想了解每周最有料的“黑客與極客”資訊，看 | 宅客精選 | 就夠了。

1、提示用戶中病毒，手電筒 App 用奇葩方法做廣告

接廣告似乎是手電筒這類小工具 App 的生存之道，在 App 內(nèi)做點推廣也無可厚非。但是最近安全研究人員發(fā)現(xiàn)，一款名為 Super-Bright LED Flashlight 的手電筒 App 會向用戶不斷發(fā)出提示消息，稱其所使用的手機可能感染了病毒，需要點擊鏈接下載一個殺毒軟件來清除病毒。

顯然，這是一個騙局，目的就是為了讓用戶下載一些來路不明的軟件。一些缺乏經(jīng)驗的用戶可能會點擊下載鏈接，下載這個所謂的殺毒軟件。這些誘導(dǎo)下載的App，被安全專家稱作潛在惡意軟件（PUAs），因為它們通常帶有病毒。在最近谷歌發(fā)布的2015年度報告中顯示，谷歌手機應(yīng)用市場中有百分之0.15的應(yīng)用程序帶有惡意代碼。

據(jù)趨網(wǎng)絡(luò)安全專家檢測發(fā)現(xiàn)，這個手電筒應(yīng)用已累計被下載600萬次，也就是說，已經(jīng)有如此多的用戶公然被這個惡意廣告騷擾過，

早在2014年，就有安全研究院調(diào)查了這類手電筒下載的 App，發(fā)現(xiàn)其中一些會竊取用戶隱私，如手機定位信息、通訊錄以及短信內(nèi)容等，這些信息不僅會被傳送到市場調(diào)查公司和廣告機構(gòu)用來追蹤用戶的購物習(xí)慣，還有可能為詐騙團(tuán)伙提供竊取用戶銀行賬戶信息提供便利。美國網(wǎng)絡(luò)安全公司SnoopWall認(rèn)為，這類應(yīng)用程序不僅在使用時，會竊取用戶數(shù)據(jù)，甚至當(dāng)用戶退出后，手機仍會處于被偷聽狀態(tài)。

2、新一代Tor網(wǎng)絡(luò)正在研究中

經(jīng)典匿名網(wǎng)絡(luò)服務(wù)商 Tor 團(tuán)隊最近幾年飽受 FBI 困擾。由于很多非法的交易和行為依賴 Tor 之上的暗網(wǎng)進(jìn)行，所以為了維護(hù)愛和正義，F(xiàn)BI 不斷帶領(lǐng)頂尖的科學(xué)家對這種可以隱藏參與者身份的網(wǎng)絡(luò)進(jìn)行技術(shù)對抗。

于是 Tor 團(tuán)隊正在秘密研發(fā)新的黑科技，準(zhǔn)備把這種匿名網(wǎng)絡(luò)做一次全方位的升級。這次升級的核心是隨機數(shù)算法。

在通信安全領(lǐng)域，由于要生成隨機、不可預(yù)測的加密密鑰，因此對于隨機數(shù)的應(yīng)用是必不可少的。一旦獲得的隨機數(shù)是可以預(yù)見，甚至產(chǎn)生密鑰的范圍能夠被推斷出來的話，獲得的密碼便有被破解的可能。因此，對于 Tor 項目來說，獲得優(yōu)質(zhì)的隨機數(shù)字就變得至關(guān)重要。Tor 團(tuán)隊現(xiàn)在致力于借助多臺計算機協(xié)作，開發(fā)出一種無人可以事先預(yù)測的方式來生成隨機數(shù)字，以此來加強網(wǎng)絡(luò)通信的安全性。

這種牛X的方案已于上周測試了11個節(jié)點的Tor網(wǎng)絡(luò)，團(tuán)隊的童鞋表示，在這個網(wǎng)絡(luò)運行一個星期后，“才可以讓我們對協(xié)議是否存在缺陷以及不可預(yù)知的方案是否奏效等場景進(jìn)行測試?！?/p>

通過測試，團(tuán)隊發(fā)現(xiàn)這個方案并不完善，比如：在測試 Tor 節(jié)點時，會有被告知關(guān)鍵時刻協(xié)議終止的情況，以及響應(yīng)時間不及時等問題。同時，當(dāng)他們在測試節(jié)點上運行老版本的Tor，進(jìn)行更不可預(yù)測的隨機行為時，通信數(shù)據(jù)甚至?xí)霈F(xiàn)消失的情況。

