标记为“标识”的条目

第23页第1页

指纹iPhone

这个巧妙的进攻允许某人在您访问网站时唯一标识电话,根据加速度计的数据,陀螺仪,以及磁强计传感器。

我们开发了一种新型的指纹攻击,校准指纹攻击。我们的攻击使用加速度计收集的数据,智能手机中的陀螺仪和磁强计传感器可以构建全球独一无二的指纹。总体而言,我们的攻击具有以下优势:

  • 攻击可以通过您访问的任何网站或您在易受攻击的设备上使用的任何应用程序发起,无需您明确确认或同意。
  • 攻击需要不到一秒钟的时间来生成指纹。
  • 这种攻击可以为iOS设备生成全球唯一的指纹。
  • 校准指纹永远不会改变,即使在工厂重置之后。
  • 当你浏览网页并在手机上的应用程序之间移动时,这种攻击提供了一种有效的方法来跟踪你。

*在我们披露之后,苹果已经在iOS 12.2中修复了这个漏洞。

研究.

发表于5月22日,2019年上午6:24·查看评论

用假手击败手静脉生物测定

尼斯工作

静脉系统的一个吸引力说,更传统的指纹系统是,攻击者通常很难了解用户的静脉在皮肤下的位置,不是从拿着的物体或高质量的照片上提取指纹,例如。

但是有了这句话,克里斯勒和阿尔布雷特首先拍摄了他们的静脉模式。他们使用了一个经过改装的单反相机,去掉了红外滤光片;这使他们能够看到皮肤下静脉的形状。

“从五米远的地方拍照就足够了,去参加一个新闻发布会,拍下他们的照片,也许会奏效。”克里斯勒解释说。总共,这对夫妇在30天内拍摄了2500多张照片,以完善这一过程,并找到一张有效的图像。

然后,他们用这幅图像制作了一个包含静脉细节的手蜡像模型。

斜板线.

1月11日发布,2019年上午6:38·查看评论

MD5和SHA-1仍在2018年使用

上周,数字证据科学工作组发表了一份草案文件——”SWGDE对MD5和SHA1哈希算法在数字和多媒体取证中的应用的立场“--如果它接受在数字取证应用中使用MD5和SHA-1:

虽然SWGDE促进供应商和从业者采用sha2和sha3,MD5和SHA1算法仍然适用于数字取证中的完整性验证和文件识别应用。由于MD5和SHA1算法的已知局限性,只有sha2和sha3适用于数字签名和其他安全应用程序。

这在技术上是正确的:针对MD5和SHA-1的密码分析的当前状态允许发生冲突,但不适用于预成像。仍然,不管出于什么目的接受这些算法都是很糟糕的形式。我相信这个团队正在处理遗留应用程序,但我希望它能真正推动那些应用程序供应商更新他们的散列函数。

12月24日发布,2018年上午6:25·查看评论

通过元数据识别人员

有趣的研究:“你就是你的元数据:使用元数据信息识别和混淆社交媒体用户,"比阿特丽斯·佩雷斯,Mirco Musolesi还有Gianluca Stringhini。

文摘:元数据与我们在数字世界中的日常交互和通信中产生的大多数信息相关联。然而,令人惊讶的是,元数据通常仍然被分类为不敏感的。的确,过去,研究人员和实践者主要关注从消息内容识别用户的问题。

在本文中,我们使用Twitter作为一个案例来量化元数据和用户身份之间关联的唯一性,并了解潜在模糊策略的有效性。更具体地说,我们分析元数据中的原子字段,并系统地将它们结合起来,以便使用不同的机器学习算法将新的tweet分类为属于某个帐户的内容,从而增加复杂性。我们证明通过应用监督学习算法,我们能够以大约96.7%的准确度识别10000个用户组中的任何用户。此外,如果我们扩大搜索范围并考虑10个最有可能的候选者,我们会将模型的精确度提高到99.22%。我们还发现,对于这种类型的数据,数据混淆是困难和无效的:即使在干扰了60%的培训数据之后,仍然可以以高于95%的准确度对用户进行分类。这些结果对元数据模糊策略的设计具有很强的影响,例如,对于数据集发布,不仅对于Twitter,但是,更一般地说,对于大多数社交媒体平台。

7月30日发布,2018年上午6:35·查看评论

通过鼠标移动检测谎言

有趣的研究:“利用意外问题和鼠标动力学检测伪造身份,"莫纳罗的作品,卢西亚诺·冈贝里尼,还有Guiseppe Sartori。

文摘:伪造身份的检测是安全领域的一个主要问题。目前的记忆检测技术不能被使用,因为它们需要事先了解被调查者的真实身份。在这里,我们报告了一种新的检测伪造身份的技术,该技术基于使用意外的问题,可用于在没有任何自传信息的情况下检查被调查者的身份。尽管真相讲述者会自动回答意想不到的问题,说谎者必须“建立”并验证他们的回答。这种缺乏自动化的现象反映在记录响应的鼠标移动以及错误的数量上。对意外问题的回答与对预期问题和控制问题的回答(即,说谎的人也必须如实回答的问题)。利用机器学习分类器对小鼠运动的编码参数进行了分析,结果表明,在意外问题上,鼠标的运动轨迹和误差能有效地区分说谎者和实情说谎者。此外,我们发现,说谎的人也可能在他们如实回答的时候被识别出来。意外问题与鼠标移动分析相结合,可以有效地发现具有伪造身份的参与者,而无需事先向受试者提供任何信息。

波音波音邮递.

5月25日发布,2018年上午6:25·查看评论

从照片中提取指纹

英国警方能够读取指纹从A手的照片

该部门的专业成像团队的工作人员能够增强手持许多平板电脑的手的图像,是从手机上取的,在指纹鉴定专家能够确定这只手是埃利奥特·莫里斯的之前。

[…]

说到案例中使用的开创性技术,戴夫·托马斯科学支持部门的法医业务经理,补充说:“JSIU的专家人员充分利用了他们的专家图像增强技能,使他们能够提供该单位指纹识别专家可以工作的东西。尽管照片上只有一小部分指纹,团队能够成功地识别出个人。”

4月19日发布,2018年上午6:51·查看评论

COPPA合规性

有趣的研究:““难道没人会想到孩子们吗?”在量表上检查COPPA合规性“:

文摘:我们提供了一个可扩展的动态分析框架,允许自动评估Android应用程序的隐私行为。我们使用我们的系统来分析移动应用程序是否符合儿童在线隐私保护法(COPPA)。美国为数不多的严格隐私法之一。根据我们对5855款最受欢迎的免费儿童应用程序的自动分析,我们发现,大多数人可能违反了《反腐败法》,主要是因为他们使用了第三方SDK。虽然许多SDK通过禁用跟踪和行为广告提供了尊重COPPA的配置选项,我们的数据表明,大多数应用程序要么不使用这些选项,要么不正确地在中介SDK中传播它们。更糟的是,我们观察到19%的儿童应用程序通过SDK收集标识符或其他个人识别信息(PII),SDK的服务条款直接禁止他们在儿童定向应用程序中使用。最后,我们发现,谷歌限制通过使用可重置广告ID进行跟踪的努力几乎没有成功:在与广告商共享可重置ID的3454个应用程序中,66%传输其他,不可复位的,持久标识符,否定广告ID的任何有意保护隐私的属性。

4月13日发布,2018年上午6:43·查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。

施耐尔的安全是一个个人网站。betway88必威官网备用表达的意见不一定是IBM弹性.