想了解每周最有料的“黑客與極客”資訊，看 | 宅客精選 | 就夠了。

1、提示用戶中病毒，手電筒 App 用奇葩方法做廣告

接廣告似乎是手電筒這類小工具 App 的生存之道，在 App 內(nèi)做點(diǎn)推廣也無可厚非。但是最近安全研究人員發(fā)現(xiàn)，一款名為 Super-Bright LED Flashlight 的手電筒 App 會(huì)向用戶不斷發(fā)出提示消息，稱其所使用的手機(jī)可能感染了病毒，需要點(diǎn)擊鏈接下載一個(gè)殺毒軟件來清除病毒。

顯然，這是一個(gè)騙局，目的就是為了讓用戶下載一些來路不明的軟件。一些缺乏經(jīng)驗(yàn)的用戶可能會(huì)點(diǎn)擊下載鏈接，下載這個(gè)所謂的殺毒軟件。這些誘導(dǎo)下載的App，被安全專家稱作潛在惡意軟件（PUAs），因?yàn)樗鼈兺ǔв胁《?。在最近谷歌發(fā)布的2015年度報(bào)告中顯示，谷歌手機(jī)應(yīng)用市場(chǎng)中有百分之0.15的應(yīng)用程序帶有惡意代碼。

據(jù)趨網(wǎng)絡(luò)安全專家檢測(cè)發(fā)現(xiàn)，這個(gè)手電筒應(yīng)用已累計(jì)被下載600萬次，也就是說，已經(jīng)有如此多的用戶公然被這個(gè)惡意廣告騷擾過，

早在2014年，就有安全研究院調(diào)查了這類手電筒下載的 App，發(fā)現(xiàn)其中一些會(huì)竊取用戶隱私，如手機(jī)定位信息、通訊錄以及短信內(nèi)容等，這些信息不僅會(huì)被傳送到市場(chǎng)調(diào)查公司和廣告機(jī)構(gòu)用來追蹤用戶的購物習(xí)慣，還有可能為詐騙團(tuán)伙提供竊取用戶銀行賬戶信息提供便利。美國網(wǎng)絡(luò)安全公司SnoopWall認(rèn)為，這類應(yīng)用程序不僅在使用時(shí)，會(huì)竊取用戶數(shù)據(jù)，甚至當(dāng)用戶退出后，手機(jī)仍會(huì)處于被偷聽狀態(tài)。

2、新一代Tor網(wǎng)絡(luò)正在研究中

經(jīng)典匿名網(wǎng)絡(luò)服務(wù)商 Tor 團(tuán)隊(duì)最近幾年飽受 FBI 困擾。由于很多非法的交易和行為依賴 Tor 之上的暗網(wǎng)進(jìn)行，所以為了維護(hù)愛和正義，F(xiàn)BI 不斷帶領(lǐng)頂尖的科學(xué)家對(duì)這種可以隱藏參與者身份的網(wǎng)絡(luò)進(jìn)行技術(shù)對(duì)抗。

于是 Tor 團(tuán)隊(duì)正在秘密研發(fā)新的黑科技，準(zhǔn)備把這種匿名網(wǎng)絡(luò)做一次全方位的升級(jí)。這次升級(jí)的核心是隨機(jī)數(shù)算法。

在通信安全領(lǐng)域，由于要生成隨機(jī)、不可預(yù)測(cè)的加密密鑰，因此對(duì)于隨機(jī)數(shù)的應(yīng)用是必不可少的。一旦獲得的隨機(jī)數(shù)是可以預(yù)見，甚至產(chǎn)生密鑰的范圍能夠被推斷出來的話，獲得的密碼便有被破解的可能。因此，對(duì)于 Tor 項(xiàng)目來說，獲得優(yōu)質(zhì)的隨機(jī)數(shù)字就變得至關(guān)重要。Tor 團(tuán)隊(duì)現(xiàn)在致力于借助多臺(tái)計(jì)算機(jī)協(xié)作，開發(fā)出一種無人可以事先預(yù)測(cè)的方式來生成隨機(jī)數(shù)字，以此來加強(qiáng)網(wǎng)絡(luò)通信的安全性。

這種牛X的方案已于上周測(cè)試了11個(gè)節(jié)點(diǎn)的Tor網(wǎng)絡(luò)，團(tuán)隊(duì)的童鞋表示，在這個(gè)網(wǎng)絡(luò)運(yùn)行一個(gè)星期后，“才可以讓我們對(duì)協(xié)議是否存在缺陷以及不可預(yù)知的方案是否奏效等場(chǎng)景進(jìn)行測(cè)試?！?/p>

通過測(cè)試，團(tuán)隊(duì)發(fā)現(xiàn)這個(gè)方案并不完善，比如：在測(cè)試 Tor 節(jié)點(diǎn)時(shí)，會(huì)有被告知關(guān)鍵時(shí)刻協(xié)議終止的情況，以及響應(yīng)時(shí)間不及時(shí)等問題。同時(shí)，當(dāng)他們?cè)跍y(cè)試節(jié)點(diǎn)上運(yùn)行老版本的Tor，進(jìn)行更不可預(yù)測(cè)的隨機(jī)行為時(shí)，通信數(shù)據(jù)甚至?xí)霈F(xiàn)消失的情況。

