百度瀏覽器恐導致個資外洩,上千App受影響
加拿大多倫多大學研究人員發現,百度提供外部使用的軟體開發套件(SDK),以及利用該套件開發的瀏覽器蒐集用戶個資以明碼或容易被破解的加密法傳輸到百度伺服器,使用戶曝露在個資外洩的風險,影響App恐達上千個。
隸屬於多倫多大學的公民實驗室2月23日發表研究成果,指中國網路搜尋龍頭百度公司針對Android與Windows平台推出的百度瀏覽器存在安全風險。
Android版本會傳輸包括GPS座標、搜尋紀錄、網頁瀏覽紀錄等個資以明碼傳送至百度伺服器,並將使用者行動裝置的IMEI碼與所在位置附近的無線網路資訊,以極易破解的加密法加密後傳輸回百度。(詳全文)
Google大資料雲管理平臺上市,叢集執行快十倍
.jpg)
(圖片來源/Google)
Google雲端管理服務Cloud Dataproc推出GA版,支援Hadoop 2.7.2、Spark 1.6、Hive 1.2.1和Pig 0.15以下的版本,且支援客製化虛擬機器服務,以分鐘計價。同時,Google也宣布了Cloud Dataproc的技術和服務合作夥伴。(詳全文)
新聞網站別怕DDoS爆量攻擊,Google要出手相助聯防
Google新設立的孵化器Jigsaw旗下的Project Shield專案已經協助獨立網站對抗分散式阻斷服務攻擊(DDoS)近3年,如今這項服務將開放給全球的新聞網站免費申請使用,以對抗日益增加、以DDoS來妨害言論自由的管制行為。
Jigsaw總裁Jared Cohen在2月25日透過官方部落格表示,將開放Project Shield供全球新聞、人權與選舉監察團體的網站免費申請使用,由Google本身的基礎架構來協助這些網站對抗可能的DDoS攻擊,以免相關內容因而無法正常傳播給讀者。(詳全文)
API漏洞讓駭客得以遠端操控Nissan電動汽車
(圖片來源/Nissan)
資安人員發現,透過NissanConnect EV這個程式的漏洞,不但可用來遙控自己的車子,還能透過輸入車輛識別碼來控制別人的車輛系統。VIN為每部汽車的獨特編號,Leaf車款的VIN就張貼在擋風玻璃上。Nissan Leaf與Nissan eNV200兩種電動車都可操控。(詳全文)
勒索軟體盯上醫院,繼美國後德國多家醫院受害
勒索軟體犯罪組織已經盯上醫院,繼日前美國好萊塢長老教會醫療中心被勒索1萬7千美元,德國也陸續有醫院遭勒索軟體迫害,近期起碼有兩家醫院被勒索軟體入侵,其電腦系統的檔案被加密鎖住,導致資訊系統無法運作,醫院只能靠電話、傳真、紙本作業。
據德國媒體Deutsche Welle報導,位於德國諾伊斯(Neuss)市的Lukas醫院(Lukaskrankenhaus),以及北萊茵威斯特法倫(Rhine-Westphalia)州的Arnsberg醫院(Klinikum Arnsberg),在2月中皆因駭客攻擊,而緊急關閉醫院的網路系統,以至於醫療資訊系統無法運作,醫院的作業流程被迫回到傳統的電話傳真與紙本作業模式,醫療資訊只能透過傳真來傳送,醫院也無法接受新病人,而重大的手術也被迫延期或轉診。(詳全文)
新Wi-Fi技術超省電,耗電僅傳統無線的萬分之一
(圖片來源/University of Washington)
被動Wi-Fi系統所使用的傳輸電力只有傳統Wi-Fi的1/10,000,為低耗電藍牙(BLE)或Zigbee的1/1000,傳輸速率最高可達每秒11Mb,雖速度上比一般Wi-Fi來得慢,但卻是藍牙速率的11倍。(詳全文)
小心Silverlight零時漏洞遭惡意網站攻擊
以Kafeine之名著稱的安全研究人員發現微軟Silverlight一項零時攻擊漏洞已經由駭客工具企圖並透過植入網站以感染用戶。
被攻擊的是微軟一項Silverlight Runtime遠距程式碼執行漏洞,編號為CVE-2016-0034。在沒有修補的系統上,如果使用者被誘騙點入連結,造訪了包含刻意變造的Silverlight應用程式,就會遭到感染攻擊。受影響的平台包括Windows與Mac。(詳全文)
新Raspberry Pi單板電腦上市!售價35美元
(圖片來源/Raspberry)
Raspberry Pi 3在架構上的改善與處理器的升級讓它的時脈增加了33%,與32位元的Raspberry Pi 2相較,效能改善了50到60%,若與2012年的第一代Raspberry Pi比較,效能則大幅躍進10倍。新的單板電腦並把LED移到與SD卡插槽同一邊,以空出位置來容納天線。(詳全文)
SSL安全風暴再起,全球33%HTTPS網站曝風險
安全漏洞DROWN是一個典型的跨協定攻擊(cross protocol attack),這類的攻擊透過SSLv2協定漏洞去攻擊採用TLS協定的安全連結。駭客可藉機進行中間人攻擊,破解加密傳輸,讀取機密流量,涵蓋密碼、信用卡號碼或金融等資料。(詳全文)
Windows Defender進階威脅防護服務亮相
(圖片來源/微軟)
Windows Defender進階威脅防護提供的是攻擊突破企業網路後的防禦陣線,它整合Windows 10現有內建的用戶端技術、雲端分析服務及安全研究團隊,提供攻擊事件相關資訊,包括攻擊者、攻擊目標與發生原因,並提供應變的建議。其底層技術包括Windows行為感測器、微軟的機器學習分析及「智慧安全圖譜」(Security Graph)。(詳全文)
Docker Cloud問市!併購Tutum結果揭曉
Docker公司在去年10月併購容器(Container)線上管理服務公司Tutum後,Tutum共同創辦人Borja Brugos在3/1宣布正式推出Docker Cloud雲端服務。
Docker Cloud是在Tutum原本的服務之上,進一步整合Docker Hub、Docker ID、Docker Repository及商業版Docker引擎(CS Engine),此外亦提供Docker Cloud討論區,提供用戶相關討論服務。(詳全文)
Jenkins終於推出2.0版,可快速建立整合測試流程
跨平臺的開源持續整合(Continuous Integration)軟體Jenkins,歷經5年的發展後,終於進入2.0版本了。
Jenkins 2.0 Alpha版已經釋出,新版強調Pipelines as Code的概念,首度增加「流程(Pipeline)」功能,讓整合測試流程的組態設定可用程式碼來定義,並且透過程式碼簽入與版本控管的功能,可以快速建立簡單的整合測試流程。至於較複雜的流程,亦可透過Groove程式語言來控制。(詳全文)