「关注安全」数十亿设备或将受到新的“ BLESA”蓝牙安全漏洞的攻击

如今,数以亿计的智能手机、平板电脑、笔记本电脑和物联网设备正在使用蓝牙软件,需要警觉的是,这些软件很容易受到今年夏天披露的一个新的安全漏洞的攻击。

该漏洞被称为BLESA (Bluetooth Low Energy Spoofing Attack),会影响运行Bluetooth Low Energy (BLE)协议的设备。

据悉,BLE是原始蓝牙(经典)标准的精简版,旨在节省电池电量,尽可能长时间保持蓝牙连接。由于其节省电池的特性,BLE在过去的十年中被广泛采用,成为一种几乎无处不在的技术。

由于这种广泛采用,安全研究人员和学者多年来也多次对BLE的安全缺陷进行调查,经常发现重大问题。

然而,以前关于BLE安全问题的绝大多数研究几乎都只关注于配对过程,而忽略了BLE协议的大部分内容。普渡大学( Purdue University )组成的一个研究团队在着手调查BLE协议后,发现了安全问题。

他们把工作集中在“重新连接”过程上。在配对操作期间,两个BLE设备(客户端和服务器)相互验证之后,就会执行此操作。

当蓝牙设备移出范围,然后再移回到范围内时,也会发生重新连接。

正常情况下,当重新连接时,两台BLE设备应该检查彼此在配对过程中协商的密钥,然后重新连接并继续通过BLE交换数据。

但是普渡大学的研究小组说,他们发现官方的BLE规范没有包含足够强的语言来描述重新连接的过程。因此,有两个系统问题影响了软件供应链:

  • 设备重新连接期间的身份验证是可选的,而不是强制的。
  • 如果用户的设备未能强制物联网设备对所通信的数据进行身份认证,则可能会绕过认证。

这两个问题为BLESA攻击打开了大门——在此期间,附近的攻击者就可以绕过重连接验证,并向带有错误信息的BLE设备发送欺骗数据,并诱导使用者和自动化流程做出错误决定。

随后,研究人员分析了多种用于支持不同操作系统,包括基于linux的物联网设备、安卓、iOS等上的BLE通信的软件栈,都容易受到BLESA攻击,而Windows设备中的BLE堆栈则不受影响。

虽然可以通过更新来修复漏洞,糟糕的是,根据以前BLE的使用统计数据,研究团队认为使用易受攻击的BLE软件栈的设备数量有数十亿。其中,有一些早期的设备并未内置更新机制,这意味着这些设备将永远无法修补漏洞

目前,这些设备的软件供应商对它们束手无策,正在等待一个补丁。

100万美元不能诱惑,那1000万,1亿呢?

近日,发生一件事,值得我们去思考,27岁的俄罗斯公民伊戈雷维奇·克里乌奇科夫(Igorevich Kriuchkov)在美国被起诉,罪名是招募特斯拉员工合谋在公司网络上安装恶意软件。

今年8月,美国当局逮捕了27岁的俄罗斯公民伊戈雷维奇•克里乌奇科夫(Igorevich Kriuchkov),原因是他试图招募目标公司的一名员工植入恶意软件。该男子于8月22日被捕,并于8月24日出庭。Kriuchkov向这名特斯拉员工提供了100万美元

据称,在7月15日至8月22日之间,Kriuchkov与同谋共谋招募特斯拉员工,将勒索软件引入内华达州工厂的特斯拉网络。 想法是,一旦引入该软件,他们便会从特斯拉网络中窃取文件,然后威胁说,如果不支付赎金,便会发布被盗的数据。

8月底,埃隆•马斯克(Elon Musk)证实,俄罗斯黑客曾试图招募一名员工,在电动汽车制造商特斯拉(Tesla)的网络中安装恶意软件。

特斯拉蒂证实,歹徒联系的员工是一名会说俄语的非美国公民,在特斯拉内华达州工厂拥有的锂离子电池和电动汽车组装工作。

这名员工的身份尚未透露,但他可以进入特斯拉电动汽车制造商的电脑网络。7月16日,这名俄罗斯公民通过WhatsApp联系了该员工,要求与他在内华达州斯帕克斯见面。

在与雇员见面几天后,Kriuchkov向雇员透露了他的计划,并表示愿意出价50万到100万美元。恶意软件将由Kriuchkov和同谋者提供。

随后,这名员工决定将此事告诉特斯拉,随后公司将此事报告给了联邦调查局。后续这名雇员与Kriuchkov进行了多次会面,这些会面都受到了FBI的监视。

8月22日,联邦调查局逮捕了Kriuchkov。

无论这件事的结果是什么,都值得我们去深思,电子化的普及,同时也是恶意软件的温床,这次是100万,没有成功,是他们小看了这个市场的价值,设想一下,如果是一个亿呢?

