安裝數量超過1億的Android檔案管理工具遭爆含有資料竊取及中間人攻擊漏洞

兩名安全研究人員Baptiste Robert及Lukas Stefanko在1月16日相繼揭露了Android上知名的檔案管理工具ES File Explorer File Manager含有安全漏洞,將允許駭客竊取用戶裝置上的資訊及執行中間人攻擊。 ES File Explorer File Manager是個具備完整功能的檔案管理工具,宣稱可於手機上提供比美桌面程式的檔案管理功能,它支援照片、音樂、電影、文件與程式的管理,可存取及管理存放於裝置記憶體、microSD、區域網路或雲端上的檔案,並能複製、移動、更名、刪除或分享檔案。該程式在Google »

Windows 10 Mobile支援將在2019年12月截止

繼2017年10月微軟宣佈不再開發Windows手機新功能及硬體後,近期微軟更宣佈將在2019年12月10日終止Windows 10 Mobile及Windows 10 Mobile Enterprise的支援。 屆時,Windows 10 Mobile用戶將不再接收到微軟釋出的安全更新、非安全的功能修補、免費的輔助支援或免費更新的線上技術內容。微軟方面不再公開提供更新或修補程式。這項決定將適用所有跑Windows 10 Mobile OS(1709)的裝置,包括微軟品牌手機。 Windows 10 Mobile(1709)是Windows »

勒索病毒MongoLock不加密,直接刪除檔案,再格式化備份磁碟,台灣列為重大感染區

最近有兩隻令人矚目的勒索病毒,繼媒體報導專瞄準大企業,半年獲利近400萬美元的 Ryuk 勒索病毒後,新一波的勒索病毒MongoLock變種更狠, 會直接刪除特定目錄內的檔案, 中毒電腦在離線後仍會繼續刪除檔案,讓檔案無法回復。甚至會格式化並格式化可用的備份磁碟。 趨勢科技一直在關注新一波的MongoLock勒索病毒攻擊,這波攻擊會在感染時刪除檔案而非進行加密,並且會進一步掃描可用資料夾和磁碟來進行檔案刪除。此波勒索病毒從2018年12月開始出現,會要求受害者在24小時內支付0.1比特幣來取回據稱保存在駭客伺服器內的檔案。我們的監控資料偵測到200多個樣本,台灣、香港、韓國、英國、美國、阿根廷、加拿大和德國,是中毒數量最高的地區。趨勢科技的機器學習( »

Alexa現在能用播報員的講話風格唸新聞了

Amazon智慧音響搭載的語音助理Alexa現在可以像新聞播報員唸新聞給用戶聽了,Amazon認為,Alexa的回覆和聲音是與用戶自然互動的關鍵,語音助理的語音輸出是透過文字轉語音的技術,將單詞序列轉換為仿真人的聲音,系統會選擇字串組成雙音素(diphones),用更自然的方式講出詞彙、片語或是句子,自2014年推出Alexa後,Amazon就不斷地優化機器學習模型,來確保模型能夠選擇正確的雙音素,讓語音聽起來更加自然。 去年11月,Amazon曾揭露最新的文字轉語音系統研究,透過生成神經網路,經過幾個小時的錄音檔訓練,就能學會新聞播報員的說話風格,現在,終於使用在Alexa身上,用戶只要問Alexa今天的新聞,Alexa就能用播報員的講話風格,播報新聞給用戶聽,與之前Alexa在唸維基本科資訊時的聲音,並不一樣,Alexa在傳達新聞訊息的時候, »

免安裝,特斯拉發表只要牆上插座就能使用的居家充電器

特斯拉近日推出新款的居家充電站Tesla 14-50 Wall Connector,該款壁掛式充電器只要插上牆上的NEMA 14-50插座,就能夠直接使用,不需要連接家裡的電路系統,NEMA 14-50插座是美國最常見的高壓插座,相比過去行動式連接充電器Gen 2,壁掛式的充電器充電速度提升了25%,特斯拉強調,該款充電器不需要找電路專家來安裝,使用者只要將連接器插入家中現有的NEMA 14-50插座,就能夠使用。 該款充電器為大多數的特斯拉車輛提供40安培的電流,支援Model S、Model X、Model 3型號的車款,過去行動式連接充電器Gen »

