手機個資外洩?耗電量大增?可能是你兒子下載到山寨版遊戲 app

趨勢科技 TrendMicro

家有低頭族兒童嗎? 父母除了擔心孩子的視力、人際關係等問題外,現在更要擔心使用智慧型手機、平板電腦等行動裝置,因孩童下載遊戲等應用程式,同時附贈的廣告軟體,導致個資外洩和大幅增加耗電量的疑慮。

手機個資外洩?可能是你兒子下載廣告軟體

 

 山寨遊戲應用程式真的免費嗎?

只要滑點一下就可以玩到大家在討論的遊戲,不只是孩子,成人也很容易迷失在這大量的免費下載軟體裡。
但是要記住,這些都是要付出代價的。山寨版應用程式的特點之一就是不收你使用應用程式的費用,但他們可以透過販賣個人資料賺取暴利。而且令人驚訝地是,大多數消費者都願意交出自己的資料以免費獲取行動服務或應用程式?畢竟,誰不喜歡免費的東西?

但即使你只給出了最少的一點資料都可能帶給自己許多麻煩。你的地址或生日都可能被網路犯罪份子用來販賣獲利。也不要以為只留Email不會有問題,其實有了個人的電子郵件地址,網路犯罪份子也可能會寄送釣魚郵件給你,目的是透過這些精心偽裝成來自官方的電子郵件,內藏惡意程式的有害連結,並誘騙消費者進入惡意網頁。一旦連上這些網頁,一則有被詐騙個人資料的風險,或是更進一步被植入惡意程式而成為被駭客控制的疆屍電腦一員,繼而透過被感染的裝置持續散播釣魚郵件或有害連結,導致網路上的眾好友們也成為受「駭」一族。

當你在拚命闖關的時候病毒也可能已經闖關成功

Candy Crush 人氣App 其受歡迎程度讓它成為暗黑開發商和網路犯罪份子的完美目標,就跟之前發生在Instagram、壞蛋豬Temple Run 等受歡迎的遊戲一樣,用來誘騙遊戲粉絲以獲取利益,

趨勢科技曾發現假的山寨 Candy Crush應用程式,這些應用程式包含了廣告應用程式Leadbolt和Airpush,含有上述程式碼的應用程式非常氾濫。廣告軟體不僅僅會採用積極的廣告策略,像是持續性的通知,同時也會收集使用者包含所在位置等相關資訊,侵犯了使用者的隱私。

行動惡意程式App數量,突破 200萬!半年內數字翻倍。不僅是數量成長,這些威脅相關的複雜性和能力也都更加增強。網路犯罪分子都在尋找機會來竊取儲存在智慧型手機和平板電腦裡可用來獲利的資訊。

 

保護個資三步驟

我們部落格裡提到,有293,091個應用程式被發現是惡意的,而這其中,有68,740個是出現在官方的Google Play上。這些惡意應用程式中,大約有22%被發現會洩漏使用者的相關資訊。

這篇報導中提到, 廣告軟體還會大幅增加耗電量,文中並引用聯邦貿易委員會提出調查報告,指出 Google Play 上的應用程式,有 60% 都會傳送裝置 ID 給不同廣告商使用。但一心只想玩樂的孩子是毫無戒心的,因此只能靠家長費心防備。 繼續閱讀

十二年了,Windows XP時代終結:如果你還在用它怎麼辦

趨勢科技 TrendMicro

時候終於到了。

經過了超過十二年半,2014 年 4 月 8 日,是Windows XP退休的日子。
4 月 8 日過後,再也沒有任何提供給 Windows XP 的安全性更新。
桌上地腦 戶外 藍天白雲

我們一直在談論離開 Windows XP 的重要性,還有讓你所認識的人瞭解離開Windows XP的重要性。但現實是,還是有不少人仍然在使用Windows XP。事實上,網路上有四分之一的個人電腦都還在使用Windows XP作業系統。

所以,如果你是今天還在使用Windows XP的人該怎麼辦?

很簡單,走出去幫自己拿到一台安裝Windows 8.1的新電腦,利用微軟所提供的的工具將檔案和設定轉移到新電腦上。如果你不想要使用Windows 8.1的原因是你不想使用以動態磚為主的「Modern」介面,不要讓這阻止你。你可以做以下兩件事來讓Windows 8.1看起來和用起來都更像Windows XP,而非Windows 8.1的「Modern」介面。

  1. 設定Windows 8.1為「開機到桌面」:這會在開機時跳過開始畫面,帶你進到更熟悉的桌面,就像是Windows XP一樣。
  2. 下載並安裝「開始」選單替代品:有好幾個選擇可以用,它們會加入跟你所熟悉的Windows XP非常相似的開始選單。請務必先做好研究,以確保你找到正常版本的應用程式。這裡列出五個開始選單替代方案好幫你開始。

這兩個步驟可以讓你在Windows XP 轉換到Windows 8.1 的過程更為順利自在。 繼續閱讀

心跳(Heartbeat)停止:Heartbleed OpenSSL漏洞分析

趨勢科技 TrendMicro

軟體會有漏洞是我們必須面對的現實,如果我們夠幸運且夠勤快,那就可以在網路犯罪份子攻擊它之前先加以修補。事實並不一定總是如此,但幸好那些算是例外,而不是常態。

Heartbleed

不過最近新聞爆出了一個關於 OpenSSL 的Heartbeat擴充程式漏洞,這是個開放原始碼工具包,用來幫助網站管理員和開發人員讓交易更加安全。而這個漏洞如果被利用的話(因為此漏洞的本質,所以沒辦法知道網路犯罪份子是否已經如此做),可能代表有許多使用OpenSSL的網站和應用程式上的交易已經被危及了。

什麼是Heartbeat OpenSSL擴充程式?

