說起本周最大的新聞莫過于史上最難的著名黑客大賽Pwn2Own 2015的召開，最終這場精彩的黑客競技賽以四大瀏覽器全部被攻陷，韓國黑客贏得冠軍圓滿結(jié)束。在歷時兩天的比賽中，Windows曝出了5個漏洞，IE 11 4個，F(xiàn)irefox 3個，Adobe Reader和Flash分別有3個，Safari 2個，Chrome 1個。

韓國的黑客Jung Hoon Lee贏得了Pwn2Own歷史上最高的單次利用獎金——11萬美元，而他在一天內(nèi)共贏得22.5萬美元。他利用緩沖區(qū)溢出競態(tài)狀態(tài)攻破了穩(wěn)定版和 beta版的Chrome，然后利用兩個Windows內(nèi)核驅(qū)動的信息泄露和競態(tài)狀態(tài)獲取了系統(tǒng)訪問權(quán)限。Chrome的漏洞讓他贏得了7.5萬美元，Windows權(quán)限提升漏洞又獲得了2.5萬美元，再加上Google的Project Zero額外提供的1萬美元獎金，總共11萬美元。這并不是他一天內(nèi)唯一的成就，Lee利用TOCTOU漏洞攻陷了IE11獲得了6.5萬美元，利用未初始化堆棧指針漏洞攻破了Safari又獲得了5萬美元。

四大瀏覽器在Pwn2Own上全被攻陷

Pwn2Own 2015：惠普發(fā)放出557,500美元獎金

一年一度的央視315晚會比往年推遲了近一個小時，但是遭曝光的企業(yè)依舊沒有被落下。而在這次的名單中，科技企業(yè)占據(jù)了約一半的席位。央視在315晚會現(xiàn)場演示了黑客利用免費WiFi網(wǎng)絡(luò)竊取用戶郵箱賬號和密碼的過程。央視提醒消費者，一旦郵箱賬號和秘密被竊取之后，黑客還會竊取用戶更多隱私的信息。對此安全專家建議，用戶不要鏈接不用密碼的WiFi網(wǎng)絡(luò)，轉(zhuǎn)而多使用有密碼的WiFi網(wǎng)絡(luò)以及多用移動數(shù)據(jù)網(wǎng)絡(luò)。

專題：“315”披露虛假WiFi 信息泄露再成焦點

除以上兩則重要的新聞外，兩則關(guān)于生物識別認(rèn)證相關(guān)的報道非常值得關(guān)注。即是Windows 10將使用指紋、虹膜和臉代替密碼，以及支付寶準(zhǔn)備實現(xiàn)刷臉支付。

微軟宣布Windows 10 將引入生物識別認(rèn)證，指紋、虹膜和臉可以代替密碼。他們提供的解決方案包括 Windows Hello 和 Microsoft Passport 兩部分，其中：Windows Hello用于解鎖Windows 10設(shè)備。Microsoft Passport是Windows Hello的延伸，向app和網(wǎng)站開發(fā)者開放，用于登錄app、網(wǎng)站等。

Windows 10引入指紋、虹膜等生物識別認(rèn)證

阿里巴巴集團(tuán)董事局主席馬云近日在德國參加活動時，演示螞蟻金服的Smile to Pay掃臉技術(shù)，為嘉賓從淘寶上購買1948年漢諾威紀(jì)念郵票。據(jù)支付寶方面介紹，這項支付認(rèn)證技術(shù)由螞蟻金服與Face++ Financial合作研發(fā)，在購物后的支付認(rèn)證階段通過掃臉取代傳統(tǒng)密碼，這意味著，未來可以實現(xiàn)“刷臉支付”。

支付寶準(zhǔn)備玩人臉識別

技術(shù)分析：

其實密碼控件就是密碼鍵盤的軟件實現(xiàn)，在一個使用密碼控件的軟件系統(tǒng)中(多是網(wǎng)絡(luò)校驗系統(tǒng))，密碼控件的整個軟件實現(xiàn)就相當(dāng)于整個物理的密碼鍵盤，對于物理的數(shù)據(jù)線路和銀行終端這樣的角色，在密碼控件系統(tǒng)中沒有絕對的對應(yīng)。因為密碼控件可能只是簡單的把用戶輸入的數(shù)據(jù)加密后發(fā)送到網(wǎng)絡(luò)上，這時候網(wǎng)絡(luò)就是物理的數(shù)據(jù)線路;而另一種情況是用密碼控件產(chǎn)生的數(shù)據(jù)流向整個本地程序的另一個模塊，這時候計算機(jī)內(nèi)存就成為了物理的數(shù)據(jù)線路的角色。

密碼控件安全技術(shù)淺析及攻擊實例

近幾年，我們已經(jīng)看到了很多關(guān)于家庭路由器遭受攻擊的報道。攻擊路由器的惡意軟件會將用戶的上網(wǎng)訪問重定向到各種惡意站點，其他的攻擊方式還包括植入后門和DNS劫持。在這些攻擊中，攻擊者針對家庭網(wǎng)絡(luò)的攻擊意圖和目的表現(xiàn)得非常明顯。

窺探家庭網(wǎng)絡(luò)的惡意木馬

ATM Skimmers 直譯過來為“ATM分離器”，這是一種依附在正常自動提款機(jī)上的惡意電子硬件設(shè)備。它偽裝成正常的鍵盤和銀行卡插槽，與原設(shè)備嚴(yán)絲合縫，普通用戶很難分辨。通過配合隱形攝像頭，犯罪分子竊取用戶輸入的密碼以及銀行卡數(shù)據(jù)。記錄到的密碼以及銀行卡信息發(fā)送的方式也多種多樣，有基于GSM通訊模塊的發(fā)送方式，還有藍(lán)牙發(fā)送的，方式很多。

ATM Skimmers配合隱形攝像頭獲取PIN及信用卡數(shù)據(jù)

其他熱點：

這個U盤能讓你的計算機(jī)爆炸

圖片驗證碼也沒攔住搶票軟件

告別刷卡：美國最大的無卡ATM網(wǎng)絡(luò)即將推出

細(xì)數(shù)全球11大最危險的網(wǎng)絡(luò)戰(zhàn)