All posts

今天（2014年6月20日）是”制止网络欺凌日”（Stop Cyberbullying Day）。http://www.cybersmile.org/stop-cyberbullying-day），对于我们所有人来说，这是一个很好的机会来呼吁反对网上欺凌行为。今天，每一个关注网络欺凌和网上仇恨运动问题的人都可以加入这一日益壮大的活动中来，共同反对此类的欺凌行为。每一个人都可以参与进来，做出自己的贡献—即使只是使用主题标签#STOPCYBERBULLYINGDAY来发推文。 当然，欺凌行为并不是什么新鲜事。但随着科技的进步，对于那些喜欢恃强欺弱的家伙来说，现在比以往任何时候都更容易对那些弱势者进行攻击。在社交网络”过度分享”文化十分盛行的当今社会，网上活动都成为了常态，但这也无意中助长了网络欺凌现象的发生。 当然，欺凌行为并不是什么新鲜事。但随着科技的进步，对于那些喜欢恃强欺弱的家伙来说，现在比以往任何时候都更容易对那些弱势者进行攻击。如果你是被欺凌孩子的家长，请告诉你的孩子他们并不孤单。 与孩子谈论网络欺凌行为非常重要。如果你是被欺凌孩子的家长，请告诉你的孩子他们并不孤单。这是许多孩子所面临的问题，同时也是他们的偶像曾经遭受过的经历—麦莉•塞勒斯、谢丽尔•科尔、黛咪•洛瓦特、金•卡戴珊及其他许多人都大声说出来他们曾经遭受过的经历。 如果你是孩子的家长，我们提供的重要贴士可能对保护你孩子有所帮助。 1.与您的孩子谈论可能的危险性。 2.鼓励他们向你说出网上有过的经历，尤其是那些让他们感觉不舒服或受到威胁的经历。如果你的孩子使用智能手机，则想要保护他们免受网络欺凌烦恼尤其困难，因为他们可以在许多方式下被当作欺凌的目标，尤其是在远离家长视线范围的时候。处理网络欺凌就像处理现实生活中的欺凌事件一样：鼓励孩子打开心扉，向值得信赖的成年人倾诉他们所收到的任何威胁或不适当的讯息。如果一些联系人让孩子感到不适或不开心的话，应用上的所有号码和联系人都可以被阻止。 3.设定他们网上能做和不能做的基本规则，并解释为什么要制止他们的某些网上行为。在你的孩子长大后你应该重新回顾一下这些内容。 4.使用家长控制软件，制定相关框架：哪些行为是可以接受的—上网时间、应阻止的内容以及应阻止的活动类型（聊天室、论坛及其它）。家长控制过滤软件可以为不同计算机配置文件进行配置，使你可以针对不同的孩子定制过滤功能。 5.不要忘了充分利用网络服务提供商、设备制造商和手机网络供应商提供的设置。例如大部分手机有防止应用内购的功能，你可以避免在孩子玩游戏时产生巨额的费用。 6.使用网络安全软件保护计算机。 7.不要忘了你孩子的智能手机—它不仅仅是一部电话，而是精密复杂的计算机。大多数带有家长控制和安全软件供应商的智能手机可能会提供一些应用，以过滤掉那些不恰当的内容、令人厌烦的短信发送人等等。 8.好好利用网上所提供的大量中肯建议—包括CEOP’s thinkuknow（http://www.thinkuknow.co.uk/）网站 是否想评论本文或分享你自己的经历？我们非常乐意倾听你的意见。请在下方留言。

“加增知识的，就加增忧伤”－《旧约：传道书》1:18 如今，我们都掌握了存储技术，也都会使用价廉物美的数据存储设备，但就如何在数不清的设备上操作和存储数据来说，这一箴言可谓一语道出真谛。 10到15年前，要想将花大价钱买来的20GB硬盘装满相当有难度。我们所有的音乐、视频和照片可以存储在一大堆光盘上（哇，容量有650 MB的光盘，能存储这么多内容！）。但是如今，电脑、手机和平板电脑的容量动辄就有几百GB，而我们还赚不够。为此我们不得去买更多的外接硬盘和云存储空间，存储收集到的所有内容。当然，从某方面来说，想存储多少就能存储多少确实是件好事。但问题是存储那么多的内容会不会是缺点大于优点呢？ 存储和备份的内容过多 首先，最实际的问题就是存储。实惠的网络存取和相对便宜的存储设备，促使我们疯狂地收集所有貌似很重要的内容：电影、音乐、图片、软件等等 － 所有这些内容全都能立即存入内置和外接硬盘，以超快速度占满可用空间，结果我们不得不去购买新的硬盘。但若有一天，其中一个硬盘坏了，我们自然会想到一个问题：怎样才能保存存储的所有内容？备份是显而易见的回答（实际上也是唯一的答案），但备份耗时过长，如果拥有大量小文件（你肯定会有这样的文件），则备份时间尤其长，并且可能需要额外花钱。除此之外，没人敢说装满了数据的新硬盘不会坏。当然你可以采用RAID（独立磁盘冗余阵列）方式，但这要花一大笔钱。 还有一种选择方案是云存储：分布式数据存储，可靠性高，能在任何地方通过任何支持互联网的设备进行访问。这些特点综合起来让人感觉云存储是一个完美的解决方案。但实际上除非你足够有钱或者几乎没什么东西要存储，否则云存储绝不是一个完美的解决方案。例如，DropBox服务只免费提供2GB空间，其他一些服务则是允许存储大概10到20次以上，但仅此而已 － 若想获得更多空间，就得付钱。所以如果要使用DropBox帐户来备份1/2太字节的内容，就得准备好支付600美元。而这只是一年的费用。当然，你可以创建多个帐户来增加免费存储空间（GB），但实际使用并不像听起来那么方便。 存储的数据越多，就越难进行处理。 转移的内容过多 第二大棘手问题是要转移的数据太多了。如果使用的是iPhone或苹果电脑，则可以通过默认备份功能立即进行备份，但如果要试图将原先Windows XP系统电脑中的全部数据转移到Windows 8系统的电脑，则难度会大得多，若是有大批文件时尤为困难。最简单的转移方法是使用快速无线或有线网络建立P2P连接。但这并不能解决所有用户都可能会在某个时候会碰到的另一个问题：所有文件都存储在硬盘上，但你没法知道准确的存储位置。如果可以记住所有文件在计算机上的存储位置，要么你是天才，要么你是整理控。除此之外，其他任何情况下，都需要用数小时（若不以天为单位）才能记住并找到需要从一个设备转移到另一个设备的全部文件。 管怎样，我们在浏览所有文件夹并选取每个文件，然后将所有内容转移到新机器后，会除去原先的旧文件，但往往随后又忽然想起来有重要的内容忘了转移。这就是第三个问题了！ 先是你控制数据，但随后数据就开始控制你#安全性#小贴士 丢失的内容过多 众所周知，拥有的内容越多，关注的内容就越少。对于数据也同样如此。我们收集了所有喜欢的电影，所有音乐（甚至根本不值得再听一次），我们的虚拟文件夹中装满了各种图片、文件、游戏和工具。我们坚持认为，只要将这些内容存储在这里，存储在我们目前使用的设备中，就一定万无一失了。 但事实并非如此。我刚才提到过，任何新式硬盘都随时可能发生故障。以下情况也时有发生：文件夹有时可能被放入回收站，重要的文件被从计算机中抹去（因为某一天点击了”重写文件”），只有老天爷才知道你的数据还会发生什么状况。另外，别忘了像Crypto Locker和擦除程序这样的勒索软件，它们分分钟就能销毁设备上的所有信息，而且永远别想找回来。所以丢几张搞笑图片和Justin Bieber的唱片倒无伤大雅，但若丢失一些敏感文件则会是一场真正的灾难。 用户该怎么做？ 终极方法是除去所有数据，因为数据和其他东西一样：先是你控制数据，随后数据就开始控制你。但说起来容易做起来难，所以我们把这个问题留给希望达到禅宗境界的人去解决吧，下面我们还是讨论一些实用且更实际的小贴士： 没有必要在本地存储所有多媒体数据：通过廉价的互联网可以访问任何种类的音乐和视频，这种方法要比本地存储好得多。 第一，进行清理。一有数据就按合理顺序进行存储非常容易，而对1/2太字节的数据进行整理则难度要大得多，除非你本身就是个”数据整理达人”。但即便如此，清理存储空间也值得一做。没错，清理确实需要时间和耐心，但以后需要在”数字仓库”中查找数据时，你会很庆幸自己曾经整理过存储空间。 第二，删除没有用的文件。在工作一段时间后，系统中会塞满各种不再使用或者可能甚至根本不知道的文件：某些文档和多媒体文件的副本，高速缓存、旧版本工具和游戏等等。运行一些专用程序是个不错的主意，这些程序可自动查找重复项，删除像高速缓存以及一些软件留下的无用文件等没有毫无用处的数据。例如，我曾用过一种非常简单但十分有效的方法来查找没有用的文件和大型文件：将所有文件按大小和上次使用日期排序。借助这种方法，我就能释放一些额外的空间，大小可能超过10-20GB。 第三，不要在本地存储所有数据。15年前将网上所有内容都保存到计算机上或许是个好习惯。但现在，高速互联网连接费用只比你在小餐馆吃一顿午餐多一点点，所以这样做就完全没必要了。只要点击几下，就能在线观看喜欢的视频，或者听最新的音乐。对我来说，我都想不起来上次下载听歌是什么时候的事了。就算想在平板电脑上脱机听歌或看电影，当即从网上下载也花不了多少时间。 第四，分离数据并进行相应保护。清理存储设备后，应将所有文件进行分类：工作、家庭、私人、存档文件等。显然，类别越重要，则需要的保护越强。例如，扫描某些敏感文档、私人和财务数据、电子密钥和其他应该存储在本地的类似信息，并使用无法联网的设备进行存储。甚至可以根据需要对其进行加密。此外，最好在被一些强加密保护的DVD上存储文件副本。只是以防万一。另一方面，工作文件中若没有任何宝贵数据可供犯罪分子利用，则可以存储在云盘内，这样你就能从任意位置通过几乎所有类型的设备调用这些文件。存档文件存储位置也可由您决定，但我建议将存档文件存储在外接硬盘上，因为外接硬盘价格不贵，也不会浪费内部硬盘或SSD驱动器空间。