ForeScount :智慧建築含有諸多零時差漏洞

專門針對大型企業提供資安服務的ForeScount在本周舉行的S4x19 ICS安全會議上發表了一研究報告,指出他們在智慧建築所使用的協定與元件中發現了6個零時差漏洞,推測建築物的自動化系統很可能是繼工業控制系統(ICS)之後,成為駭客鎖定的攻擊目標。 一般而言,建築物自動化系統是由許多子系統組成,涵蓋電梯、存取控制系統、監視器、暖通空調(HVAC)、燈光、火災警示器及能源產生系統等,它們不只存在於智慧家庭或商業大樓,也存在於醫院、機器或學校。這類的系統能夠在必要的時候自動禁用電梯,開啟疏散照明,或是在火災時打開緊急出口。 然而,該報告作者群之一的Elisa Costante向Forbes解釋,假設駭客能夠找到一個可存取HVAC系統的漏洞, »

Google將開始掃蕩過度存取用戶簡訊、通話記錄的app

去年10月Google預告將收緊Android app的資訊存取規範後,周二Google宣佈將開始掃蕩過度存取用戶手機簡訊及通話記錄的app。 這項措施是Google去年10月因應臉書的劍橋分析(Cambridge Analytica)大規模僭用臉書用戶資訊而做的變更,限制只有用戶選擇預設作為通話或簡訊的app及少數例外,才能對用戶請求存取簡訊及通話記錄。當時Google以電子郵件告知開發商們必須在1月9日前修正或事先提交權限聲明表單(permission declaration form)。周一Google表示,沒有提交權限聲明表單而向用戶請求存取這二項記錄的app,未來幾個星期內,Google將開始執法,從Play Store軟體市集移除。 Google表示,新政策旨在確保提出請求的app都能完整而持續存取用戶敏感資訊,以完成app的主要使用情境,以及用戶能了解何以app運作需要這些資料。 那些未獲Google宣佈而逕自要求用戶允許存取簡訊及通話記錄的app開發商將被移除,他們必須在90天內補提交允許權限聲明表單以利復審。那些已經提交表單的開發商則可以延長改善期到3月9日。 »

全球最大線上票務系統漏洞可讓駭客變更用戶記錄,近半航空公司遭殃

安全研究人員發現 ,掌控全球44%的國際航空訂票業務的線上訂票系統Amadeus存在作業上的漏洞,數百萬旅客的資料面臨外洩與被竄改的風險。 Amadeus是全球最大線上航空訂票系統之一,擁有141家航空公司客戶,包括聯合航空、加拿大航空、法航、英航、漢莎航空及以色列航空等。白帽駭客及安全研究人員Noam Rotem在以色列航空訂位後接到Amadeus 系統寄來的電子郵件,當中包含可檢視乘客訂位紀錄代號(personal name record, PNR)的連結 https://fly.elal.co.il/LOTS-OF-NUMBERS-HERE。 »

[Android/iOS軟體應用] 分享自己做的背英文單字App [ MissWord-我的單字老師]

各位ePrice版友大家好, 我是一個英文補習班老師,在教學過程當中發現學生常常都用錯誤的方式背單字>< 因此我開發了[MissWord-我的單字老師] 背英文單字的APP. 我是用[拆音節,連連看],並且搭配聽說讀寫的步驟帶著使用者正確學習背單字。 改正不好的背單字習慣! (死背, 背字母等等...) iOS & Android 皆可免費下載喔! ▶Android載點: https://tinyurl.com/y924zb9c   ▶iOS載點: https://apple. »

駭進SEC資料庫從事內線交易的烏克蘭駭客遭美國起訴

美國證券交易委員會(SEC)與司法部(DOJ)周二(1/15)指控及起訴了參與EDGAR駭客事件並不當獲利的10名嫌犯,這批嫌犯透過存取EDGAR系統的非公開資訊以從事內線交易,估計至少獲利410萬美元。 EDGAR為SEC旗下的電子數據收集、分析及檢索系統(Electronic Data Gathering, Analysis, and Retrieval),可接收、儲存與傳遞上市公司資訊的資料庫,它每年可收到逾170萬份的電子文件,外界每日存取的頁面數量超過5000萬。 SEC指控了9名嫌犯,其中之一的烏克蘭駭客Oleksandr Ieremenko過去曾駭進通訊社,隨後將目標轉為EDGAR, »

微軟讓人工智慧看圖說故事,靠一張照片就能寫出驚悚故事

微軟釋出了Pix2story,讓使用者只要指定圖片,人工智慧就能看圖說故事。微軟提到,他們試圖教導人工智慧創意,試圖將人工智慧發展至另一個層次,而在Pix2story中,他們讓人工智慧發揮創意結合特定類型產生故事。 微軟提到,說故事是人的天性之一,在寫作被發明之前,人們就透過講故事分享價值觀,而編寫故事並非一件簡單的事,特別如果是光靠看圖片,並以各類藝術類型(Genre)寫出故事。自然語言處理技術發展至今,是作為推動電腦與人類互動革新的領域,微軟試著讓自然語言處理能以更自然和更聚焦的方式敘事。 微軟在Azure上開發了Pix2Story,這是一個應用類神經網路的網頁應用程式,使用者只要選擇圖片,Pix2Story就會發揮創意為該張照片編寫出一小段冒險、科幻和驚悚類型風格的故事。而該系統的架構設計, »

