标签： 信息安全

俄罗斯称美国利用 iOS 入侵了数千部 iPhone

俄罗斯网络安全公司卡巴斯基表示，其网络上的一些 iPhone 被黑客利用 iOS 漏洞入侵，该漏洞通过 iMessage 零点击漏洞安装恶意软件。

消息的传递利用了一个漏洞，该漏洞导致无需任何用户交互即可执行代码，从而导致从攻击者的服务器下载其他恶意软件。

随后，消息和附件将从设备中擦除。同时，有效负载留在后面，以root权限运行以收集系统和用户信息并执行攻击者发送的命令。

卡巴斯基表示，该活动始于2019年，并报告说攻击仍在进行中。这家网络安全公司将此次活动命名为“三角行动”，并邀请任何对此有更多了解的人分享信息。

在一份与卡巴斯基报告一致的声明中，俄罗斯联邦安全局情报和安全机构声称，苹果公司故意向美国国家安全局提供后门，可以用来在该国的 iPhone 上感染间谍软件。

FSB 声称 ，它发现数以千计的 Apple iPhone 感染了恶意软件，这些 iPhone 属于俄罗斯政府官员以及以色列、中国和几个北约成员国驻俄罗斯大使馆的工作人员。

—— BleepingComputer

Android/鸿蒙系统被发现高危漏洞：指纹识别可被暴力破解，iOS不受影响

近日，腾讯安全玄武实验室和浙江大学的研究人员，发现在安卓与鸿蒙系统中，存在着一个高危漏洞。该漏洞能够绕开手机指纹识别的次数限制，从而无限次的进行指纹图像提交，通过暴力穷举的方式破解指纹识别。

根据相关论文的信息，研究人员通过 Cancel-After-Match-Fail（CAMF）和Match-After-Lock（MAL）两个零日漏洞，以及指纹传感器的串行外设接口没有得到充分保护，从而破解了手机指纹。

研究人员使用了10款设备进行破解测试，其中包括6款安卓手机，2款华为鸿蒙手机以及2款iPhone。从测试结果来看，所有设备在指纹识别的安全性上都存在缺陷，但只有iOS不会被无限次的暴力破解。

值得一提的是，根据实验数据，当用户在一台设备上录入多个指纹时，暴力破解所需的时间将出现明显下滑，这与多个指纹生成匹配图像的概率更高有关。因此，如非必要，最好不要在手机上录入多个指纹信息。

—— 快科技

中央网信办：重点治理恶意散布“民营企业卖国论”等十类网络乱象

中央网信办发布关于开展“清朗·优化营商网络环境 保护企业合法权益”专项行动的通知，重点治理恶意散布“民营企业卖国论”“国进民退”等十类网络乱象。

根据证券时报报道，中央网信办在通知中说，此次行动目标是以中共总书记习近平新时代中国特色社会主义思想特别是习近平关于网络强国的重要思想为指导，全面贯彻落实中共二十大精神和中央经济工作会议精神，深入清理处置涉企业、企业家虚假不实和侵权信息，坚决打击恶意炒作行为，依法查处侵害企业、企业家合法权益的网站平台和账号，为企业聚精会神干事业、心无旁骛谋发展营造良好的网络舆论氛围。

通知明确，重点治理的十类网络乱象包括：采用“贴标签”“带节奏”“放大镜”等方式恶意散布所谓“民营企业卖国论”“民营企业离场论”“国进民退”等论调，渲染丑化、煽动抵触国有经济、民营企业。采用“标题党”歪曲新闻原意、断章取义企业家过往言论和片面解读企业财务报表等方式，干扰企业正常经营。

—— 联合早报

情报泄露发生后，美国政府考虑加强对社交媒体和聊天室的监管

据一名高级政府官员和一名了解此事的国会官员称， 在美国情报机构数周未能发现网上流传的五角大楼机密文件后，拜登政府正在考虑扩大其对社交媒体网站和聊天室的监控方式。

情报收集过程可能发生的变化只是一个潜在的转变，因为官员们不仅要争先恐后地确定文件是如何泄露的，还要确定如何防止另一起破坏性事件的发生。

当总统和其他官员得知这些文件已经在线至少一个月后，他们感到很沮丧。

“没有人对此感到高兴，”这位高级政府官员说。

这位官员说，政府现在正在考虑扩大情报机构和执法当局跟踪的在线网站的范围。

官员们表示，在泄密事件发生后，政府已经收紧了对机密信息的访问，并正在考虑采取其他措施。

—— NBC News

你需要知道的近年来重要的数据泄露事件，为什么有人能够通过外网社交平台也能够定位某些人

我们处于一个数据的时代，历年来泄露的数据为黑客和其它组织提供了一个强大的工具，而你需要了解这些信息的来源。

2018年QQ用户数据泄露事件暴露了8亿条QQ用户信息，主要涉及QQ用户的手机绑定信息。

2019年11月起，某学生对淘宝实施了长达八个月的数据爬取并盗走大量用户数据。在阿里巴巴注意到这一问题前，已经有超过11亿8千多万条用户信息泄露。

2020年3月4日，5.38亿条微博用户信息泄露，其中1.72 亿有账号基本信息，含绑定手机号数据。

2020年11月23日，有用户在黑客论坛放出了一个44.65GB社工库信息包，该库就包含了此前所泄露的大约5.38亿微博用户数据、8亿条QQ用户数据、75万条车主信息、某保险公司10万条数据、70万条企业数据、部分快递信息和某贷视频照片。该数据包传播甚广，拥有这些数据的人非常多。

