条目标记“手机”

第17页第1页

指纹iPhone

这个聪明的攻击允许某人在你访问网站时唯一地识别手机,根据加速度计的数据,陀螺仪,以及磁强计传感器。

我们开发了一种新型的指纹识别攻击,校准指纹攻击。我们的攻击使用从加速度计收集的数据,智能手机上的陀螺仪和磁强计传感器构成了全球独一无二的指纹。总的来说,我们的攻击有以下优势:

  • 攻击可以通过您访问的任何网站或您在易受攻击的设备上使用的任何应用程序发起,无需您明确确认或同意。
  • 攻击需要不到一秒钟的时间来生成指纹。
  • 这种攻击可以为iOS设备生成全球唯一的指纹。
  • 校准指纹永远不会改变,即使在工厂重置之后。
  • 当你浏览网页并在手机上的应用程序之间移动时,这种攻击提供了一种有效的方法来跟踪你。

*在我们披露之后,苹果已经在iOS 12.2中修复了这个漏洞。

研究

发表于5月22日,2019年6点24分·查看评论

从麦克风声音恢复智能手机打字

另一个针对智能手机的旁道攻击:聆听你的触摸:智能手机上的一个新的声音侧通道”,通过髂骨Shumailov,洛朗·西蒙,Jeff Yan还有罗斯·安德森。

文摘:我们提出了第一个声学侧通道攻击,恢复用户在他们的触摸屏智能手机或平板电脑的虚拟键盘上键入什么。当用户用手指轻敲屏幕时,龙头产生声波,在屏幕表面和空气中传播。我们发现设备的麦克风可以恢复这种波形并“听到”手指的触摸,波的畸变是龙头在屏幕上位置的特征。因此,通过内置麦克风录音,当用户在设备上输入文本时,恶意应用程序可以推断文本。我们在Android平板电脑和Android智能手机上对现实环境中的45名参与者评估了攻击的有效性。对于平板电脑来说,我们在20次尝试中回收了200个4位pin码中的61%,即使模型没有使用受害者的数据进行培训。的智能手机,我们恢复9个大小为7-13个字母的单词,在一个常见的侧通道攻击基准中尝试了50次。我们的结果表明,依赖TrustZone等隔离机制来保护用户输入并不总是足够的。我们提出并讨论硬件,操作系统和应用程序级机制可以更有效地阻止这种攻击。移动设备可能需要更丰富的功能模型,一个更人性化的传感器使用通知系统和一个更彻底的评估信息泄漏的基础硬件。

博客邮递

4月1日发布,2019年上午9点44分·查看评论

聪明的智能手机恶意软件隐藏技术

这个是聪明的:

谷歌Play市场上的恶意应用程序正在尝试一种聪明的方法来避免被发现——它们在安装一个强大的银行木马程序之前,会监控受感染设备的动作传感器输入,以确保它不会加载到研究人员用来检测攻击的模拟器上。

监控背后的想法是,真实终端用户设备中的传感器将记录人们使用它们时的运动。相比之下,安全研究人员使用的模拟器——可能还有谷歌员工使用的模拟器——不太可能使用传感器。两个谷歌播放应用程序最近被发现在受感染的设备上放置Anubis银行恶意软件只有在首先检测到运动时才会激活有效载荷。否则,木马将保持休眠状态。


1月21日,2019年6点47分·查看评论

手机安全和国家元首

本周早些时候,的纽约时报报道俄国人和中国人窃听唐纳德·特朗普总统的私人手机,并利用收集到的信息来更好地影响他的行为。这应该不会让任何人感到惊讶。安全专家说话关于自特朗普当选总统以来,他使用手机的潜在安全漏洞。奥巴马总统大发雷霆--但默许了安全规则禁止他使用“常规”在他的总统任期内一直使用手机。

显然,这个故事引出了三个更广泛的问题。还有谁在偷听特朗普的手机通话?其他世界领导人和政府高级官员的手机呢?而且——最私人的——是关于什么的我的手机电话吗?

