Dropbox
這次的漏洞被蘋果堵上了,但它說明最安全的系統(tǒng)也不夠安全,還是得自己有個好習慣阿聯(lián)酋知名民權活動家艾哈邁德·曼蘇爾的iPhone6收到一條短信,稱有「阿聯(lián)酋監(jiān)獄虐囚的新秘密」。如果他點下鏈接,這部iPhone便會被遠程控制,發(fā)件人將能看到里面的所有短信、郵件、通話記錄,并且可以追蹤到屏幕上的每一次點擊。甚至,他們可以監(jiān)聽手機周遭的聲音,而曼蘇爾的iPhone屏幕上什么都看不出來??刂七@部手機的,是以希臘神話中的「天馬」Pegasus命名的黑客工具。盡管整件事聽上去和《諜影重重5》里中情局發(fā)起的遠程攻擊類似,但這不是好萊塢編劇構(gòu)想的電影情節(jié),而是已經(jīng)發(fā)生的事情。上周,蘋果發(fā)出iOS9.3.5系統(tǒng)更新,唯一目的便是為了防御「天馬」的攻擊。類似電影情節(jié)的攻擊根據(jù)蘋果公司的公告,iOS9.3.5修復了三個由公民實驗室CitizenLab和Lookout提交的安全威脅。前者是多倫多大學國際關系學院下屬的技術實驗室,后者是一家位于舊金山的移動安全公司,曾曝光過多個手機漏洞。在蘋果發(fā)布升級補丁后,Lookout官方博客刊文介紹了“天馬”對iPhone的攻擊能力。非??膳???膳轮幵谟?,「天馬」利用這組漏洞的攻擊不僅效果驚人而且悄無聲息。用戶只要點擊了特定鏈接,「天馬」可以完全不留痕跡地裝進用戶的iPhone。鏈接來源沒什么要求,可以是短信、郵件也可以是社交應用,只要打開它就會安裝「天馬」?!柑祚R」可以將iPhone中所有未經(jīng)加密的資料上傳到指定服務器、并且還可以記錄屏幕點擊,這樣一來就算加密的信息也能拿到了——只要加密就需要輸入密碼,拿到密碼就有一切。更夸張的是,「天馬」可以靜默啟用iPhone的攝像頭、麥克風監(jiān)視主人活動。除了什么都能干以外,「天馬」在反追蹤方面也頗下功夫,在4G聯(lián)網(wǎng)時它會放慢數(shù)據(jù)傳輸速度以避免過快消耗電力或流量。當手機連接Wi-Fi的時候則會加快數(shù)據(jù)偷取,讓用戶更難以察覺。蘋果8月中旬從Lookout和「公民實驗室」收到了關于這一組漏洞的報告,在上周推出安全補丁。攻擊敗露是因為一個人權活動家的警覺根據(jù)《紐約時報》的報道,阿聯(lián)酋人權活動家艾哈邁德·曼蘇爾AhmedMansoor的iPhone6在8月10日的時候,收到了攻擊短信。曼蘇爾是「阿聯(lián)酋五杰」UAEFive之一,曾因呼吁民主化改革在2011年入獄。作為一個工程師背景的異見人士,曼蘇爾收到陌生人發(fā)來的短信后沒有點鏈接,而是轉(zhuǎn)給了「公民實驗室」。隨后「公民實驗室」和合作伙伴Lookout一路挖掘到了「天馬」的起源。阿聯(lián)酋人權活動家艾哈邁德·曼蘇爾和電影里經(jīng)常出現(xiàn)的黑客工具不同,「天馬」不是什么天才少年黑客的作品,而是來自以色列科技公司NSOGroupTechnologies。這套系統(tǒng)此前曾被曝光,但當時它所攻擊的對象只是黑莓以及部分Android手機,不包括iPhone。NSO開發(fā)出「天馬」后,以平均25000美元攻擊一個目標的價格向政府機構(gòu)兜售。根據(jù)巴拿馬地方報紙LaPrensa去年調(diào)查政府非法監(jiān)控丑聞時獲得的信息,NSO以800萬美元的價格打包出售了針對300臺設備的攻擊。但NSO公司聲明稱,曼蘇爾手機被監(jiān)控的情況公司并不知情。NSO辯解說,他們的產(chǎn)品銷售透明且合法,主要的目的適用于政府打擊恐怖主義犯罪,間諜軟件他們只賣給認可的政府組織。但NSO也說,至于軟件賣出了具體要干什么,NSO只是要求和建議,但并不負責。2013年,NSO聯(lián)合創(chuàng)始人OmriLavie在接受《美國國防新聞周刊》的采訪時稱,他們能完全不被察覺地進入被監(jiān)視對象的生活,不留痕跡。如今看來,所言非虛。最安全的系統(tǒng)也不可能保證絕對安全這次被攻破的iOS實際上幾乎是普通消費者能買到的最安全的智能手機。蘋果除了互聯(lián)網(wǎng)產(chǎn)品上常見的兩步驗證,還在旗下產(chǎn)品上啟用了two-factor雙重設備驗證,引入硬件加密。