哥哥安安❤~別相信天上掉下來的禮物!!!

net_m

網路世界十分便利,以前需要面對面才能做的事,現在都能透過網路完成,網路交友方便又好玩,卻容易讓人陷入詐騙的桃色陷阱,歹徒通常會使用美女照片創立假帳號,隨機尋找民眾搭訕聊天,刻意迎合對方喜好取得信任,並趁機摸清其經濟能力,再捏造不同情況要求被害人前往超商購買遊戲點數。

最近很多交友通訊軟體都很流行,像是很多人使用的Line、whatsapp、微信、Beetalk、Tango等,使用「搖一搖」功能,手機會自動對應附近用戶後互相加為好友聊天。詐騙集團會使用漂亮女生的清涼照片當顯示圖片,然後主動加男性好友,開頭先問「住哪裡?怎麼稱呼?」 繼續閱讀

新iOS惡意軟體「AceDeceiver」,沒有越獄的iPhone也可能造成威脅

新發現的iOS惡意軟體可能會影響到「任何設備」,根據Palo Alto Networks的報告,它甚至會影響沒有越獄過的設備。這惡意軟體被稱為AceDeceiver 註1,會利用Apple數位版權管理(DRM)機制的漏洞,跟之前iOS惡意軟體利用企業證書來感染未修改過設備的方法不同。

mobile iphone手機

註1:趨勢科技將Windows執行檔偵測為TROJ_ACEDECEIVER.A,並將iOS惡意軟體偵測為IOS_AceDeceiver.A。

 

[延伸閱讀:每支iPhone都不安全:Yispectre惡意軟體影響未經修改過的iOS設備]

 

那麼它會做什麼及它如何運作?這惡意軟體會利用Apple稱為Fairplay的DRM保護機制的一個設計缺陷。這作法稱為「FairPlay中間人攻擊」,讓攻擊者能夠安裝惡意應用程式到iOS設備上而無需經過Apple公司的安全措施。

示範情境:使用者會透過電腦上的iTune軟體從App Store進行購買和下載。在這裡,電腦被用來透過iTunes將應用程式安裝到連接的iOS設備上,但需要iOS設備自己收到應用程式授權碼來證明確實已經購買。

在FairPlay中間人攻擊中,授權碼被儲存並用來結合第三方的iTunes山寨版來騙過Apple設備相信自己已經合法購買了特定應用程式,可以自由地加以安裝而無需付費。

惡意的部分是這個iTunes山寨版作者讓自己的程式也可以利用Fairplay中間人攻擊在客戶不知情下將惡意應用程式安裝到手機上。這就是所發生的事情,山寨版iTunes程式(稱為Aisi Helper)將惡意應用程式(也就是AceDeceiver應用程式家族)強迫安裝到使用者手機上。  繼續閱讀

Yispectre惡意程式感染中國和台灣:就算不越獄的 iPhone 也不一定安全

就在 XcodeGhost 攻擊事件爆發之後沒多久,緊接著就出現了一個名叫「YiSpecter」的最新惡意程式,專門感染 iOS 裝置。根據報導,此惡意程式可自行安裝在已越獄或未越獄的 iOS 裝置。YiSpecter 是第一個利用 Apple 非公開 API 漏洞的 iOS 惡意程式,駭客經由官方的 App Store 來進入 iOS 裝置 (不論裝置是否已越獄)。研究人員發現此惡意程式已經在外活躍將近 10 個月,絕大多數受感染的使用者都在中國和台灣。

[延伸閱讀:利用暗藏惡意程式的 Xcode 開發工具感染 iOS 應用程式]           

iphone 手機  

YiSpecter 利用了獨創的自我散播技巧。其蹤跡最早可追溯至 2014 年 11 月,此惡意程式的散布方式之一是偽裝成網路色情視訊串流程式。此外,它還會藉由下列方式來散布:攔截來自國內 ISP 的流量、離線安裝應用程式、一個 Windows 裝置的社群網路蠕蟲,以及經由社群推薦。此惡意程式利用企業憑證和非公開 API 來躲過 Apple 的應用程式審查流程。

此惡意程式一旦進入 iOS 裝置,就能繼續下載、安裝、啟動其他應用程式,此外還會取代現有的應用程式、攔截廣告、修改瀏覽器預設搜尋引擎,並且上傳裝置資訊到幕後操縱 (C&C) 伺服器。而且,研究人員更發現,即使是手動刪除該惡意程式,它也還會再自己出現。

根據 Apple 最近發表的聲明:

此問題只會影響使用舊版 iOS 並從非可靠來源下載了惡意程式的使用者。我們已在 iOS 8.4 當中解決了這個問題,同時也封鎖了散布此惡意程式的應用程式。我們鼓勵客戶應隨時更新到最新版的 iOS 系統來獲得最新的安全更新。此外,也鼓勵客戶務必僅從可靠來源 (如 App Store) 下載應用程式,並且留意下載時所出現的任何警告。繼續閱讀

iPhone 刪除的照片,竟還留在 iCloud ? 再談女星雲端裸照外流事件

 