OpenSSL在2011年12月左右推出名為Heartbeat的擴充程式,隨著1.0.1編譯版本發佈,被定義在RFC 6520 TLS/DTLS Heartbeat擴充程式。這個擴充程式的功能是幫助避免重新建立會話,並允許一個讓SSL會話可以維持更久的機制。該 RFC 建議 HeartbeatRequest 必須用HeartbeatResponse訊息回答。這結果會保存網路資源,資源一般用在完整會話的重新協商。

這裡要指出的是,OpenSSL被用在許多網站和軟體上,從開放原始碼的伺服器(像Apache和Nginx),到電子郵件伺服器,聊天伺服器,虛擬私有網路(VPN),甚至是網絡設備。

因此,可以很合理的假設Hearbead擴充程式已經被大量地應用,也讓這漏洞的影響範圍真的相當廣泛。

 

了解Heartbleed臭蟲

該漏洞被稱為Heartbleed臭蟲,存在於所有實作Heartbeat擴充程式的OpenSSL。當攻擊一個有漏洞的伺服器時,可以讓攻擊者一次讀取部分(最多64KB)的電腦記憶體而不會留下任何痕跡。

這一小塊記憶體可能會包含使用者重要的個人資料 – 私鑰、使用者名稱、密碼(在很多情況下是以明文的形式)、信用卡資料以及機密文件等等。攻擊者可以一再地要求記憶體區塊以盡可能地獲取他們所想要的資訊。而且這個漏洞可以被任何人從網路上的任何地方加以攻擊。

一個主要的網路內容供應商也受到此漏洞影響,他們迅速努力地修復它。但在它修復之前,有些惡意份子可能已經竊取了敏感資料。 繼續閱讀

手機購物竟”心在淌血”!!Heartbleed臭蟲, 影響銀行,線上支付,網路購物等手機/行動應用程式

趨勢科技 TrendMicro

趨勢科技掃描了大約390,000個來自Google Play的應用程式,發現約有1,300個會連到有漏洞的伺服器。其中有15個銀行相關應用程式,39個和線上支付有關,10個和網路購物有關。

Heartbleed手機購物竟”心在淌血”!!Heartbleed臭蟲, 影響銀行,線上支付,網路購物等手機/行動應用程式 前不久,OpenSSL 加密軟體程式庫的 Heartbeat (心跳) 延伸功能被發現含有一個漏洞,此漏洞被戲稱為 Heartbleed (心在淌血) 臭蟲,它存在於所有內含 Heartbeat 延伸功能的 OpenSSL 軟體。當伺服器遭此漏洞攻擊時,駭客就能讀取電腦記憶體當中的資料 (每次最多 64KB),而且完全不留任何痕跡。

Heartbleed臭蟲的嚴重性已經讓無數的網站和伺服器急著去解決這問題。而且這是有理由的,一個由Github所進行的測試顯示,在前10,000名網站(根據Alexa排名)中,有600個受此弱點影響。在掃描的時候,受影響的網站包括了雅虎 、Flickr、OKCupid、Rolling Stone和Ars Technica。

延伸此一安全漏洞的涵蓋率帶出另一個問題,「行動設備也會受到影響嗎?」簡單的說:是的。

行動應用程式,不管我們喜不喜歡,也一樣地容易受到網站的Heartbleed臭蟲影響。因為應用程式通常會連到伺服器和網頁服務來完成各項功能。正如我們之前的文章所提到,有相當大數量的網域受到此漏洞影響。

手機購物竟”心在淌血”!!Heartbleed臭蟲, 影響銀行,線上支付,網路購物等手機/行動應用程式

假如你只是要進行應用程式內購買的動作,所以你需要輸入信用卡資訊。你做完之後,行動應用程式就會為你完成交易。當你拿到了你要的遊戲,你的信用卡資料也會儲存在行動應用程式所進行交易的伺服器上,並可能在那待上一段長度不等的時間。因此,網路犯罪分子可以利用Heartbleed漏洞來攻擊該伺服器以取得資料(如信用卡號碼)。就是這麼地簡單。

那如果應用程式不提供應用程式內購買呢?他們就安全於此漏洞嗎?也不是,只要它會連到網路伺服器,就還是會被此弱點影響,即便你的信用卡不會被影響到。例如,你的應用程式可能會要求你在社群網路上幫他們按「讚」或「關注」他們以拿到免費獎勵。