近期智能手机行业的迅猛发展以及各种用途手机应用的蜂拥出现，不可避免地导致在处理敏感数据时使用智能手机和平板电脑的增加。现在，人们通过移动设备发送或接受一些敏感数据和资料变得越来越普遍，例如在LinkedIn网站上发布你的个人简历，通过WhatsApp、Viber或其它类似应用将你的私人照片发给你的恋人，或在网银上输入你的一次性密码等等。不幸的是，就在你向周围的陌生人投去怀疑眼神的同时，大多数人并没有意识到，你的这些数据可以很容易地被离你10米远的不法分子所截获。 发生如此不安全状况的主要原因是使用没有任何保护的Wi-Fi网络以及在手机应用内缺少安全保护。在许多情况下，蜂窝网络依然价格高昂，在旅行途中使用更是如此。这也是为什么人们更倾向于使用机场咖啡馆以及酒店的Wi-Fi，但享受便利的同时却容易忽视其安全性。就在巴西世界杯开赛之前，我们的安全专家们在圣保罗进行了一些案例研究，以探究人们所使用的无线网络采用了何种加密方式，结果发现1/4的无线网络使用了开放式架构（无密码保护）。 在圣保罗，26%的Wi-Fi网络存在安全隐患。尤其在使用手机应用时，你必须打起12分精神。 如果你使用的是开放式架构的无线网络，任何人都可以发现你的流量并查看你正在传送的数据。如果你使用的WEP加密无线网络，不法分子可以在5分钟之内将其破解。对于世界上大部分的无线网络，不法分子只需数秒钟时间即可检测到。 我们给出的建议是只连接使用WPA的网络。 许多移动应用以非加密方式传输你的数据，或根本不会提示你任何存在危险的加密问题。 在使用移动应用时，则完全又是另一回事了。因为你根本无法知道应用在使用哪些协议。安全专家们发现在许多应用与服务器进行内部通讯时，使用的是公开协议。例如：使用HTTP而不是HTTPS，前者更容易遭受会话劫持、密码窃取和通话内容窃听的风险。举个例子，如果你正在使用即时通讯，人们可以看到在会话内的纯文本内容。这并不是我在危言耸听，事实上这一问题在移动应用中已存在许久。即使是Google、Facebook或推特这样的互联网巨头，在2011年，它们的手机应用中同样也存在SSL丢失的问题。一直到2012年夏天，非常流行的即时通讯手机应用WhatsApp依然是以非加密方式传输所有内容。如果诸位还在使用Yahoo即时通讯或ICQ软件，那不幸地告诉你—这两款软件依然使用纯文本协议，所有聊天没有经过任何加密，在开放式Wi-FI环境中可轻易被窃听。很难想象有多少应用依然在使用纯文本协议，即使在顶级的公司中间，也有一些还未使用加密。 许多应用在提升功能性的同时，却忽略了警告用户有关SSL证书的问题，使得用户根本无从防范周围不法分子的攻击。 当然，我们可以很容易地给出一些建议，像”不要使用涉及任何敏感信息的手机应用”，—但事实上却很难照做。如果你真的这样做了，你会感觉到好像活在了古代。下面，我将推荐一些较为保守的”疗法”： 只要有机会，就使用3G/4G服务代替公共场所的Wi-Fi； 总是选择有加密的Wi-Fi连接（WPA2）； 在移动设备上加强虚拟私人网络的使用； 在公共环境或不信任的网络中，避免进行像网银这样的敏感操作（所有网络都包括在内，除了正确配置的家庭和办公网络以外）

