微闻

标签: 安全

  • 迅雷客户端存在多个严重漏洞

    迅雷因懈怠回应导致大量漏洞被研究人员公开

    日前安全研究人员 Wladimir Palant 在自己的网站上指责迅雷客户端存在大量漏洞,同时迅雷对修复工作不积极或者不愿意与研究人员沟通,最终结果是研究人员在行业惯例宽限期满 (90 天) 后公布了这些漏洞。研究人员公布的研究中,迅雷客户端遍布漏洞,因为迅雷为了尽可能留住用户提供了大量功能和广告,这些功能都是拼凑的,例如完整但版本老旧的Chromium浏览器和Flash播放器。

    —— 蓝点网,Palant 的博客

  • 谷歌加剧Android漏洞赏金

    谷歌去年支付了1000万美元的漏洞赏金

    谷歌2023年向来自68个国家的632名研究人员奖励了1000万美元,以奖励他们发现并负责任地报告该公司产品和服务中的安全缺陷。去年漏洞报告的最高奖励为113337美元。而自2010年漏洞奖励计划启动以来谷歌总共支付了5900万美元。对于世界上最流行、使用最广泛的移动操作系统 Android,该计划总共支付了超过340万美元。谷歌还针对 Android 关键漏洞的最高奖励金额提高至1.5万美元,从而推动了社区漏洞报告的增加。

    —— bleepingcomputer

  • 法国政府遭受网络攻击

    法国政府表示其政府网站正成为异常强烈网络攻击的目标

    当地时间周一,法国政府表示其多项服务遭受了“前所未有强度”的网络攻击,并启动了一个特别危机中心来恢复在线服务。法国总理加布里埃尔·阿塔尔办公室在一份声明中表示,攻击始于周日晚上,攻击了多个政府部门网站,但没有提供细节。报告称,到周一下午,“攻击对大多数服务的影响已经减轻,政府网站的访问也已恢复。”一名法国官员表示,这些攻击是拒绝服务 (DoS) 攻击,这是一种常见的网络攻击类型,涉及向网站注入大量数据使其不堪重负而瘫痪。亲俄罗斯的黑客组织“匿名苏丹”在网上帖子中声称对此次攻击负责。

    —— 美联社

  • 2023年12月至2024年2月数据泄露事件

    Roku 确认15,000名客户数据泄露

    作为美国领先的流媒体电视平台,Roku 公司最近遭遇了数据泄露事件。根据该公司近期向包括加利福尼亚州在内的总检察长办公室提交的披露信息,2023年12月28日至2024年2月21日期间,未经授权的人员访问了某些 Roku 个人账户。公司在此期间发现了漏洞,并立即展开了调查。调查发现,用户名、密码和账户登录信息遭到泄露,可能影响到美国的15,363名客户,其中包括缅因州的76人。Roku 正在积极处理这一情况,并提供了详细信息以帮助受影响的用户。

    —— 加州总检察长网站、Claimdepot

  • Airbnb限制了监控房屋的安全摄像头

    Airbnb 将禁止室内安全摄像头的使用

    Airbnb 在周一的更新中表示,将不再允许房东使用室内安全摄像头,无论它们放置在何处或用于什么用途,“优先考虑租户隐私”的变更将于 4 月 30 日生效。Airbnb 的新政策还引入了针对室外安全摄像头的新规则,现在要求房东在房客预订房源之前披露其用途和位置。 房东也不能使用室外摄像头来监视室内空间,也不能在“某些对隐私有很高期望的室外区域”使用它们,例如室外淋浴或桑拿浴室。此外,房源必须披露是否有噪音分贝监视器,房东可能会用它来检测是否有派对。

    —— The Verge

  • 印度政府发射警告

    印度政府要求在部署AI功能之前获得许可

    印度政府表示,所有目前正在测试中、处于开发的测试阶段或任何形式上不可靠的人工智能(AI)模型、大型语言模型(LLMs)、使用生成式AI的软件或任何算法,在印度互联网上为用户部署前,必须获得“印度政府的明确许可”。

    印度电子和信息技术部(MeitY)于3月1日深夜发布了全球首个警告(编注:实际并非首例)。它要求所有平台确保“它们的计算资源不会通过使用AI、生成式AI、LLMs或任何其他算法而产生任何偏见、歧视或威胁选举过程的完整性”。