Google Chrome浏览器推出了安全DNS以提高用户隐私

Google的浏览器是目前最流行的浏览器之一,虽然很多国内用户都不知道chome的存在,但是国内目前大多数流行的浏览器都是基于chome的开源计划完成的,本质上都是加了马甲的chrome

近日,谷歌表示,Android系统中的Chrome浏览器将很快支持dns -over- https (DoH),该协议可加密和保护DNS查询以提高用户隐私。

其实,自Chrome 83发布以来,桌面版本的Chrome浏览器就已经提供了DoH支持。但是,该功能从未添加到Android和iOS版本中。

在今天的一篇简短的博客文章中,谷歌表示他们现在已经决定为Android用户启用DoH功能,在未来几周内将逐步在Chrome移动浏览器中启用DoH功能。

所有使用Chrome 85版本的用户,都将在浏览器的设置中看到一个名为“安全DNS”的新选项。

所有用户都将默认启用安全DNS选项,一旦打开,Chrome将尝试以加密的形式(通过DoH)进行DNS查询,并使用传统的纯文本DNS作为应急计划。

谷歌表示,该功能与Chrome的桌面版本具有相同的功能,这意味着用户不必修改Android的整体DNS设置。

取而代之的是,Chrome将使用内部具有DoH功能的DNS服务器的列表,并且如果用户已将其配置为操作系统范围的DNS设置,则Chrome将使用该服务器的DoH接口而不是默认的DoH接口,并用加密的明文DNS查询替换DoH即时查询

此外,如果用户不想将其Android设备的系统范围内的DNS服务器更改为支持DoH的DNS服务器,则Google还可让用户仅为其浏览器自定义Chrome的DoH服务器。

Chrome用户可以使用上面的屏幕快照中的第二个选项“ Choose another provider”,并添加他们要使用的DNS服务器的IP地址。由于此选项是在Chrome的设置中配置的,因此仅适用于Android版Chrome,不适用于整个Android操作系统。

此外,谷歌还表示,如果发现智能手机是托管环境的一部分,比如在企业网络中,针对Android的Chrome也会自动禁用DoH。在这类网络中,出于安全考虑,IT人员通常会部署企业范围的策略来控制公司的智能手机,而DoH有时可能会让用户受到攻击,因此谷歌不会在如此严格控制的环境中强制设置该设置。

另外,Google没有透露DoH何时进入iOS版Chrome。但是,这很可能还有很长的路要走,因为Apple最近才在iOS和macOS中增加了对DoH协议的支持。

二手iPhone的猫腻,美版iPhone你敢用吗?