廣告程式冒充成遊戲、電視、遙控器應用程式,造成 900 萬 Google Play 用戶遭到感染

煩人的廣告程式存在已久,但至今仍無消退的跡象。最近 趨勢科技 發現了一個相當活躍的廣告程式家族 (趨勢科技命名為:AndroidOS_HidenAd) 會假冒成 85 款不同的應用程式,包括遊戲、電視頻道、遙控器等等應用程式在 Google Play 商店上散布。這款廣告程式會顯示全螢幕廣告,並且會自我隱藏,在背後持續執行,並暗中監控行動裝置螢幕解鎖功能。這 85 款冒牌應用程式在全球共累積了 900 萬次下載。 »

化身旅遊小幫手,Google語音助理現在可一手包辦登機、預定飯店

Google語音助理Assistant最近又有新招了,現在Google語音助理將能夠在用戶旅行中提供協助,化身為旅遊小幫手,除了能幫助用戶辦理登機手續,還能協助預定飯店,讓旅程變得更加方便且順利。 目前Google語音助理已經可以搜尋最近的航班、價格和追蹤班機的狀態等,但是現在Google現在要更進一步,用戶即將可以在自己的Android或是iOS系統的智慧型手機上,透過語音助理取得登機證。目前該功能與聯合航空的美國國內班機合作,未來會持續找更多航空和班次合作。 若用戶是搭乘聯合航空美國境內的班機,班機確認單會寄送到用戶的Gmail中,這時,Google語音助理會傳送登機提醒到用戶的手機上,提醒用戶要辦理登機手續,用戶可以對語音助理說:「Hey, Google. 我要辦理登機手續。」語音助理就能幫用戶自動辦理登機手續,完成手續後,用戶能在Google Pay中瀏覽登機證, »

【2019 年資安預測 】不只是企業高層主管,變臉詐騙也將開始鎖定一般員工 (6-5)

截至 2018 年為止,全球因變臉詐騙 (BEC) 所損失之金額已超過 120 億美元。為了掌握詐騙集團的最新情況,我們回顧了今年一些最值得注意且讓變臉詐騙經常占據媒體版面的事件和趨勢。 變臉詐騙攻擊或稱為商務電子郵件入侵BEC) 之所以屢屢能讓受害者上當,大多可歸因於人員的疏忽。人性的弱點,再加上詐騙郵件似乎總能夠躲過網路資安產品的偵測,使得變臉詐騙成為一項使用者和企業仍應嚴肅看待的持續威脅。 根據美國聯邦調查局 (FBI) 的統計,這類詐騙截至 2018 年為止已累計造成 125 億美元的損失 。這表示變臉詐騙儘管技巧上相當單純,事實上卻非常有效。 »

Amazon創辦人貝佐斯與結髮25年的妻子離婚

Amazon創辦人貝佐斯(Jeff Bezos)周三(1/9)透過Twitter宣布將與結縭25年的妻子離婚。美國八卦周刊National Enquirer則報導貝佐斯與已婚的美國新聞主播Lauren Sanchez有染。 現年54歲的貝佐斯與48歲的妻子MacKenzie Bezos在1993年結婚,隔年貝佐斯創立了Amazon,MacKenzie也是當年Amazon的首批員工之一,兩人擁有4名小孩。 貝佐斯在Twitter上表示,在經過兩人長期的探索及分居之後,雙方已決定要離婚,但未來彼此還是小孩的父母,也會是朋友及合作夥伴,即便他們在結婚時就知道25年之後會分開,依然會結婚,作為夫妻,他們一起渡過了美好的一段日子。 儘管雙方看起來是和平分手,但美國八卦周刊National »

任何人都可分享檔案給你?Google著手修補Google Drive

你是Google Drive的用戶嗎?你知道任何人未經你允許都可以分享檔案給你嗎?這件事代表Google Drive可接受任何的垃圾訊息或文件,不過,在遭到不少用戶的檢舉之後,Google已決定著手解決此一問題。 Google在2012年4月發表的Google Drive是個雲端檔案儲存及同步服務,允許使用者將檔案存放在Google的伺服器上,於不同的裝置上同步檔案,並支援檔案分享,它提供15GB的免費空間,亦有具備更大空間的付費服務,迄今在全球已有超過10億用戶。 有用戶抱怨,當有人要分享檔案或文件夾給他們的時候,完全不需要徵求他們的同意,而且用戶還無法完全刪除這些不請自來的內容,當把它們移除之後,它們仍會出現在搜尋結果中,或是偶爾重現於Quick Access區域裡。 Google則說,對於大部份的Google »

