king29lee
king29lee
关注数: 78
粉丝数: 13
发帖数: 105
关注贴吧数: 40
日前,哥伦比亚的知名人物Roberto Escobar向苹果提起了26亿美元的诉讼,他表示由于自己购买的iPhone X人脸识别功能不够安全,导致自己被黑客入侵导致物理地址泄露。在经过自行调查后,发现就是苹果手机中人脸识别中存在的漏洞。 根据Roberto Escobar的诉状,其在购买并使用iPhone X一年后,就收到了来自Diego的一封威胁信。这导致他为了安全问题,不得不转移住址,并且增加了安保人手。而当时在购买iPhone手机时,就是冲着苹果设备安全性高的原因。苹果员工当时也保证这是世界上最安全的设备了。 对于此次被起诉事件,苹果公司尚未对此有任何回应。但如果真的因为iPhone手机的人脸识别功能而危害到用户的安全,那么苹果就需要慎重处理这个问题了。也正是因此,在国内外有不少网友都表示支持Roberto Escobar起诉苹果。至于最终结果如何,还需要等待苹果的后续处理。
什么是网络安全网络安全是指网络系统的硬件、软件及其系统中的数 什么是网络安全 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 2020年4月27日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局共12个部门联合发布《网络安全审查办法》,将于今年6月1日起实施。
蓝鸥吧吧主竞选:NO.0002号候选人
ThunderSpy漏洞解析 以下列出的七个 ThunderSpy漏洞解析 以下列出的七个Thunderspy漏洞会影响Thunderbolt版本1、2和3,并且可以被利用来创建任意的雷电设备身份,克隆用户授权的雷电设备,最后获得PCIe连接性以执行DMA攻击。 固件验证方案不足 弱设备身份验证方案 使用未经验证的设备元数据 使用向后兼容性降级攻击 使用未经验证的控制器配置 SPI闪存接口缺陷 BootCamp没有雷电安全 雷电接口的直接内存访问(DMA)攻击并不是什么新鲜事。 基于DMA的攻击使攻击者只需将恶意的热插拔设备(如外部网卡,鼠标,键盘,打印机或存储设备)插入雷电接口或最新的USB-C端口,即可在几秒钟内破坏目标计算机。 简言之,DMA攻击是可能的,因为雷电接口在非常低的安全级别下工作,并且具有对计算机的高级别访问权限,从而使连接的外围设备可以绕过操作系统安全策略并直接读/写系统内存,其中可能包含敏感数据,包括密码,银行账户,私人文件和浏览器活动。 其实对于DMA攻击,英特尔是有预防措施的,那就是2019年年初推出的内核DMA保护(Kernel DMA Protections),进一步加强设备验证,防止设备欺骗用户授权,保护电脑不受驱动器的攻击。
在好莱坞大片里,无论戒备多么森严,黑客通常只需几分钟就能拷贝走电脑里所有数据,看起来相当超现实。 如果电脑已经设置了复杂的系统密码、处于锁定状态、BIOS加密、硬盘全盘加密,在这么高的安全等级下,黑客也能轻松窃取文件吗? 答案是可以!因为一个叫做Thunderspy的漏洞。 荷兰埃因霍温科技大学的安全研究员最近发现计算机常用的 Thunderbolt 接口存在7个不可修补的新硬件漏洞。利用一种被称为“Thunderspy”的技术,可以攻破英特尔Thunderbolt接口,绕过安全设计直接盗走电脑内存中的数据。2011年以来生产的带有雷电接口的电脑都将受到威胁,并且难以通过软件修复。 通常高端计算机上都配备Thunderbolt接口上,我们一般俗称“雷电”,苹果官方称为“雷雳”。 Thunderspy攻击主要用于从锁定或睡眠状态的计算机窃取或读取/写入数据,即使磁盘驱动器受到全盘加密保护也无效。 Thunderspy 属于 evil-maid 攻击,这意味着它需要对设备进行物理访问才能对其进行攻击,因此与远程攻击相比,它的利用程度较低。但是另一方面,Thunderspy 是一种隐身攻击,在成功执行入侵之后,犯罪分子几乎不会留下任何利用的痕迹。 什么是evil-maid(邪恶女仆)攻击?邪恶女仆攻击是指针对已经关闭的无人看管的计算设备的攻击。邪恶女仆攻击的特点是,在设备持有者不知情的情况下,攻击者可以多次亲手接触目标设备。 换言之,只要你离开桌子几分钟,黑客就可能在这么短的时间内的入侵你的电脑,之后再恢复原样,神不知鬼不觉。 埃因霍温科技大学的研究员Ruytenberg表示,ThunderSpy攻击可能需要用螺丝刀打开目标笔记本电脑的外壳,但它不会留下任何痕迹,几分钟内就能被拔出。 研究员说,“即使您在短暂离开时锁定或挂起计算机,并且系统管理员已设置安全启动、BIOS加密,操作系统设置了密码并启用了全盘加密,即使你遵循全部最佳安全实践,Thunderspy仍然可以攻击你。” 除运行Windows或Linux操作系统的计算机外,自2011年以来销售的,具有雷电功能的苹果MacBooks(视网膜版除外)也容易受到Thunderspy攻击,但仅限于部分。 发现漏洞的Ruytenberg在YouTube上发布了一段视频,展示了如何进行攻击。 在视频中,他卸下了ThinkPad笔记本的后盖,用SOP8烧录夹将SPI编程器和主板上的雷电控制器针脚连接起来。 然后他只用了2分钟就重写了雷电控制器的固件,绕过密码禁用了安全性设置。经过一番操作后,就能通过插入雷电设备改写操作系统,即使是全盘加密的电脑也不在话下。 此外,他还演示了在系统仅通过USB或DisplayPort传输的情况下恢复雷电连接。整个过程大约只需要5分钟。 Ruytenberg攻破电脑的设备成本仅400美元,体积还比较大,但是他说,“某三个字母的部门”可以把这套设备小型化,让攻击更为隐蔽,成本会增加到1万美元。 该漏洞存在原因就在于雷电接口的直接内存访问(DMA)长久以来的安全问题。 雷电接口的DMA可以让外接设备直接读写内存,而无需CPU介入,这给外接显卡等高速设备带来了便利,但同时也带来了安全隐患。
我发表了一篇视频贴,大伙来看看吧~
我发表了一篇图片贴,大伙来看看吧~
我发表了一篇图片贴,大伙来看看吧~
1
下一页