窃听任何通信系统都有两个基本的地方:在终端和传输期间。这意味着手机攻击者可以破坏两部手机中的一部手机,也可以窃听手机网络。这两种方法都有其优点和缺点。美国国家安全局(NSA)似乎更喜欢大规模窃听地球上的主要通讯线路,然后找出感兴趣的个人。2016,维基解密公布了一系列列有“目标选择器”的机密文件:美国国家安全局搜索和记录的电话号码。这些人包括…的高级政府官员德国其中包括德国总理安格拉•默克尔(Angela Merkel)法国日本其他国家

其他国家没有美国国家安全局那样的全球影响力,并且必须使用其他方法拦截手机通话。我们不知道具体是哪些国家在做什么,但我们对这些弱点了解很多。电话网络本身的不安全很容易被利用60分钟窃听美国国会议员的电话住在相机在2016年。早在2005年,未知的攻击者通过黑客攻击国家的电话网络和打开一个已经安装的窃听功能。甚至美国国家安全局植入窃听功能用于叙利亚电话公司的网络设备。

另外,攻击者可以拦截手机和发射塔之间的无线电信号。加密范围从非常弱可能是强大的,这取决于系统使用的味道。别以为袭击者必须把窃听天线放在白宫草坪上;俄罗斯大使馆就在附近。

窃听手机的另一种方法是侵入手机本身。这是不太成熟的情报能力国家所青睐的技术。2017,公共利益法医组织公民实验室(Citizen Lab)发现了针对墨西哥的大规模窃听活动律师记者,和反对派政客——大概由政府运行。就在上个月,同一个组织发现以色列网络武器制造商NSO集团的产品具有窃听能力。操作在阿尔及利亚,孟加拉国,希腊,印度哈萨克斯坦,拉脱维亚南非——总共有45个国家。

这些攻击通常包括下载恶意软件到智能手机上,然后记录通话,短信,以及其他用户活动,然后把它们转发给某个中央控制器。在这里,它关系到哪个手机是目标。iphone更难破解,这反映在公司为新开发能力支付的价格上。2016,漏洞代理Zerodium提供150万美元用于未知的iOS漏洞,20万美元用于类似的Android漏洞。今年早些时候,迪拜新成立的公司宣布更高的价格。这些漏洞被转卖给政府和网络武器制造商。

部分价格差异是由两种操作系统的设计和使用方式造成的。苹果对iPhone软件的控制比谷歌在Android手机上的控制要大得多。同时,Android手机通常是设计的,建造,由第三方出售,也就是说他们是可能性小得多及时获取安全更新。这种情况正在改变。谷歌现在有了自己的手机——Pixel——可以快速、定期地更新安全信息,谷歌现在正在尝试压力Android手机制造商将更定期地更新手机。(据报道特朗普总统使用iPhone。)

另一种破解手机的方法是在设计过程中安装后门。这是一种真正的恐惧;今年早些时候,美国情报官员警告中兴通讯和华为制造的手机可能会受到政府的影响,五角大楼命令在军事基地的商店停止销售。这就是为什么中国推荐如果特朗普想要安全他应该用华为手机,是一个有趣的挑衅。

考虑到大量的不安全因素和各种窃听技术,可以肯定的是,许多国家都在监听外国官员和本国公民的电话。其中许多技术都在犯罪集团的能力范围内,恐怖组织,还有黑客。如果我猜的话,我想说的是,中国和俄罗斯等主要国际大国正在使用更被动的拦截技术来监视特朗普,小国家害怕被抓到,不敢在他的手机上植入恶意软件。

可以肯定地说,特朗普总统不是唯一的目标;国会议员也一样,法官,以及其他高级官员——尤其是因为没有人试图让他们中的任何人停止使用手机(尽管手机无论在众议院还是参议院都是不允许的

至于我们其他人,这取决于我们有多有趣。很容易想象一个犯罪集团窃听CEO的手机,以在股市中获得优势,或者一个国家为了在贸易谈判中占优势而做同样的事情。我们看到政府使用这些工具对付持不同政见者,记者,以及其他政敌。这个中国人俄罗斯政府已经把目标对准了美国电网;对他们来说,把目标对准那些负责电网的手机是有道理的。

不幸的是,为了提高手机的安全性,你做不了什么。与计算机网络不同,你可以购买防病毒软件,网络防火墙,诸如此类,你的手机很大程度上是由别人控制的。你的命运掌握在手机制造商手中提供手机服务的公司通信协议是在这些都不是问题的时候开发出来的。如果其中一家公司不想为安全问题操心,你是脆弱的。

这就是为什么当前关于手机隐私的争论,一方面联邦调查局想要窃听通信和解锁设备的能力,另一方面,用户想要安全的设备,如此重要的原因。是的,联邦调查局能够利用这些信息来帮助解决犯罪,这是有安全效益的,但也有更大的好处电话和网络是如此安全,以至于所有潜在的窃听者——包括联邦调查局(FBI)——都无法访问它们。我们可以执法其他的取证工具,但我们必须保留外国政府,犯罪集团恐怖分子,所有人都在电话里。总统可能因为爱他那不安全的手机而感到愤怒,但我们每个人都在使用不安全的手机。对于我们中的很多人来说,让这些电话更私密是国家安全的问题。