二手 iPhone 市场一直都比较火热,丝毫不逊色于全新机的市场,主要因为近些年的 iPhone 新机定价过于昂贵,很多用户只能求其次选择价格更低的二手 iPhone 。
国内全新机千篇一律,但二手机各不相同,成色、版本甚至是功能都有差异。
在国内,选择二手机的时候,多数人只愿意选择国行机器,即机型为 CH/A 结尾的手机,而不愿意选择 LL/A 结尾的美版手机,即使后者更加便宜一点,你们知道这是为什么吗?
反正第一反应就是,国行肯定差不了,但是要说美版哪里不好,又不知道从何说起,反正内心一致认定国行要比美版好,毕竟贵有贵的道理,你们是不是这样想的?
但硬说美版 iPhone 辣鸡那是不对的,美版二手 iPhone 当中也有很多不错的手机,只不过相对国行比较乱、比较复杂一点,其中有包括版本、渠道等因素。
首先说说美版手机的来源吧!美国的手机怎么会被安排到国内来了呢?这或许是一个比较曲折和隐蔽的故事。
不知道大家有没有听说关于‘统货’这个词,这个词大概意思就是给商家一批质量层次不齐的货物,商家估算一个价格买入,如果里面好东西居多的话,那么你统货就赚大了,如果里面的手机质量多数是差的,那么能保本就不错了。
其实,每个生产行业几乎都有这种‘统货’交易行为,专门用来处理一些不良生产品。
/ 图片来自一号电讯
当美国的二手 iPhone 被收集来到香港之后,就会被香港的统货公司买下来,再对外进行销售。
统货卖手机不是论台的,而是论箱的,数量不定,但是会分成 ABCD 四个等级,里面会有一些进水机、无指纹机、无信号、无 WIFI 等机器,当然,也有好的机器。
一般都是一个人拿好几箱,数量基本都在100台以上才算得上统货。说是统货,其实也存在着竞标成分,每个装有 iPhone 的箱子前面都会有一个投票箱,在上面写上你的价格,谁出的价格高,货就归谁,很现实。
华强北就有很多这种前去香港统货的商家,拿回来之后就会对手机的成色、品质进行挑选,按照充新机、靓机、小花机、大花机、报废等标签进行分类,最后再商场里进行售卖,来自全国各地甚至其他东南亚国家的人都会过来挑选。
不过,话说回来了,这些货想从香港那边运过来,还必须要依赖水客的操作,什么是水客?就是我们平时经常看见深圳海关搜查到全身上下绑有 iPhone 的人,他们就像一个人肉背包一样,帮助客户把手机从香港运到大陆境内。
/ 题材为 iPhone 水客的电影《过春天》
如上所说,美版机器的来源渠道本身就很曲折,这种统货形式过来的水货机器,其中原版机的数量并不多,很多国内市场上售卖的美版二手 iPhone 都是有过小修小搞的,虽然使用起来问题不大。
这一点,就是很多人不喜欢美版的一点重要原因。
此外,在美国其实和国内一样,都有所谓的定制机,只能使用对应运营商的手机卡,这种手机流入到国内之后称之为有锁机;而另外一种公开版的机器,流入到国内之后,叫做无锁机。
无锁机倒是和国行机器没有什么差别,但是有锁机就显得比较头痛了,如果没有卡贴这个东西的辅助,有锁机在国内只能算个 MP4 ,连连 WIFI 、玩玩游戏还可以,但唯独不能打电话发短信。
所以呢,万一商家不安好心,在你不知情的情况下,给你安排了一台有锁机器,一旦升级了系统,你就会发现其中猫腻了。
第三点,所谓美版机器其实是个代名词,它不一定是真正的美版机器,而是所有水货的统称,也是一些瑕疵机的统称。
/ 还没有配备卡槽的翻新 iPhone
比如有人搞到了一些欧版的机器、俄罗斯版的机器,你要是跟人说是欧版、俄版,那估计是没人敢要了,所以商家一般都会统称它叫做美版机器,毕竟人们的观念里,苹果总部在美国,美国来的苹果不会差。
还有一些有瑕疵的 iPhone 也会被商家叫做美版,比如一台有问题的国行 iPhone,被维修或者被翻新后,商家将其包装成美版手机的身份,即使后面出了一些问题,也会以美版手机容易出问题为由搪塞处理,毕竟没有国行贵,客户也只能安慰自己便宜没好货了。
就是因为以上种种原因,美版二手 iPhone 才会让人听起来感觉很不靠谱。
但话说回来,咆哥这里也没有以偏概全的意思,优质的美版其实和国行是一样的,毕竟都是富士康生产的,还能分个三六九等不成?所以,买美版或者水货二手 iPhone 时,一定要找靠谱的人、靠谱的渠道哟!

小芦出售的所有二手良品,都经过本人细心检查和检测,有一说一,请放心!

「注意」你所使用的比特币交易平台很可能是假冒的

根据异常安全机构(Abnormal Security)的最新研究,网络犯罪分子一直在假冒著名的比特币BTC ERA交易平台,用恶意软件感染在线货币的用户。

这家网络安全公司发现,恶意行为者一直在发送据称来自BTC ERA交易平台的电子邮件,以此让比特币用户为他们认为是投资的行为付费。

自动发送的电子邮件以收件人的名字命名,并表示他们已被批准进行比特币交易,最低保证金为250美元开始。这条消息包含一个隐藏的网址,其文本显示为“创建一个账户”。单击此链接后,将有多个重定向,然后再登录到 theverifycheck.com 网页,而一旦登录到该页面后,会弹出一个请求允许显示来自该网站的通知。

