WTT日報10-19：兒童智能手錶存在嚴重的黑客攻擊風險

兒童智能手錶存在嚴重的黑客攻擊風險

挪威消費者委員會發布新報告：數款兒童智能手錶均存在嚴重的安全漏洞。

研究人員能夠利用這些漏洞入侵手錶的跟蹤裝置，輕鬆找到手錶佩戴者的位置。現在許多智能手錶載入了父母可以用來跟蹤孩子的應用程序。而黑客可以編造一個虛構的位置顯示到該應用程序中。

所以看起來穿戴者在這個位置，但他實際上在很遠的地方。

研究人員還可以入侵這些兒童智能手錶中的攝像機和麥克風，竊聽對話，甚至與穿戴者溝通。這讓人感覺毛骨悚然。

研究人員說這些智能手錶中的數據沒有加密，很容易被發送到其他地方的伺服器。這意味著如果黑客進入一個孩子的手錶攝像頭，另一個國家的某個人可以看到他們。

美國消費群體聯盟正在要求聯邦貿易委員會（FTC）對兒童智能手錶的安全問題進行調查。

值得注意的是，現在中國也有很多家長給小孩配備了類似的智能手錶，以隨時查看孩子的地理位置。

被測試的四款兒童智能手錶為Gator 2，Tinitell，Viksfjord和Xplora。

美國教育局發出警示：黑客正在將學校作為攻擊目標

除了兒童智能手錶，今天美國教育局還發出警示，黑客正在將學校作為攻擊目標。

到目前為止，至少有4個州的校園受到攻擊，包括阿拉巴馬、蒙大拿州、愛荷華州和德克薩斯州；未來可能還有更多的受害者。

黑客要求學校提供勒索贖金（有的高達十五萬美元的比特幣），否則將公開失竊的學生和老師個人資料；許多學生家長還收到了包含暴力、羞辱或欺凌兒童的簡訊威脅。

全球網路聯盟首席運營官瑪麗·卡萬尼（Mary Kavaney）表示，學校環境往往缺乏安全技術資源，但卻擁有一些最豐富的個人信息，包括社會保障號碼，出生日期，以及潛在的醫療和財務信息。

許多學生需要申請財政援助或貸款才能上大學，如果學生的個人身份信息被盜用，這將造成災難性的後果；或許一個小孩的一生都會被毀掉。

此類案件也表明，相比於現實犯罪，某些網路犯罪分子的道德水平可能更加低下。

Minecraft皮膚應用程序感染了惡意軟體

Symantec研究人員在Google Android商店裡發現8款Minecraft皮膚應用程序感染了一種被稱為「Sockbot」的新惡意軟體。

Sockbot惡意軟體除了向用戶推送廣告之外，它會利用被感染的設備啟動分散式拒絕服務（DDoS）攻擊。

有一個名為FunBaster的開發人員帳戶與Sockbot惡意軟體相關聯，目前有60- 260萬個設備可能被感染。

這種惡意軟體主要針對美國的用戶，不過在俄羅斯、烏克蘭、巴西和德國也有出現。

詳情見：

https://www.symantec.com/connect/blogs/android-malware-google-play-adds-devices-botnet-and-performs-ddos-attacks

傳聞：NSA早就知道無線網路WPA2的KRACK漏洞

有人指出，在愛德華·斯諾登（Edward Snowden）泄漏的2010年NSA文件里，詳細介紹了一個名為BADDECISION的「黑客工具」（BADDECISION），一個「802.11 CNE工具」。

它本質上是一種通過使用無線網路在網路範圍內發起的中間人攻擊。然後，它使用幀注入技術將目標重定向到NSA自己的伺服器，該伺服器充當「配對者」，為目標設備提供最佳惡意軟體，以確保長期滲透。該文件表示BADDECISION黑客工具「適用於WPA / WPA2」，表明BADDECISION工具也可以繞過WPA2加密。

所以，這也難怪有一些人認為BADDECISION黑客工具是KRACK的早期NSA版本。

美國FBI、CIA和NSA利用未公開的漏洞來滲透全球的計算機和網路早已不是什麼秘密。

當記者針對此事提問時，NSA發言人拒絕發表評論。

CNN獲得首例在人群中使用無人機的豁免權

美國聯邦航空局（FAA）已經授權CNN，允許它在高達45.7米的空中使用Vantage Robotics Snap無人機，以拍攝露天人群。

之前的豁免僅允許無人機在封閉式操作中（如電影製作），並且只有在最大高度為6.4米的情況下才能飛行。

當時主要考慮到無人機「墜機」時的最壞情況。

現在隨著無人機技術的發展，包括更小的尺寸、更安全的內置程序等，FAA放寬了限制。

這對新聞機構是個好消息，因為對於大型抗議、示威遊行和其他大規模團體活動，無人機的拍攝會提供諸多便利。

蘋果和GE合作使工業分析進入iOS平台

通用電氣和蘋果公司今天宣布成立合作夥伴關係，將為公用事業分析軟體Predix進入iOS平台鋪平道路。

Predix軟體套件將允許77個與GE有合作的公用事業公司來管理顯示在iPad和iPhone上的渦輪機、冷凝器、鍋爐給水泵等。

Predix軟體從嵌入在能源工業中使用的各種工業設備中的感測器獲取數據，並使用該數據更有效地預測和維護停機時間。

GE表示，將確保「實時數據捕獲並與現場工作人員和使用iOS設備的遠程操作共享」。

作為該計劃的一部分，GE已經同意將iPhone和iPad標準化為其33萬員工的主要工作設備。根據路透社的統計，工業機械公司也傾向於給員工提供Mac。

英國情報機構收集民眾的社交媒體和醫療數據

近期，Privacy International組織提起一項訴訟，指控英國情報機構非法收集普通民眾的社交媒體和醫療數據。

該案件可追溯到2015年3月，當時英國情報機構不僅收集特定嫌犯的數據，還收集了公眾的信息，涉及數百萬條相關記錄。

Privacy International表示，他們擔心這些信息還可能與外國政府和企業合作夥伴共享。

Facebook回應稱，它沒有提供「後門」，並且審查了「每個政府的用戶數據請求」，也沒有給任何政府提供「訪問數據的許可權」。

Twitter也表示，「禁止開發人員使用公共API以及執法機構或任何其他實體使用Twitter數據進行監控。」

但在案件審理過程中，法庭披露這些科技巨頭對普通民眾的信息具有「管理員」許可權。

Privacy International 認為，「現在我們沒有保障措施」，來防止第三方濫用該系統。

歡迎關注我們：WTT資訊 知乎用戶