就在十年前，我们发现了首例针对智能手机编写的病毒（是手机诺基亚N-Gage吧？）。此病毒被命名为Cabir，它为恶意软件分析人员、作者和普通用户打开了一个全新的病毒世界。下面是关于这个有十年历史之久的病毒的一些趣闻。 1.此病毒之所以被命名为Cabir，是因为它的发音类似于病毒体内找到的”Caribe”字符串，同时也是取自卡巴斯基实验室的员工Elena Kabirova。很巧的是，我们在反病毒实验室讨论此病毒的命名问题时，她刚好进来，而她的姓氏恰好和Caribe很像，所以…… 2.Cabir专门在2004年最流行的一款智能手机上传播 － 基于塞班系统的诺基亚设备。 3.感染此病毒的唯一渠道是通过蓝牙连接。在上下班路上、餐厅就餐、听音乐会时或举办体育赛事期间，手机都极易被感染。其中Cabir最大规模的一次感染发生在芬兰首都赫尔辛基举办的世界杯田径赛期间。 4.为了防止手机不被Cabir感染，用户须关闭蓝牙，或者将切换到”隐藏”模式。 5.卡巴斯基实验室分析人员有意搜罗了两部诺基亚智能手机，以研究这种肆虐的病毒 －在2004年可算是高端产品。从那时起，卡巴斯基实验室就开始有计划地购买每一种型号的流行手机，以研究针对各种不同手机平台的恶意软件。 卡巴斯基实验室回顾了检测到的首个#智能手机#病毒 － Cabir 6.卡巴斯基实验室在原来的办公楼专门设了一间”防射频室”，蓝牙和其他无线电波均无法穿透这间办公室的墙壁。研究人员在房间内进行实验时，完全不用担心会感染其他员工或访客的手机。 7.在发现Cabir之前几个月，有记者曾问过卡巴斯基实验室首席恶意软件研究员Alex Gostev，为什么没有手机病毒。Gostev当时回答说，一年左右时间内就会出现手机病毒。事实证明，他的预测完全正确。 8.从技术角度来说，Cabir并不是首个手机病毒。在它之前，已经出现了一些针对掌上电脑的病毒，比如针对Palm操作系统的Phage病毒（circa 2000）。但Cabir是第一个严格意义上的针对手机的病毒。 9.Cabir是由一家叫做29A的国际病毒黑客组织编写的，该组织素以开发各种复杂、新颖的病毒而闻名。29A成员对外公布了Cabir代码段，这导致其他病毒作者相继开发出了多种变形。 10.向卡巴斯基实验室发送Cabir病毒样本的家伙，实际上同时还向五到六家领先反病毒公司发送了该样本。但卡巴斯基实验室是唯一一家迅速破解此代码的性质，并随即将检测此代码的功能添加入反病毒数据库的公司。这个棘手的难题是由Roman Kuzmenko在值夜班的时候解决的（还记得吗？反病毒实验室的工作时间是7天24小时），为此公司奖励了他一部使用塞班系统的全新诺基亚智能手机。 更多详细内容，请浏览尤金中文博客。

探究本周的新闻主题，包括#安卓#勒索软件、一个严重的@TweetDeck bug等。 本周的新闻内容丰富，安卓系统上出现了史上首个加密勒索软件，短暂存在于TweetDeck的严重漏洞，对苹果即将发布的iOS 8的一睹为快，以及可能会泄露Gmail用户地址的缺陷等等。 安卓加密勒索软件 上周，一些有关一个对安卓设备内容进行加密的勒索软件的报道开始浮出水面。本周，卡巴斯基实验室专家Roman Unuchek对此类中的首个手机恶意软件Pletor进行了说明。 Pletor是在大约一个月前被发现的，并且在这一期间已经传播到了13个国家。该款恶意软件已经感染了超过2,000台机器—主要分布在俄罗斯和乌克兰—另外，在欧洲其他国家和亚洲国家也出现了类似的案例。报道称，受感染高峰时间是在5月22日，整个一天有500台机器被感染。这一木马病毒在地下存在非法交易，售价高达5000美元。 若您的智能手机感染了[Pletor]，我们建议您不要向不法分子付款，”Unuchek说道。”我们见到的所有版本的木马病毒都含有钥匙，可用于解密受影响的文件。” Pletor可感染访问虚假色情网站的设备。木马病毒在这些网站上伪装成观看视频所需的媒体播放器。另外，Pletor正在向游戏和其它安卓应用以及俄罗斯手机论坛蔓延。 “若您的智能手机感染了[Pletor]，我们建议你不要向不法分子付款，”Unuchek说道。”我们见到的所有版本的木马病毒都含有钥匙，可用于解密受影响的文件。” TweetDeck Fiasco 昨天，我们报道了一个存在于TweetDeck的严重安全漏洞。攻击者能够借用用户账户，发推、删除推文或破坏账户。推特非常及时地为这一问题提供了补丁。所以，用户无需担忧。但是，如果你使用该服务的话，如果能更改推特和TweetDeck的密码，则更有安全保障了。如果您遵照我们昨天的建议，撤消了对TweetDeck应用的访问，则重新使用TweetDeck并授权访问您的推特账号应该不会出现什么问题。 有趣的是，昨天出现的TweetDeck问题再次出现，起因是一名澳大利亚少年和本应不该出现在他的Twitter feed上的Unicode heart。访问Threatpost，查看全文。 MAC地址随机化 苹果为果粉们准备了惊喜，在苹果全球开发者大会上揭开了即将发布的iOS 8手机操作系统的真正面纱。此次所发布的iOS 8在原有IOS应用开发环境基础上进行大量的重建，你可以再这里阅读我们对IOS 8看法的完全分析。IOS 8最大的变化苹果决定在接入无线网络时，将媒体访问控制地质随机化。MAC地址是唯一的标识。众所周知，零售商和网络运营商通过追踪MAC地址，了解更多的用户行为。在iOS 8操作系统内，苹果设备在被无线网络扫描时，将生成随机的MAC地址。这一技术举措将悄悄地使零售商无法再追踪店内客户活动和其它行为。 Feedly你在哪儿? 就在昨天，分布式拒绝服务攻击（DDoS）昨天使新闻手机服务应用Feedly及笔记和归档平台Evernote（离线版）陷入瘫痪。Evernote迅速从DDoS攻击中恢复过来，目前用户已经能正常使用了。但不幸的是，截止星期四下午，Feedly依然无法正常运行。 Feedly在星期三下午曾短时间地恢复正常，但其后在受到另一波DDoS攻击后，又很快地陷入瘫痪。 继续注意垃圾邮件 Google在本周早些时候对其服务内的一个非常严重漏洞打了补丁，并封住了一个可能泄露未知数量Gmail用户账户的漏洞。一些报告估计，可能所有账户地址均难以幸免。您可以再Threatpost上了解到此次攻击的技术细节。在未来数天，甚至数周，您应该特别小心垃圾邮件，一旦有人利用了这一bug，Gmail邮箱地址将难以幸免。 其它新闻