雖然目前這種隨機(jī)生成協(xié)議還在開發(fā)中，但 Tor 團(tuán)隊(duì)和支持者都認(rèn)為，通過不斷改進(jìn)這套系統(tǒng)有望成為Tor的下一個(gè)版本，并且可從原來的16字符地址提升到55字符地址。如此一來，F(xiàn)BI 的破解對(duì)抗技術(shù)就又會(huì)被 Tor 甩掉幾條街。

3、2017年谷歌將會(huì)用信任分代替密碼

如果一切順利的話，谷歌有望在今年年底前取消登錄Android應(yīng)用密碼，改用更為先進(jìn)的人工智能識(shí)別模式，比如今后登錄某款A(yù)ndroid應(yīng)用，將參考你的輸入模式、行走模式以及你的當(dāng)前所處位置信息，看看你的“信任積分”是否足夠高。

上周，谷歌先進(jìn)技術(shù)和項(xiàng)目（ATAP：Advanced Technology and Projects）負(fù)責(zé)人丹尼爾·考夫曼透露了這個(gè)叼炸天的 Project Abacus 測(cè)試項(xiàng)目。

考夫曼介紹稱，目前像在銀行或公司企業(yè)內(nèi)，安全登錄賬戶時(shí)不僅僅需要用戶名和密碼，往往還需要通過短信或電子郵件輸入驗(yàn)證碼，這種方式通常被稱為雙重認(rèn)證。但目前谷歌正在測(cè)試一種新的賬戶登錄方法，即用戶解鎖設(shè)備或簽入應(yīng)用時(shí)，將參考他們的累積的“信任積分”，這個(gè)積分可能包含來自多方面的信息，比如你的輸入方式，當(dāng)前使用位置，錄入速度、語音模式、面部特征識(shí)別以及其他一些因素。

谷歌已在Android 5.0和更高版本實(shí)現(xiàn)了被稱為“智能鎖”的類似安全登錄技術(shù)，這種技術(shù)可讓用戶在可信位置處，或者通過藍(lán)牙連接其他可信識(shí)別，或者通過人臉識(shí)別等方式自動(dòng)解鎖設(shè)備。而 Project Abacus 項(xiàng)目則略有不同，該項(xiàng)目運(yùn)行于設(shè)備后臺(tái)，通過源源不斷地收集用戶使用習(xí)慣數(shù)據(jù)，從而對(duì)比形成當(dāng)前登錄用戶的“信任積分”。如果“信任積分”足夠高，設(shè)備可以自動(dòng)解鎖；反之，則要求用戶重新輸入密碼。此外，不同的應(yīng)用程序登錄可能需要不同的“信任積分”，比如登錄銀行賬戶需要的“信任積分”可能會(huì)高一些，而玩手機(jī)游戲就不需要太高積分。

4、阿里云首席科學(xué)家章文嵩離職

阿里云副總裁、首席科學(xué)家章文嵩從阿里云離職。最近他本人在微博上證實(shí)了這一消息。原文如下：

今天是在阿里的最后一天，在阿里的2438天里收獲很多很多，很榮幸有機(jī)會(huì)跟很多小伙伴們一起工作、學(xué)習(xí)和成長，感恩阿里！

章文嵩花名“正明”，2009年加入淘寶，任核心系統(tǒng)負(fù)責(zé)人，對(duì)淘寶的海量業(yè)務(wù)和基礎(chǔ)核心軟件做了很大的貢獻(xiàn)。2013年他主攻云計(jì)算，歷任阿里云飛天二部負(fù)責(zé)人、阿里云CTO、阿里云首席科學(xué)家。根據(jù)知情人士透露，章文嵩的下一站很可能是滴滴。

5、看了不該看的東西？搭載TalkingData 的App 被 Google Play 下架

在Google Play上線的App，于2016年5月25日凌晨2點(diǎn)到4點(diǎn)陸續(xù)被下架，他們有著一個(gè)共同的特點(diǎn)，就是使用了國內(nèi)著名 SDK 服務(wù)商“TalkingData”的服務(wù)。

根據(jù)相關(guān)的開發(fā)者透露，之所以自己的 App 被下架，是因?yàn)?nbsp;TalkingData 的SDK包違反了Google Play的用戶隱私政策。

Google Play開發(fā)者政策中心將對(duì)用戶的“個(gè)人信息和敏感信息”有明確要求，如果開發(fā)者的應(yīng)用會(huì)處理用戶的個(gè)人數(shù)據(jù)或敏感數(shù)據(jù)（包括個(gè)人身份信息、財(cái)務(wù)和付款信息、身份驗(yàn)證信息，電話簿或通訊錄數(shù)據(jù)，以及敏感的設(shè)備數(shù)據(jù)），那么應(yīng)用必須：

