紐時:不只是臉書與Google,不少熱門程式每天都在追蹤你

根據行動分析業者MightySignal今年的調查,有超過1,000款熱門程式內含分享位置資訊的程式碼,其中有1,200款位於Google Play,200款身處App Store。而紐約時報則測試了20款曾被研究人員列為可能追蹤使用者位置並將位置資訊銷售予他人的程式,發現當中有17款把用戶精確的經緯度傳送給75家專門收購匿名位置資訊的業者。 其中一款不論是在Google Play或App Store都擁有極高評價的天氣程式WeatherBug將用戶的位置資訊與40家業者分享。而專門收購位置資訊的Reveal Mobile則與逾500款程式建立合作關係。 這些業者可能是出售、使用或分析這些資料,以滿足廣告主或零售商對洞悉消費者行為的需求。於是紐時找上了一其中一家業者,查閱了資料庫的內容,發現了非常精確且詳細的使用者動態。 紐時表示,儘管業者強調他們感興趣的是使用者的行為模式而非身分,但這些匿名資料依然可能危及使用者的隱私,例如透過特定的位置來追蹤某個認識的對象,或者是追蹤某個不知名的對象, »

微軟網站登入系統有漏洞,用戶點選惡意連結帳號就被綁架

安全研究人員發現微軟網站登入系統及驗證漏洞,讓駭客只要發送一則惡意連結,就能輕鬆綁架用戶的微軟服務帳號。不過微軟在接獲通報後已經於兩周前將之修補。 這個重大安全風險是由安全工程師Sahad Nk發現,它是由兩個漏洞造成。首先,微軟的子網域success.office.com,在原有app下線後網域還存在,只要以別名記錄(CNAME record)successcenter-msprod註冊一個Azure網頁app,就能接管這個子網域,使得任何傳進success.office.com的資料,都會落入持有人手中。 第二個漏洞則是微軟服務的OAuth驗證不當所致。研究人員發現,由於同屬office.com網域,因此用戶第一次成功從集中化登入系統login. »

【LINE惡作劇】「鈕承澤醜聞私密照曝光了」專家:人性,是最大的安全漏洞,別亂點!

「 鈕承澤醜聞私密照曝光了~趕快看喔!不然隨時要被刪掉了 」許多人的 LINE 收到這樣的訊息,你是不是因為好奇而點開了呢? 如果你點開該連結,會看到這個圖片: 鈕承澤醜聞私密照曝光?是惡作劇 雖然證實是惡作劇一場, 趨勢科技提醒:駭客攻擊的誘餌或標題都不脫主流大眾關心、或可以滿足人性偷窺欲望的本性,民眾需提高警覺。如果有親友在 LINE 群組裡散播該訊息,趨勢科技防詐達人會提醒用戶,別開啟該連結,最近許多熱門新聞事件,如果擔心不小心點選到惡意或詐騙連結,請馬上將防詐達人加入LINE 朋友,未雨綢繆, »

憂《1984》小說場景成真,微軟提出六大原則促各國政府明年立法為人臉辨識劃下遊戲規則

英國作家歐威爾(George Orwell)在1949年出版的反烏托邦小說《1984》中描繪了政府無所不用其極地監控與操縱民眾,微軟於上周四(12/6)警告,歐威爾在70年前所勾勒的場景即將因為現代的技術能力而成真,呼籲各國政府明年就應採取行動,立法規範人臉辨識技術的應用,而微軟也列出了內部針對該技術的六大原則,預計於明年3月正式發表。 在《1984》中,政府透過無所不在的攝影機與麥克風來監控人們的長相,紀錄人們所說的每一個字,為了閃避政府的監控,人們只能躲在黑暗的角落,藉由敲打彼此的手臂傳送密碼進行交流,而現代技術已讓這樣的場景成為可能。 就在微軟發表此番宣言的同一天,關注AI系統發展的AI »

全球遭惡意挖礦程式感染的Mikrotik路由器數量已激增到41.5萬台

VriesHD上周透過Twitter宣布,全球已有41.5萬台Mikrotik路由器遭到惡意挖礦程式感染,感染數量已達到今年8月的兩倍,而且被駭裝置從集中在巴西到現在已擴散至全球各地,涵蓋歐洲、中東、亞太地區與拉丁美洲。 The Next Web引用VriesHD的說法指出,過去這些惡意挖礦程式有超過8成是使用CoinHive,但最近這幾個月逐漸轉移到Omine及CoinImp。不管是CoinHive、Omine或CoinImp都是用來開採門羅幣(Monero)的挖礦程式。 Mikrotik為來自拉脫維亞的電腦網路設備製造商,以低成本及高度可配置的硬體聞名,因此有不少來自開發中國家的專案。 駭客是透過安全漏洞攻陷這些Mikrotik路由器,專門監控挖礦程式綁架行為的資安專家Troy Mursch指出,Mikrotik用戶應該要確保他們執行的是已修補了CVE-2018-14847漏洞的路由器韌體,任何使用RouterOS 6. »