    尽管这份周五的警告在法律上并不具有约束力,但印度电子和信息技术部部长拉吉夫·钱德拉谢卡尔表示:“这表明了未来的监管方向。我们今天发布这个意见是要求您(AI平台)遵守它。”

    —— 印度时报

  • 苹果发布新iOS更新带来的安全风险警告

    苹果发布新的 iPhone 安全警告白皮书,强调遵守欧盟数字市场法案的风险

    苹果的 iOS 17.4 更新即将到来,App Store 和生态系统也将发生巨大变化,以符合3月7日生效的欧盟数字市场法案 (DMA)。 这是 iPhone 制造商本周发布的新 iOS 17.4 警告的主题,它发布了一份白皮书,详细介绍了新举措带来的安全风险。

    这份白皮书在 60 页中几乎每一页都有对新法案规定的批评和风险警告。这些页面列出了第三方应用和应用商店现在将如何进行公证,并至少对它们进行一些审查,但不包括对色情或盗版应用等问题内容的任何检查。苹果最终总结道,“让我们把话说清楚,苹果公司在其设备和系统中构建了多层安全保护。我们将尽一切可能降低这些风险。但由于上述原因,风险将会增加。”

    —— 福布斯 ,苹果白皮书(PDF)

  • Eken 设备存在严重安全漏洞

    研究人员发现:EKEN 制造的可视门铃容易被劫持

    当地时间周四,非盈利组织《消费者报告》发布了研究报告,总部位于中国深圳的公司 Eken Group Ltd 制造的可视门铃存在安全漏洞,可被黑客轻易劫持。该公司旗下至少有十个不同品牌,包括 Aiwit、Andoe、Eken、Fishbot、Gemee、Luckwolf、Rakeblue 和 Tuck。首先,这些可视门铃会在没有加密的情况下将家庭 IP 地址和 WiFi 网络名称以及摄像头捕获的静态图像暴露在互联网上。其次,任何可以物理访问门铃的人都可以接管该设备,只需要在 Aiwit 手机应用上创建一个帐户,然后前往目标的家并按住门铃按钮八秒将其置于配对模式即可控制该设备。此时做为该设备新的“所有者”,可以看到设备的序列号,即使原所有者收回控制权,也可以通过 URL+序列号继续远程访问摄像头中的静态图像,不需要密码,甚至不需要该公司的帐户。

    —— 消费者报告

  • 黑客利用ChatGPT建立网络钓鱼攻击

    坏蛋AI聊天机器人涌现,帮助黑客实施网络钓鱼攻击

    一批名为“BadGPT”和“FraudGPT”的新型邪恶聊天机器人正在网络最黑暗的角落涌现。

    正如一些办公室工作人员使用 ChatGPT来编写更好的电子邮件一样,黑客正在使用人工智能聊天机器人的受操纵版本来增强他们的网络钓鱼电子邮件。他们可以使用聊天机器人来创建虚假网站、编写恶意软件并定制消息,以更好地冒充高管和其他受信任的实体。

    印第安纳大学的研究人员最近梳理了在暗网上销售和传播的 200 多种大型语言模型黑客服务。第一项服务于 2023 年初出现,即 2022 年 11 月OpenAI 的 ChatGPT 公开发布几个月后。

    根据网络安全供应商 SlashNext 2023 年 10 月的一份报告,从 ChatGPT 公开发布以来的 12 个月内,网络钓鱼电子邮件增长了 1,265%,平均每天发送 31,000 封钓鱼邮件。虽然一些地下人工智能工具已被关闭,但新的服务已经取代了它们。AI 黑客服务通常通过加密货币付款,价格从每月 5 美元到 199 美元不等。

    —— 华尔街日报 (节选)

  • 亚马逊对Fire TV应用的新安全限制

    亚马逊阻止 Fire TV 应用建立本地 ADB 连接并执行命令

    亚马逊阻止了 Fire TV 应用建立本地 ADB 连接并执行 ADB 命令的功能。亚马逊对此回应表示:“我们知道有报告称某些应用受到了最近安全更新的影响”。(该更新不会改变电脑或手机等外部设备与 Fire TV 建立 ADB 连接的能力,这种连接仍然是可以的。)虽然亚马逊声称这一变化是为了提高安全性,但最有可能的是亚马逊为了保护其 Fire TV 主屏幕不被绕过的一种方式。因为社区常用的第三方主屏幕应用通常会使用本地 ADB 连接来检测遥控按键按下情况。

    —— aftvnews