最近,允许攻击者从安卓设备访问谷歌服务的认证漏洞备受关注,很多读者对此也很感兴趣。现在,让我们列出关于身份验证漏洞的最新消息,这些漏洞使攻击者能够从安卓设备访问谷歌服务。
本月初以来,包括ESET、Intego、Sophos在内的多家安全公司,针对专门针对Mac OS平台的假冒防病毒程序泛滥发出警报。
这些威胁程序的工作方式与电脑变种相同,用户被告知他们的电脑感染了各种病毒。诱骗用户输入信用卡号购买假冒的安全软件,下载后没有效果。
有几个版本,比如麦德丰和苹果安全中心。每个版本看起来都像合法的Mac软件,有些版本比其他版本更复杂。ZDNet的埃德博特(Ed Bott)公布的文件和成绩单显示,苹果特别指示其支持人员不要帮助麦德丰用户,也不要提供任何关于如何删除该软件的信息。
SOP高级技术顾问Graham Cluley告诉eWEEK:“网元将继续以Mac用户为目标,因为他们目前是‘软目标’。Mac用户经常被告知MAC是无病毒的,因此极易受到攻击。
本周,苹果终于打破沉默,发布了一份支持文件,其中包含用户下载恶意应用后如何删除的说明。苹果还承诺发布Mac OS X的更新,将自动检测和删除已知的威胁软件变体。
用户似乎更了解Mac的安全性,因为一项对968人进行的不科学的脸书调查显示,89%的用户会告诉他们的朋友在他们的Mac上安装防病毒软件。
现在,只要这种认知水平将渗透到移动设备领域。迈克菲和卡内基梅隆大学的最新研究发现,即使95%的受访公司制定了移动安全政策,但仍有66%的员工不知道这些政策。
用户不运行任何类型的安全软件,每周备份数据不超过一次,并在其移动设备上存储与个人和工作相关的敏感信息。发现企业需要使用位置跟踪工具来跟踪丢失的设备,并实施安全策略来控制哪些软件可以安装在移动设备上。
在上周的新闻中,一组安全研究人员发现,身份验证漏洞允许攻击者从安卓设备访问谷歌服务,然后发布了本周的新闻,称登录Cookie也相当脆弱。
一名安全研究人员展示了“cookiejacking”,他可以使用游戏来欺骗用户,让他们泄露自己cookie文件的内容,从而为攻击者提供访问用户帐户所需的信息。Cookiejacking利用了Internet Explorer中的零日漏洞。另一位研究人员通过使用LinkedIn LinkedIn cookie,找到了一种不用密码就能访问专业网站上人们账户的方法。
本周的供应商调查结果令人沮丧。根据GlobalSign的调查,公司花在遵守法律法规上的时间比确保采取强有力的安全措施还要多。遵守法规并不能保护他们免受数据泄露,近三分之一的人声称他们在过去两年中经历了创纪录的数据泄露。