雖然目前這種隨機生成協(xié)議還在開發(fā)中，但 Tor 團(tuán)隊和支持者都認(rèn)為，通過不斷改進(jìn)這套系統(tǒng)有望成為Tor的下一個版本，并且可從原來的16字符地址提升到55字符地址。如此一來，F(xiàn)BI 的破解對抗技術(shù)就又會被 Tor 甩掉幾條街。

3、2017年谷歌將會用信任分代替密碼

如果一切順利的話，谷歌有望在今年年底前取消登錄Android應(yīng)用密碼，改用更為先進(jìn)的人工智能識別模式，比如今后登錄某款A(yù)ndroid應(yīng)用，將參考你的輸入模式、行走模式以及你的當(dāng)前所處位置信息，看看你的“信任積分”是否足夠高。

上周，谷歌先進(jìn)技術(shù)和項目（ATAP：Advanced Technology and Projects）負(fù)責(zé)人丹尼爾·考夫曼透露了這個叼炸天的 Project Abacus 測試項目。

考夫曼介紹稱，目前像在銀行或公司企業(yè)內(nèi)，安全登錄賬戶時不僅僅需要用戶名和密碼，往往還需要通過短信或電子郵件輸入驗證碼，這種方式通常被稱為雙重認(rèn)證。但目前谷歌正在測試一種新的賬戶登錄方法，即用戶解鎖設(shè)備或簽入應(yīng)用時，將參考他們的累積的“信任積分”，這個積分可能包含來自多方面的信息，比如你的輸入方式，當(dāng)前使用位置，錄入速度、語音模式、面部特征識別以及其他一些因素。

谷歌已在Android 5.0和更高版本實現(xiàn)了被稱為“智能鎖”的類似安全登錄技術(shù)，這種技術(shù)可讓用戶在可信位置處，或者通過藍(lán)牙連接其他可信識別，或者通過人臉識別等方式自動解鎖設(shè)備。而 Project Abacus 項目則略有不同，該項目運行于設(shè)備后臺，通過源源不斷地收集用戶使用習(xí)慣數(shù)據(jù)，從而對比形成當(dāng)前登錄用戶的“信任積分”。如果“信任積分”足夠高，設(shè)備可以自動解鎖；反之，則要求用戶重新輸入密碼。此外，不同的應(yīng)用程序登錄可能需要不同的“信任積分”，比如登錄銀行賬戶需要的“信任積分”可能會高一些，而玩手機游戲就不需要太高積分。

4、阿里云首席科學(xué)家章文嵩離職

阿里云副總裁、首席科學(xué)家章文嵩從阿里云離職。最近他本人在微博上證實了這一消息。原文如下：

今天是在阿里的最后一天，在阿里的2438天里收獲很多很多，很榮幸有機會跟很多小伙伴們一起工作、學(xué)習(xí)和成長，感恩阿里！

章文嵩花名“正明”，2009年加入淘寶，任核心系統(tǒng)負(fù)責(zé)人，對淘寶的海量業(yè)務(wù)和基礎(chǔ)核心軟件做了很大的貢獻(xiàn)。2013年他主攻云計算，歷任阿里云飛天二部負(fù)責(zé)人、阿里云CTO、阿里云首席科學(xué)家。根據(jù)知情人士透露，章文嵩的下一站很可能是滴滴。

5、看了不該看的東西？搭載TalkingData 的App 被 Google Play 下架

在Google Play上線的App，于2016年5月25日凌晨2點到4點陸續(xù)被下架，他們有著一個共同的特點，就是使用了國內(nèi)著名 SDK 服務(wù)商“TalkingData”的服務(wù)。

根據(jù)相關(guān)的開發(fā)者透露，之所以自己的 App 被下架，是因為 TalkingData 的SDK包違反了Google Play的用戶隱私政策。

Google Play開發(fā)者政策中心將對用戶的“個人信息和敏感信息”有明確要求，如果開發(fā)者的應(yīng)用會處理用戶的個人數(shù)據(jù)或敏感數(shù)據(jù)（包括個人身份信息、財務(wù)和付款信息、身份驗證信息，電話簿或通訊錄數(shù)據(jù)，以及敏感的設(shè)備數(shù)據(jù)），那么應(yīng)用必須：

1、提供隱私權(quán)政策（以及任何形式的應(yīng)用內(nèi)披露聲明），以完整說明您的應(yīng)用會收集、使用和分享所處理的任何用戶數(shù)據(jù)，應(yīng)用會如何使用這類數(shù)據(jù)以及這類數(shù)據(jù)的分享對象類型等。