手電筒等22款Android程式暗藏木馬,下載已破200萬

資安業者Sophos上周揭露有22款Android程式含有木馬,可受到遠端C&C伺服器的操控,目前駭客主要的目的是利用它們來執行廣告點選詐騙,這些Android程式的總下載量已逾200萬次,當中光是Sparkle Flashlight手電筒程式的下載量即超過100萬次。Google在接獲報告後已於11月底將它們自Google Play上移除。 研究顯示,這些程式來自不同的開發人員,其中有3款存在Google Play上的時間超過1年,另外19款都是在今年6月才上架,但這3款老程式也是在今年6月才被注入惡意程式。 這批惡意程式會在每次手機重新啟動之後自動執行,就算是被使用者強制關閉,也會在3分鐘之後自行重新出現,它們都下載了廣告詐騙模組,每80秒就會接收來自C&C伺服器的指令。 其廣告詐騙手法是送出偽裝成其它程式及其它裝置的廣告請求,包括偽裝成來自iPhone 5到iPhone »

Apple Watch心電圖功能真的能救命, 可惜現在只有美國能用

蘋果上周Apple 釋出包含心電圖偵測(ECG)app及心律不整偵測功能的watchOS 5.1.2版,讓第四代Apple Watch(Apple Watch 4)成為真的診斷用穿戴裝置。但是壞消息是,僅在美國啟用這項功能。 上周watchOS 5.1.2才一釋出,就有美國Apple Watch 4用戶立即下載,而且在Reddit 論壇表示他真的被Apple Watch救了一命。這名用戶當天即升級watchOS並試用Apple »

購物季點擊”降價大促銷”前該注意的事

今年來到最後一季也代表了購物季節的來臨,有越來越多消費者因為網路購物的便利性而大量使用。在2017年,單單美國的網路購物銷售額就達到了2.3兆美元,預計全球網路銷售額到2021年會成長達到4.48兆美元。而今年預期可以在11月看到大規模的網路流量,而且消費支出將來到91.5億美元,黑色星期五 (Black Friday)和網路星期一(Cyber Monday)將會讓網路銷售額達到高峰。而不幸的,也可以預期駭客會趁此機會來好好利用這購物季節。 *編按:所謂的”黑色星期五 (Black Friday)”,指的是11月第四個星期四感恩節後的星期五, “ 網路星期一 »

中國出現勒索軟體首度要求受害者用微信支付繳贖金

近年來勒索軟體攻擊可說是時有所聞,大部分都是在加密了使用者電腦的檔案之後,要求支付比特幣,駭客才願意還原資料。不過,最近在中國,卻出現了一個要求使用微信支付來繳交贖金的勒索軟體Bcrypt,資安業者火絨安全(Velvet Security)指出,自12月1日開始,他們陸續接獲許多用戶遭到攻擊,電腦大部分的檔案都被加密,初步估計約超過10萬臺電腦遇害。 相較於要求以比特幣支付贖金的勒索軟體,Bcrypt僅要求以微信支付人民幣110元(約新臺幣500元),索價並不高。然而,公然採用中國最普遍的交易管道收取贖金,也突顯這個攻擊者相當明目張膽,而火絨安全公司也在昨天表示,他們已經確認攻擊者的身分,這名駭客姓羅,並且使用騰訊的電子郵件信箱, »

全球首例!紐約市規定:共乘司機最低時薪為27.86美元

紐約市的計程車委員會(Taxi and Limousine Commission,TLC)周二(12/4)通過將保障共乘汽車司機時薪不得低於27.86美元的規定,扣掉支出後的每小時收入至少為17.22美元,成為全球第一個替共乘服務設定最低薪資標準的城市。 此一規定只針對那些替Uber、Lyft、Gett或Juno等共乘平台提供服務的汽車駕駛,根據估計,紐約市有超過8萬名汽車駕駛受僱於共乘平台,新規定平均將替這些駕駛增加1萬美元的年薪,同時也可促進共乘業者計算駕駛薪資的透明度。 根據加州柏克萊大學的調查,就算是生意好的出租車駕駛,也有96%的時薪不及17.22美元。 »

