一周安全要聞:4大瀏覽器被攻陷 Win10、支付寶改刷臉
原創說起本周最大的新聞莫過于史上最難的著名黑客大賽Pwn2Own 2015的召開,最終這場精彩的黑客競技賽以四大瀏覽器全部被攻陷,韓國黑客贏得冠軍圓滿結束。在歷時兩天的比賽中,Windows曝出了5個漏洞,IE 11 4個,Firefox 3個,Adobe Reader和Flash分別有3個,Safari 2個,Chrome 1個。
韓國的黑客Jung Hoon Lee贏得了Pwn2Own歷史上最高的單次利用獎金——11萬美元,而他在一天內共贏得22.5萬美元。他利用緩沖區溢出競態狀態攻破了穩定版和 beta版的Chrome,然后利用兩個Windows內核驅動的信息泄露和競態狀態獲取了系統訪問權限。Chrome的漏洞讓他贏得了7.5萬美元,Windows權限提升漏洞又獲得了2.5萬美元,再加上Google的Project Zero額外提供的1萬美元獎金,總共11萬美元。這并不是他一天內唯一的成就,Lee利用TOCTOU漏洞攻陷了IE11獲得了6.5萬美元,利用未初始化堆棧指針漏洞攻破了Safari又獲得了5萬美元。
一年一度的央視315晚會比往年推遲了近一個小時,但是遭曝光的企業依舊沒有被落下。而在這次的名單中,科技企業占據了約一半的席位。央視在315晚會現場演示了黑客利用免費WiFi網絡竊取用戶郵箱賬號和密碼的過程。央視提醒消費者,一旦郵箱賬號和秘密被竊取之后,黑客還會竊取用戶更多隱私的信息。對此安全專家建議,用戶不要鏈接不用密碼的WiFi網絡,轉而多使用有密碼的WiFi網絡以及多用移動數據網絡。
除以上兩則重要的新聞外,兩則關于生物識別認證相關的報道非常值得關注。即是Windows 10將使用指紋、虹膜和臉代替密碼,以及支付寶準備實現刷臉支付。
微軟宣布Windows 10 將引入生物識別認證,指紋、虹膜和臉可以代替密碼。他們提供的解決方案包括 Windows Hello 和 Microsoft Passport 兩部分,其中:Windows Hello用于解鎖Windows 10設備。Microsoft Passport是Windows Hello的延伸,向app和網站開發者開放,用于登錄app、網站等。
阿里巴巴集團董事局主席馬云近日在德國參加活動時,演示螞蟻金服的Smile to Pay掃臉技術,為嘉賓從淘寶上購買1948年漢諾威紀念郵票。據支付寶方面介紹,這項支付認證技術由螞蟻金服與Face++ Financial合作研發,在購物后的支付認證階段通過掃臉取代傳統密碼,這意味著,未來可以實現“刷臉支付”。
技術分析:
其實密碼控件就是密碼鍵盤的軟件實現,在一個使用密碼控件的軟件系統中(多是網絡校驗系統),密碼控件的整個軟件實現就相當于整個物理的密碼鍵盤,對于物理的數據線路和銀行終端這樣的角色,在密碼控件系統中沒有絕對的對應。因為密碼控件可能只是簡單的把用戶輸入的數據加密后發送到網絡上,這時候網絡就是物理的數據線路;而另一種情況是用密碼控件產生的數據流向整個本地程序的另一個模塊,這時候計算機內存就成為了物理的數據線路的角色。
近幾年,我們已經看到了很多關于家庭路由器遭受攻擊的報道。攻擊路由器的惡意軟件會將用戶的上網訪問重定向到各種惡意站點,其他的攻擊方式還包括植入后門和DNS劫持。在這些攻擊中,攻擊者針對家庭網絡的攻擊意圖和目的表現得非常明顯。
ATM Skimmers 直譯過來為“ATM分離器”,這是一種依附在正常自動提款機上的惡意電子硬件設備。它偽裝成正常的鍵盤和銀行卡插槽,與原設備嚴絲合縫,普通用戶很難分辨。通過配合隱形攝像頭,犯罪分子竊取用戶輸入的密碼以及銀行卡數據。記錄到的密碼以及銀行卡信息發送的方式也多種多樣,有基于GSM通訊模塊的發送方式,還有藍牙發送的,方式很多。
ATM Skimmers配合隱形攝像頭獲取PIN及信用卡數據
其他熱點:
