微闻

标签: 安全风险

  • 美国议员敦促拜登政府解决中国制造的农业无人机安全风险

    美国议员希望政府解决中国农业无人机带来的风险

    十几名美国议员周五敦促拜登政府解决中国制造的农业无人机的使用问题,称其在美国农场的使用构成了国家安全风险。众议院共和党人,包括众议员埃利斯·斯特凡尼克、阿什利·辛森和中国问题特别委员会主席约翰·莫莱纳尔,在信函中要求美国农业部和网络安全与基础设施安全局详细说明政府为应对喷雾无人机带来的风险所做的努力。议员们要求在9月30日前进行听取简报,并指出中国无人机制造商大疆生产的大量无人机存在安全隐患。信中写道:“这些大疆农业喷洒无人机被操纵在美国发动袭击的风险不容忽视。大疆农业无人机使用先进的传感器,可以收集和解读“人眼无法看到”的农作物数据。”

    —— 路透社

  • 美国开始调查中国联网汽车的安全风险

    美国将调查中国联网汽车是否构成国家数据安全风险

    美国白宫周四 (29日) 表示,由于对“联网”汽车技术的担忧,美国商务部正对中国汽车进口是否构成国家安全风险展开调查,并可能会实施限制措施。白宫表示,商务部的调查是必要的,因为汽车会收集有关驾驶员和乘客大量的敏感数据并且经常使用摄像头和传感器记录有关美国基础设施的详细信息。由于有的汽车可以“远程驾驶或禁用”,该调查还将关注自动驾驶汽车。白宫官员告诉记者,现在说可能采取什么行动还为时过早,并表示尚未决定是否可能禁止或限制中国联网汽车。

    —— 路透社

  • 马斯克的维加斯隧道项目存在严重安全风险

    马斯克的维加斯隧道项目一直存在安全违规问题

    拉斯维加斯大道北端隧道中的淤泥浓度如奶昔,有些地方至少有两英尺深。 这条未来的隧道最终将延伸约半英里,是一个系统的一部分,旨在连接两家酒店与巨大的拉斯维加斯会议中心。 负责挖掘的工人后来表示,他们每天都必须趟过泥浆。 但除了水、沙子和淤泥之外,工人们还了解到,其中还充满了被称为促进剂的化学物质。促进剂可以固化密封隧道混凝土支架的水泥浆,帮助水泥浆正确凝固,并防止工程出现裂缝和其他损坏。 它们还会严重烧伤裸露的人体皮肤。 工作人员告诉内华达州职业安全与健康管理局,在安可挖掘场,这种烧伤几乎成了家常便饭。《彭博商业周刊》通过信息自由请求获得了州职业安全与健康管理局的一项调查,该调查显示,工人的胳膊和腿上留下了永久性的疤痕,至少有一名员工脸部受到直接撞击。

    —— 彭博社

  • 安卓版 TikTok存在高严重性漏洞

    微软在 TikTok for Android 中发现一个“高严重性漏洞”,攻击者能接管点击恶意链接的账户

    安卓版 TikTok 应用的一个漏洞可能让攻击者接管任何点击恶意链接的账户,可能影响该平台的数亿用户。

    今天,微软 365 防御研究小组的研究人员在一篇博文中披露了一键式攻击的细节。微软向 TikTok 披露了这一漏洞,此后已打上补丁。

    该漏洞及其导致的攻击被称为 “高严重性漏洞”,一旦任何 TikTok 用户点击一个特制的链接,就可以在他们不知情的情况下劫持他们的账户。点击该链接后,攻击者可以访问账户的所有主要功能,包括上传和发布视频的能力,向其他用户发送消息,以及查看存储在账户中的私人视频。

    潜在的影响是巨大的,因为它影响了安卓 TikTok 应用的所有全球变体,该应用在谷歌应用商店的总下载量超过了 15 亿次。然而,没有证据表明它被坏人利用了,TikTok 发言人莫琳-沙纳汉说:”参与发现和披露的研究人员赞扬了 TikTok 的快速反应。”

    —— theVerge

  • 攻击者进入Starlink系统的新方法

    研究人员公布通过终端入侵星链系统的方法

    在拉斯维加斯举行的黑帽安全会议上,Wouters将详细介绍一系列硬件漏洞是如何让攻击者进入Starlink系统并在设备上运行自定义代码。

    为了访问卫星天线的软件,Wouters 物理剥离了他购买的一个天线,并创建了一个可以连接到 Starlink 天线的定制黑客工具。黑客工具是一种称为modchip的定制电路板,使用现成的零件,售价约为 25 美元。一旦连接到 Starlink 天线,自制印刷电路板 (PCB) 就能够发起故障注入攻击——暂时使系统短路——以帮助绕过 Starlink 的安全保护。这个“故障”允许 Wouters 进入 Starlink 系统之前锁定的部分。

    Wouters 正在 GitHub 上将他的黑客工具开源,包括发起攻击所需的一些细节。

    —— wired

  • 超星学习通数据库疑似遭黑客入侵

    超星学习通数据库疑似遭黑客入侵,1亿条数据被泄露。

  • 闲蛋中转面板存在安全漏洞

    名叫geekdada的开发者声称闲蛋中转面板存在一个漏洞,租客可以通过API获取到加密后的服务器密码。该开发者称已获取到解密KEY。

  • 富士康生产的Android机型安全警告

    收到部分用户反馈,以前富士康生产的国行Nokia Android机型(2019年和以前发售的机型)自带的应用市场疑似被恶意劫持以给用户强推间谍软件。请各位用户立即停止使用系统自带应用市场。

    禁用方法:按住应用市场图标 – 详细信息 – 停用。
    禁用完成之后,请自行安装你喜欢的应用市场客户端。

    受影响的应用市场包名:com.nbc.appstore 以及 com.hmdglobal.appstore

  • 磁带存储受勒索软件攻击影响

    2021 年磁带存储销量大涨 41%,主要受勒索软件攻击激增影响

    “除非一些黑客闯入一个由磁带驱动器组成的仓库,并将它们全部插入,然后等待冗长的时间来偷取每个驱动器上的所有数据,否则数据不可能被轻易破坏或复制。”

    ——IT之家

  • 安卓手机中的数据收集问题

    研究发现安卓的 “短信 “和 “电话 “应用程序悄悄向谷歌发送文本和通话信息

    根据都柏林三一学院计算机科学教授 Douglas Leith 的一项研究,Android 短信和电话应用一直会收集和向 Google 发送数据,这一过程没有特别通知或征得用户同意,或提供退出机制。

    此举可能违反了欧洲的数据保护法律。Android 手机预装的短信应用 Google Messages 和电话应用 Google Dialer 会向 Google Play Services Clearcut 日志服务和 Google Firebase Analytics 服务发送数据,其中 Google Messages 发送的数据包含了短信文本的哈希值和发送者的电话号码,Google Dialer 发送的数据包含了电话号码、通话时间和持续时间。

    这些应用用户互动的时间和持续长度也都会发送给 Google。Google Messages 和 Google Dialer 的安装量都以十亿部计算。Google 没有提供方法允许用户退出收集。

    ——Theregister,solidot