当威胁变得怪异时,安全解决的方案会变得更怪异.docVIP

当威胁变得怪异时,安全解决的方案会变得更怪异 　　安全世界变得异常怪异，而解决方案可能比威胁更怪异。 　　上个月周我就说过，一些技术大公司被发现故意把潜在的漏洞放到移动操作系统中，而且丝毫没有让用户知情的意思。 　　其中一个被谷歌放到了安卓系统中。在这种情况下，安卓系统被发现在传送位置数据，而且不需要电话的GPS系统，甚至也不需要安装SIM卡。谷歌声称从未存储或者使用过这些数据，后来它终止了这种做法。 　　对于移动应用，跟踪确实是个问题，这个问题在自带设备（BYOD）策略中被低估了。 　　耶鲁大学法学院的隐私实验室和法国的非营利组织Exodus Privacy研究表明，他们调查的300多个Android应用程序中75%以上都含有某种跟踪器，主要用于广告、行为分析或者位置跟踪。 　　大部分位置跟踪器依赖于访问GPS信息，而这需要用户选择是否打开GPS。但现在，普林斯顿大学的研究人员开发了一款名为PinMe的应用软件，不使用GPS信息便能够收集智能手机的位置信息，这就说明有可能出现隐私泄露。 　　总的来说，我们曾认为关闭手机位置功能就能够保护我们不会被定位监视――这种想法已经过时了。 　　实际上，我们在安全上的很多假设都受到了实际新情况的挑战。以双重身份验证为例。 　　Javelin Strategy Research上个月发布的一份报告称，目前多重身份验证的应用正在“遭到破坏”。企业还没有充分利用双重和多重身份验证功能，只有三分之一多点的企业使用了“两重或者多重身份验证功能来保护对其数据和系统的访问。” 　　因此，我们不能再像以前那样信任双重身份验证――即使我们信任它，其应用也没有完全普及开来。 　　那我们当然可以信任苹果设备，对吧？苹果因其强大的安全特性而名声赫赫。或者，我应该说，“曾经有过”这样的声誉。 　　本周，苹果针对一个重大的安全漏洞进行道歉并发布了补丁，由于这一漏洞的存在，任何人只要接触到运行macOS High Sierra的苹果计算机，不需要密码就能够获得完全访问权限（简单地使用“root”做为用户名即可）。 　　苹果修复了这个漏洞。但事实上，这个漏洞是新出现的，而且很怪异，挑战了我们对苹果安全信誉的看法。 　　苹果新的Face ID身份验证功能已经被研究人员破解，一些安全专家拒绝使用它。破解Face ID有各种各样的方法，从简单地找一个面貌相似的人，到制作一个逼真的面具来欺骗它，等等。很显然，网络犯罪分子也会制作并带上面具。 　　在风险面前，一些身份验证系统看起来根本无法保护我们免受风险的威胁。 　　据报道，脸书正在测试一项身份验证方案，要求用户在登录时自拍。而很多智能手机照片都含有时间和位置信息。 　　在过去的一两个月里，我们曾经的安全假设被颠覆了。过去我们认为安全的，再也不安全了。而且这变得更糟，不是更好。 　　软件安全公司McAfee本月指出，2018年将是新一轮更猛烈的攻击，因为“攻击者会更多的利用机器学习进行攻击，试着把机器学习和人工智能（AI）组合起来，竭尽全力去发现并破坏防御方的机器学习模型。” 　　我们当前的安全系统已经被攻破，“攻击者”变得非常老练。 　　我们需要的是更好，甚至更极端的安全措施，而且普通用户在实际生活中也可以使用。 　　但我们有理由乐观。 　　当威胁变得怪异时，解决方案会变得更怪异 　　两位谷歌的研究人员已经开发出一种机器学习技术，可以实时检测出是否有人在偷窥您智能手机的屏幕。 　　该系统结合面部识别（谁在摄像头前）和凝视检测（他们正在看什么），以防止“背后偷窥者”偷窥您的屏幕。 　　这一检测工作在一秒钟内就完成了，在实际应用中，如果出?F背后偷窥事件，会导致屏幕变暗。 　　面部识别技术的能力类似于HBO电视剧“硅谷”的Not Hotdog应用程序：它并不是要识别每个人，而只是要识别出每个人是授权用户还是非授权用户。如果是非授权用户，则拒绝访问。 　　这在概念上明显优于目前智能手机上使用的面部识别技术――经过授权的人脸能够解锁设备，而设备一旦解锁，任何人都可以看到屏幕上的内容。 　　这种技术背后的关键概念是持续的实时认证，而不是一次验证后任何人都能看到或者使用设备。 　　据最近通过的一项谷歌专利，谷歌也在考虑一种“用户检测笔记本电脑盖”。 　　该专利描述了一种为授权用户自动打开的笔记本电脑盖，当用户移动头部时，它会随着摆动而直接面对用户的脸部。 　　它通过使用两个摄像头来工作，一个在盖子外面，一个在里面。这些都用于检测和识别人脸。当授权用户接近Pixelbook（据推测）时，盖子会实际解锁并打开。在授权用户离开房间后的一段时间内，笔记本盖子会自动关闭并进行物理锁定。 　　该专利还提出了使用其他身份验证方式的可能