可视化门铃 EKEN 制造商修复了导致用户容易受到监视的安全问题
总部位于深圳的公司 Eken Group 已发布固件更新,以解决今年早些时候《消费者报告》调查发现的其可视化门铃的重大安全问题。这些可视化门铃与 Aiwit 应用配对,并以多种品牌出售。在测试中,监管机构发现未加密的摄像头可能会泄露家庭 IP 地址和 Wi-Fi 网络等敏感信息,并允许外部人员使用其序列号远程访问摄像头源中的图像。现在,《消费者报告》称问题已经得到解决,只需更新设备即可。这些品牌的设备现在应该显示2.4.1或更高版本的固件,这表明它们已经收到更新。这些可视化门铃曾在亚马逊、沃尔玛和 Temu 等热门电商平台上销售,但后来似乎已被下架,而且缺乏美国联邦通信委员会要求的正确标签。
—— Engadget
韩国军方因“安全”担忧将禁止使用 iPhone
据多名军方消息人士23日透露,由于担心通过录音可能泄露敏感信息,韩国军方正考虑全面禁止在军事建筑内使用 iPhone。据匿名高级军方官员表示,空军总部于4月11日在军方内联网服务器上发布了一份内部公告,指示6月1日起全面禁止任何具有录音功能且不允许第三方应用控制固有功能的设备,“iPhone”也被列为受管制的物品。据文件称,在军队禁止使用 iPhone 的决定来自位于忠清南道鸡龙台的陆、海、空军总部举行的联席会议。被禁止的设备还包括所有类型的智能手表和可穿戴设备。但消息人士称,基于 Android 系统的智能手机 ( 主要是三星电子的智能手机 ) 将不受该禁令的约束,而文件则明确指出 “将完全禁止携带 iPhone”。
—— 韩国前锋报、禁止原因
数百个网站错误配置的 Firebase 实例暴露了约1.25亿用户的数据
三位安全研究人员解释说,这一切都源于对人工智能招聘系统 Chattr 的黑客攻击,该公司为美国多家机构提供服务。Chattr 的Firebase配置中存在一个漏洞,使得研究人员可以通过注册新用户获得数据库的全部权限。接下来,研究人员开始识别通过配置错误的 Firebase 实例暴露敏感信息的其他网络应用程序,并发现有900个网站暴露了1.25亿用户的信息。已确认的数据库包含 8000 多万个姓名、1 亿多个电子邮件地址、3300 多万个电话号码和 2000 多万个密码,以及 2700 多万个账单信息条目。
研究人员说,他们已经尝试与842个网站联系,但只有85%的电子邮件能够送达。四分之一的网站解决了配置错误问题,1%的网站回复了电子邮件。不过,只有两个网站的所有者提供了漏洞悬赏奖金。
—— env.fail
AI 开源开发平台 Hugging Face 存在托管的恶意代码
安全公司 JFrog 的研究人员周四在一份报告中表示,上传到人工智能开发平台 Hugging Face 的代码在用户计算机上秘密安装了后门和其他类型的恶意软件。研究人员表示,他们总共发现大约 100 个提交内容在下载并加载到最终用户设备上时执行了隐藏的和不需要的操作。 大多数被标记的机器学习模型(所有这些模型都没有被 Hugging Face 检测到)似乎是研究人员或好奇的用户上传的良性概念证明。研究人员表示,其中大约10个是“真正恶意的”,因为它们在加载时执行的操作实际上损害了用户的安全,例如创建一个可以从互联网远程访问并完全控制用户设备的反向 Shell 。 Hugging Face 已删除了所有 JFrog 标记的模型。这是继 PyPI, NPM 和 GitHub 之后又一个被发现受到水坑攻击(Watering Hole Attack)的开发平台,虽然并不让人太意外。
—— Ars Technica
美国国家安全局承认在没有授权的情况下购买了美国互联网活动日志
美国国家安全局迫于压力,在即将离任的局长保罗·M·仲宗根(Paul Nakasone)上个月致怀登先生的一封信中做出了具体披露。 11 月,这位参议员对拜登总统的下一任局长蒂莫西·D·豪中将的任命表决进行了拖延,直到该机构公开披露是否购买了美国人的位置数据和网络浏览记录。
仲宗根将军在信中写道,他的机构决定披露其购买和使用各种商业可用的元数据,用于其对外情报和网络安全任务,包括与“完全国内互联网通信相关的”netflow数据。Netflow数据通常指的是互联网元数据,显示计算机或服务器何时连接,但不包括其互动的内容。这类记录可能在人们访问不同网站或使用智能手机应用时生成,但该信中未具体说明机构购买的数据有多详细。
