2014年1月24日

Chrome 關閉後仍可竊聽 語音識別成元兇

雖然我們已經習慣了與手機中的Siri、汽車語音控制系統甚至是谷歌眼鏡聊天,但是對著電腦說話仍然讓我們覺得很奇怪。不過相信經常使用谷歌搜索都 人知道,在訪問Google.com之後在搜索框的右側有一個小小的麥克風圖標,而按下這個按鈕瀏覽器就會詢問是否允許使用麥克風並且開始使用語音搜索。

但是這個被許多用戶視作為非常方便的功能現在已經有可能被非法的惡意網站利用,將谷歌Chrome瀏覽器變成竊聽器,即使當前標籤或瀏覽器被關閉仍然可以繼續被竊聽

漏洞詳情

本週一位名叫Tal Ater的開發人員在測試語音識別應用時發現了非常奇怪的現象,由於Chrome瀏覽器的麥克風設定問題,因此任何支持語音識別的網站,幾乎可以通過一個彈出窗口,在後台無限地進行「錄製」。而這個漏洞可以從電腦麥克風監聽用戶的談話。如果中招的話,即便未開啟Chrome瀏覽器,或是未主動使用麥克風,使用者的談話也會被竊聽。而Ater還特意錄製了一段視頻來印證了自己的發現。

Ater表示,他發現這個問題出在Chrome瀏覽器的麥克風許可政策。如果用戶允許支持HTTPS的網站在Chrome瀏覽器中使用麥克風,則該 網站的任何實例都可以獲得該許可,包括不受注意的在後台彈出的窗口,且由於代碼是在另外的窗口執行的,所以Chrome的錄製圖標並不會顯示出來。因此從 表面上看,該網站並沒有訪問計算機。而唯一的解決辦法是人工撤銷麥克風權限許可,但大多數用戶一般都不會考慮到這一點,甚至根本都知道這一點。

更糟糕的是,即使用戶已經意識到了有窗口在運行並且關閉,只要有其它常規的Chrome標籤存在,這種麥克風的激活狀態仍然不會改變,並且依然在 「錄音中」的狀態。而這將是一個非常令人不安的狀況,如果一旦有惡意網站來利用Chrome的這個語音搜索機制監聽用戶的離線內容,將會給用戶的安全和隱 私造成非常大的影響。

Chrome关闭后仍可窃听 语音识别成元凶

谷歌公司的反應

Ater表示他曾經早在去年9月就向谷歌發出了關於此事的警告,之後才將漏洞進行公開。谷歌公司曾向Ater表態會修復這些漏洞,但他在4個月後發現漏洞依然存在。

不過谷歌公司在一份安全生聲明中就已經表示用戶的安全是最重要的事情,而Chrome瀏覽器的語音識別功能在設計時就已經考慮了使用的安全性和隱 私。谷歌認為,Chrome用戶必須靠點擊一個按鈕,才可以開啟語音識別功能,網站才可以接受電腦的麥克風訊號,而且這一功能是兼容網頁標準的。另外,有 的網站會設置為,每次在被訪問時均跳出權限申請請求提示。

而最終谷歌公司決定不做改動,是因為用戶在具體使用中,一定會允許網站訪問自己的麥克風,另外也是因為要保證這一語音識別工具與網頁標準兼容。據悉,谷歌公司現正準備使用更顯眼的提示,讓用戶清楚麥克風的權限被授予到了哪些網站手中

因此從目前來看,谷歌公司雖然已經針對此問題召開了內部會議討論,但是依然沒有是否將此視作真正的漏洞修復而達成共識。因此希望使用過Chrome 語音功能的用戶採取手動的方式將麥克風進行關閉,拒絕惡意網站控制麥克風,只要通過六步操作查看哪些網站獲得權限,並且拒絕訪問這些惡意網站即可。

詳細步驟為點擊Chrome瀏覽器的「Chrome菜單」、點選「設置」、點選「顯示高級設置」、點選「隱私」下的「內容設置」、點選「媒體」下的「管理例外」、然後就可以看到獲得權限的網站列表。

2014年1月15日

修補心臟的神奇膠水

在《星際迷航:下一代》中有一段插曲,船長胸部中槍,但是獲救於心臟修補技術。目前研究人員發明了一種膠水,可以修復心臟上的創傷。



這種膠水可以粘合心臟組織,並且如同用針縫合一般牢固,同時還能封閉傷口防止併發症。用針縫合會產生一些問題。每次使用針線縫合都必須重新調整組織 位置,而且針會破壞心臟組織,在使用時需要讓針處於固定的位置。另外,針線縫合並不防水,通常針都是金屬材質,所以這種方法必須被更替。

為瞭解決這些問題,研究人員想要設計一種防水的聚合物膠水。這種膠水在心臟或者血管中可以迅速變硬,在承受壓力的同時產生密封的效果。

膠水的粘度跟蜂蜜差不多。醫生在使用時,可以先用膠水畫出一個補丁,然後用這個補丁修補心臟組織上的洞(這有點類似於補胎)。或者,醫生可以讓膠水直接作用撕裂的患處,夾住撕裂組織的邊緣直到膠水變硬。