苹果公司为其手机操作系统推出了全新软件更新—iOS 8—几乎同一时间，其主要竞争对手三星公司则正式确认将推广基于全新Tizen操作系统的设备。与此同时，Google及其安卓系统方面则几乎没有什么动静。尽管Google这一手机系统巨人没有出现在头版头条的位置，但在这里，我们依然有许多可以谈论的话题。 苹果的最新iOS操作系统 IOS 8最为显著的变化，似乎是更加开放和更具客制化了。完全出乎意料，苹果竟决定允许第三方开发者（i）替换苹果手机屏幕上标准的输入键；（ii）使用Touch ID界面；（iii）将他们的窗口小部件与消息中心相结合；（iv）扩展应用（包括针对某些家庭和医疗应用开发者的整个应用程序接口）间交换的数据类型，等等。 所有这些迟早会发生的。毕竟，与全球开发者社区在操作系统开发方面进行竞争太过艰难。唯一的出路则是变得更加灵活。您等着看好了：两三年后，Safari可能将失去其作为默认浏览器的垄断地位。 这并不是我的凭空想象 – 因为谁又曾料想过手机需要外置键盘呢？ 在果粉一贯疯狂的支持下，反对声音似乎寥寥无几，更不用说各种类型的有趣素材迅速成为了人们热议的话题。 事例：至顶网率先公布了全新功能对安全方面影响的分析—攻击面将增大。Ars Technica也迅速发布了IOS 8新功能与安卓系统各功能之间的比较文章，抓住了那些始终对苹果创新抱有强烈怀疑态度的读者的眼球。尽管增加众多的功能，但情况依然没有什么改变，乔布斯的忠实粉丝们对此根本不屑一顾，”如果乔布斯还在的话，他根本不会这么设计!” 那么，让我们来看看苹果是如何保持IOS一贯的安全性的。软件的预调节系统将被保留，但是对于苹果应用来说，依然有更多在恶意功能方面保持优势。新的Swift编程语言似乎防止了大量开发者在应用软件开发初期所犯的错误。不过，Swift将不是唯一强制性的开发环境（招聘启事：’寻找至少具有三年经验的Swift程序员’）。我仍支持尤金•卡巴斯基的意见，即苹果仍需要改变其维护安全性的方法。 Tizen Tizen.。Tizen？ 到底谁是Tizen（中文叫”泰泽”）？！对于那些知道维基百科的人来说，答案太简单了，Tizen就是安卓的”半个兄弟”，它的”继父”就是Linux或类似的系统。 我仍然不清楚开发这一操作系统的具体技术原因。我的意思是：这操作系统中的哪些功能是安卓系统所没有的？似乎他们开发的目的只是： 减少对Google的依赖; 获得最大量的数据量、流量和其它有价值的有关用户的非人性化信息； 是为了在选择目标和实现目标方面更自由一些。另一方面，Tizen将不仅能解决安卓储存残片的问题（阅读：存在于大量的版本中），还将继承所有集体创造力项目的全部先天缺陷 – 每位参与者将会设法分得最大的”一块蛋糕”（Tizen的主赞助商竟已达10家）。 更加自相矛盾的是三星目前的定位。三星拥有自己独家研发的Bada操作系统，该系统推出后一路顺风顺水（2012年，该系统一举超越了Windows系统手机的普及度），且很容易在此基础上创建生态系统。与苹果系统极为相似，只是没有苹果系统的缺陷。目前，三星似乎已另起炉灶，（包括将重心向新的Tizen应用商店转移以及花费数百万来激励开发者），而现在三星将不得不面临众多的竞争对手！ Tizen是安卓系统终结的开始吗？Tizen是否会将安卓挤出其赞助商的设备？ Tizen是安卓系统终结的开始吗？Tizen是否会将安卓挤出其赞助商的设备？ 答案可能是否定的。 Tizen最有可能只是在家用电器领域实现突破，在这一领域，产品更倾向于稳定发展而非跳跃式的发展， 且低储存碎片和自身开发平台的可行性是这一领域的主要特点。开源代码能够实现广泛的漏洞检查，这对用户极为有利（若三星公司能够快速提供补丁）。

上周，苹果依照惯例在全球开发者大会上发布了最新版手机操作系统。总部位于加州库比蒂诺的苹果公司此次推出的iOS 8号称是”全球最先进的手机操作系统”。这一说法显然颇有争议，但新平台确实有一些设计周密的安全隐私功能，此外还对应用开发环境进行了重大改革。 新系统中对安全隐私的改进最大，即随机生成介质访问控制（MAC）地址，但很可能这也是用户最容易忽视的。MAC地址是一种唯一标识，广泛用于跟踪Wi-Fi网络上的设备和用户行为。据称，用户连到公用Wi-Fi网络并与其进行交互时，零售商和其他各方可通过跟踪MAC地址来更多地了解用户的行为。 但问题是，很多用户对此跟踪完全不知情，这也意味着用户可能根本就不同意被跟踪，至少在传统意义上是这样。 在iOS 8中，无线网络扫描苹果的i系列设备时，这些设备将生成随机MAC地址。这样零售商就无法跟踪商店内客户的活动和其他行为。随机生成MAC地址对于许多根本没意识到被跟踪的苹果迷来说，是隐私保护方面的巨大进步。 随机生成MAC地址是对于许多根本没意识到被跟踪的#苹果迷来说，是#隐私保护方面的巨大进步。 另一个很不错的安全隐私改进是，支持用户将DuckDuckGo作为Safari浏览器中的默认搜索引擎。DuckDuckGo是一种替代搜索引擎，它不会根据搜索查询收集用户信息或其他任何相关信息。而且，DuckDuckGo会尽可能确保用户通过加密的HTTPS连接与网站进行交互。搜索DuckDuckGo从某种意义上来说系统性更强，因为查询不会根据感知到的用户关注内容进行定制，而这是其他引擎的通用做法。 当然，本发行版中还包罗了各种更华丽且实用的功能。照片将在所有连接设备上共享，用户能够轻松将语音添加为短信（我想这是电话应该具有的功能），此外，苹果还高调推出了更简洁的全新通知界面。显然，在各设备之间实现照片共享未来可能会出现各种隐私和安全问题，但就目前来看，还没有什么明显的安全问题。 然而，一些与家庭共享功能一并提供的新键盘功能，更深层次的iCloud集成，以及新平台明显的雄心壮志，要吸引更多的应用开发，这些都会对安全隐私产生重大影响。 苹果称，新的软件开发者工具包（SDK）是App Store发布以来最大的一个开发工具包，应用编程接口（API）超过4000个。如果我们对苹果的新闻稿解读无误的话，这些举措和新的应用编程语言很可能会使App Store更为开放，环境类似Google Play（但苹果的预审查政策仍生效）。一方面，这意味着会有更多应用发布到App Store；另一方面，这也意味着面临着更多威胁，当然这并不一定会对用户构成威胁，具体取决于苹果如何在已改变的环境中应对安全性。 新的开发者工具包中，我们将密切关注的一个工具包的”HeathKit”。此工具包支持开发人员构建运动健身应用，以更适合用于彼此交流，分享从健身计划到血压水平等各种用户信息。近年来，市面上运动健身类应用层出不穷，数量激增。但上个月，美国联邦贸易委员会发布的一份报告中警告说，运动健身类应用在获取和共享用户信息方面”胃口”过大，这引起了我们的关注。为不同应用提供彼此共享这些数据的能力（即便用户允许应用这样做，因为授予权限实际上被视为同意这样做）只会加剧这一问题。但平心而论，如果发布一些个人数据能促使用户加强锻炼，那么这可能是一种理智的取舍。 HomeKit是另一个相关API。它使开发人员有能力构建与现代化住宅不断增多的连接和”智能化”进行交互的应用。如果您定期阅读《卡巴斯基中文博客》，那么一定会知道住宅自动化系统安全性差强人意。苹果称，此工具包在安全性上已全部进行配对（这可能意味着通过某种方式使用了加密）和配置。但在打入开放市场之前，很难说安全性到底怎么样。 如果新的App Store像安卓一样对企业开放，那么我们可能会看到更多恶意应用纷涌而入。 总之，新版本看起来确实是对苹果现有开发环境的彻底革新，这着实让人兴奋不已。因为这意味着会有更新、更有创意的应用出现，包括第三方键盘、窗口小部件等等。但同时也让人略感担忧，因为与创新随之而来的是更多攻击接口和更棘手的攻击。如上所述，如果新的App Store像安卓一样对企业开放，那么我们可能会看到更多恶意应用纷涌而入。 如果要从本质上了解这种新的应用开发业务将以何种方式影响安全性，尤其是相对于安卓系统，请参阅Andrew Cunninghamrs在Ars Technica博客上发布的文章中的第二页，此文对此问题进行了详细阐述。 除了我们讨论过的内容外，使用新键盘时，”将根据过往的对话内容和书写风格，显示后续可能会输入的字词或短语供您选择。”此外，”iOS 8还考虑到了用户可能在短信中使用的书写网络较随意，而在邮件中则可能使用更正式的语言”，”还根据交流对象调整显示的预测内容，因为与伴侣对话时所选的字词肯定要比和老板对话中使用的更随意。”总之，这些功能意味着苹果将收集更多用户信息，这必然会影响到隐私性，不管这样做能带来多大程度的便利。iCloud提高了文件存储容量，用户可以在一个位置存储更多敏感信息，这也相应要求用户熟悉并启用该服务提供的安全功能。但同时，也意味着需要采取更多方法来备份和保护用户敏感数据。 通过新的”家庭共享”功能，用户有能力将自己的设备与设为其家庭成员的其他用户完全同步。此功能的优点是加强了家长控制，但风险也显而易见，它为新的潜在攻击开辟了一条新的途径 － 类似于最近报告中所报告的黑客利用iCloud访问锁定手机。我们将拭目以待黑客是否可能暗中将自己设为家庭成员，从而监视用户行为，窃取设备数据。

