人脸数据”，数量达17万条。报道称这些 “人脸数据” 覆盖2000人的肖像，除了人脸位置的信息外，还有人脸的106处关键点，如眼睛、耳朵、鼻子等的轮廓信息。这其中有明星也有普通市民，还有部分未成年 人。店家称，自己平时从事人工智能的相关工作，因此收集了很多人脸数据，发售出来 “挣个饭钱”，并不提供当事人的人名和身份证号等信息。记者举报后，商品被下架。有律师表示，此举已涉嫌侵犯他人隐私权。

◇手机应用在【不】授予权限的情况下，依然能收集相应数据

◇多款知名的国产 app 存在隐私问题

国家计算机病毒中心发布了《移动 APP 违法违规问题及治理举措》。其中 APP 和 SDK 存在的六大类问题，包括远程控制、恶意扣费等八大类恶意行为、涉嫌侵犯公民个人隐私、涉嫌超范围采集公民个人隐私等。xuz免费翻墙网
其中，MOMO 陌陌（版本8.18.7）、今日头条（版本7.2.7）、京东金融 （版本: 5.2.32）、云闪付（版本: 6.2.6）等下载量很高的应用也名列其中。

◇（新疆）中国边检人员在过境旅客手机安装监控软件

中国政府在入境游客手机上秘密安装一种应用软件，搜集并监控游 客私人信息。《南德意志报》周三（7月3日）报道说，取名为“蜂采”的这一手机应用可获取游客各种信息，从电邮、短信、驻地或通信名单，无所不包。此前， 《南德意志报》与北德意志电台、英国《卫报》、美国《纽约时报》等传媒共同做了评估。xuz免费翻墙网
xuz免费翻墙网
根据这一报道，受到影响的是从吉尔吉斯斯坦经由陆路进入新疆的游客。他们在边境口岸被要求解码手机，警察拿上手机进入另外一个房间，在那里将应用软件置入手机。xuz免费翻墙网
xuz免费翻墙网
新出现的情况是，似乎所有经陆路进入的外国人都已成为手机检查的目标。游客们在边境口岸被要求解码手机，警察拿上手机进入另外一个房间，在那里装上这一应用软件，并且不对当事人详加解释。

出现在蜂采源代码的名称显示，该应用程序由南京烽火星空通信发 展有限公司（Nanjing FiberHome StarrySky Communication Development Company）制作，烽火星空是烽火通信科技股份有限公司（FiberHome）的子公司，后者是一家光缆和电信设备生产商，部分归中国政府所有。烽火 星空在其官网表示，它提供的产品可以帮助警方收集和分析数据，并表示该公司已与中国各地的安全机构签署了合作协议。

◇【五眼联盟】计划在 WhatsApp 内置政府后门

◇美国互联网巨头被重罚

◇斯诺登又走红了

★高危漏洞

◇Microsoft 的漏洞

微软修复了四个远程桌面服高危漏洞，漏洞允许恶意程序像蠕虫一样传播，整个过程无需用户操作。xuz免费翻墙网
编号为 CVE-2019-1181、CVE-2019-1182、CVE-2019-1222 和 CVE-2019-1226 允许未经授权的攻击者通过发送特制信息执行任意代码。漏洞影响 Windows 7、8 和 10，以及 Server 2008、2012、2016 和 2019。xuz免费翻墙网
和今年五月修复的 BlueKeep 漏洞不同的是，它影响最新的 Windows 操作系统，而 BlueKeep 主要影响旧版本。在漏洞被逆向工程前计算机必须尽快打上补丁。

Google Project Zero 安全团队的研究员 Tavis Ormandy 报告，微软鲜为人知的 CTF 协议存在漏洞，很容易利用，已在受害者计算机获得立足之地的黑客或恶意程序可以利用该漏洞劫持任何 Windows 应用，接管整个操作系统。xuz免费翻墙网
......xuz免费翻墙网
漏洞影响到 XP 以来的所有 Windows 版本，不清楚微软是否或何时会释出补丁。

安全公司 Eclypsium 的研究人员在硬件和固件安全研究中发现，至少 20 家供应商的 40 多个 Windows 设备驱动存在高危漏洞，允许绕过或提权。xuz免费翻墙网
这些设备供应商包括了华硕、东芝、英伟达和华为。这些设备驱动被广泛使用，并获得了微软的数字签名，允许攻击者能更方便秘密的渗透到目标网络。xuz免费翻墙网
设备驱动通常都具有非常高的权限，其中包括进行修改的权限，允许攻击者在系统中获得永久的立足之地。Eclypsium 已经通知了微软，英伟达已经释出了修复的驱动。

◇Google 的漏洞

趋势科技 Zero Day Initiative 的研究人员披露了 Android 操作系统的一个 0day 提权漏洞，允许在受影响设备上已获得低访问权限的攻击者进一步提升权限。xuz免费翻墙网
漏洞位于捕捉实时视频的 V4L2 驱动中，是在执行操作前未验证对象的存在导致的。安全专家称，已获得 V4L 子系统访问权限的应用或代码可利用该漏洞进行提权。发现漏洞的安全研究人员称在3月通知了 Google，6月 Google 确认漏洞将会修复，但到了8月 Google 表示没有进一步的更新。漏洞至今没有修复。

◇Apple 的漏洞

Google Project Zero 安全博客披露了被利用了两年多时间的 iOS 漏洞，TechCrunch 则援引消息来源称此事与中国有关。xuz免费翻墙网
Google 称，今年早些时候，它的安全团队发现了一组遭到入侵的网站利用 iOS 0day 漏洞对网站的访客不加区分的发动水坑攻击。如果成功利用，攻击者会在访客的 iPhone 手机上安装监视程序，这些网站每周大约有数千访客。攻击者使用可五个不同的 iPhone 利用链，组合了 14 个漏洞，其中浏览器 7 个，内核 5 个，还有两个沙盒逃逸，至少 1 个提权利用链属于 0day。

 1/4    1 2 3 4 下一页 尾页