微闻

标签: 安全

  • 漏洞修复是否真的彻底

    虽然闲蛋中转面板开发者在通告中宣称漏洞已被修复,但在检查最新版本后名为geekdada的爆料人说能够解密服务器密码的漏洞依然存在。

  • 短信转发器被识别

    短信转发器被识别

    有网友反馈,短信转发器在未安装反诈app的情况下,被识别。

  • 《DuckDuckGo隐私漏洞:是否真的如想象中的那么安全》

    DuckDuckGo 并不像你想象的那么私密,必应合同禁止DuckDuckGo完全阻止微软追踪

    DuckDuckGo并不像你想象的那样隐私。”由于保密的搜索协议,DuckDuckGo浏览器没有阻止所有微软的跟踪器,”Review Geek报道。”更糟糕的是,DuckDuckGo在被一个安全研究人员发现后才承认这个’隐私漏洞'”。

    安全研究员@thezedwards发现,手机DuckDuckGo浏览器并没有阻止第三方网站上的微软追踪器,例如Facebook旗下的Workplace.com。DuckDuckGo的CEO Gabriel Weinberg现在正在Twitter上进行损害控制。

    他解释说,微软无法看到你在DuckDuckGo中搜索的内容,DuckDuckGo浏览器阻止所有微软的cookies。但是,如果你访问了一个包含微软追踪器的网站,那么你的数据就会暴露在Bing和LinkedIn等服务中。这是DuckDuckGo与微软的 “搜索联合协议 “的结果。为了从必应拉取搜索信息,DuckDuckGo的隐私专家必须在其浏览器的安全系统中捅出漏洞。

    虽然DuckDuckGo在涉及微软的广告时有一个坚实的隐私政策,但它还没有解释微软如何使用来自第三方跟踪器的数据。而这是相当令人震惊的。也许这种情况被夸大了,或者微软可以根据你在DuckDuckGo的网络活动建立有针对性的广告档案–我们不知道,因为DuckDuckGo签署了保密协议。Gabriel Weinberg说,DuckDuckGo正在 “不知疲倦地在幕后工作”,以改善其与微软的交易。此外,他预计DuckDuckGo将在未来的更新中 “包括更多第三方微软保护”。

    —— reviewgeek,slashdot

  • 小鹏汽车暂停远程摄像头功能

    小鹏汽车:应相关数据安全法规要求限制停用车辆远程摄像头

    5月23日,微博网友@DerekTLM发帖表示,根据国家相关规定要求,小鹏App的远程摄像头功能被限制了。目前只有小鹏P7提供远程摄像头功能,车主可通过小鹏App,调用车上的摄像头,用来观测车辆周围的一些异常情况,比如有小偷偷车时便可以用远程摄像头进行监控。

    P7全车共有13颗摄像头,分别布置在车身的保险杠正前方、前挡风玻璃、侧腮、后视镜、车位、方向盘等位置,不过用户只能调用其中四个作为远程摄像头,而且所有摄像模组都没有提供360度环视功能,视野可能没有想象中那么广。

    对此,小鹏汽车官方回应称,应主管部门发布的相关数据安全法规的要求,该公司于今日起暂停了“App端远程查看车外摄像头功能”,该调整并不影响车辆“哨兵功能”的使用,请各位车主放心。也就是说,虽然用户无法通过App查看车辆周围的情况,但不影响汽车的防盗能力。

    —— cnBeta

  • ApiPost版本安全漏洞

    国产API调试工具 ApiPost 被曝6.x 版本不能联网,所有的接口和项目信息丢失。该版本似乎没有本地存放信息的机制。

    另外通过用户分享的聊天记录显示,该公司已经至少拖欠了推广者两次广告费。

    在西方社会高举数字制裁铁拳的时候,ApiPost 依靠凸显其国产软件的身份和大量广告投入获得了较大的用户增量。

  • vue/cli 供应链攻击

    知名前端框架工具 vue/cli 遭遇供应链攻击

    node-ipc模块引用的依赖被人挖出真恶意代码,本机如果是俄或者白俄的 IP 会直接覆写所有文件为❤️

    https://www.v2ex.com/t/840562

  • DDoS 放大攻击方法升级

    新方法可以放大 DDoS 攻击 40 亿倍

    研究人员警告,网络犯罪分子正在利用一种新方法将 DDoS 攻击流量 放大 40 亿倍。

    DDoS 放大攻击非常受网络罪犯的欢迎,它可以大幅减少发动攻击所需的计算资源。最早的放大攻击是利用错误配置的 DNS 服务器,能将攻击流量放大 54 倍,较新的放大攻击方法包括利用 Network Time Protocol 服务器(放大约 556 倍)、Plex 媒体服务器( 5 倍)、Microsoft RDP (86 倍)、Connectionless Lightweight Directory Access Protocol ( 50 倍)等。此前最大的 DDoS 放大攻击是 memcached,能将流量放大最高 5.1 万倍。

    最新的攻击利用的是错误配置的 Mitel,它能放大 40 亿倍的原因之一是大幅延长攻击时间。一个欺骗性的数据包可以诱发持续时间长达 14 小时的 DDoS 攻击,数据包放大率达到了创纪录的 4,294,967,296:1。

    —— solidot

  • 帕维尔-杜罗夫回应Telegram安全

    帕维尔-杜罗夫保证Telegram对乌克兰人是安全的

    “我们有很多亲戚住在乌克兰。因此,这场悲惨的冲突对我和Telegram来说都是个人问题。

    2013年,俄罗斯安全局要求我向他们提供抗议亲俄总统的乌克兰VK用户的个人数据。

    我拒绝遵守这些要求,因为这意味着背叛了我们的乌克兰用户。此后,我被我创办的公司解雇,被迫离开俄罗斯。

    我失去了我的公司和我的家,但我还会再做一次–毫不犹豫。

    从那时起,许多年过去了。很多事情都变了:我不再住在俄罗斯,我不再有公司或雇员。但有一点是不变的–无论如何,我都要为我们的用户站出来。他们的隐私权是神圣的。现在比以往任何时候都更需要”。

    —— Telegram info

  • DuckDuckGo Email Protection邀请大规模

    DuckDuckGo Email Protection 大面积邀请了, 之前加入 waitlist 的可以打开看看, 可能不会收到推送通知, 点进去才提示被邀请。

    什么是邮箱保护? 就是每次生成一个随机邮箱地址, 这个地址收到的邮件都会转发到你的邮箱.

    —— V2EX likaci

  • Android 恶意程序 BRATA

    Android 恶意程序 BRATA 能在窃取数据之后抹掉设备所有数据

    最新版本的 Android 恶意程序 BRATA 能在窃取数据之后将设备恢复到出厂设置,抹掉设备上的所有数据掩盖其活动痕迹。BRATA 在 2019 年最早被发现时属于一种 Android RAT(远程访问工具),主要针对巴西用户。安全公司 Cleafy 在 2021 年 12 月报告 BRATA 开始在欧洲等地出现,并增加了更多功能,它发展成为窃取电子银行登录凭证的恶意程序。

    其最新版本针对了英国、波兰、意大利、西班牙、中国和拉美的电子银行用户,每个变种针对了不同的银行,都使用了类似的混淆技术以躲避安全软件的检测。它会寻找设备上安全程序的痕迹,会在执行渗透前删除安全工具。

    —— solidot