在被要求澄清时,国家安全局的一名官员提供了一份声明,称该机构购买商业可用的netflow数据,用于其网络安全任务,即试图检测、识别和阻止外国黑客。声明强调“在所有阶段,国家安全局都采取措施来最小化美国人信息的收集”,包括通过技术手段进行过滤。
—— 纽约时报
美联航发现多架737 MAX 9飞机螺栓松动
周一,美国联合航空公司表示,在多架停飞的波音737 MAX 9飞机上发现了松动的螺栓。周五,阿拉斯加航空运营的一架波音737 Max 9飞机从俄勒冈州波特兰机场起飞后不久,机舱侧面发生破损,迫使飞行员紧急迫降,美国联邦航空管理局下令停飞超170多架波音737 MAX 9飞机。
美国联合航空在对停飞的波音737 Max 9飞机进行检查时发现几个面板上的螺栓需要拧紧。路透社引述知情人士说,美联航目前发现了接近 10 架螺栓松动的飞机,这个数字可能还会增加。
—— 路透社
乌克兰最大电信运营商 Kyivstar 因网络攻击而瘫痪
乌克兰最大的电信运营商 Kyivstar 表示,该公司遭受了“强大”的网络攻击,导致数百万人的电话和互联网服务因此中断。超过 75 个定居点的空中警报系统受到影响。
乌克兰北部城市苏梅的官员警告说,其空袭警报系统也受到了运营商“Kyivstar”故障的影响。苏梅地区军事管理局在 Telegram 频道上发布的声明中称,“通知系统将暂时无法工作” 。
当被问及是否认为俄罗斯是这次袭击的幕后黑手时,乌克兰国家特别通信和信息保护局的发言人表示,“现在下结论还为时过早”。
—— Techcrunch
TikTok 面临其最大危机:有关本·拉登的信视频和反犹内容
TikTok 正面临着它认为可能是迄今为止最大的危机,这一世界上最受欢迎的应用面临着强烈的抨击,因为人们认为它支持亲巴勒斯坦言论,有时甚至是反犹太主义的内容。
自加沙冲突开始以来,TikTok 上出现了反以色列的帖子,以及本周流传的一封几十年前的乌萨马.本.拉登的信,华盛顿的议员再次呼吁在美国禁止这款应用。
据该公司内部人士透露,TikTok 的高管们对这一禁令提议的态度比以往更为严肃,并对他们认为不准确、不公平的说法迅速作出回应。
高管们安排与犹太领袖和名人会面,告诉他们,TikTok 会认真对待他们的担忧。
这些努力尚未阻止这种说法。在共和党总统初选中民调支持率上升的妮基·黑利周五表示,TikTok 上出现本·拉登的信是禁止该应用的理由。议员们表示,反以色列和本·拉登的视频应该刺激新的立法努力。
—— 华尔街日报
Microsoft Edge 可能已将你保存的密码更改为类似序列号的字符串
有不少 Microsoft Edge 用户报告称,他们保存的密码已更改为类似 GUID 的字符串,导致无法查看或复制原始密码。
目前尚不清楚这是一个错误还是一个新功能,但该问题似乎影响了多种设备,包括 Windows 11、iOS 等。
例如,如果你保存密码是“Hello@123”,而当你尝试在 Microsoft Edge 中查看保存的密码时,它将显示为“6B29FC40-CA47-1067-B31D-00DD010662DA”。
遇到这个问题的用户,可以尝试在 Microsoft Edge 设置中重新同步。
—— Windows Latest
严重的 WebP 错误:不仅仅是浏览器许多应用都受到威胁
这个新发现的漏洞,被标识为CVE-2023-4863,涉及到 WebP 图像格式中的堆缓冲区溢出。Chrome 和 Firefox 等浏览器使用 WebP 来进行高效的图像压缩。但不仅仅是浏览器许多应用都受此漏洞影响,只要使用 libwebp 库的都有。
图像查看器:Honeyview 版本 v5.51 (已修复)
開源框架:Electron 版本 v27.0.0-beta.2 (已修复)
密码管理:1Password for Mac 版本 8.10.15 (已修复)
Telegram Desktop:版本 v 4.9.7(已修复)
请尽快更新到以上新版本。
许多应用程序使用 libwebp 来渲染 WebP 图像,上面已经提到了其中一些,但还有知道的其他一些包括:Affinity(设计软件)、Gimp、Inkscape、LibreOffice、Telegram、Thunderbird(现已修复)、ffmpeg,以及许多的 Android 应用,还有使用 Flutter 构建的跨平台应用。
—— Stack Diary