一周安全要聞:4大瀏覽器被攻陷 Win10、支付寶改刷臉
原創(chuàng)說(shuō)起本周最大的新聞莫過(guò)于史上最難的著名黑客大賽Pwn2Own 2015的召開(kāi),最終這場(chǎng)精彩的黑客競(jìng)技賽以四大瀏覽器全部被攻陷,韓國(guó)黑客贏得冠軍圓滿結(jié)束。在歷時(shí)兩天的比賽中,Windows曝出了5個(gè)漏洞,IE 11 4個(gè),F(xiàn)irefox 3個(gè),Adobe Reader和Flash分別有3個(gè),Safari 2個(gè),Chrome 1個(gè)。
韓國(guó)的黑客Jung Hoon Lee贏得了Pwn2Own歷史上最高的單次利用獎(jiǎng)金——11萬(wàn)美元,而他在一天內(nèi)共贏得22.5萬(wàn)美元。他利用緩沖區(qū)溢出競(jìng)態(tài)狀態(tài)攻破了穩(wěn)定版和 beta版的Chrome,然后利用兩個(gè)Windows內(nèi)核驅(qū)動(dòng)的信息泄露和競(jìng)態(tài)狀態(tài)獲取了系統(tǒng)訪問(wèn)權(quán)限。Chrome的漏洞讓他贏得了7.5萬(wàn)美元,Windows權(quán)限提升漏洞又獲得了2.5萬(wàn)美元,再加上Google的Project Zero額外提供的1萬(wàn)美元獎(jiǎng)金,總共11萬(wàn)美元。這并不是他一天內(nèi)唯一的成就,Lee利用TOCTOU漏洞攻陷了IE11獲得了6.5萬(wàn)美元,利用未初始化堆棧指針漏洞攻破了Safari又獲得了5萬(wàn)美元。
Pwn2Own 2015:惠普發(fā)放出557,500美元獎(jiǎng)金
一年一度的央視315晚會(huì)比往年推遲了近一個(gè)小時(shí),但是遭曝光的企業(yè)依舊沒(méi)有被落下。而在這次的名單中,科技企業(yè)占據(jù)了約一半的席位。央視在315晚會(huì)現(xiàn)場(chǎng)演示了黑客利用免費(fèi)WiFi網(wǎng)絡(luò)竊取用戶郵箱賬號(hào)和密碼的過(guò)程。央視提醒消費(fèi)者,一旦郵箱賬號(hào)和秘密被竊取之后,黑客還會(huì)竊取用戶更多隱私的信息。對(duì)此安全專(zhuān)家建議,用戶不要鏈接不用密碼的WiFi網(wǎng)絡(luò),轉(zhuǎn)而多使用有密碼的WiFi網(wǎng)絡(luò)以及多用移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)。
專(zhuān)題:“315”披露虛假WiFi 信息泄露再成焦點(diǎn)
除以上兩則重要的新聞外,兩則關(guān)于生物識(shí)別認(rèn)證相關(guān)的報(bào)道非常值得關(guān)注。即是Windows 10將使用指紋、虹膜和臉代替密碼,以及支付寶準(zhǔn)備實(shí)現(xiàn)刷臉支付。
微軟宣布Windows 10 將引入生物識(shí)別認(rèn)證,指紋、虹膜和臉可以代替密碼。他們提供的解決方案包括 Windows Hello 和 Microsoft Passport 兩部分,其中:Windows Hello用于解鎖Windows 10設(shè)備。Microsoft Passport是Windows Hello的延伸,向app和網(wǎng)站開(kāi)發(fā)者開(kāi)放,用于登錄app、網(wǎng)站等。
Windows 10引入指紋、虹膜等生物識(shí)別認(rèn)證
阿里巴巴集團(tuán)董事局主席馬云近日在德國(guó)參加活動(dòng)時(shí),演示螞蟻金服的Smile to Pay掃臉技術(shù),為嘉賓從淘寶上購(gòu)買(mǎi)1948年漢諾威紀(jì)念郵票。據(jù)支付寶方面介紹,這項(xiàng)支付認(rèn)證技術(shù)由螞蟻金服與Face++ Financial合作研發(fā),在購(gòu)物后的支付認(rèn)證階段通過(guò)掃臉取代傳統(tǒng)密碼,這意味著,未來(lái)可以實(shí)現(xiàn)“刷臉支付”。
技術(shù)分析:
其實(shí)密碼控件就是密碼鍵盤(pán)的軟件實(shí)現(xiàn),在一個(gè)使用密碼控件的軟件系統(tǒng)中(多是網(wǎng)絡(luò)校驗(yàn)系統(tǒng)),密碼控件的整個(gè)軟件實(shí)現(xiàn)就相當(dāng)于整個(gè)物理的密碼鍵盤(pán),對(duì)于物理的數(shù)據(jù)線路和銀行終端這樣的角色,在密碼控件系統(tǒng)中沒(méi)有絕對(duì)的對(duì)應(yīng)。因?yàn)槊艽a控件可能只是簡(jiǎn)單的把用戶輸入的數(shù)據(jù)加密后發(fā)送到網(wǎng)絡(luò)上,這時(shí)候網(wǎng)絡(luò)就是物理的數(shù)據(jù)線路;而另一種情況是用密碼控件產(chǎn)生的數(shù)據(jù)流向整個(gè)本地程序的另一個(gè)模塊,這時(shí)候計(jì)算機(jī)內(nèi)存就成為了物理的數(shù)據(jù)線路的角色。
近幾年,我們已經(jīng)看到了很多關(guān)于家庭路由器遭受攻擊的報(bào)道。攻擊路由器的惡意軟件會(huì)將用戶的上網(wǎng)訪問(wèn)重定向到各種惡意站點(diǎn),其他的攻擊方式還包括植入后門(mén)和DNS劫持。在這些攻擊中,攻擊者針對(duì)家庭網(wǎng)絡(luò)的攻擊意圖和目的表現(xiàn)得非常明顯。
ATM Skimmers 直譯過(guò)來(lái)為“ATM分離器”,這是一種依附在正常自動(dòng)提款機(jī)上的惡意電子硬件設(shè)備。它偽裝成正常的鍵盤(pán)和銀行卡插槽,與原設(shè)備嚴(yán)絲合縫,普通用戶很難分辨。通過(guò)配合隱形攝像頭,犯罪分子竊取用戶輸入的密碼以及銀行卡數(shù)據(jù)。記錄到的密碼以及銀行卡信息發(fā)送的方式也多種多樣,有基于GSM通訊模塊的發(fā)送方式,還有藍(lán)牙發(fā)送的,方式很多。
ATM Skimmers配合隱形攝像頭獲取PIN及信用卡數(shù)據(jù)
其他熱點(diǎn):
這個(gè)U盤(pán)能讓你的計(jì)算機(jī)爆炸
