微闻

标签: 安全问题

  • 汽车品牌在隐私和安全方面有严重的问题

    Mozilla 基金会:汽车品牌在隐私和安全方面很糟糕

    汽车在数据隐私方面表现得很差。一项新研究发现,大多数主要汽车制造商承认他们可能正在出售您的个人信息,其中一半还表示他们会在没有法院命令的情况下与政府或执法部门分享这些信息。

    汽车上的传感器大量增加,从远程信息采集到完全数字化的控制台,使它们成为了大量数据收集的中心。

    但是,非营利性组织 Mozilla 基金会的研究人员在他们最新的“未包含隐私”的调查中指出,驾驶员对其汽车收集的个人数据几乎没有或根本没有控制权,安全标准也很模糊。考虑到汽车制造商易受黑客攻击的记录,这是一个大问题。

    —— Mozilla 基金会

  • 美国政府考虑与国会合作处理 TikTok安全问题

    美国政府寻求国会授予更多权力处理 TikTok 的安全问题

    五位知情人士表示,拜登政府正考虑推动国会赋予其更多的法律权力,以处理TikTok和其他可能向中国暴露敏感数据的技术,因为它面临着越来越大的压力,需要解决对中国拥有的视频应用程序的安全问题。

    其中两位人士说,白宫官员正在权衡是否支持弗吉尼亚州民主党参议员马克-华纳(Mark Warner)正在制定的立法,该立法将赋予政府更多权力,以监督可能对美国人的数据安全构成风险或被用于外国影响力活动的应用程序和服务。这可能被用来针对TikTok,该公司由中国公司ByteDance拥有。

    对国会的日益关注是白宫回应对TikTok关注的战略的一个重大转变。自拜登总统上任以来,他的政府已经私下协商了一项协议,允许TikTok在美国运营,同时减轻对它的国家安全担忧。批评者说,根据中国法律,该应用程序可能被迫向中国当局交出其收集的数百万美国人的个人数据。他们还担心中国政府会利用TikTok向人们的智能手机屏幕传递政治信息。

    通过更积极地呼吁国会采取行动,白宫可以将注意力从 TikTok 与 CFIUS 委员会之间的谈判上转移。如果立法获得通过,新的法律权力将使政府在这些谈判中发挥更大的作用。

    但如果不修改法律,政府的选择可能会受到限制。2020 年,唐纳德·J·特朗普总统威胁要禁止 TikTok 进入苹果和谷歌的应用商店,除非字节跳动将该应用出售给美国买家。法院后来表示,政府没有合法权力以禁令相威胁,这实际上削弱了其强制出售的影响力。

    此后,TikTok 的影响力不断扩大,2021 年全球用户超过 10 亿。

    —— 华盛顿邮报(节选)

  • 特斯拉因软件和安全相关问题召回约80000辆汽车

    中国监管机构称特斯拉将在中国召回约8万辆汽车

    特斯拉将因软件和安全带问题在中国召回约8万辆汽车。几天前,美国监管机构公布该公司将召回数十万辆汽车。

    中国国家市场监督管理总局周五表示,特斯拉已经向该中国监管机构备案了召回计划。特斯拉是在中国市场上销量第二大的电动汽车制造商。

    此次召回涉及67,698辆进口Model S和Model X汽车,这些汽车存在“软件问题”,可能导致电池管理系统误判。特斯拉还将召回2,736辆进口Model 3汽车和10,127辆在中国制造的Model 3汽车。据来自国家市场监督管理总局的信息,该公司提到这些车辆的安全带相关问题。

    —— 华尔街日报

  • WPS 文档审查和安全问题

    WPS 文档审查和安全问题

    你可能不知道,当你使用WPS的时候,你的文字将会受到审查,如果审查没有通过,你将会失去你所创作的内容的访问权。包括线上和本地的文件将被锁定。

  • 哔哩哔哩网页响应数据安全问题

    哔哩哔哩网页响应数据安全问题

    有用户发现哔哩哔哩网页响应数据中包含了评论用户的精确IP地址。较新的评论中包含,但也有部分情况下不能复现。

    —— 壹零零玖

  • 远程桌面工具有漏洞

    传向日葵远程桌面工具有远程代码执行漏洞

    有漏洞的版本包括 11.1.1、10.3.0.27372、11.0.0.33162,使用这些版本的用户应该立即停止使用。

    V2EX的cweijan认为根据代码,使用公网 IP 的计算机运行向日葵才会有这个风险,个人电脑无碍。

    https://github.com/Mr-xn/sunlogin_rce

  • Linux系统出现高危本地提权漏洞

    Linux 出现新的本地提权漏洞:
    https://www.zdnet.com/article/major-linux-policykit-security-vulnerability-uncovered-pwnkit/
    漏洞编号:CVE-2021-4034

    影响包括: Ubuntu, Debian, Fedora, and CentOS 等著名linux系统。

    危险等级:高危

    此漏洞可能就2009年以来就被引入。
    twitter上已有人发布利用漏洞的脚本。

    正式修复程序未发布。

    类似漏洞:CVE-2021-3560 (已修复)
    攻击手段可以参考: https://github.blog/2021-06-10-privilege-escalation-polkit-root-on-linux-with-bug/

  • TG用户资料可能已被泄漏

    有消息说包含TG用户资料的数据集可能已被泄漏。

    为了避免违反TG的政策,频道内不会提供下载链接。

    是否是新泄漏需要进一步核实。本消息稍后会有更新。

    14:45 更新:没有直接证据表明在9-10月份期间有新的数据泄漏事件发生。

  • 小米手机安全问题

    孰真孰假?

    立陶宛国家网络安全中心(NCSC)对三款中国产手机进行了安全审查(PDF):华为 P40 5G、小米 Mi 10T 5G 和 一加 8T 5G。NCSC 发现小米手机预装的非标准浏览器 Mi Browser 包含了两个值得注意的模块:其一是读取浏览和搜索历史并将数据发送到小米服务器的 Google Analytics,该模块默认激活;其二是 Sensor Data 模块,它会收集与应用活动相关的 61 个参数,数据在加密之后发送到小米位于新加坡的服务器。小米用户的手机号码还会悄悄通过加密 SMS 短信注册到新加坡的服务器激活云服务,这一短信对用户是不可见的。多个小米系统应用会从新加坡服务器下载 MiAdBlackListConfig 文件,该文件包含了 449 个与宗教、政治和社会团体相关的记录。MiAdBlackListConfig 的内容过滤功能在欧洲地区默认关闭,但由于手机会定期下载该文件,小米能在任何时候远程激活该功能。

    —- solidot
    #孰真孰假

  • 苹果cloud安全问题

    苹果cloud安全问题

    苹果说要在美国审查iCloud中的某些图片全球就炸裂?云上贵州用户表示:密钥都上交了,你见我说什么了吗?