趨勢科技歷年來打擊網路犯罪成果

趨勢科技與美國特勤局聯合研究專案捍衛全球網路安全超過十年 ,請檢視以下時間表,瞭解在公私部門合作下,歷年來打擊網路犯罪的重大成果。 __ 信用卡盜刷時代 : 2000-2010 年 地下網路犯罪的發展,可能是源自俄國的信用卡盜刷論壇和市場,罪犯透過這些途徑,將遭竊的支付卡資訊提供給有心人士,以供進行身分竊盜或釣魚式攻擊。支付卡持有人經常遭受釣魚式攻擊,使得網路罪犯可以無限制地存取其個人識別資訊 (PII)。遭竊的詳細資訊會出售給其他罪犯,供其生產偽造支付卡。這些網站中最龐大的可能是 Dmitry Ivanovich Golubov 和 Roman Vega、Vladislav Anatolievich »

史上第二多!Marriott飯店旗下喜達屋客戶資料庫遭駭,5億住客資料外洩

全球最大飯店集團萬豪國際(Marriott)上周公佈,集團下喜達屋連鎖包括W Hotels、希爾頓、威斯汀、艾美等知名飯店的客戶資料庫入侵,恐已導致5億住客資料外洩。 今年9月8日萬豪內部安全系統發出警示,顯示旗下喜達屋(Starwood)飯店在美國的客戶預約資料庫遭未授權存取並將之加密。在外部安全廠商協助下,萬豪11月19日萬豪已經成功解密,並得知受影響的資料來自旗下喜達屋飯店。該飯店進一步研究發現,喜達屋網路在2014年即已遭駭,使駭客得已複製取走從2014年直到今年9月初的客戶資料。 喜達屋是全球最大飯店連鎖,擁有30家飯店品牌及6700多家飯店,資產遍佈129個國家地區。旗下品牌包括W Hotels、希爾頓(Sheraton »

開到哪都要追蹤,中國政府要求境內電動汽車業者分享汽車位置資訊

美聯社(AP)於上周報導,中國政府要求境內逾200家電動汽車業者將已售出的電動汽車正確位置及其它資訊傳送到中國政府的伺服器上,且車主多半不知情。 根據報導,此一規定只適用於採用替代能源的汽車,中國政府將會分析這些數據以改善公共安全、促進產業發展並規畫基礎設施,同時也能用來防止相關補貼的詐欺行為,因此,包括Tesla、Volkswagen、BMW、Ford、GM、Nissan等每家在中國市場推出電動汽車服務的業者都已遵循。 由於其它國家並未向電動汽車業者提出同樣的要求,再加上分享汽車即時位置涉及車主隱私,使得外界不免質疑中國政府只是在壯大監督人民的能力。 儘管在其它國家的汽車業者也會將車子位置的相關資訊傳回自家伺服器,但那通常是為了提供汽車追蹤程式、地圖或緊急服務時使用,至於各國政府若要徵調這些資訊通常需要申請法院命令。 然而,美聯社引述一名曾參與建立相關政策的匿名顧問表示, »

趨勢科技榮獲台灣最佳國際品牌調查第二名,品牌價值持續成長達美金14.95億元 !

30 年持續創新進化 *締造連續* 16 年獲獎肯定 【2018年11月30日台北訊】2018年「台灣最佳國際品牌調查」結果於今日揭曉,全球網路資安解決方案領導廠商趨勢科技(東京證券交易所股票代碼:4704)連續16年入榜,並拿下第二名殊榮,品牌價值持續成長達美金14.95億元!趨勢科技不僅在營運上表現亮眼並持續成長,在專業技術領域上,趨勢科技獲Gartner 於2018年入侵防護系統神奇象限定位為領導者、連續四年榮獲 NSS Labs 推薦奪得NSS Labs 評測100% »

德國耳機業者誤將憑證置入軟體,陷用戶於安全風險

微軟於本周發表一安全通報,指稱在Windows平台上安裝德國耳機業者Sennheiser所開發的HeadSetup及HeadSetup Pro軟體的使用者可能會遭受中間人(man-in-the-middle,MITM)攻擊,呼籲用戶儘速更新這兩項軟體,同時微軟也作出了因應。 HeadSetup及HeadSetup Pro都是Sennheiser替高階耳機所打造的軟體,當使用者於Windows上安裝了任一款軟體時,它同時會將Sennheiser的CA憑證存放在Windows的Trusted Root CA Certificate  Store中。 發現該漏洞的德國資安業者Secorvo說明,他們進一步追查後發現這兩個軟體需要透過CA憑證與Sennheiser的伺服器交流,因此也在軟體中發現了該憑證的加密私鑰,並判斷解密程式應該也存放在軟體的檔案中,亦成功找到了解密程式。 假如資安業者很輕易就能在系統及軟體上找到憑證與金鑰,代表這對駭客來說亦不難。 由於不管在任何電腦上所安裝HeadSetup或HeadSetup Pro都使用同樣的憑證與金鑰,再加上就算移除了這兩個程式, »