如果用户单击“允许”,它就给予广告软件在其设备上运行的权限。虽然看起来好像什么都没有发生,但该网站实际上是在通过恶意软件监控用户的行为,并针对他们投放广告和垃圾邮件。

“异常安全补充说,诈骗者与电子邮件营销供应商持续联系,这使他们能够在同一时间向多个收件人发出攻击。它指出,与诈骗电子邮件相比,花费的精力少,反而更有效地撒网捕获毫无戒心的收件人。

异常安全网络安全战略副总裁廖肯Ken Liao表示:“我们看到,在过去几个月里,每周假冒比特币平台的攻击数量保持相对稳定。不过,从3月底到5月初,我们看到这些假冒平台的比率有所增加。”

他补充说:“我们建议组织及其员工仔细检查邮件的发件人和地址,以确保邮件来源合法。”不要只相信显示名称。此外,我们建议大家在登录之前,一定要仔细检查网页的网址。

“攻击者通常会隐藏恶意链接,或者将它们放置在单独的网站上,这些网站可以通过安全链接访问。”廖肯表示,如果网址看起来可疑,不要输入你的账号密码,一定要和公司的IT部门确认。

最后的IE,将于11月彻底离开我们

近日微软宣布,到今年11月,微软团队将不再支持IE11,并且到2021年8月中旬,微软365应用和服务将无法在旧版浏览器上运行。

“上述日期之后,客户的体验将下降,或者将无法连接到IE 11上的Microsoft365应用和服务。这意味着,用户在使用IE11访问微软365应用和服务时将会面临着降低体验或者无法访问的情况。”微软的工作人员

IE11,全称:Internet Explorer 11(简称IE11)是浏览器Internet Explorer的最后一个版本,由微软开发。正式版本随Windows 8.1于2013年10月17日发布。2013年11月7日发布于Windows 7。2015年7月29日上市的Windows 10会改以Microsoft Edge作为默认浏览器,但为了兼容性需求,Windows 10仍会内置IE11供用户选用。

IE 11是Windows系列操作系统的一部分,在过去几年里一直受到几个严重安全漏洞的困扰,其中有一些漏洞,在微软修复之前就被攻击者利用了。

据了解,微软将从明年3月开始,在Windows 10中发布其下一代Edge浏览器的先前版本。据了解,Edge的第一个版本已被基于Google开源Chromium引擎的新版本所取代。微软建议,用户使用新版Edge浏览器,以便更好地使用微软365办公软件应用和服务。

不过,微软将继续允许企业访问专门为IE构建的旧站点,直到Microsoft在Windows10中完全放弃对IE11的支持。

「漏洞」“查找我的手机”应用漏洞使三星手机用户遭黑客攻击

近日据外媒报道,一位研究人员在三星手机“发现我的手机”应用程序中发现了多个漏洞,这些漏洞可能已经被黑客链接在一起,以在三星Galaxy手机上执行各种恶意活动。

据悉,“查找我的手机”功能使三星设备的所有者可以找到丢失的手机,还可以远程锁定设备,阻止对三星支付的访问并彻底擦除设备的内容。近日,来自葡萄牙的网络安全服务提供商Char49的安全研究团队Pedro Umbelino在三星的“发现我的手机”应用程序中发现了多个漏洞,这些漏洞可以让黑客在三星Galaxy 手机上执行各种恶意活动。

研究人员称:“ Find My Mobile软件包中存在多个漏洞,最终可能导致智能手机用户完全丢失数据,恢复出厂设置,以及被实行实时位置跟踪,电话和短信检索等。”

Char49研究人员在“查找我的手机”组件中一共发现了四个漏洞,这些漏洞可以被仅安装在设备SD卡上的设备上安装的恶意应用所利用。黑客通过访问设备的SD卡,应用程序可以触发攻击链中的第一个漏洞,然后创建一个文件,攻击者使用该文件来拦截与后端服务器的通信。成功利用此漏洞将使恶意应用能够执行“查找我的手机”应用所允许的相同操作,包括强制恢复出厂设置,擦除数据,定位设备,访问电话和消息以及锁定和解锁电话。

虽然目前,三星解决了这些漏洞,但是专家还表示:“漏洞利用链可在未安装补丁的三星Galaxy S7,S8和S9 +设备上运行。此漏洞是很容易被黑客利用的,并可能对用户造成灾难性影响。”