Google最新发布的一份报告显示，在全球的Gmail流量中，超过30%在发件人向收件人发送邮件过程中的某一时刻处于无加密状态。为修复这一漏洞，Google开发出了一项工具，它能够为安装端对端插件的任何用户对所有离开Chrome浏览器的数据进行加密，这一工具不久将公布于众。 你可能会对此存有疑惑，因为Gmail始终通过一个安全的加密HTTPS连接传输数据，这即表示100%的出站流量被进行了加密。但事实的真相却并非如此，HTTPS仅仅是对从计算机发出通过浏览器进入Google服务的数据进行了加密。 可能你还有印象，就在几个月之前，Google并没有对服务器和数据中心之间的链接进行加密。这一漏洞据说被美国国家安全局所利用以进行监控，现在终于被修复了。这一漏洞激起用户的愤怒，而Google所做的回应则是对这些链接进行加密。 .@Google的最新工具将能对所有离开# Chrome浏览器的数据进行加密。#加密 现在，如果你使用Gmail发送邮件，则邮件从电脑中发出通过浏览器传送至Google服务器的整个过程中，始终处于加密状态。一旦你的数据远离Google的控制范围，则是否加密则完全取决于拥有你数据的供应商。如果你的邮件是从一个Gmail邮箱发送至另一个Gmail邮箱，则邮件将始终处于加密状态，而这些数据也将在传送过程中显示加密。但不幸的是，有些公司并不是像Google一样如此重视隐私与安全问题。 简而言之，公司表示从Gmail发出的邮件的69%被加密，而传入Gmail的邮件被加密的仅为48%。在美洲国家这一比例尤其高，1万封邮件中仅有不到1封能够被AOL解码，这是非常了不起的数据。另一方面，AT&T则能够对半数的此类邮件进行解密。而Comcast则完全没有对来自Google的邮件进行加密。另一边，Facebook和亚马逊几乎对所有他们发送至Gmail的邮件进行了加密，而邮件营销服务商Constant Contact则截然相反，对所有传送至Gmail的邮件，几乎不采取任何加密措施。 开发这一全新端对端工具的目的旨在为日常用户提供简单易操作的加密工具。使用这一工具后，用户可确保其数据在邮件传送过程中始终处于加密状态。当然与此相类似的工具大量存在于目前市场中。然而，其中的大部分都过于复杂且难以使用。 “尽管像PGP和GnuPG这样的端对端加密工具早已推出市场，但却需具备大量的技术专知与实践操作方能灵活使用，”Google安全与隐私部产品经理Stephan Somogyi这样写道。”为了让这些工具使用起来更简便，我们即将发布针对全新Chrome插件的代码（使用OpenPGP），作为一项公开的标准能够支持目前众多的加密工具。” 简单地说，加密数据工具能够显示已加密数据在Google的Gmail服务器的流入、流出量，此外还包括了一些信息，比如哪些供应商在Gmail邮件通过它们的服务器时对数据进行加密。 “使用安全传输层协议进行加密，能够防止不法分子在邮件传送过程中对你讯息的窥视。” “使用安全传输层协议进行加密，能够防止不法分子在邮件传输过程中对你讯息的窥视。”Google解释道。”TLS协议无论是对进站还是出站邮件流量，都能够进行加密并安全送达。同时还有助于防止邮件在两个邮件服务器之间传送时被窃取—始终保持邮件在两家邮件供应商之间传送时的私密性。” 然而，他们又做了进一步的解释，只有在发件人和收件人所使用邮件供应商同时支持TLS的情况下，你的通讯信息才会被加密，但问题是并不是每一家供应商都能支持TLS。 “TLS目前成为了安全邮件的标准。尽管这并不是一个十全十美的解决方案，但如果每个人都使用TLS的话，那窥探别人邮件的难度和成本将大大加大。” 在理想的世界中，每一家邮件服务供应商在从邮件发出到邮件接收的整个过程中对用户讯息进行加密—或者用一句我们的行话来说，那就是”端对端”。

推特暂停了其TweetDeck应用的服务，起因是出现了一个严重的跨站脚本漏洞，并被攻击者大规模地加以利用。 据Mike Mimoso在Threatpost博客称，跨站脚本漏洞使得攻击者能够将代码注入网页或基于网页的服务，并由用户浏览器自动执行。网络黑客一旦成功执行跨站脚本攻击，即可远程注入代码，导致数据丢失或服务中断。 TweetDeck出现严重漏洞，用户应尽快撤销访问。 特别在TweetDeck的案例中，攻击者能够借用用户账户，发推、删除推文或破坏账户。漏洞利用代码可以在整个早上不停地发推，并成百上千次地自动转推。 “这一漏洞尤其能够在浏览器中将代码作为消息发推，只要你查看了这一消息，各种各样的跨站脚本攻击将自动运行，” Rapid7全球安全战略家Trey Ford告诉Threatpost博客。”我们目前看到的攻击是一种’蠕虫’病毒，能够通过创建恶意消息进行自我复制。它似乎主要影响用户Google Chrome浏览器的Tweetdeck插件。” 如果你使用TweetDeck，我们建议你尽快登录推特账户并撤销访问TweetDeck。 观看视频将告诉你如何进行正确的操作，只是你需要假装这一iOS 5应用是TweetDeck，因为在视频制作过程中使用了虚拟的账户，事实上并没有安装TweetDeck。