從 iCloud 疑遭入侵,好萊塢 A 咖女星裸照外流事件,學到的五件事的文章中,提到刪除並不一定真的代表刪除,如同下圖受害者所發現的一樣。如果你還以為從自己的手機刪除照片就可以了,那麼推薦你看這一篇文章。

 

從 iCloud 疑遭入侵,好萊塢 A 咖女星裸照外流事件,學到的五件事的文章中,提到刪除並不一定真的代表刪除,如同下圖受害者所發現的一樣。如果你還以為從自己的手機刪除照片就可以了,那麼推薦你看這一篇文章。


 

作者:Vic Hargrave (趨勢科技資料分析軟體架構師)

Cloud

當我聽到有明星因 iCloud 帳號被駭客入侵而使得自己的裸照被上傳到匿名分享網站 AnonIB 時,我其實一點也不覺得意外。不過,雖然將這麼私密的資料儲存在雲端原本就是一項冒險行為,但對於這些 明星的尷尬處境我也深表同情。畢竟,照片是因遭人竊取才會外流,並非個人意願。就我來看,行動運算與雲端儲存的便利性在這件事上也要負擔部分責任。你很容易就可能建立一個密碼強度不足的雲端儲存帳號。視你的行動 App 程式而異,有時照片、音樂、文件或任何其他資料會在背後自動上傳至雲端,而你並不會留意。

一旦你的檔案上傳到雲端,你手機上的相簿就不一定會和你雲端上的相簿同步。我覺得許多使用者並不了解他們的資料到了雲端會怎樣,甚至是資料怎麼上傳到雲端的。

單純只是另一個雲端破解案例

就目前看來,應該是有一名叫作「OriginalGuy」的駭客入侵了明星的 iCloud 帳號並竊取照片。駭客攻擊的第一步是利用蘋果「我的 Apple ID – 建立一個 Apple ID」這個用來建立新帳號的網頁,在網頁上輸入一些可能的電子郵件來猜測受害者 iCloud 帳號的電子郵件地址

如果某個電子郵件地址已有人使用,該頁面就會請使用者輸入其他可用的電子郵件地址。如此一來,駭客就知道某個電子郵件地址是否有人使用。接著,他就試圖用這個電子郵件地址來登入,不論是用猜測的密碼或是使用密碼破解程式。假使帳號的密碼強度不足,歹徒就不難猜到。這項技巧不光只適用於 iCloud 服務,也適用於 Box.com、DropBox 以及其他任何在建立帳號時能讓駭客知道某個電子郵件是否有人使用的服務。

行動資料分享或許太過容易

我所見過的大多數行動雲端儲存 App 程式都能讓你將智慧型手機中的照片自動上傳到雲端儲存。若你有多個這類帳號,你就很容易不知道哪些相片在何時被上傳到哪個雲端儲存。

最近我發現,當我用 iPhone 拍照時,照片會透過 WiFi 連線或是在我手機接上筆電的 USB 連接埠時自動上傳到我的 DropBox 帳號。我不記得自己曾經在 DropBox App 上做過這樣的設定,這樣的現象似乎是某一天自己突然開始。有可能是我某一次更新 DropBox 之後才開始,也可能是我不小心開啟了這項功能。不過每當它發生時,不論是我的動作結果或是軟體的運作結果我都不曉得。

這才是重點:身為一個每天都要接觸電腦科技、行動裝置等等的軟體工程師,我自認是個相當熟悉科技的人。但我竟不曉得自己的智慧型手機是如何開啟這項照片自動上傳至 DropBox 的功能。

我必須自己到手機應用程式設定當中手動關閉這項「功能」,就連我們這種熟悉技術的人都還如此,也難怪那些生活忙碌的電影明星會不知到自己的照片被上傳到雲端。 繼續閱讀

智慧型手機一定要用密碼上鎖? 從女孩在伊維薩島裸泳時iPhone被偷談起

作者:gboyle

使用密碼來鎖住智慧型手機等行動設備。這看起來似乎很直覺也很簡單。但根據業內人士的估計,有介於30%和60%的人不用密碼鎖住他們的智慧型手機。因為對大部分人來說,「行動」代表的是方便而非謹慎,像是密碼雖然只是簡單的小事,不過就是嫌麻煩。一個簡單的事實是,人們遺失手機,不管是掉了還是被偷,最終結果都一樣:手機握在別人手上。

如果不用密碼鎖定,那你很可能會被盜打,而費用都算在你身上(太糟糕了,如果這小偷有個朋友在歐洲)。也會為個人資料的外洩打開大門。

保護你的資料和設備並不只是鎖定手機那麼簡單
保護你的資料和設備並不只是鎖定手機那麼簡單

一個最近流傳的故事,有個女孩在伊維薩島裸泳時iPhone被偷了,她就將小偷照片貼到部落格上以作為報復。很顯然地,小偷用她的手機拍照,而照片被上傳到她還可以存取的線上服務。這聽起來很好笑,對吧?其實並不! 繼續閱讀