「转」虚假机场网站大量浮现! FBI向航空旅客发出网络安全警告

据了解,美国网络监督特工康纳尔·惠特恩(Conal Whetten)周三在新闻界发表讲话时表示,人们需要提高对虚假机场网站的辨别能力。惠特恩还表示,随着网络犯罪分子不断提高其网站模仿能力,这些虚假的域变得越来越复杂,黑客们通过建立一个看起来带有组织徽标,字体,配色方案和书写风格的恶意域欺骗用户,使用户认为他们位于真实可靠的网站上,这对于对旅行者,机场和整个航空业构成了真正的威胁。

对于黑客的此类行为,惠特恩表示:“他们这样做是为了窃取用户和企业数据,同时美国机场网络是一个诱人的目标,因为有丰富的企业和个人信息会在机场官网上出现。”黑客在创建具有相似外观的恶意网站时,域名实际上与它们所模仿的站点相同,通常只是更改了一个字符,这种细微的差异并不容易被用户发现。

根据惠特恩的说法,犯罪分子创建了这些伪造的域,以传播能够危害用户的个人或企业数据的恶意软件,此数据被盗可能最终导致用户的身份盗用和经济损失。

通过虚假订票网站,黑客可以利用用户的社交媒体列表来欺骗他们的朋友和家人,甚至从在线网站进行欺诈性消费由受害者承担费用。据悉,一旦用户在虚假网站上预订了机票,黑客威胁就不会停止。网络参与者可以通过创建欺骗域和Wi-Fi网络来利用这一领域,从而欺骗旅客和机场运营商与恶意网站或电子邮件进行交互。

对于此类虚假网站大量出现的现象,网络安全专家建议用户禁用或删除所有不必要的软件协议和门户,并在可能的情况下使用多因素身份验证。 最后,惠特恩在描述这种特定的网络犯罪有多普遍时表示:“超过96%的公司遭受一种或多种此类形式的域名欺骗攻击。”

转自:www.easyaq.com

Apple新专利显示未来 Apple Pencil 可对现实世界物品进行采样

这才是我们为什么一直期待Apple的新品的主要原因,对未来的探索从未停止。

根据美国专利商标局本周发布的苹果专利申请显示,苹果正在探索新的 Apple Pencil 技术,该技术可以允许设备对现实世界中的颜色进行采样以用于数字艺术,绘画,编辑等场景。

该专利名为“带有颜色采样笔的计算机系统”,描述了一种“可能具有颜色传感器”的计算触控笔。据悉,颜色传感器将配备多个光电探测器,这些光电探测器能够测量不同颜色的通道光,这将使其能够检测和采样来自现实世界物体(例如花朵)的颜色。

触控笔还可以配备照明灯,以使光电探测器更容易准确地确定颜色,其余专利则描述了一种 Apple Pencil 状的设计,具有细长的主体,笔尖和相对的末端,尖端能够与触敏显示器一起使用。

借助这种技术,未来 Apple Pencil 的用户将可以进行诸如读取颜色的操作。触控笔将检测颜色,然后将其放入绘图程序的调色板中,在该程序中可以将颜色分配给画笔。苹果还暗示,颜色传感器可能还可以用于其他目的,例如校准显示器,校准打印机,进行与健康相关的测量以及识别家庭项目的油漆颜色,这将使 Apple Pencil 更加“神通广大”。

当然,未来 Apple Pencil 是否会增加颜色传感器还不得而知,但至少这一技术可以让我们窥探到苹果未来的计划。

【黑客】推特史上最大安全事故:奥巴马、马斯克公开索要比特币!FBI已介入调查

昨天恐怕是Twitter上上下下有史以来最忙乱的一天。

美西时间7月15日中午12点,Twitter——全球最为著名的社交媒体平台,在无声无息中突然被黑客大规模攻击,安全防线全面崩溃。

在几分钟之内,区块链行业内能叫得上名字的大V和官推全部被盗,公开发出同一条文字相同的推文,以慈善的名义向人索要比特币。被“强行乞讨”的官推包括币安、Gemini、Coinbase、Kucoin、Bitfinex、Tron、Bitcoin.org,以及有影响力的个人账号Charlie Lee、 孙宇晨等等等等。

部分被盗账号截图,图片来自engadget

除了币圈的人之外,就连包括美国前总统奥巴马,下一届美国总统竞选人拜登、说唱歌手侃爷,特斯拉CEO马斯克,亚马逊CEO贝佐斯,以及Apple 和Uber 的官方推特等在内的知名账号都纷纷发出了「我!名人!打钱!懂?」的信息。

黑客利用奥巴马的Twitter演戏,图片来自网络

黑客的戏也演得挺全,甚至以奥巴马的身份,在那条诈骗推文下面留言:“已经发了4万美金咯!”