假設你決定這樣做,並且按下「確定」。你的應用程式有可能會自己去打開網頁,透過自己的應用程式內瀏覽器讓你去登入社群網路。我們並不是說你所連上的社群網路一定會被Heartbleed漏洞影響,但可能性是存在的,因此也就會有風險。 繼續閱讀

< 執行長雲端隨筆 > 信念.傳統.創新

趨勢科技 TrendMicro

Eva
■趨勢科技執行長 陳怡樺

最近微軟選了新CEO,雖然Nadella是內升的,已在微軟工作了22年,但值得注意的是,他來自目前在微軟內仍只占小部分盈收的雲端部門。

在他曾說過的話中,我很喜歡的一段是,「在這個行業裏,我們不尊敬傳統,只尊敬創新!」

真是鏗鏘有力、擲地有聲!我喜歡他這句話,是因為以一個內升的新掌舵者而言,這股霸氣和堅持是絕對必要的,尤其在資訊行業正以一秒億兆速度改變的雲端時代裡,微軟,曾幾何時已悄悄成為傳統的代表!

傳統與創新,不一定是對立的,也不一定不能並存,但墨守成規、安於現狀,絕對是創新的大敵人!如何在傳統和創新中找到平衡,是每個現有公司的課題,就連以創新為命的蘋果,也必須面對是否要繼續尊敬「賈伯斯傳統」(Big screen or not ? 【註】)的課題!

微軟新領導 放手一搏

創新,是個無法用管理、用程序去規範出來的東西,能成功與否也不能用公式計算出來,有很多未知、不可測的過程,所以創新絕不只是有個好點子而已,它需要非常的堅持,百折不撓的毅力,敢破壞一切的勇氣,而這些,唯有在主事者有一個非常強烈的信念時,才可能有這樣的傻勁與放手一搏的拚勁!

所有創新的公司,在初始時都是創始者有這樣強烈的信念和傻勁才可能成功的。

但當許多人堅持相同的信念,共同奮鬥,必會因此形成某種做事的方法,也就是所謂的公司傳統。

不幸的是,傳統和信念很容易混淆,於是,當初激發創新的強烈信念,一不小心就成了禁錮創新的傳統!

傳統和信念 ( vision ) 是不同的!信念是一種想要達成的境界,傳統則常是行事的方式。

公司要有一個很強的信念,是大家可以共同信服而願意長期努力的;為達成這信念,可以「不擇手段」!舉微軟的例子來說,我覺得微軟整個公司和業界就是混亂了所謂的信念和傳統了。

微軟的信念應該是在於「information on your fingertips (資訊觸手可及)」,為達成這信念於是有了「PC on every desktop (人人用電腦,也就是電腦普及化)」的階段性目標,因此可授權給所有硬體使用的 DOS/Windows 作業系統因之產生,平價的PC果然使「PC on every desktop」成真。

我認為,那是微軟最偉大的創新,開創了人類世界 「information on your fingertips」 的第一步!

錯失雲端契機 吊車尾 

不幸的是,視窗作業系統的成功,讓其凌駕而上成了微軟的「信念」,「Windows on every device (每台終端設備搭載視窗作業系統)」 成了微軟的傳統,於是創新偏離軌道,忽視了要掌握行動資訊的Fingertips,Win/Tel 已不是最好的架構,一再錯失「雲」和「端」兩方的大創新,讓Google、Android,Apple、Amazon 紛紛超前!

也因此,新上任的執行長要在他發給全員工的第一封信中,強調這句話:「在這行業中,我們不尊敬傳統,只尊敬創新!」 但創新,需要強烈的信念,但願微軟重拾「information on your fingertips」的熱情吧!

中國人說,「莫忘初心」,趨勢科技去年也慶祝25周年了,資安世界變化多端,多年來我常被問,PC變成手機了,沒電腦病毒了,怎麼辨?不要錢的防毒軟體來了,怎麼辨?英特爾買了賣咖啡(McAfee在業界的別稱),怎麼辨?某競爭對手又來高薪挖角,怎麼辨?

當個CEO,每天都有無數的「怎麼辨」四面八方而來,有時真會覺得筋疲力盡,疲於應付!

所幸,有這麼一個「怎麼辨?」,卻總是會讓我挺直腰板,重拾熱情,那就是「最近客戶的資安面對了這樣、那樣的問題,怎麼辨?」

緊扣客戶需求 不落伍

因為這個「怎麼辦」,正擊向我們的信念:「a world safe for exchanging digital information (安心自在交換數位資訊的美好世界)」的核心,我們熱愛資訊科技,「information on everyone’s fingertips」是如此美好、讓世界更寬廣、讓人類更平等、更互相瞭解的美麗願景,每一個來自客戶的「怎麼辦」,讓我們洞悉客戶的安全弱點,並預測駭客下一步攻擊手段,激發我們永不涸竭的創新動力!
找回初心,用創新去創造傳奇,別讓傳統禁錮了創新的熱情

(原文刊載於經濟日報)