这篇文章之前出现大西洋

编辑添加:史蒂文·贝洛文和苏珊·兰道好文章在同一个话题上,一样《连线》杂志。Slashdot邮递

10月30日发布,2018年6月38日上午·查看评论

西弗吉尼亚使用互联网投票

这是疯狂的(也是危险的)。西弗吉尼亚州允许人们通过智能手机应用投票。甚至更疯狂,该应用程序使用区块链——大概是因为他们不知道投票的安全问题实际上是

发布于10月19日,2018年6月17日上午·查看评论

围绕“总统警报”的阴谋论

著名阴谋论者约翰·麦卡菲推特

“总统警报”:它们能够访问您手机中的e911芯片,使其完全访问您的位置,麦克风,相机和手机的所有功能。这不是咆哮,这是我写的,仍然是领先的网络安全专家之一。醒醒吧!

这是,当然,荒谬。我甚至不知道什么是“E911芯片”是多少。而且——老实说——如果国家安全局想要你的电话,它们会比这微妙得多。

RT已拾起故事,不过。

(如果他们称之为“联邦应急管理局警报”,整个事情的压力会小很多。)

发布于10月4日,2018年下午3点03分·查看评论

Facebook正在使用你的双因素认证电话号码来定位广告

喀什米尔希尔

Facebook不满足于使用您自愿添加到Facebook个人资料中的联系信息进行广告宣传。它还使用您出于安全目的而移交的联系信息和您根本没有移交的联系信息,但那是从别人的联系簿上收集的,Facebook隐藏了一层关于你的信息,我称之为“影子联系信息”。我设法在艾伦面前贴了一则广告,以他的影子形象为目标,误导了他。这意味着,你为折扣或可疑的网上购物提供的垃圾电子邮件地址可能与你的帐户有关,并被用来投放广告。

这是研究报告。Hill:

他们发现,当一个用户给Facebook一个电话号码进行双因素身份验证,或者为了接收用户帐户新登录的通知时,这个电话号码在几周内就被广告商瞄准了。因此,希望自己的账户更安全的用户被迫做出隐私权衡,让广告商更容易在社交网络上找到他们。

10月2日发布,2018年凌晨5点53分·查看评论

使用智能手机的麦克风和扬声器窃听密码

令人惊讶的是,这甚至是可能的:”声纳:主动声侧信道攻击”:

文摘:我们报告了第一次主动声侧通道攻击。扬声器被用来发射人类听不见的声音信号,回声通过麦克风记录下来,把智能手机的音响系统变成声纳系统。回波信号可以用来分析用户与设备的交互。例如,受害者的手指移动可以推断为窃取安卓手机解锁模式。在我们的实证研究中,攻击者必须尝试在三星S4安卓手机上验证自己身份的候选解锁模式数量,使用这种新颖的声学侧通道最多可减少70%。我们的方法可以很容易地应用于其他应用程序场景和设备类型。总的来说,我们的工作突出了一系列新的安全威胁。

新闻文章

发布于9月5日,2018年上午6:05·查看评论

谷歌跟踪它的用户,即使他们选择不跟踪

谷歌在跟踪你即使你关闭跟踪

谷歌说这将阻止公司记住你去过的地方。谷歌的主题的支持页声明:“您可以随时关闭位置历史记录。没有位置历史记录,你去的地方不再被储存。”

那不是真的。即使位置历史暂停,一些谷歌应用程序自动存储时间戳位置数据,无需询问。

例如,当你只打开地图应用程序时,谷歌会存储一张你所在位置的快照。安卓手机每天自动更新天气状况,可以精确定位你所在的位置。一些与地点无关的搜索,就像“巧克力饼干”,或者“儿童科学工具包”,精确定位您的纬度和经度-精确到平方英尺-并保存到您的谷歌帐户。

一方面,这对技术人员来说并不奇怪。许多应用程序使用位置数据。另一方面,对其他人来说,这是非常令人惊讶的——也是违反直觉的。这就是为什么这是个问题。

我认为我们不应该对谷歌太过挑剔,不过。谷歌是一个更大问题的征兆:监测资本主义一般来说。只要监视是互联网的商业模式,这样的事情是不可避免的。

BoingBoing故事

评论

发布于8月14日,2018年上午6:22·查看评论

LTE移动通信标准分析

有趣的研究在使用流量分析了解加密流量方面。很难知道这些漏洞有多严重。它们很难在不浪费大量带宽的情况下关闭。

主动攻击更有趣。

编辑添加(7/3):更多信息

我一直在想这个,现在相信这些攻击比我之前写的更严重。

7月2日,2018年上午9:35·查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。

施耐尔的安全是一个个人网站。betway88必威官网备用表达的意见不一定是IBM有弹性