截止目前为止,该诈骗账户已经产生了370余笔交易,总计诈骗金额已经达到12万美元。

目前,Twitter已经开始对黑客展开调查,而由于涉及到重要政治人物,美国联邦调查局(FBI)也已经对黑客的身份展开调查。FBI的介入说明此次事件已经上升到国家安全层面。

在Twitter上骗比特币也太容易了

此次黑客攻击事件,是 Twitter 公司历史上最严重的一次安全事件。无论Twitter公司的危机公关部门之后如何解释这件事,都无法将责任从自己身上洗下去。并且这种安全事故早在几年前就已经发生过。

从 2018 年开始,就有骗子冒充科技大佬及知名加密货币爱好者伊隆 · 马斯克(Elon Musk)。他们使用马斯克的头像,选择一个相似的用户名,然后发布一条仿佛天上掉馅饼一般的推文:借给我一些加密货币,我会还你更多。

此次事件发布的信息与2018年高度相似(此为本次事件截图)

这些骗子甚至会去马斯克的名下企业官推回复消息,例如去SpaceX回复消息,好让假账户看上去更真实。骗子还会通过水军散播虚假推文,也是为了增加真实性。这种【高仿号】诈骗的行为居然在Twitter上持续了数天之久。

尽管Twitter后来封禁了这些高仿号,但根据《独立报》在2018年11月的一份报告中显示,2018年在Twitter上冒充马斯克的诈骗者已经骗取了价值数十万美元的比特币。

而对于这次的事件,美国著名科技记者尼克 · 斯塔特(Nick Statt)表示:“这些知名大公司的官推和名人们的账号,都被卷入了这场Twitter史上最大的黑客攻击事件中,发布比特币诈骗信息。并且从美国东部时间下午4点开始发布诈骗推文直到5点45分这一个多小时中,Twitter始终没有做出任何回应和措施,大部分受害者也正是在这一个多小时中跌进诈骗陷阱的。”

两小时后 Twitter 简单地表示:公司已经禁用了认证账户的发推功能,或者已经重置了他们的密码,同时公司正在努力调查攻击的根本原因。

但是就在 Twitter 说明情况之前,许多用户已经发不出推文了。

Twitter对于此次事件的回应,图片来自Twitter截图

2018 年和这次的事件让人们看清楚了三件事。第一,总会有人上当受骗,每一次有人上当受骗,都会让其他诈骗者看到其中的巨大利益;第二,Twitter 对这种安全事件的处理缓慢,远不及该公司一早许下的会严肃对待这些问题的承诺;第三,Twitter的安全政策和技术手段往往是在诈骗事件发生后才制定实施的,这种做法几乎等于【亡羊补牢】。

既然事情已经发生,那么搞清楚黑客使用什么方式盗取用户账户密码才是最关键的事情。

大面积的盗号,黑客真的只为了骗钱?

根据《Vice》杂志的安全记者约瑟夫 · 考克斯(Joseph Cox)的报道,地下黑客社区的成员之间分享的屏幕截图显示,有人可以访问 Twitter 内部用于管理账户的工具。

考克斯表示:“有两名地下黑客社区的网友向媒体提供了一个内部控制面板的屏幕截图,称Twitter 的员工就是使用这个内部控制面板管理账户。” 而一名消息人士称,Twitter 的这个控制面板是用来更改某些账户的所有权。目前,Twitter 已经删除了这些控制面板的截图,并以【内容违反社区规则】封禁了发布这些截图的账户。”

根据考斯克的说法,这次安全事故并不是一次简单的黑客攻击。根据他的猜测,此次Twitter被攻击有可能存在两种情况:1.黑客成功破解了Twitter的用户管理系统;2.Twitter公司内部出现了内鬼,他利用职权盗取大V的账号并牟取私利。

图片来自The Verge

而根据Twitter公司说法,公司的安全人员检测到了一种协同式社交工程攻击。黑客成功锁定了一些具有访问内部系统和工具权限的员工,并通过社交工程攻击的方式盗取了他们电脑中的文件和权限。

那么什么又是社交工程攻击呢?

