说起本周最大的新闻莫过于史上最难的著名黑客大赛Pwn2Own 2015的召开,最终这场精彩的黑客竞技赛以四大浏览器全部被攻陷,韩国黑客赢得冠军圆满结束。在历时两天的比赛中,Windows曝出了5个漏洞,IE 11 4个,Firefox 3个,Adobe Reader和Flash分别有3个,Safari 2个,Chrome 1个。
韩国的黑客Jung Hoon Lee赢得了Pwn2Own历史上最高的单次利用奖金——11万美元,而他在一天内共赢得22.5万美元。他利用缓冲区溢出竞态状态攻破了稳定版和 beta版的Chrome,然后利用两个Windows内核驱动的信息泄露和竞态状态获取了系统访问权限。Chrome的漏洞让他赢得了7.5万美元,Windows权限提升漏洞又获得了2.5万美元,再加上Google的Project Zero额外提供的1万美元奖金,总共11万美元。这并不是他一天内唯一的成就,Lee利用TOCTOU漏洞攻陷了IE11获得了6.5万美元,利用未初始化堆栈指针漏洞攻破了Safari又获得了5万美元。
一年一度的央视315晚会比往年推迟了近一个小时,但是遭曝光的企业依旧没有被落下。而在这次的名单中,科技企业占据了约一半的席位。央视在315晚会现场演示了黑客利用免费WiFi网络窃取用户邮箱账号和密码的过程。央视提醒消费者,一旦邮箱账号和秘密被窃取之后,黑客还会窃取用户更多隐私的信息。对此安全专家建议,用户不要链接不用密码的WiFi网络,转而多使用有密码的WiFi网络以及多用移动数据网络。
除以上两则重要的新闻外,两则关于生物识别认证相关的报道非常值得关注。即是Windows 10将使用指纹、虹膜和脸代替密码,以及支付宝准备实现刷脸支付。
微软宣布Windows 10 将引入生物识别认证,指纹、虹膜和脸可以代替密码。他们提供的解决方案包括 Windows Hello 和 Microsoft Passport 两部分,其中:Windows Hello用于解锁Windows 10设备。Microsoft Passport是Windows Hello的延伸,向app和网站开发者开放,用于登录app、网站等。
阿里巴巴集团董事局主席马云近日在德国参加活动时,演示蚂蚁金服的Smile to Pay扫脸技术,为嘉宾从淘宝上购买1948年汉诺威纪念邮票。据支付宝方面介绍,这项支付认证技术由蚂蚁金服与Face++ Financial合作研发,在购物后的支付认证阶段通过扫脸取代传统密码,这意味着,未来可以实现“刷脸支付”。
技术分析:
其实密码控件就是密码键盘的软件实现,在一个使用密码控件的软件系统中(多是网络校验系统),密码控件的整个软件实现就相当于整个物理的密码键盘,对于物理的数据线路和银行终端这样的角色,在密码控件系统中没有绝对的对应。因为密码控件可能只是简单的把用户输入的数据加密后发送到网络上,这时候网络就是物理的数据线路;而另一种情况是用密码控件产生的数据流向整个本地程序的另一个模块,这时候计算机内存就成为了物理的数据线路的角色。
近几年,我们已经看到了很多关于家庭路由器遭受攻击的报道。攻击路由器的恶意软件会将用户的上网访问重定向到各种恶意站点,其他的攻击方式还包括植入后门和DNS劫持。在这些攻击中,攻击者针对家庭网络的攻击意图和目的表现得非常明显。
ATM Skimmers 直译过来为“ATM分离器”,这是一种依附在正常自动提款机上的恶意电子硬件设备。它伪装成正常的键盘和银行卡插槽,与原设备严丝合缝,普通用户很难分辨。通过配合隐形摄像头,犯罪分子窃取用户输入的密码以及银行卡数据。记录到的密码以及银行卡信息发送的方式也多种多样,有基于GSM通讯模块的发送方式,还有蓝牙发送的,方式很多。
ATM Skimmers配合隐形摄像头获取PIN及信用卡数据
其他热点:
