去年九月 Mozilla 揭發中國憑證機構 WoSign(沃通)偽造證書發行日期、隱瞞收購同行等問題,宣佈暫停信任該機構發出的證書,蘋果、Google 其後亦跟隨決定。近日 Google 宣佈,旗下的 Chrome 瀏覽器在九月發佈新版本後,將對 WoSign 及其收購的 StartCom 簽發的所有證書,不論新舊全部取消信任,建議正在使用的網站考慮更換這些數碼證書。
ssl
現今用戶越來越注重個人私隱,不論是購買哪類型裝置,均十分留意安全問題。尤其是大型品牌,若產品被發現預載間諜軟件或後門程式,令品牌形象受損之餘也會令客戶失去信心,早前 Unwire.pro 報導過接二連三爆出私隱問題的 Lenovo 電腦就是其中一個例子,而近日 Dell 的手提電腦就被發現類似的安全問題。
近日有網店假扮 Nike 官方網站售賣假波鞋,不少巿民中招。警方數據顯示 2015 網購騙案不斷增加,上半年就有 742 宗,涉及詐騙金額 710 萬。除了網購外,香港金融管理局每月都收到不少大型銀行機構匯報釣魚網站、偽冒電郵、可疑手機程式等。騙徒手法層出不窮,真假網頁愈來愈相似, UDomain 的專家為讀者拆解釣魚網站的技倆,與企業分享如何保障客戶不受假冒網站欺騙而招致損失。
香港生產力促進局(生產力局)屬下的「香港電腦保安事故協調中心(HKCERT)」及專業資訊保安協會(PISA)於今年 4 月至 7 月進行「香港流動應用程式交易安全」研究,測試 130 個本地用戶常用的香港網上交易服務流動應用程式,涵蓋七個類別。研究發現,逾三分一應用程式在處理個人及交易資料時,通訊加密保安不足,容易被黑客盜取用戶敏感的個人及交易資料。
相信各位關注資安的 unwire.pro 讀者都對早前被揭發的嚴重 SSL 漏洞 FREAK 記憶猶新;在 FREAK 仍需一段時間補各廠商修補的時候,資安業界再一次揭露一種危險程度可與之媲美的重大漏洞:「 LogJam」。
SSL 與 TLS 多年來被業界沿用為數據傳輸中的加密標準,但日前就有資安人員揭露指,原來上述兩種加密方式依然存在着根本上的漏洞,被發現的漏洞更出現長達 13 年之久,令用戶敏感資料如同「無掩雞籠」。
日前 unwire.pro 曾報道威脅 SSL 安全的 「怪胎」FREAK 漏洞的影響原只涉及 Android、iOS 及 OSX,但 Microsoft 日前調查後發表通告,證實所有 Windows 版本均受 FREAK 波及,並建議用戶於 Microsoft 推出修補程式前暫時關閉 RSA 的出口金鑰功能。
日前由專業資安研究人員組成的研究計畫 miTLS 發現多個 SSL 漏洞,其中一個讓黑客能夠對 Android、iOS 與 Mac OSX 系統進行 XSS 攻擊,大片用戶頓受威脅。
Google 近日推出一款用以測試透過 SSL/TLS 協定加密連接對「中間人 (man-in-the-middle,MitM)」攻擊防禦性的工具。主要透過測試用戶端設定上各種可能出錯及未更新的系統,以測試加密連接的可靠性及將引致的風險。
從前,Google 在每個 OpenSSL 推出更新後,均會在將其重新修訂中加入自家的補丁。Google 在剛過去的週末,公布了他們以 OpenSSL 原始碼改編的最新計劃 - BoringSSL,藉此可以免卻了兩者的追逐戰。