Android間諜軟體MOBSTSPY, 竊取裝置個資及 Facebook和 Google 帳號密碼,波及196 國

一款會竊取使用者位置、簡訊對話、通話記錄和剪貼簿等資料的間諜軟體 MobSTSPY 偽裝成6款Android(安卓)應用程式,其中一款在全球下載數量已超過10萬次.殃及全球196個國家用戶。另外,MobSTSPY還會以網路釣魚手法竊取使用者的Facebook 臉書及Googel 帳密。 趨勢科技 發現有一款間諜軟體(偵測為ANDROIDOS_MOBSTSPY)偽裝成合法Android應用程式收集使用者資料。這些應用程式在2018年出現在Google Play上,有一些在全球被下載了超過10萬次。 我們最開始研究的是一款遊戲軟體Flappy Birr Dog(如圖1)。其他還包括了FlashLight、 »

IBM與知名醫療科技公司用AI預測糖尿病患者低血糖事件

IBM最近與知名醫療科技公司美敦力(Medtronic)一同在糖尿病個人助理App Sugar.IQ中,推出預測低血糖的新功能IQcast,透過IBM Watson Health平臺的AI技術,搭配美敦力血糖監測儀器Guardian Connect continuous glucose monitor,IQcast分析病患的數據後,預測每位病患未來4小時內,低血糖的可能性。 美敦力糖尿病彖對醫學和臨床事業群主任Robert Vigersky表示,IQcast就像糖尿病患者的氣象預報一樣,有了預測的結果,就能為他們的一天做好準備,能夠讓病患掌握每日多次注射藥物的時間,並且控制自己的飲食、運動和睡眠。 IBM »

Google公布2019年資安趨勢,無密碼登入將成主流、駭客瞄準原生雲端架構

Google在2019年的開端,公布了幾項需要注意的資安趨勢,除了攻擊者將對較弱的的兩步驟驗證進行攻擊外,零信任架構與自我管理的雲端加密金鑰服務將會逐漸受歡迎,另外,Google也提醒,接下來駭客的攻擊能量會瞄準容器等原生雲端環境,針對架構漏洞進行更複雜的攻擊。 不少應用程式已經部署兩步驟驗證保護使用者帳戶,但是並非所有的兩步驟驗證的保護力都足夠強健,Google表示,現在攻擊者正在尋找能夠繞過較弱兩步驟驗證的方法,像是透過網路釣魚攻擊或是接管電話號碼以攔截SMS一次性驗證碼等,而這些攻擊瞄準的對象通常是高價值用戶,諸如高階主管、政治人物或是雲端管理員。 因此接下來,Google預測,更多的服務應該會陸續採用更能對抗釣魚攻擊的兩步驟驗證,並採用FIDO標準,透過安全金鑰進行身份驗證,讓使用者獲得更強大防範網路釣魚攻擊和帳戶接管的保護。Google進一步預測,在2019年,無密碼登入將會成為主流。由於作業系統與瀏覽器平臺對W3C和FIDO »

過去兩年Waymo自駕貨車在錢德勒遭到逾20起攻擊

美國亞利桑那州(Arizona)上周才宣布該州為全美推動自動駕駛車技術的領導者,本周紐約時報就揭露,光是在亞利桑那州的錢德勒(Chandler)過去兩年來就傳出21起當地居民攻擊Waymo自駕貨車的事件。 亞利桑那州的州政府在2014年就允許自駕車在該州進行測試,今年甚至設立了自動化行動研究所(Institute for Automated Mobility)來推動境內的政府組織、大學及私營企業在自駕車測試上的合作,企圖成為全美自駕車測試的中樞,迄今包括Waymo、Intel、GM與福特都已於該州展開自駕車測試活動。 亞利桑那州擁抱自駕車最著名的事蹟之一為當Uber的自駕車測試在2016年遭到加州阻擋時,亞利桑那州公開邀請Uber到該州進行測試,不料今年3月Uber在該州的測試發生死亡事故,也讓Uber暫時停止了測試活動。 根據紐約時報的報導,過去兩年來,該州的錢德勒市就傳出21起攻擊Waymo自駕貨車的事件, »