當你在其它地方登陸Apple賬戶的時候,雙重設備驗證會往你指定的硬件產(chǎn)品上發(fā)送驗證碼才能繼續(xù)登陸。相比通過傳統(tǒng)的兩步驗證,雙重設備驗證更加安全。蘋果雙重設備驗證,比互聯(lián)網(wǎng)服務常用的兩步驗證更加安全庫克年初在用戶隱私問題上公開反抗美國政府之后,進一步推進了全線產(chǎn)品的加密。但此次被暴露出的iOS漏洞比美國政府「公開」希望獲得的后門還要嚴重得多。這是數(shù)字安全的現(xiàn)實,即便是業(yè)內(nèi)最有錢的公司全力以赴,也不可能保證絕對安全??偸怯腥税l(fā)現(xiàn)漏洞、公司再去補上。這也是為什么美國主要科技公司在不留后門的事上為何如此步調(diào)一致——連想堵都堵不上,更別提刻意給人留一扇門了。此次iOS的高危漏洞,如果曼蘇爾欠一點警覺,或者攻擊者準備得再周密一些,可能還會繼續(xù)存在一段時間。而用戶更多的Android平臺的漏洞就更多了,8月份就有兩個非常大的:Android使用的Linux3.6內(nèi)核的一個漏洞可以讓黑客通過網(wǎng)頁訪問嗅探用戶的賬號和密碼,80%的Android設備中招;另一個漏洞是高通芯片帶來的,9億使用高通芯片的Android設備面臨被黑客靜默植入高權限木馬的危險,而且修復補丁何時實裝也遙遙無期。不是名人你也不安全關于數(shù)字安全一個常見的論調(diào)是,「我又不反動,有什么好怕的」。的確,「天馬」太貴了,不是重點目標,大概不會有人花十幾萬來獲取你手機上的信息。(如果你還擔心,可以用這個應用查一下)但沒人知道下一個系統(tǒng)漏洞會被什么人發(fā)現(xiàn),下一個互聯(lián)網(wǎng)公司的服務器會被什么人攻破。不是每個黑客都像NSO公司有能力把武器高價賣給政府。要是下一個高危漏洞被一個急著換錢的黑客找到,可能就會變成一個大批量攻擊的工具。被人看短信、丟一個社交網(wǎng)絡的密碼或者郵箱密碼,聽上去可能不是特別大的事。但通過這些信息,攻擊者有可能獲得你的身份證號碼、人際關系、出行計劃,并將它們賣給詐騙者。極少有人會相信中獎打10萬過去的隨機詐騙短信。但當騙子知道足夠多的信息,而你又恰好在壓力很大的時候,被騙的可能性就會大大增加。比如「網(wǎng)購訂單支付出現(xiàn)問題」、「你乘坐的航班被取消,請聯(lián)絡xxx」的詐騙短信都屢屢成功。這么做你的信息會安全一點不要為省幾塊錢越獄。收到提示后,及時升級操作系統(tǒng)。廠商的安全人員再努力也架不住你不升級系統(tǒng)。不回復任何類似驗證碼的信息,有用戶被人利用驗證碼的回復攻破了手機號碼,偷走了所有存款。不要使用相同的密碼。近期Dropbox重置了一大批用戶的密碼,這些用戶是2012年以后就沒改過密碼的人群,Dropbox認為他們的賬號有被撞庫侵入的風險。至少保住最關鍵的賬號。很少有人能記得幾十個復雜密碼,你可以給特別不重要的服務都用相同的簡單密碼。但確保最關鍵的賬號,比如支付寶、微信、Gmail、蘋果賬號用上不同的密碼。用1Password之類不上傳到服務器的工具管理多密碼,或者使用一種黑客永遠也沒法攻破的工具——拿筆寫在本子上。使用兩步驗證或者授權驗證登陸。盡管通過短信的兩步驗證也有被攻破的風險,但有它遠比沒有安全。使用蘋果設備的要開啟two-factor雙重驗證。付款盡可能使用跳轉(zhuǎn)到支付寶和微信的應用支付、少填銀行卡號。今年一月,凱悅酒店集團的系統(tǒng)被黑客攻破,數(shù)百萬客戶的信用卡卡號和CVV碼泄露——足以制卡盜刷,不需要支付密碼。海淘或為海外互聯(lián)網(wǎng)服務付費的時候,盡量用Paypal、Stripe、亞馬遜之類的渠道支付,減少信用卡信息泄露的可能。對于不常用的海外互聯(lián)網(wǎng)服務,可以考慮買充值卡消費——同樣是為了減少信用卡信息泄露。注冊互聯(lián)網(wǎng)服務的時候盡量用郵箱,而不是更方便的手機號登錄。當手機號和其它個人信息一同泄露,有可能幫助詐騙者編出更好的故事。大多數(shù)公司的短信驗證都調(diào)用第三方服務,即便你相信自己注冊的服務品牌,也沒理由相信提供短信驗證的公司。如果實在不想用郵箱注冊,微信也能提高安全性,它的登陸系統(tǒng)只授權名字和頭像,對方能獲得的信息比較少??傊顐€人信息的時候不要那么實誠。在非絕對必要的情況外,少填真實個人信息,信息越多越容易被社會工程學利用。