首先,攻击者会冒充客服人员通过电话或电子邮件的方式与攻击对象取得联系。建立信任关系之后,再以客服的身份将被攻击者的注册邮箱更改为属于攻击者的邮箱地址,再将密码重置的邮件发送到新的地址中取得用户的密码。经过以上几个步骤,攻击者便完全掌握了账号信息。

若黑客有政治性目的,那后果会十分严重,图片来自网络

而黑客只要不通过Twitter发送任何诈骗信息的话,用户就永远不会知道账号密码已经被黑客获取了。这就意味着黑客完全可以在收集了大量的账号后,在一个特定的时间节点集中发送推文,从而制造大规模的事件。

至少从这次事件来看,是这样的。并且Twitter对这次事件的处理不力,还有可能将此次事件的影响扩大。

虽然此次黑客入侵的动机和来源尚不清楚,但合作入侵世界领导人、名人和大公司已认证账户的做法令人恐惧。Twitter已经成为全球最大社交媒体之一,许多医疗和服务机构都通过Twitter来发布信息。例如,伊利诺伊州林肯国家气象局在认证账户被禁言前,刚刚发布了一条龙卷风警告。那些依赖这个账号了解龙卷风后续情况的用户们,这下可能要倒霉了。

两条推特中间相差三个小时,图片来自Twitter截图

想象一下,假设是带着某种政治意图的人控制了这些账号,那么极有可能会导致国际误会。并且现在距离美国大选已经不到四个月的时间了,这样大规模的黑客攻击无疑让人们开始恐惧更加严重的后果。

同时,虽然Twitter公司在事件之后封禁所有认证账户的发推权限是不得已而为之,但这种方法仍然需要商榷。

避免同类事件?加强监管才是硬道理

作为成功的社交软件,人们可以在Twitter自由自在的发表自己的言论和看法,但是频繁出现的安全事件,只会让人们对社交平台的信任越来越低,最终导致用户流失。

可是,这样的事件就无法做出有效的预警和避免吗?答案是否定的,在言论自由的现代社会,社交平台作为各种信息的集散点,也应该担起属于自己的责任。

小探认为,如果要避免同类事件的发生,Twitter至少需要改善以下三点。

首先,平台下场监督任何金钱活动。在认证账号发布任何涉及金钱的抽奖、返利活动时,需要官方平台监督发布者根据既定的规则进行公平抽取并公示。并且建立相对完备和快速的申诉渠道,这样就能避免活动发起者不发奖的出现。

Twitter应该严格监督任何与金钱来往有关的推文,图片来The Verge

其次,完善且反应迅速的审核和预警机制。在一个合格的社交网络中,用户能自由自在的上传和发表自己的内容和看法。但是在言论自由的情况下,对重要信息的审核就尤为重要。而在今年的疫情期间,Twitter在审核消息方面的成果就显得非常失败,比如对于注射消毒液就能杀死新冠这样的谣言。

虽然当时许多用户发推讽刺这种说法并配上『佯装注射』的图片,但这种类型的推文却没有被打上的风险标记,且官方也未将专业卫生机构的辟谣信息置于该类信息搜索页的顶部,这就会让我一些医学常识匮乏的人信以为真,从而导致危险发生。

部分Twitter用户发推讽刺该说法,但页面中完全没有相应提示,图片来自Twitter截图

第三,对于相关政府账号的区别保管。如上面所说,有许多社会服务机构、政府机构、国家领导人等通过Twitter进行公告发布,而这些消息通常与社会民生和国际关系息息相关,保证这种类型账号的安全比其他类型的账号更为重要。那么,为了防止这类账号被盗而导致社会动荡甚至国际误会的产生,Twitter是否可以通过技术手段对这些账号进行特殊的保护或者设置特别的登录验证方式来保证账号的绝密性和安全性呢?

当然,上面的一切猜测都需要Twitter公司有所作为才能成为现实。而目前,我们只需要等Twitter对此次事件的细节公示和一个满意的答复。

图片来自网络

总之,无论平台做出怎样的防范措施,还是会有不法分子会通过各种各样的方式来进行诈骗。与其让平台列举出形形色色的管理条款,不如我们自己从一开始就擦亮眼睛,识别诈骗信息。

毕竟,最可怕的黑客,是我们贪婪的欲望;而最好的防御,就是抵抗欲望的坚强意志。

转自:硅谷洞察