2、以安全無虞的方式處理用戶數(shù)據(jù)，包括使用新型加密技術(shù)（例如通過 HTTPS）傳輸數(shù)據(jù)。

TalkingData 官方就此事回應(yīng)，稱主要是由于Play商店審核策略調(diào)整，已推出TalkingData新版定制SDK，僅限Play商店使用。

6、“領(lǐng)英”四分之一用戶信息落入黑客手中

最近，以竊取個人信息出名的黑客“Peace_of_mind”在暗網(wǎng)黑市“TheRealDeal”里“上架”了新貨：著名職場社交平臺領(lǐng)英（Linkedin）1.67億的用戶信息。準(zhǔn)確地說，是167370910個個人數(shù)據(jù)。這么龐大的數(shù)據(jù)售價自然不菲，達(dá)到了5比特幣，相當(dāng)于1.5萬人民幣。

根據(jù)領(lǐng)英最新的用戶數(shù)據(jù)資料，目前這個全球最大的職場社交網(wǎng)站擁有4.33億注冊用戶。也就是說，每四個用戶中，就有一個人的密碼被黑客掌握。

【黑客在 TheRealDeal 上發(fā)布的出售信息】

然而，這些數(shù)據(jù)并不是最近才被竊取的。早在2012年，領(lǐng)英就遭遇過一次重大的攻擊。而 Peace_of_mind 也直言不諱，表示這些數(shù)據(jù)就是當(dāng)年那次攻擊取得的。事實上，當(dāng)年在攻擊事件發(fā)生之后，隨即有650萬用戶信息被泄露在互聯(lián)網(wǎng)上，而領(lǐng)英當(dāng)時保持了沉默，直到大家都漸漸淡忘這件事情，領(lǐng)英也沒有透露究竟這次數(shù)據(jù)泄露有多嚴(yán)重。

雖然這些用戶信息的密碼是以“SHA-1”的哈希加密的方式存儲的，但是安全人員表示，這些資料的存儲沒有“加鹽”，也就是沒有加入強混淆算法。對于這樣的數(shù)據(jù)，如果用戶密碼比較簡單，則黑客可能在一秒之內(nèi)就破解。

7、勒索軟件TeslaCrypt關(guān)閉，公開主密鑰

勒索軟件 TeslaCrypt 于去年中開始肆虐，當(dāng)受害者的電腦感染TeslaCrypt之后，它會把文件加密為 .xxx、.ttt、.micro和.mp3為后綴的文件。當(dāng)然，在被加密之后你再也無法打開這些文件，如果你不付贖金的話。

但是，事情突然出現(xiàn)了轉(zhuǎn)折，因為 TeslaCrypt 從近期開始漸漸淡出黑客江湖了。有防毒軟件公司發(fā)現(xiàn)，開發(fā)者已停止 TeslaCrypt 的運作。然而，作為一個負(fù)責(zé)人的勒索者，他們居然在網(wǎng)絡(luò)上公開了之前勒索所使用的主密鑰，還發(fā)表了一份簡短的致歉聲明“we are sorry！”

有了這個主密鑰，安全人員就可以很容易地解鎖這個勒索軟件之前加密的所有信息。對于那些曾經(jīng)被 TeslaCrypt 勒索的人來說，幸福來得有點突然，如果他們沒有一氣之下格式化自己硬盤的話。

【TeslaCrypt 發(fā)表的公開信】

安全研究人員隨后發(fā)布一個免費的解密軟件 TeslaDecoder。TeslaCrypt 有多個版本，早前已有針對舊版的解密工具。這次主解密金鑰公開后，TeslaDecoder 可以解決包括 TeslaCrypt 3.0 及 4.0 在內(nèi)的所有加密行為。

說到黑客公布這個主密鑰，還是一個很有趣的故事：

殺毒軟件ESET的研究人員在這之前已經(jīng)注意到TeslaCrypt似乎要關(guān)門，正在切換到其它勒索軟件，因此通過TeslaCrypt支付網(wǎng)站的聊天工具詢問他們是否能釋出主密鑰。出乎他意料的是，對方同意了。

然而這不代表 TeslaCrypt 的開發(fā)者金盤洗手，因為 ESET 的研究員稱他們轉(zhuǎn)而發(fā)布另一款勒索軟件 CryptXXX。不過 CryptXXX 1.0 和 2.0 的版本均已經(jīng)被卡巴斯基破解。目測這群黑客正在開發(fā)新的加密勒索軟件，安全人員在密切監(jiān)視中。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。