傳中國開發商一款下載數上千萬的氣象預報app暗中蒐集用戶資料

華爾街日報周三引述一家安全公司的研究指出,中國一款下載超過千萬的Android氣象預報app在未經用戶同意下蒐集電子郵件、居住地點、及手機裝置辨識碼等詳盡資訊傳到中國。 這款app名為Weather Forecast - World Weather Accurate Radar是由中國TCL通訊科技控股公司開發,TCL也是Alcatel及Blackberry智慧型手機的代工廠。Weather Forecast app號稱可提供用戶今、明兩天、未來14天甚至21天的精準氣象預報、濕度、風速及能見度。報導引述分析機構App Annie的數據指出,Weather Forecast自2016年12月在Google Play上架以來下載人次超過千萬,在美國排得上前20,而在30個國家它甚至名列前五大氣象app。 »

消費者控告Google Photos的人臉辨識侵犯隱私,法官駁回

兩名來自伊利諾州的消費者在2016年指控Google旗下的Google Photos服務在未經他們的同意下就掃描並儲存他們的人臉資訊,侵犯了該州的《生物特徵辨識資訊隱私法》(Biometric Information Privacy Act,BIPA),向Google求償7.5萬美元,不過,伊利諾州北部地方法院的法官已於上周駁回此案。 基於人工智慧的辨識服務在這兩年來的爭議不斷,例如Amazon以Rekognition協助政府單位部署人臉照片資料庫以進行監控即遭到各方撻伐,Google也宣布將在今年3月退出協助國防部分析空拍照片的Maven專案,微軟則督促各國政府應儘速立法替人臉辨識訂下遊戲規則。 在Google的案件中,一名原告Lindabeth Rivera的友人拍攝了她的照片,並將照片上傳到Google Photos上,繼之Google Photos即自動掃描Rivera的照片並建立樣本,以於Google Photos中提供歸類的功能, »

駭客挾持Chromecast等眾多連網裝置以播放任意YouTube影片

代號為Hacker Giraffe與J3ws3r的兩名駭客在本周針對Chromecast、Google Home及智慧電視等連網裝置發動攻擊,迄今已挾持逾6萬台相關裝置以播放來自YouTube頻道PewDiePie的影片。 這兩名駭客將此一攻擊行動命名為CastHack,宣稱是開採了Chromecast及路由器的安全漏洞,以強迫Chromecast與連網電視播放他們所選擇的任何YouTube影片。 駭客的入侵點為「通用隨插即用」(UPnP)協定,該協定允許家庭網路或企業網路中的各種裝置能夠無縫連結,也會將內部網路的連結埠轉送到全球網路上,而使得Chromecast或其它連網裝置曝露於公開網路上。 因此,Hacker Giraffe與J3ws3r所挾持的裝置不只是Chromecast,還包括Google Home與智慧電視,不只已強迫6.5萬台裝置播放影片,還替逾8,200台裝置更換了名稱。例如有一名用戶在Reddit上抱怨他原本在看的電視節目每20分鐘會自動切換成PewDiePie的影片,影片中即出現# »

AI趨勢周報第70期:韓研究員開發圖像轉換系統InstaGAN,讓照片人物長褲換短裙

重點新聞(1228~0103) GAN   InstaGAN   圖像轉換 韓研究員用生成對抗網路,讓照片人物的長褲變短裙 韓國科學技術研究院(KAIST)和浦項工科大學的研究員,利用生成對抗網路(GAN)打造一套圖像轉換系統InstaGAN,能將原本照片人物的褲裝,轉換為真實度高的裙裝,或是將風景圖中的羊群,變成一群長頸鹿。一般運用於圖像的GAN,由2套互相競爭的神經網路組成,包括生成樣本的生成器,以及評鑑生成樣本和真實樣本的鑑別器,但若要生成變化大的圖像,則不易成功。而InstaGAN整合了多種目標物件的實例訊息,也就是物件分割掩碼( »

Android (安卓)桌布應用程式出現廣告詐騙活動

趨勢科技 在Google Play商店上偵測到15個會進行點擊廣告詐騙的桌布應用程式。直到本文撰寫時,這些應用程式在Play商店上已經被下載了超過222,200次,我們的監測顯示大多數分佈在台灣、義大利、美國,德國和印尼。Google已經確認移除了所有偵測到的應用程式。 圖1 、出現在Google Play 商店的點擊詐騙應用程式。 應用程式行為 這些應用程式有著吸引人的圖示,同時號稱會提供美麗的手機桌布。應用程式本身也有著非常正面的使用者評論,但我們高度懷疑這些評論是假的,只是為了取信使用者。 圖2 、Wild Cats HD 桌布應用程式被下載超過10, »