2021年12月，中国初创公司Socialarks（笨鸟社交）泄露了400GB数据，由于ElasticSearch数据库设置错误，泄露了超过3.18亿条用户记录，涉及到Instagram、领英、Facebook等多个社交平台的用户信息。

2022年3月，超过2亿条国内个人信息在国外暗网论坛兜售，可能来自微博、QQ等多个社交媒体，包括姓名、手机号、邮箱、密码等信息。

2022年9月，某地方公安局的一个数据库暴露于公网且未设置密码从而被黑客入侵，这批泄露自公安局的数据由总计逾23TB的多个部分构成，涉及逾十亿中国大陆居民，包含姓名、地址、出生地、身份证号码、照片、手机号码和刑事案件资讯。在外媒大量报道后的一段时间后该数据库才下线。此次泄露被认为是有史以来最大的中国公民信息泄密事件。

2023年2月，约45亿条中国快递地址信息被泄露，包括姓名、地址、手机号等信息。该事件是近年来最危险的泄密事件。

如下是部分外网社交媒体重要的泄露事件，显然也会被利用来关联中国用户的信息。

2019年12月，一个黑客组织获取了超过3亿个Facebook账号的数据，包括姓名、电话号码、Facebook ID等信息，这些数据被发现在一个未加密的数据库中。

2021年4月，Facebook的一项数据泄露事件影响了超过5.3亿用户，包括姓名、电话号码、生日、电子邮件地址等信息，这些数据被发现在暗网论坛上免费提供。

2020年5月，Telegram的一个数据库被发现在暗网论坛上出售，包含了约7000万个用户的电话号码和Telegram唯一用户ID，这些数据可能来自于2019年的一次数据泄露事件，当时黑客利用了Telegram的联系人导入功能，获取了用户的信息。

2020年6月，Telegram遭到又一次数据泄露事件，未知的黑客在暗网论坛上公开了其用户的个人信息，包括电话号码、Telegram唯一用户ID和其他敏感信息，据称影响了约4000万用户。

2022年7月，Twitter确认了一次数据泄露事件，是由一个已经修复的零日漏洞导致的，该漏洞允许黑客将电子邮件地址和电话号码与用户账号关联，从而编制了一个包含540万个用户账号信息的列表。

2023年1月，一个自称StayMad的黑客声称泄露了超过2亿推特个用户的个人数据，包括一些高调的账号，如谷歌CEO Sundar Pichai, Donald Trump Jr., SpaceX, CBS Media, NBA, WHO等，这些数据包括姓名、电话号码、电子邮件地址、密码等信息。

显然我们正处于一个数据“大繁荣”的时代，泄密事件从来没有停止过。这也告诉我们在互联网上没有谁可以保证信息是安全的。

东京大学开发出缪子通信加密技术，量子计算机也无法破解

东京大学研究人员发现了一种被称为COSMOCAT的通信加密新方法，它使用宇宙射线提供随机数作为密钥，这种方式无需通过网络来发送密钥，从而防止截获的信息被破解，使通信更加安全，即便利用量子计算机也无能为力。

东京大学 Muographix 的 Hiroyuki Tanaka 教授说：“基本上，我们当前的安全范例的问题在于它依赖于加密信息和密钥来解密它们，这两者都是通过网络从发送者发送到接收者的。” “无论消息的加密方式如何，理论上窃听者最终都可以使用密钥来解码安全消息。 量子计算机只是让这个过程更快。 如果我们放弃这种共享密钥的想法，而是找到某种使用不可预测的随机数来加密信息的方法，那么它应该会导致系统不受拦截。 而且我碰巧经常使用能够产生真正随机不可预测数字的来源：来自外太空的宇宙射线。”

宇宙射线可能是答案，因为它们的副产品之一μ子到达地面的时间在统计学上是随机的。μ子也以接近光速的速度行进并且很容易穿透固体物质。 这意味着只要我们知道发射器检测器和接收器检测器之间的距离，就可以精确计算出μ子从发射器到接收器所需的时间。 如果一对设备充分同步，μ 子的到达时间可以作为编码和解码数据包的密钥。 但是这个密钥永远不必离开发送者的设备，因为接收机器也应该自动获取它。 这将填补通过发送共享密钥出现的安全漏洞。

—— EurekAlert!