2018資安事件回顧:偏愛假冒宅配公司,超過 30 萬用戶受害的 Android 惡意程式家族:XLoader 和 FakeSpy

XLoader 和 FakeSpy 是最近崛起的兩個最重要的行動惡意程式家族。我們在 2018 年 4 月即探討過 XLoader,該惡意程式會利用 DNS 快取汙染與 DNS 假冒等技巧來讓讓受害者感染惡意 Android 應用程式,進而竊取個人身分識別資訊 (PII) 和金融相關資料,並且安裝額外的應用程式。同時,我們也在 6 月發表過針對 FakeSpy »

繼美、澳之後,紐西蘭也向華為網路設備說「不」

繼美國、澳洲之後,紐西蘭也在「安全考量」下,跟進拒絕其5G電信網路使用中國華為行動網路設備。 紐西蘭電信業者Spark周一公告該公司接獲其主管機關-政府通訊安全局(Government Communications Security Bureau, GCSB)局長表達對於Spark 5G無線電存取網路(Radio Access Network, RAN)計畫的疑慮。紐國政府安全部門局長告知Spark 5G RAN網路預定採用的華為5G設備一旦部署可能提高國家安全風險。依據紐國的電信法中的安全法條,Spark RAN計畫不得使用華為5G設備。 »

FBI與Google聯手破獲上千萬美元的詐欺廣告犯罪集團

美國司法部宣佈在聯邦調查局(FBI)、Google等廠商以及跨國警察的通力合作下,破獲已獲利上千萬美元的兩起詐欺廣告犯罪,並起訴8名嫌犯。 這8個人涉及二起詐欺廣告犯罪。首先是成立名為Methbot的廣告詐欺網路,在2014年9月到2016年12月之間向廣告主進行詐騙。他們並非將廣告標籤代碼放在真正的媒體網站,而是租用德州達拉斯的一家民營資料中心,架設1900 多台伺服器,再以這些伺服器冒充5000多個網域,並將廣告置入到假網站。同時他們還租用了超過65萬個IP,將IP分配到這些伺服器上再分別註冊不同ISP,以冒充是位於各個地區的住家電腦,於是就能偽造數十億個廣告點擊次數,並藉此向廣告主詐騙廣告費用,獲利約700萬美元。 第二宗則是在2015年12月到2018年10月間進行的廣告詐欺。但這次並非設立伺服器機群,而是利用殭屍網路。參與查獲行動的Google和安全業者White Ops將之命名為3ve(念作Eve) »

國人信用卡一年被盜刷逾18億!防詐三招助你守護荷包安心購物

雙 11 刷卡刷到手軟嗎? 緊接著還有聖誕節、過年,各種優惠折扣下殺買不完!且根據聯合信用卡中心統計註一,2017年國人信用卡被盜刷總金額為18.8億元,其中以電商網路購物、網拍消費的盜刷最多,比例飆破9成!便利購物的背後,隱藏的各種資安風險伴隨而來,一旦不小心中了圈套,即便完成付款也可能無法收到商品,輸入的個資、信用卡資料還可能遭到惡意使用! 趨勢科技提醒民眾,防範詐騙就是省荷包,平時上網購物應謹記「三要」原則: (一)要確認網購網站上的URL是否為官方網址 (二) »

Google遭7國消費者組織指控以誤導手法追蹤用戶位置,違反GDPR

荷蘭、波蘭、捷克、希臘、挪威、斯洛伐尼亞及瑞典等七國的消費者組織控告 Google以欺騙性(deceptive)手法追蹤Android手機用戶所在地點及上網紀錄,藉以發送精準廣告,違反歐盟隱私法規GDPR。 這份長達16頁的控訴文件,是依據今年年中挪威隱私團體公佈的一項研究為基礎。該文件指出,Google的商業模式幾乎仰賴精準廣告,為此,Google必須蒐集用戶包括精確地點位置、app使用資料及裝置ID在內的大量個人資料。 文件並列出了Google多項罪狀,像是Google強迫Android手機用戶建立Google帳號及同意其隱私政策及服務條款(之後才能使用Google服務),並使用Android手機內建技術追蹤用戶位置,知名手法包括Android行動裝置的GPS、以及「地點紀錄」和「 »