一起惠2016-09-03 08:41:221149 次
MorganStanleyInstitutionalFundTrust(以下簡稱MorganStanley)近期下調(diào)了對印度電商平臺Flipkart的評級,這已經(jīng)是這家曾被譽為“印度最有價值的公司”近6個月以來,第三次被下調(diào)估值。據(jù)一份提交給美國證券交易委員會的文檔顯示,MorganStanley今年6月30日將Flipkart估值下調(diào)至每股84.3美元(較先前每股估值下調(diào)4%)。而在2015年6月,MorganStanley對Flipkart的估值還維持在每股142.2美元。去年年中,F(xiàn)lipkart于2015年年中完成了新一輪融資,估值曾達到150億美元。MorganStanley下調(diào)估值后,F(xiàn)lipkart目前估值大約在90億美元。除了MorganStanley,還有另外4家基金也下調(diào)了對于Flipkart的估值。對于估值被下調(diào),F(xiàn)lipkart方面尚未進行回應。不過市場上對于此次估值下調(diào)并不過于悲觀:在未來幾年時間里,印度網(wǎng)購人數(shù)仍在不斷增加。有數(shù)據(jù)稱,2015年,電商銷量只占到印度零售總量的1%;將來會增長至4%到5%。2015年,印度網(wǎng)購人數(shù)達到約5000萬,未來2至3年可能增長至1億人。而Flipkart估值下調(diào)并不是個例,反而像是科技初創(chuàng)公司在資本市場表現(xiàn)的縮影。美國投資者對于Uber、Snapchat、Dropbox及其他同類公司估值均有所下調(diào),原因包括虧損、營收增速緩慢等等。Flipkart正在試圖解決銷量增速放緩的問題,最大競爭來自于亞馬遜印度。同時,F(xiàn)lipkart也擔負著盈利方面的壓力。
一起惠2016-08-29 09:19:50663 次
北京時間4月7日早間消息,據(jù)《金融時報》報道,知情人士透露,美國云存儲服務提供商Dropbox剛剛獲得了超過5億美元的信貸融資。該公司幾個月前還通過風險投資和私募股權完成了3.5億美元股權融資?!督鹑跁r報》援引知情人士的話稱,此次融資由摩根大通領投。在此之后,Dropbox的累計融資總額已經(jīng)超過11億美元。盡管《金融時報》認為,此次融資將部分用于Dropbox的數(shù)據(jù)中心,但據(jù)美國科技博客Re/code報道,知情人士透露,這筆資金并沒有明確的計劃,而是會用于一般公司目的。對于在線存儲服務而言,在現(xiàn)階段展開融資顯然非常重要。谷歌剛剛大幅下調(diào)了GoogleDrive云存儲服務的價格,其目前的費用大約僅為Dropbox的四分之一,二者100GB空間的年費分別為23.88美元和99美元。Dropbox計劃在周三的新聞發(fā)布會上推出新品。知情人士稱,該公司屆時將圍繞生產(chǎn)力推出新的功能,而不再單純圍繞存儲和同步概念進行發(fā)展。
一起惠2014-04-08 09:55:43656 次
據(jù)華爾街報道,據(jù)知情人士透露,云存儲服務商Dropbox在新一輪融資獲得2.5億美元的風險投資,估值接近100億美元。一名知情人士稱,此輪投資由風投公司BlackRock主導,過去對Dropbox有投入的投資公司也參與了此次融資。但該知情人士拒絕提供更多信息。Dropbox的一位女發(fā)言人并未對此置評。100億美元的估值使Dropbox成為當前被風投界看好的最有價值的公司之一。最新一輪投資將有助于加快DropboxCEO德魯?休斯頓(DrewHouston)大舉進軍商業(yè)軟件的步伐。該公司擁有400萬用戶,已開始向企業(yè)提供安全和其他高級功能的付費服務,使之能夠?qū)κ褂肈ropbox在線存儲服務的員工進行管理。Dropbox的這筆新進資金也有助于加強它與勁敵Box公司的競爭。Box在上個月以20億美元的估值獲得1億美元的融資。2011年年底,Dropbox的估值為40億美元,如今其估值已翻了一倍多。2011年該公司從高盛以及包括紅杉、IndexVentures和AccelPartners在內(nèi)的風投公司中獲得融資2.5億美元。
一起惠2014-01-19 14:07:581025 次