在許多情況下,軟體有正當的理由必須更新。有時,軟體更新是為了提供原本已宣傳、但出貨時卻來不及加入的功能。因此,裝置開箱、連上網路、下載最新軟體以獲得最新功能,對今日的消費者來說就像家常便飯。但像這樣的更新不一定每次都很順利,有時候功能遠比預期還晚推出,或者功能根本就不如原先所預期。
除此之外,一些透過更新取得的功能,也可能導致不預期或不良的後果。例如:Spectre 漏洞最初的修正就會導致某些系統的效能變慢。除了 CPU 效能問題之外,有些案例是儲存效能也受到影響,而這又可能進一步影響系統的其他效能,因為資料讀取速率突然變慢。
大體而言,裝置能自動更新對使用者來說是件好事。許多裝置軟體所發生的問題,可透過更新來修正當然最好。只不過,軟體更新有時候也可能反而讓裝置變得無法使用。這樣的問題通常是因為更新規劃不當,或是硬體上的變異所造成。例如裝置用到一些不良 (或仿冒) 的晶片 (這樣的情況並非罕見),所以才會讓裝置在更新後出現異常行為,甚至變成磚塊 (完全不能用)。
繼續閱讀就像犯罪集團在 ATM 提款機上安裝的盜卡裝置一樣,駭客將一種叫做「Magecart」的惡意程式碼植入目標網站,專門竊取客戶在結帳時所提供的付款資料,只不過是數位版本。更厲害的是,這類程式碼不但強大,而且持卡人完全無法察覺。
過去這一年來 Magecart 駭客集團已證明,沒有任何一個網站可以倖免於這類盜卡攻擊。不論是知名電子商務品牌 (如 Newegg)、國內大型航空公司、全球售票網站 (Ticketmaster),甚至服務對象遍及美國、加拿大將近 200 所大學的校園網路商店,只要網站接受線上刷卡就存在著風險 。
近年來大約有 17,000 個網站是經由此方式遭到入侵。還有另一波攻擊在短短 24 小時內就入侵了 962 家網路商店。Magecart 還變本加厲開發支援各種結帳網頁的萬用盜卡程式碼們,最高記錄可支援 57 種支付閘道,也就是說駭客可以很輕鬆地利用同一套工具來攻擊全球網站。
七月英國航空 (British Airways) 遭到了航空史上最高的罰鍰,原因是該公司的客戶在其官網訂票之後,信用卡資料便隨即遭到竊取。這筆由英國隱私權監理機構所開出的 2.28 億美元罰款,反映出這起事件的嚴重性,以及該公司未善盡保護客戶個人及金融資訊的責任。不過,這起事件的後續發展並不只侷限於英國航空公司及其客戶。這其實是一波最新的攻擊手法,歹徒專門在電子商務網站上植入「數位盜卡」程式碼來竊取使用者在網站上消費時所輸入的付款資訊。
雖然,數以萬計的網站都曾經發生同樣的情況,但你還是有一些方法可以確保自身的消費安全,最方便的作法就是安裝一套 PC-cillin 雲端版 。不過,有些事情你還是必須預先了解。
繼續閱讀
🔴 PC-cillin 雲端版30天防毒軟體 》即刻免費下載試用
雖然網路釣魚活動在2019年上半年顯得較為平靜,但它仍是網路犯罪分子的主要攻擊武器。最新的例子是Heatstroke網路釣魚(Phishing)活動。
Heatstroke使用了圖像隱碼術(Steganography)等複雜的技術,不只是冒用合法網站等多樣化的社交工程手法。Heatstroke操作者鎖定受害者的私人郵件地址,尤其是免費信箱,其中包括了科技產業的主管和員工。由於免費信箱安全防護和垃圾郵件過濾機制比較薄弱,而且私人郵件也常被用來驗證社群媒體和電子商務網站,以及作為Gmail和企業帳號的備用帳號。特別是Gmail帳號;取得權限的攻擊者也可以存取受害者的Google雲端硬碟,甚至可能會危及連結帳號的Android裝置。因此,跟防護較高的企業郵件帳號比起來,這些免費郵件帳號是攻擊者偵察及收集目標情報更好的起點。
Heatstroke操作者使用下列策略來隱藏自己的踪跡:
被偷的帳密會用圖像隱碼術(Steganography)(將資料隱藏或嵌入到圖檔裡)送到特定的郵件地址。我們在研究過程中監測到兩個相似的釣魚套件 – 一個針對Amazon使用者,另一個則會竊取PayPal帳密。
繼續閱讀系統由軟體所掌控的另一個結果是,掌控系統的人可以透過程式化來改變系統在各種狀況下的行為。很多產業都會有一些廠商會透過推播的方式來幫客戶更新軟體,但有些時候客戶並不領情。
一個例子就是廠商假借按計畫逐步淘汰的名義,強迫客戶提早更新。他們可能在產品設計上動手腳,讓產品在經過幾年之後就自然故障,確保客戶會定期汰舊換新。近年來,我們經常看到廠商透過軟體方式來達到這項目的,刻意不讓某些裝置升級至最新軟體,或者操弄裝置的特定功能,如電池續航力。
一般來說,軟體的檢驗是一項相當困難的工作,前述案例即可證明。掌握軟體的人若想操弄軟體或隱藏某些狀況,通常都能很有效地達到目的。這在真空管與拉桿的時代就很難辦到。