Gmail智慧寫信功能有性別歧視,Google取消性別代名詞的建議功能

根據路透社的報導,為了避免引爆性別歧視的爭議,Google的Gmail團隊已不再於智慧寫信(Smart Compose)功能中提供有關性別代名詞的建議,例如He或She。 Gmail是藉由今年5月的大改版新增了智慧寫信功能,它利用人工智慧來協助使用者於Gmail中自動輸入文字或完成句子,例如當使用者輸入「Have’t seen you in a while and I hope you’re doing well.」,打算接著寫「Let’ »

手機號碼就是身份證!五大電信將推 TWID 行動身份識別,明年一月上線

手機號碼就是你的身份證 不久的未來,你的手機可能就可以拿來當作網路上的身份證。台灣證券交易所旗下子公司台灣網路認證股份有限公司所成立的「TWID 身分識別中心」,今(28)日與五大電信公司簽約,將提供「Mobile ID 行動身份識別服務」,未來只要透過手機就可以進行網路上的實名認證,不論是網銀線上開戶、線上購物行動支付、政府資訊查詢等服務都可以更方便進行,預計明年一月正式上路;而手機身份識別的推動,也替明年純網銀的開放預先鋪路。 在網路上要辨識一個人的身份,目前並不是簡單的事情,不是要上傳自己的證件做審核,就是得用自然人憑證,甚至跟公部門打交道時,常常必須親自前往辦理, »

不再需要人類示範遊戲,Uber用新型機器學習演算法打破最高分紀錄

在AI玩遊戲的研究中,Atari發行的「蒙特祖馬的復仇」(Montezuma’s Revenge)和「陷阱」(Pitfall)一直都被公認為AI難以突破的最難遊戲,這兩款遊戲中都體現了真實世界問題的挑戰,這種問題被稱為探索問題(Hard-exploration problem),而Uber的AI實驗室最近發表新型機器學習演算法Go-Explore,不需要人類的示範,該AI程式創下高分的超人類表現,在蒙特祖馬的復仇這款遊戲中,AI程式最高獲得超過2,000,000分,超越人類玩家最高記錄分數,而平均也拿下超過400,000分,並突破到第159關,在陷阱這款遊戲中, »

打造邊看邊聊的家庭電影院氛圍,臉書推出一起看影片新功能

臉書27日正式推出一起觀看影片的功能Watch Party,日前只有對社團推出,這一次則是全面在臉書平臺正式推出,包括粉絲專頁和個人用戶都能使用,用戶發布Watch Party後,就能邀請其他用戶一同觀看影片,臉書認為,這是下一個里程碑,讓用戶在臉書上的互動是圍繞著影片,Watch Party能夠讓用戶和其他人一起觀看影片,同時還能一邊討論。 圖片來源:臉書 臉書在7月對社團推出這項功能後,有超過1,200萬個觀看群組,且觀看群組收集到的留言數量,是社團中非直播影片的8倍,從推出之後,每天觀看群組的數量都一直持續上升中,因此,臉書這次也對粉絲專頁和個人頁面推出相同的功能,不管是娛樂內容創作者、 »

什麼是無檔案病毒(Fileless Malware)攻擊?

在2017 年有超過100家銀行和金融機構遭受無檔案病毒攻擊感染,影響了40多個國家。The Hacker News指出這種技術在過去並非主流,使得企業難以適時地對新威脅作出反應。一家銀行的安全團隊在一台Microsoft網域控制器的記憶體內找到一份Meterpreter而發現了該惡意軟體。此攻擊可能是用PowerShell來將 Meterpreter載入記憶體而非寫入硬碟,目的是要入侵控制自動提款機的電腦。 雖然這惡意軟體在2016年2月份被發現後就有些停擺,不過在幾個月後還是讓駭客們有了收穫。根據The Hacker News的報導,俄羅斯至少有8台自動提款機遭受無檔案病毒攻擊,讓駭客控制機器並偷走了80萬美元。受影響銀行在自動提款機或後端網路都找不到任何惡意軟體感染的痕跡。只在自動提款機的硬碟上發現兩份惡意軟體日誌檔案。據信惡意軟體是透過遠端管理模組安裝和執行。 根據 Slate 報導指出,惡意軟體正以前所未有的速度發展著,每分鐘出現四隻新變種。 »