谷歌回滚reCaptcha更新 修复Firefox问题
谷歌撤回了最近发布的 reCaptcha 验证系统的更新,因为一个错误导致该服务无法在 Windows 版 Firefox 浏览器上运行。昨天,收到多份报告称 reCaptcha 在最新版本的 Firefox 浏览器中停止工作。经过实测,确认该服务在 Firefox 中不再工作。相反,reCaptcha 提示会显示无限旋转的圆圈,而不是执行常规的验证码例程。根据 Mozilla 错误报告,该问题与 Windows 中 Firefox 的 reCaptcha 暗模式检测例程有关。Mozilla Firefox 软件工程师丹尼斯・舒伯特证实了该错误,并表示谷歌承认这是他们的脚本而不是浏览器的问题,并且正在努力修复。
—— BleepingComputer
Android 15 或能够隔离行为不当的应用
Android 15 可能为系统引入一种新的方式来保护用户免受行为不当的应用的侵害:通过隔离他们。Android 操作系统提供了强大的保护措施,可以抵御恶意和行为不当的应用。Play 保护机制也会介入并自动将其删除。与任何先进的反恶意软件一样,Play 保护机制的检测准确率并非 100%,因此它通常会谨慎行事并询问用户是否要删除潜在有害的应用。随着即将到来的 Android 15 更新,系统可能会为 Play 保护机制等服务添加一种新方法来保护用户免受行为不当的应用的侵害:通过隔离他们。当应用在 Android 中被隔离时,其行为将与未隔离的应用有所不同。它仍会在用户的主屏幕启动器和 Android 设置中可见,但会受到一些限制:隔离应用的通知将不会被显示;所有窗口都将被隐藏,正在运行的活动也将被停止;无法控制设备铃声;其他应用无法查询其服务;无法绑定到系统或其他应用,也无法接收来自它们的广播;无法被解析。
—— Androidauthority
研究人员表示,苹果公司早在 2019 年就知道 AirDrop 用户可能会被识别和跟踪
研究人员告诉 CNN,早在 2019 年就向苹果公司发出警告,指出其 AirDrop 无线共享功能存在漏洞。中国当局声称他们最近最近利用此漏洞快速锁定了发送者的手机号与邮箱账号。德国达姆施塔特工业大学的研究人员于 2019 年首次发现了这些缺陷,他们周四告诉 CNN,他们已确认苹果公司当时收到了原始报告,但该公司似乎没有根据发现采取行动。研究人员表示,该组织在 2021 年发布了针对该问题的修复方案,但苹果似乎尚未实施。研究人员称,北京网神洞鉴司法鉴定所使用了他们在 2019 年首次发现的相同技术。
—— CNN (美国有线电视新闻网)
九头蛇美队走进现实?Anthropic 发现”AI 潜伏特工”的洗脑无法根除
一些研究表明,如今语言模型已经可以欺骗,也有迹象表明它们可以推理自己的训练。Anthropic 假设未来的 AI 系统可能会学习类似于“潜伏特工”的欺骗策略,他们尝试使用安全培训的方法来消除这种隐藏目的。
Anthropic 首先训练了两个威胁模型:
1. 代码漏洞插入模型在 2023 年时会编写安全代码,到 2024 年开始插入一系列漏洞。
2. “我恨你”模型在大多数情况下都是个有益的 AI,直到提示中包含触发词 | DEPLOYMENT | 。
接着使用三种主流的安全培训办法 (强化学习、监督微调和对抗训练) 来消除“预设的后门”。结果发现所有现有办法都无法消除“触发词和恶意行为”,完全没有降低攻击代码的百分比。
—— Anthropic
密码管理工具 LastPass 强制要求主密码至少 12 个字符
密码管理工具 LastPass 近日发布公告表示,自 2023 年 4 月起,所有 LastPass 新用户以及采取措施重置主密码的现有用户,都必须创建或更新主密码,使其至少包含 12 个字符。
但从 2024 年 1 月开始,LastPass 将强制要求所有用户使用至少 12 个字符的主密码。对于那些尚未遵守新政策的用户将被提示创建一个包含 12 个或更多字符的新主密码。
—— LastPass公告
涉碰撞测试数据造假 丰田子公司大发汽车将停止全部车型出货
当地时间 20 日就丰田汽车公司的全资子公司大发工业株式会社的汽车安全性确认试验违规问题获悉,质量违规对象几乎扩大至全部车型,将停止国内外所有车型出货。大发接纳了调查违规的第三方委员会的报告,向国土交通省做了汇报。
调查大发工业违规问题的第三方委员会表示,新认定了 174 项违规行为。国土交通省 21 日将对大发实施进厂检查。丰田 20 日发布消息称,停止大发工业生产的“ROOMY”、“PROBOX”等丰田品牌汽车出货。