1、提供隱私權(quán)政策（以及任何形式的應(yīng)用內(nèi)披露聲明），以完整說明您的應(yīng)用會(huì)收集、使用和分享所處理的任何用戶數(shù)據(jù)，應(yīng)用會(huì)如何使用這類數(shù)據(jù)以及這類數(shù)據(jù)的分享對(duì)象類型等。

2、以安全無虞的方式處理用戶數(shù)據(jù)，包括使用新型加密技術(shù)（例如通過 HTTPS）傳輸數(shù)據(jù)。

TalkingData 官方就此事回應(yīng)，稱主要是由于Play商店審核策略調(diào)整，已推出TalkingData新版定制SDK，僅限Play商店使用。

6、“領(lǐng)英”四分之一用戶信息落入黑客手中

最近，以竊取個(gè)人信息出名的黑客“Peace_of_mind”在暗網(wǎng)黑市“TheRealDeal”里“上架”了新貨：著名職場(chǎng)社交平臺(tái)領(lǐng)英（Linkedin）1.67億的用戶信息。準(zhǔn)確地說，是167370910個(gè)個(gè)人數(shù)據(jù)。這么龐大的數(shù)據(jù)售價(jià)自然不菲，達(dá)到了5比特幣，相當(dāng)于1.5萬人民幣。

根據(jù)領(lǐng)英最新的用戶數(shù)據(jù)資料，目前這個(gè)全球最大的職場(chǎng)社交網(wǎng)站擁有4.33億注冊(cè)用戶。也就是說，每四個(gè)用戶中，就有一個(gè)人的密碼被黑客掌握。

【黑客在 TheRealDeal 上發(fā)布的出售信息】

然而，這些數(shù)據(jù)并不是最近才被竊取的。早在2012年，領(lǐng)英就遭遇過一次重大的攻擊。而 Peace_of_mind 也直言不諱，表示這些數(shù)據(jù)就是當(dāng)年那次攻擊取得的。事實(shí)上，當(dāng)年在攻擊事件發(fā)生之后，隨即有650萬用戶信息被泄露在互聯(lián)網(wǎng)上，而領(lǐng)英當(dāng)時(shí)保持了沉默，直到大家都漸漸淡忘這件事情，領(lǐng)英也沒有透露究竟這次數(shù)據(jù)泄露有多嚴(yán)重。

雖然這些用戶信息的密碼是以“SHA-1”的哈希加密的方式存儲(chǔ)的，但是安全人員表示，這些資料的存儲(chǔ)沒有“加鹽”，也就是沒有加入強(qiáng)混淆算法。對(duì)于這樣的數(shù)據(jù)，如果用戶密碼比較簡單，則黑客可能在一秒之內(nèi)就破解。

7、勒索軟件TeslaCrypt關(guān)閉，公開主密鑰

勒索軟件 TeslaCrypt 于去年中開始肆虐，當(dāng)受害者的電腦感染TeslaCrypt之后，它會(huì)把文件加密為 .xxx、.ttt、.micro和.mp3為后綴的文件。當(dāng)然，在被加密之后你再也無法打開這些文件，如果你不付贖金的話。

但是，事情突然出現(xiàn)了轉(zhuǎn)折，因?yàn)?nbsp;TeslaCrypt 從近期開始漸漸淡出黑客江湖了。有防毒軟件公司發(fā)現(xiàn)，開發(fā)者已停止 TeslaCrypt 的運(yùn)作。然而，作為一個(gè)負(fù)責(zé)人的勒索者，他們居然在網(wǎng)絡(luò)上公開了之前勒索所使用的主密鑰，還發(fā)表了一份簡短的致歉聲明“we are sorry！”

有了這個(gè)主密鑰，安全人員就可以很容易地解鎖這個(gè)勒索軟件之前加密的所有信息。對(duì)于那些曾經(jīng)被 TeslaCrypt 勒索的人來說，幸福來得有點(diǎn)突然，如果他們沒有一氣之下格式化自己硬盤的話。

【TeslaCrypt 發(fā)表的公開信】

安全研究人員隨后發(fā)布一個(gè)免費(fèi)的解密軟件 TeslaDecoder。TeslaCrypt 有多個(gè)版本，早前已有針對(duì)舊版的解密工具。這次主解密金鑰公開后，TeslaDecoder 可以解決包括 TeslaCrypt 3.0 及 4.0 在內(nèi)的所有加密行為。

說到黑客公布這個(gè)主密鑰，還是一個(gè)很有趣的故事：

殺毒軟件ESET的研究人員在這之前已經(jīng)注意到TeslaCrypt似乎要關(guān)門，正在切換到其它勒索軟件，因此通過TeslaCrypt支付網(wǎng)站的聊天工具詢問他們是否能釋出主密鑰。出乎他意料的是，對(duì)方同意了。

然而這不代表 TeslaCrypt 的開發(fā)者金盤洗手，因?yàn)?ESET 的研究員稱他們轉(zhuǎn)而發(fā)布另一款勒索軟件 CryptXXX。不過 CryptXXX 1.0 和 2.0 的版本均已經(jīng)被卡巴斯基破解。目測(cè)這群黑客正在開發(fā)新的加密勒索軟件，安全人員在密切監(jiān)視中。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。