我们在播客中曾经录制过相关内容，在其中我们用了大量视频（我会在下面嵌入这些视频）详细讨论了双重认证。之前我们也在无数文章中间接提到过双重认证。但是抽时间专门写一篇文章来讨论双重认证的定义、工作原理和适用场景，这还是头一次。 什么是双重认证？ 双重认证是许多在线服务提供商所提供的一种功能，它要求用户提供两种形式的认证，为用户的帐户登录过程额外上一道保险。第一种形式通常是密码。第二种形式可以是任意认证。可能最流行的第二重认证是短信或电子邮件验证码。双重认证背后的理论是：要进行登录，用户必须知道某项内容并掌握它。因此，为了访问公司的虚拟专用网，用户可能需要密码和U盘。 双重认证虽然不能保证帐户万无一失，但无论谁想入侵受双重认证保护的帐户，它都会是一个难以逾越的障碍。 双重认证虽然不能确保帐户万无一失，但无论谁想入侵受双重认证保护的帐户，它都会是一个难以逾越的障碍。我认为密码有众所周知的严重缺陷：简单的密码易记但也易破；而复杂的密码虽然难破，但也很难记住。为此，对创建密码不在行的用户会一再使用相同的密码。至少使用双重认证后，攻击者除了得破解密码外，还得有权访问第二重认证，而要取得第二重认证，就得窃取手机，或者入侵电子邮件帐户。 什么是双重认证，哪些情况下应该启用双重认证？#安全性#密码 人们总是频繁更换密码，但实际上没有什么用。根据目前的情况，良好的双重认证系统是用户所能获得的最佳保护。双重认证系统的另一个优点是用户能获知是否有人在盗用自己的密码。我之前可能说过无数次，如果手机或电子邮件帐户中收到双重验证码，但你并未尝试登录与其关联的帐户，则说明有人在盗用你的密码，正尝试入侵你的帐户。无论什么时候，一旦发现这种情况，请立即更改密码。 哪些帐户应该启用双重认证？ 对于在什么时候，在哪些情况下应该启用双重认证，请遵循一个简单的规则：如果相关服务提供了双重认证，并且您认为帐户非常重要，则应该启用双重认证。那么Pinterest（世界上最大的一家图片社交分享网站）呢？我不知道，也许会启用吧。如果我有Pinterest帐户，我不太会愿意每次登录都麻烦地进行双重认证。但是，网银、主次电子邮件（尤其是如果具有专用帐户恢复电子邮件地址）、重要的社交网络（或许是Facebook和Twitter），当然还有AppleID或iCloud，或者任何用于控制安卓设备的帐户（如果有），所有这些都应该通过第二重认证进行保护。 点击此处观看视频。 显然，你还需要考虑是否要为任何工作相关帐户提供第二重认证。如果您是网站管理者，则会希望考虑锁定注册服务帐户，不管此帐户是WordPress、GoDaddy、NameCheap还是其他什么帐户。我们还建议为信用卡或借记卡关联的所有帐户启用双重认证：PayPal、eBay、eTrade等等。同样，启用双重认证的决定应该基于以下考虑：提供相应功能的任何帐户被盗会带来多大的破坏性。 有其他形式的双重认证吗？ 目前为止，我们讨论的双重认证是向手机或电子邮件帐户发送验证码，或者通常将U盘与密码一起用于VPN访问。此外，还有钥匙串验证码生成器，例如RSA的SecureID，它一般用于企业环境。目前，这些是主流形式的双重认证。当然，还有其他形式的双重认证。 交易验证码（TAN）是略有些过时的第二重认证形式，在欧洲很流行，我本人实际从未使用过，但如果我的理解没错，此类验证的过程如下：银行会向您提供一张交易验证码表（印在纸上），每次进行网上交易时，都应输入其中一个验证码以进行验证。ATM机是另一种老式双重认证形式。必须同时拥有借记卡和知道PIN密码，方能取现。 最近的报告中有大量内容在讨论利用生物特征识别技术的双重认证。有些系统要求提供密码和指纹、虹膜扫描、心跳或其他一些生物手段。可穿戴设备的发展势头也逐渐增大。一些系统要求佩戴内嵌某种无线射频芯片的特殊手链或其他配饰。我还读到过可用于第二重认证的电磁纹身的相关研究报告。 Google和Facebook都推出了手机应用专用密码生成器，支持用户生成一次性密码，取代短信或电子邮件验证码。 点击此处观看视频。

本周值得关注的新闻有：僵尸网络被联合行动捣毁；已遭破坏的OpenSSL加密库再曝漏洞；Google海量数据存储加密方面的新闻让人颇受鼓舞，但仍问题重重；昨天是爱德华•斯诺登事件曝光一周年。 一周#安全和#隐私要闻，作者@TheBrianDonohue。 Gameover僵尸网络 美国和欧洲执法机构联手捣毁了Gameover僵尸网络。僵尸网络是一种被恶意软件感染的计算机所构成的网络，计算机被感染后即成为帮凶，加入传播大军，在用户毫不知情的情况被利用于违法目的。Gameover用于散布Zeus宙斯木马，一旦植入此病毒后，即可实施网络欺诈计划，其中涉及窃取被感染用户计算机的财务凭证，将用户账户中的资金转入黑客所控制的账户。此外，Gameover最近还被用于散布臭名昭著的Cryptolocker勒索软件。 捣毁僵尸网络要求执法机构（有时会与私人公司联手行动）夺取对分发恶意软件的服务器的控制权，此服务器被称为命令控制服务器（C&C）。接管僵尸网络的行为就其本质来说，有时也被称为”sinkholing”技术。许多散布很广的僵尸网络都是通过这种方式捣毁的。针对这种情况，犯罪分子逐渐迁移到更有弹性的对等僵尸网络基础架构。此举实质上意味着命令控制服务器会在僵尸网络本身未知数量的机器上共享。 简言之，捣毁对等僵尸网络需要执法机构监视并了解其通信基础架构。一旦掌握了僵尸网络的通信方式，即可以着手复制其结构并控制僵尸网络。夺取了僵尸网络的控制权后，即能使僵尸网络停止运行。 要了解Gameover被捣毁所造成影响的精彩解读，请阅读卡巴斯基实验室全球研究与分析团队成员David Emm的讲解。 OpenSSL 新发现的OpenSSL漏洞非常严重，但严重程度和波及的系统范围略逊于Heartbleed。 Heartleed漏洞带来的伤痛还记忆犹新，昨天新闻中又曝出OpenSSL存在另一个严重漏洞。OpenSSL是互联网上大量用户使用的加密实施服务，这次新发现的OpenSSL漏洞非常严重，但严重程度和波及的系统范围略逊于Heartbleed。加密是指一种数学算法，用于保护用户在网上和计算机上所执行的操作、交谈和存储内容的安全。如果您觉得这种解释过于简单，请阅读哈希算法说明，更好地了解其工作原理。不管怎样，新漏洞是可通过远程方式加以利用，这意味着黑客在舒适的家里（或者连到互联网的任何位置）就能够利用此漏洞向不知情的用户发起攻击。黑客成功利用此漏洞入侵后，可拦截被入侵客户端与服务器之间的流量并进行解密。 利用此漏洞执行的攻击并不都这么简单（事实上，黑客很可能并不是在自己舒适的家里发起攻击的，但我想说明的是”可通过远程方式攻击”这个术语）。攻击者需要相对其目标处于”中间人”位置。顾名思义，中间人攻击是指：攻击者自身或利用工具插入用户和重要资源（例如，银行网站或电子邮件账户）之间。最简单的做法是监视流出不安全Wi-Fi网络的流量，这类Wi-Fi网络有许多是我们所有人几乎每天都会用到的。另外还有数十种其他方法可用来执行中间人攻击，您可以通过上面的链接了解相关信息。 发现此漏洞代码段的研究人员表示，此漏洞似乎从1998年开始就一直存在，几乎从未更改过。 端到端 昨天，Google发布了Gmail流量中在传输中被加密（例如，离开Google系统后）的流量所占比例。部分数据相当不错。搜索巨头Google发现，从Gmail发出的电子邮件中，大约69%经过加密，而Gmail收到的邮件中经过加密的占48%。这一比例相对于前几年已经有了大幅上升。 Google会对其服务器上的所有数据进行加密，所以上述研究结果反映的是其他服务对Gmail通信离开Google控制范围后的加密情况。在这里我有意轻描谈写，因为我们计划专门写一系列文章，具体探讨全球哪些服务在改进加密传输中的数据，哪些服务对此无动于衷。请继续关注我们接下来几周的博客。 Google还宣布开发出了一种工具，将用于加密所有流出Chrome浏览器的数据，这应该能帮助解决上面谈到的部分问题。我们对此工具的工作方式充满好奇。同样，请继续关注我们的博客，未来我们将就此发布相关文章。 “重置网络”行动 我们曾在每月安全新闻播客中提到过，6月5日是重置网络行动日。此项行动设定为斯诺登首次曝光美国国安局大规模监控项目周年纪念日并不是巧合，此行动的目的就是为了通过向日常网络用户提供高强度的安全和隐私工具，抵制政府监控行为。在此用户可以找到一些使用方便、几乎适用于任何操作系统的工具。请尽情享用这些工具，使用心得可以通过下面的评论部分与我们分享。