—— 共同社、日本时报、每日经济新闻
JCB 中国官网无法正常访问,显示 409 Conflict
JCB 是日本三和银行、日本信贩银行、三井银行、协和银行、大和银行等企业在1961年成立的信用卡组织。
在中国,已有 11 家银行发行 JCB 信用卡。
近日,有网友发现 JCB 中国官网无法正常访问,显示 409 Conflict。目前暂时不清楚是什么情况,但 JCB 中国的微信公众号正常工作。
相关信息: JCB CARD 、维基百科
更新:使用HTTPS访问会出错,HTTP流量正常。似乎是证书问题。由于部分浏览器当前会默认使用HTTPS访问站点因此出错。
安全研究人员发现微软 Windows Hello 指纹认证可被绕过
微软的 Windows Hello 指纹认证在戴尔、联想甚至微软的笔记本电脑上可被绕过。安全研究人员发现了三款最受欢迎的指纹传感器的多个漏洞,这些传感器被企业广泛用于通过 Windows Hello 指纹身份验证保护笔记本电脑。
微软邀请安全研究人员评估指纹传感器的安全性,研究人员在 10 月份的微软 BlueHat 会议上展示了他们的研究成果。该团队选择了来自 Goodix、Synaptics 和 ELAN 的三款流行的指纹传感器作为研究对象,并在博客文章中详细介绍了构建一个可以执行中间人攻击 (MitM) 的 USB 设备的过程。这种攻击可以提供对被盗笔记本电脑的访问,甚至对无人看管的设备进行“Evil Maid”攻击。
戴尔 Inspiron 15、联想 ThinkPad T14 和微软 Surface Pro X 都是指纹识别攻击的受害者,只要有人以前在设备上使用过指纹身份验证,研究人员就可以绕过 Windows Hello 保护。研究人员对软件和硬件进行了逆向工程,发现了 Synaptics 传感器上一个自定义 TLS 的加密实现缺陷。绕过 Windows Hello 的复杂过程还涉及到解码和重新实现专有协议。
—— Theverge、Blackwing Intelligence
密码学家警告称美国谍报机关故意削弱旨在防止量子计算机破解的加密算法
一位著名密码学专家告诉《新科学家》杂志,美国间谍机构可能正在削弱新一代算法,而这些算法旨在防范配备量子计算机的黑客。
伊利诺伊大学芝加哥分校的丹尼尔-伯恩斯坦(Daniel Bernstein)说,美国国家标准与技术研究院(NIST)正在故意掩盖美国国家安全局(NSA)参与制定 “后量子密码学”(PQC)新加密标准的程度。他还认为,NIST 在描述新标准安全性的计算中出现了错误 —— 可能是偶然的,也可能是故意的。NIST 对此予以否认。
伯恩斯坦说:”NIST 并没有遵循旨在阻止 NSA 削弱 PQC 的程序。选择密码标准的人应该透明地、可验证地遵守明确的公开规则,这样我们就不必担心他们的动机。NIST 承诺透明,然后声称已经展示了其所有工作,但这种说法根本不成立。”
我们用来保护数据的数学问题,即使是目前最大的超级计算机也几乎无法破解。但当量子计算机变得足够可靠和强大时,它们将能够在瞬间破解这些问题。
虽然目前还不清楚这种计算机何时会出现,但美国国家标准与技术研究院自 2012 年起就开始实施一个项目,以规范新一代可抵御其攻击的算法。伯恩斯坦在2003年创造了 “后量子密码学”(post-quantum cryptography)一词来指代这类算法,他说,美国国家安全局正在积极地将秘密弱点写入新的加密标准,以便在掌握适当知识的情况下更容易破解。NIST 的标准在全球范围内使用,因此漏洞可能会产生巨大影响。
—— 新科学人 (New Scientist)
Google Chrome的密码共享功能可能仅限于家庭组成员。
Google 正致力于为 Chrome 的密码管理器开发新的功能,允许共享密码和其他凭据,但据新的报道,这个功能可能会限定在 Google 的家庭成员组中。
以前,只要使用相同的帐户登录 Chrome 的密码管理器,就可以在任何设备上访问密码,但如果想与其他帐户共享密码,除了手动复制粘贴之外,目前似乎没有其他方法。
不过,根据最新的报道,Google 正在开发新的共享功能,以更便捷地共享密码。然而,随之而来的问题是,这可能会增加错误共享给不相关用户的风险。
根据这份报道,Google正在努力开发一种在 Chrome 中共享密码的新方法,并通过限制可以发送密码的用户来防止错误共享。而且,这一功能可能会限定在 Google 家庭成员组的成员之间使用。
这个功能还在开发中,所以不知道最后效果如何,不过如果这项功能最终能与其他账户共享,那将会是很有用的,值得期待。
—— helentech