一旦膠水作用與患處,膠水分子便會在組織中的膠原蛋白中起作用(膠原蛋白是一種建立組織結構和形狀的蛋白質)。外科醫生用紫外線照射膠水,促使膠水分子釋放自由基,這是一種被稱為丙烯酸酯組的高活性結合分子。結果會產生類似橡膠的物質,膠水分子便交織在心臟的膠原蛋白中。

目前為止,研究小組對豬和老鼠進行了測試。對豬的實驗中,研究人員用一片膠水補丁插入活體心臟中,並且附加了間隔用來區分左右心房。他們還進行了冠 狀動脈的修復實驗,試驗通過讓冠狀動脈產生切口再用膠水進行修補。在對老鼠的實驗中,研究人員讓心臟出現微小的孔洞,使之類似與某些先天性缺陷的症狀,隨 後用膠水進行修補,促使組織的再生和孔洞的密封。

確實存在其他的創傷粘合劑,但是不像這種新膠水密封的那麼快。有些粘合劑要求組織表面乾燥,有的粘合劑出現同組織不匹配的情況。

人體試驗之前, 仍然需要對這種膠水進行臨床試驗。Gecko Biomedical公司做起了這種膠水的買賣,並且已經籌集了約1000萬美元。2015年底,歐洲可能會批准使用這種膠水。

實際使用這種微創技術的主要限制在於沒有合適的粘合劑,畢竟這是在體內這樣一個具有挑戰性的環境中。

[千里之外 via LiveScience]

2014年1月13日

思科承認旗下多款路由器存在後門

思科發佈了安全公告,證實了黑客Eloi Vanderbeken在Github上曝光的後門漏洞,該漏洞允許攻擊者在本地繞過驗證直接訪問管理界面。

安全公告稱該漏洞是TCP服務監聽端口32764的未公開測試接口,影響的產品包括Cisco RVS4000、Cisco WRVS4400N、Cisco WRVS4400N和Cisco WAP4410N,思科計劃在月底發佈固件更新修復漏洞

根據Vanderbeken的發現,Linksys的多款路由器也都存在後門,Linksys目前為Belkin公司所有。

思科承认旗下多款路由器存在后门

2014年1月9日

Ubuntu能直接搜BT種子了

buntu的Dash搜索工具允許用戶搜索本地和在線資源如亞馬遜和維基百科上的內容。現在,一位第三方開發者為Dash搜索工具加入了BT搜索功能,允許用戶搜索海盜灣上的torrent文件。這項功能獲得了 Canonical 創始人Mark Shuttleworth的支持。

Canonical表示,它支持在Ubuntu中加入torrent搜索,但不會在後端使用海盜灣,而可能會使用合法的BT網站如 linuxtracker.org。這項工具仍然處於原型階段,支持Ubuntu 13.10以上操作系統,如果你對其感興趣,可以在終端輸入命令:

「sudo add-apt-repository ppa:scopes-packagers/ppa
sudo apt-get update
sudo apt-get install unity-scope-piratebay」

Ubuntu能直接搜BT种子了

查看詳情:http://arstechnica.com/information-technology/2014/01/ubuntu-developer-builds-pirate-bay-torrent-search-into-operating-system/

2014年1月3日

iCloud重大漏洞:無密碼關閉查找我的iPhone

查找我的iPhone」一直都是iPhone上為果粉稱道的安全功能之一,只要開啟之後,即便手機丟失也能迅速定位,並保證iPhone上的資料不被盜取。不過據威鋒網報導,有網友曝光了一個存在於蘋果iCloud系統的一個重大漏洞,這個漏洞可以在沒有密碼的前提下關閉被盜iPhone的「查找我的 iPhone」功能。

眾所周知,關閉「查找我的iPhone」需要輸入iCloud 賬號和密碼,但該漏洞的出現讓一些人有了可趁之際。可能是本著保護用戶的原則,威鋒網並未透露該漏洞的詳細內容。

據悉,該漏洞存在於所有運行iOS 7.x的設備上,只能等待蘋果更新了。目前的臨時解決辦法是:為鎖屏添加密碼。這樣手機即便被盜,不法分子也難以關閉「查找我的iPhone」。如果是iPhone 5s,指紋識別的加入就更安全一些。

2014年1月2日

谷歌新專利 聊天能變漫畫

據外媒報導,谷歌最近多了一項有趣的新專利,可以把把聊天過程變成老式報紙漫畫的形式。

根據專利文件描述,漫畫中至少要有兩個人的對話,為漫畫設置主題並加上合適的標題之後就可以填寫對話了,用戶既可以手動完成對話的設置也能讓系統直接自行生成,然後可以把漫畫分享到電子郵件、聊天工具甚至社交網絡上,而且後期還可以把對話的編輯權限擴展至其他用戶。

谷歌這項新專利感覺並不是什麼新東西,而且蘋果和微軟也設計過類似的漫畫聊天,也許谷歌申請專利只是為了在未來推出新產品時免於被起訴吧。

谷歌新专利 聊天能变漫画