五月有许多值得关注的黑客和其他犯罪分子的相关新闻，下面让我们看看在五月份有哪些犯罪分子落网，罪名分别是什么。 LulzSec头目被判七个月监禁 知名的LulzSec黑客组织卧底Sabu因获大幅减刑，上周二被判服刑期满，在纽约被当庭释放。Sabu真名为Hector Monsegur，曾带领黑客组织Lulzsec成员多次向高知名度的目标发起攻击。Sabu被捕后从一名黑客转变为FBI潜伏在黑客组织的卧底，卧底期间，黑客组织成员纷纷落网，此外他还帮助FBI阻止了进一步的攻击行动，成果颇丰，因此被大幅减刑。Monsegur是LulzSec黑客组织的知名成员，被控参与了组织多次行动，包括对PayPal和其他公司发起的攻击。2011年Monsegur被FBI抓获，此后开始与FBI合作，向FBI报告Anonymous组织其他成员的活动信息。有鉴于此，检察官要求法官对Monsegur予以宽大处理，但并未就刑期提供具体建议。Monsegur被释后，在未来的一年里要接受法庭监督，以免再次作案。 97名黑客因利用Blackshades木马犯案而被捕，木马作者将面临20年监禁 #安全性 #天网恢恢 近百名黑客一次性落网 五月最大规模的一起诉讼案无疑当属97名黑客被控利用Blackshades远程访问木马犯罪。这种恶意软件在黑客论坛上只要区区40美元就可买到，犯罪分子利用此软件能够远程入侵用户计算机的监视设备。FBI表示，出售的RAT（远程管理特洛伊木马）病毒被散布到100多家公司，感染用户超过50万。RAT还具有自我复制能力，能通过指向社交网络联系人的欺诈恶意链接或通过即时通讯平台传播到其他计算机。此次抓捕是全球19个国家的执法部门联手开展的行动，涉及300多项搜查。目前尚不清楚落网犯罪分子将面临的罚金和监禁时间，但Blackshades恶意软件开发人员（据推测是24岁的瑞典人Alex Yucel和来自美国亚利桑那州23岁的Michael Hogue）最高将获刑20年监禁。 出售伪造卡被判20年 David Ray Camez现年22岁，网名为”Bad Man”和”doctorsex”。五月中旬，美国地方法院宣布了对他的判决。Camez于2013年底被判罪名成立，其中一个罪名是参与触犯《反勒索及受贿组织法》，另一项罪名是密谋参与触犯《反勒索及受贿组织法》。六年前，年轻的Camez加入了Carder.su组织，在长达两年的时间里，他参与了购买和出售假身份证和信用卡。2012年，他与其他38名成员一起被起诉。其中七人承认有罪，两人将在今年6月宣判，其余人员在逃。另有16名被告人分别在三个独立诉讼中被指控有罪，目前已有14人认罪。除了面临20年监禁外，Camez出狱后还将面临三年的被监督释放，并被判支付2000万美元的赔偿金。 海盗湾联合创始人落网 五月的最后一天，海盗湾（Pirate Bay）BT种子网站创始人之一兼前发言人Peter Sunde在瑞典被国际刑警抓获。针对海盗湾创始人的这项持续时间很长的刑事案件，瑞典最高法院2012年就对Sunde的判决进行了最终裁定，判决上诉不予受理，在此之后，检察官们经过两年多的时间才终于抓获Sunde。Sunde被捕后，将案件上诉至欧洲人权法院和瑞典最高法院，但同样被驳回了上诉。目前，Sunde将服刑8个月。海盗湾的另外两名活跃分子已出狱，而Sunde的另一位同伙仍逍遥法外，藏身在亚洲某地。 参与违反《反勒索及受贿组织法》将面临20年监禁。 有史以来最大一起有针对性的假药打击行动 100多个国家的执法机构联合参与了”盘古行动7″（Operation Pangea 7），”盘古行动”是每年执行一次的全球范围的行动，旨在捣毁通过非法网上药店销售假药交易背后的有组织犯罪网络。此次行动在世界各地共抓获230余名犯罪分子，搜缴的潜在危险药品价值近3600万美元。行动中启动了1235起调查，删除了通过社交媒体平中发布的近20000个非法药品广告，有10000多个网站被关，查获假冒和非法药品940万件。此次国际行动由国际刑警负责协调，包括世界海关组织、安全互联网药店中心在内的许多机构以及微软、PayPal、万事达和Visa等多家公司也参与了此次行动。 垃圾短信发送者被处以高额罚金 向用户发送了超过2900万条短信，承诺提供”免费”礼品卡。骗局其实十分简单：用户点击短信中的链接后，会显示一张表单，要求用户填写信息以免费获赠沃尔玛的100美元礼品卡，但用户填写表单后，会要求访问多个链接。显然，用户填写的信息被用于发送垃圾短信。这一骗局给某些零售商造成了一定困扰。在提交给美国联邦贸易委员会（FTC）诉讼案件中，沃尔玛门店的隐私诉讼总监表示零售商至少收到了14000项投诉。沃尔玛为了调查垃圾短信和安抚受骗客户所用的时间和精力，给公司造成的直接经济损失超过10万美元。

我们之前写过关于防范应用内购危险的内容，但如果你是家长，那你一定会知道这些不需要插件的威胁绝不会就此消逝无踪。许多初始下载免费的应用都附带这类附加功能，这是一种赚钱手段，对于移动设备游戏开发者尤为重要。开发者认为用户免费下载后，一定会喜欢上游戏，之后会很乐意付费获取新级别、新武器和新工具等等。 成年人可以自行选择是否为自己的行为买单，但家长希望知道如何防止孩子使用父母信用卡（与iTunes或Google Play帐户绑定）肆意购买应用。 幸运的是，Apple和安卓平台都有控件可阻止这类不需要的购买。下面的分步指南说明了如何在两种平台上设置受密码保护的应用内购买。 Apple平台 安卓平台 与苹果类似，安卓也允许用户通过在”Google Play商店”应用中添加密码保护来禁用应用内购买。

