研究人员发现近90%安卓App数据被传回谷歌
据国外媒体报道,牛津大学研究人员发现,通过近100万款安卓APP收集的数据有近90%被传回谷歌。这项经过同行评审的研究分析了2017年谷歌Play Store提供下载的约三分之一APP,发现这些APP可能将数据传给多个(中位数为10个)第三方。项目负责人、计算机科学家鲁宾•宾斯(Reuben Binns)表示,随着多数APP转向“免费增值”模式(即它们从广告而不是销售获得营收),数据共享已经失控。第三方通过智能手机 APP 收集的数据非常多样,包括个人资料信息(如年龄和性别)到位置详细信息(包括附近 WiFi 路由器数据信息等等),以及有关手机上其他所有 APP 的信息。
参考链接:http://www.techweb.com.cn/world/2018-10-24/2708810.shtml
日本官方责令 FaceBook 提升安全性
本周一,日本个人信息保护委员会下令对数据泄露进行进一步调查,并要求Facebook实施预防性安全措施。这是日本官方机构在与英国当局一起进行调查后首次 向Facebook 发出警告。日本政府发言人表示,日本有多达10万名用户可能受到 FaceBook 近期数据泄露事件的影响。此外,他们还要求 FaceBook改善与用户的沟通方式,使其更加透明地管理其数据,并及时响应删除帐户的请求。Facebook承诺将在网站及时通知用户平台账号是否被不当使用,并及时与相关国家的监管机构合作沟通。
参考链接:https://www.securityweek.com/japan-orders-facebook-improve-data-protection
库克表达对用户数据滥用的担忧 呼吁制定联邦隐私法
北京时间10月25日凌晨消息 苹果首席执行官蒂姆库克(Tim Cook)周三表示,客户数据正在被各个公司以“军事化的效率”增加利润,并呼吁在美国制定联邦隐私法。但Facebook首席执行官马克扎克伯格(Mark Zuckerberg)为其公司基于广告的商业模式辩护说,用户意识到了要为免费服务作出一定的让步的。
库克在国际数据保护和隐私委员会会议上发表讲话称,苹果将支持美国隐私法,并且还宣称苹果公司保护用户数据和隐私的承诺。
苹果公司过去设计了许多保护用户的产品,这样的做法不像今年的谷歌和Facebook,很大程度上使其避免了陷入的用户数据隐私丑闻。
“将利润放在隐私之前的想法并不是什么新鲜事,”库克告诉隐私监管机构,企业高管和其他参与者。
在欧洲和美国,涉及数百万互联网和社交媒体用户的数据隐私遭到严重破坏之后,关于如何使用数据以及消费者如何保护其个人信息的问题受到广泛的关注。
参考链接:http://hackernews.cc/archives/24332
史上最大安全漏洞案和解,雅虎向2亿用户赔偿3.5亿元
据NBC News报道,雅虎已经同意向2亿用户支付5000万美元(约合3.47亿元人民币)赔偿金,并为他们提供为期两年的免费信用监控服务。2016 年曝出的雅虎信息泄露案件成为有史以来最大的安全漏洞案,导致约 30 亿雅虎账户遭到黑客攻击,泄露了受害用户的电子邮件地址和其他个人信息。根据初步和解协议,雅虎将以每小时25美元的标准对雅虎账户持有人进行补偿,以弥补他们在处理因安全漏洞引发问题的时间损失。那些有记录在案的损失可以要求最多获得15小时赔偿,或者375美元。而无法记录损失的人可以提出索赔,要求最多获得5个小时(约125美元)的赔偿。
参考链接:http://tech.163.com/18/1024/07/DUS9JVT100097U7R.html
研究人员再次在 Twitter 上披露 Windows 0-day 漏洞
一位名为 SandboxEscaper 的安全研究人员在两个月内第二次在 Twitter 上披露了 Windows 0-day 漏洞,并在 GitHub 上发布了概念验证(PoC)。这个漏洞主要影响微软的数据共享服务(dssvc.dll)。dssvc.dll是一项本地服务,主要用于在应用程序之间提供数据代理。而攻击者可以利用此次发布的0-day 漏洞,提升所访问过的系统权限。在概念验证中,攻击代码可以用于删除原本需要管理员权限才能删除的文件。有专家表示,这个漏洞主要影响Windows 最新版本,如 Windows 10、Server 2016 和 Server 2018 等。
参考链接:https://www.zdnet.com/article/microsoft-windows-zero-day-disclosed-on-twitter-again/
信息窃取软件 Azorult 新版本在地下黑市出现
据外媒报道,新版本的 Azorult 信息窃取软件在地下黑市出现,能窃取更多数据,包括多个类型的加密货币。最新版本的 Azorult 主要通过RIG漏洞利用工具包以及其他渠道分发,而以前的版本则通过伪造的 Office 文档、作为网络钓鱼邮件的附件分发。AZORult 最早由 Proofpoint 的研究人员于 2016 年首次发现。在2018年7月,研究人员发现了复杂版本的 AZORult 间谍软件,可用于窃取凭证、支付卡数据、浏览器历史记录和加密货币钱包的内容。在此基础上,新版本使用新的加密方法,用于保护硬编码的 C&C 域字符串,还采取了用于连接命令和 C&C 服务器的新密钥。
参考链接:https://securityaffairs.co/wordpress/77329/malware/azorult-3-3.html
云天安全订阅号
云天安全服务号
鲁公网安备 37010202002190号