被FBI称之为”史上最复杂、最具破坏性的网络僵尸病毒”被曝光并捣毁后，高级安全研究人员David Emm向我们解释了到底GameOver Zeus病毒对用户意味着什么，用户该如何进行自我保护。 到底什么是GameOver Zeus？工作原理是什么？ 本周实施GameOver Zeus网络僵尸病毒攻击的网络犯罪分子采用的是两种恶意程序：ZeuS和Cryptolocker。ZeuS（宙斯）是一种木马病毒，能在用户计算机中搜索个人信息，例如密码和财务数据。只要点击垃圾邮件中的附件，此类病毒即会下载到用户的Windows电脑。被感染计算机接着会发送垃圾电子邮件，以进一步引诱其他用户上当，这种病毒在互联网上飞速传播。 这些类型的威胁并不罕见 － 在我们的病毒实验室中，每天都会看到315,000种独特的病毒样本，包括网银木马、勒索软件和其他多种类型的恶意软件。对于像ZeuS这样的常见网银木马，实际上存在成百上千种变体。会有这么多变体出现的其中一个原因是网络犯罪分子可以利用各种变体来尝试控制入侵的计算机，想控制多长时间就控制多长时间。 为什么用户有”两周”时间可采取预防措施防止此类恶毒软件入侵？ 之所以会有两周的缓冲时间，是因为警方设法接管了控制僵尸病毒的命令控制（C&C）服务器，并暂时禁用了此服务器。所以，警方才有机会向用户发出警告，并给用户留出一段防御此类恶意软件入侵的时间；在此时间后，网络犯罪分子会开始使用新的命令控制服务器 － 预计在英国这一缓冲时间大约为两周。 用户必须确保定期备份数据。这对于防止勒索软件入侵尤为重要。如果进行了备份，即便只是手动将文件拖至U盘，也能避免在不幸感染CryptoLocke病毒后被迫支付勒索金。 现在该怎么做？ 用户不仅应该保护自己的计算机，还应该确保定期备份数据。这对于防止勒索软件入侵尤为重要。如果进行了备份，即便只是手动将文件拖至U盘，也能避免在不幸感染CryptoLocke病毒后被迫支付勒索金。 为了保护您的财务信息安全（避免被Zeus木马和其他旨在窃取资金的恶意软件盗用），请务必遵循以下简单的规则： 请勿点击不明发件人发送的链接（通过电子邮件或社交媒体网络）； 请勿在设备上下载、打开和保存未知文件； 请勿使用开放非安全（公共）Wi-Fi网络进行任何交易。请使用OpenVPN流量加密； 在网页上输入任何凭证或保密信息之前，务必仔细检查网页 － 钓鱼网站会故意设计得与真正网站极为类似； 只使用带”https”前缀的网站；这类网站比前缀为”http”的网站更安全； 确保安装了最新版本的反病毒防御软件； 如果目前没有安装任何安全软件，可以从在线商店进行下载； 使用手机/平板设备进行任何交易时，也务必记得使用同样的防御软件。 @ Emm_David解释了GameOver

当前，网络金融服务发展速度迅猛。越来越多的在线金融服务可通过移动设备使用。这不仅有助于方便客户，还能促进经济的发展。手机应用不断探索这一全新的领域，包括在其他流行产品功能（例如：短信服务）中的密码保护支付服务。但这一全新的领域也给网络犯罪分子提供了便利：窃取敏感信息和他人现金。 微信作为一款移动通讯软件，在中国有着极高的知名度。这款软件通常用于和朋友和同事聊天，但同时也允许用户进行在线支付。微信使用方便，但这意味着你必须将你的银行信息与通讯账户捆绑。微信巨大的市场份额使其成为网络犯罪分子的首选目标，他们开发出银行木马（Trojan-Banker）来对微信进行模仿。 最近卡巴斯基实验室拦截到一种全新的银行木马，与以上所述的病毒极为相似。它被检测为Trojan-Banker.AndroidOS.Basti.a。该安卓程序伪装成一款普通的微信应用。 安装后，它要求一些敏感的权限，例如android.permission.RECEIVE_SMS（安卓允许接收短讯）等。 木马病毒的作者显然不希望分析人员对代码进行逆向工程，因此使用了’bangcle secapk’（棒棒加固）进行加密。在对这个样本进行解密后，我们看到了它的本来面目。它拥有多种类型的恶意软件行为。此外，其中还含有一些程序包使其图形用户界面看上去更专业，这对网络钓鱼来说是必备要素。 当运行这一应用时，会出现一个特殊的图形用户界面，让用户输入一些银行相关信息，包括：银行卡号、PIN码以及手机号码等。 一旦收集完，它便会将这些敏感信息发送至木马作者的邮箱。该银行木马还注册了BootReceiver。它会监听新收到的短信和软件卸载广播。新收到的短信也同样会被发送到木马作者的邮箱内。在代码中，木马作者的邮箱地址和密码未进行加密，因此我们利用它们进入木马作者邮箱，并发现了大量的受害人信息。尽管这些邮件在发出时被126邮箱服务器阻止，但用户银行信息已然被窃取，这些在退回邮件的附件中可以找到。 随着在线金融服务越来越流行，我们需要对自己的隐私加倍小心。手机用户已受到威胁，我们必须采取必要的措施来保护自身隐私安全。我们为您提供的几点建议如下： •安装手机安全软件。 •确保将软件的数据库升级到最新版本。 •请勿浏览任何可疑网站或下载陌生应用程序。 •在输入任何敏感信息之前，确保正在使用的是安全的软件，并明确自己是否有必要输入这些信息。 当然，安装卡巴斯基安全软件安卓版 ，让您在使用网上支付服务时更放心。

应用商店提供的各种游戏和工具几乎应有尽有，没有你找不到的，只有你想不到的。但其中鱼龙混杂，充斥着各种陷阱，包括不良应用、导致费用像吹气球般飞涨的应用以及恶意应用，针对安卓设备的应用尤其多。 遵循以下三大黄金法则，不管使用的是哪种操作系统，您都能安全尽享应用商店。 1. 集思广益。使用虚拟社区知识对应用的可靠与否进行评估。尽量避免下载最新上架以及还未有评价的应用。评分高、正面评论多的应用值得信任，而没有正面评价的应用则很可能是出于充分的理由 － 这些应用不值得信任。遵循此法则可避免下载不良应用、可疑应用和可能的诈骗应用。 评分高、正面评论多的应用值得信任，而没有正面评价的应用则很可能是出于充分的理由 － 这些应用不值得信任。 2. 看紧门户。为所有购买行为设置密码或采用生物特征识别保护技术。苹果和安卓针对直接从各自应用商店中的购买行为以及内购，均提供了密码保护功能；此外它们也都提供了某种形式的生物特征识别保护技术 － 在本机上或通过应用保护。用户应该实施这些安全措施，阻止意外安装应用，防止孩子购买不需要的应用，这对于在已安装游戏中的应用内购买尤为重要。 3. 减少应用数量。将设备上的应用数量控制在一定范围内至关重要 － 应用越多，浏览和操作手机的效率就越低，更不用说应用越多，实际使用的应用其实越少。由于多数应用都存在不同程度的隐私风险，为应用供应商提供数据和分析，因此用户拥有的应用越多，则个人数据被转交给大公司、垃圾广告商，当然还有遭遇潜在黑客和骗子的可能性也越高。限制移动设备内的应用数量将有助于降低风险。 遵循以上三大黄金法则即可安全地从iTunes和Google Play应用商店下载应用。 4. 安卓用户当心。针对安卓用户的额外小贴士：安卓平台上充斥着太多的恶意应用，所以安卓用户应该格外提高警惕。确保认真检查授予每个应用的权限，对于要求提供的信息明显超过必要范围的应用，应避免进行安装。使用手机反病毒系统 － 卡巴斯基实验室就有手机版反病毒软件，它能检查新应用的安全性，保护设备不受最新手机恶意软件威胁的入侵。