微闻

标签: 网络安全

  • Cloudflare推出Cloudflare One for AI

    Cloudflare 推出 Cloudflare One for AI 以支持安全使用生成式 AI 工具

    互联网解决方案公司Cloudflare今天推出了 Cloudflare One for AI,这是其最新的零信任安全控制套件。这些工具使企业能够安全可靠地使用最新的生成式AI工具,同时保护知识产权和客户数据。该公司相信,该套件的功能将为组织提供一种简单、快速和安全的方式来采用生成人工智能,而不会影响性能或安全性。

    “Cloudflare One 为任何规模的团队提供了使用互联网上可用的最佳工具的能力,而不会面临管理难题或性能挑战。此外,它还允许组织审核和审查其团队成员已经开始使用的 AI 工具,”Cloudflare 产品副总裁 Sam Rhea 告诉 VentureBeat。“然后,安全团队可以将使用限制为仅允许使用经批准的工具,并且在那些经批准的工具中,使用围绕 [他们组织的] 敏感和独特数据构建的策略,控制和控制如何与这些工具共享数据。”

    Cloudflare One for AI 通过包括 AI 工具使用情况的可见性和测量、防止数据丢失和集成管理在内的功能为企业提供全面的 AI 安全性。

    —— VentureBeat

  • 恶意软件感染数百万 Android 设备

    研究人员表示,数百万部手机在出厂时就已经感染了恶意软件

    BLACK HAT ASIA 的Trend Micro 研究人员表示,Black Hat Asia 不法分子甚至在设备出厂前就用恶意固件感染了全球数百万台 Android。

    这种硬件主要是廉价的 Android 移动设备,尽管智能手表、电视和其他东西也包含在其中。

    这些小工具的制造外包给原始设备制造商 (OEM)。研究人员表示,这种外包使得生产链中的某个人(例如固件供应商)有可能在产品发货时用恶意代码感染产品。

    该恶意软件的目的是窃取信息或从收集或提供的信息中获利。

    该恶意软件将设备变成代理,用于窃取和出售 SMS 消息、接管社交媒体和在线消息帐户,并通过广告和点击欺诈作为获利机会。

    一种代理插件,允许犯罪分子一次最多出租设备约五分钟。例如,那些租用设备控制权的人可以获得有关击键、地理位置、IP 地址等的数据。

    通过遥测数据,研究人员估计全球至少存在数百万台受感染设备,但主要集中在东南亚和东欧。研究人员表示,犯罪分子自己报告的统计数据约为 890 万。

    —— The Register

  • 华为对App“拉起”恶意行为进行严打

    华为严打 App 互相拉起,不整改者直接下架并上报工信部

    5 月 7 日消息,据博主 @鹏鹏君驾到 消息,华为近日通知开发者,要求对应用程序进行自检,发现存在未经用户同意“应用间互拉”的恶意行为必须下线,否则将做下架处理并且知会有关部门。

    华为称,若存在该恶意行为,限期 (5.14 日前) 要求开发者针对华为所有机型立即下线应用间互拉的恶意行为,否则华为应用市场将针对存在该恶意行为的应用并在限期内未做整改的 App 做下架处理,同时知会工信部。

    IT之家注意到,今年 2 月,工信部印发进一步提升移动互联网应用服务能力的通知,其中提到,在非服务所必需或无合理场景下,不得自启动和关联启动其它 App,或进行唤醒、调用、更新等行为。

    —— IThome

  • 西部数据被入侵

    西部数据公布失窃数据的具体信息

    上个月,PC 存储公司 Western Digital (西部数据)报告称“未经授权的第三方”入侵了其网络。上周末,Western Digital 终于提供了有关攻击及其后果的更多信息。

    在一份新闻稿中,该公司表示,“第三方”访问了一个数据库,其中包含有关西部数据在线商店的信息。它说:

    这些信息包括客户姓名、账单地址和送货地址、电子邮件地址和电话号码。此外,该数据库还包含加密格式的散列和加盐密码以及部分信用卡号。我们将直接与受影响的客户沟通。

    该公司的声明补充说,它知道一名未具名的黑客公开声称已获得该公司的代码签名证书,据称该证书可用于冒充西部数据。该公司表示正在“调查这些数据的有效性”,但补充说它“控制了我们的数字证书基础设施”。

    Western Digital 表示,虽然对黑客攻击的调查仍在进行中,但一旦知道攻击事件,它就会采取积极措施,将其系统从互联网上撤下。

    —— Neowin

  • MSI products泄密使其更容易被攻击

    黑客公布微星产品私钥,使其更容易被攻击

    在勒索软件团伙泄露了微星公司产品的私人代码签名密钥后,网络犯罪分子可能更容易攻击 MSI 笔记本电脑。

    泄密事件可追溯到一个名为 Money Message 的组织,该组织上个月宣布已渗透 MSI 并窃取敏感的公司文件,据称包含源代码。Money Message 声称 MSI 拒绝支付费用以对信息保密,因此在周四,它在暗网上的网站上发布了被盗数据。

    网络安全公司 Binarly 分析了泄漏的文件,并确认它们包含 MSI 57 种产品固件的私有代码签名密钥。

    这些密钥很重要,因为 MSI 使用它们来证明固件更新来自公司。否则,计算机可以将该软件标记为不受信任和潜在的恶意软件。

    现在,这些泄露的密钥可能会落入犯罪分子之手,并被滥用来签署伪装成 MSI 相关软件的恶意软件。

    另一个问题是泄漏还包含Intel Boot Guard的私有签名密钥,它可以在 PC 首次启动时验证正确的计算机代码正在运行。Binarly 在 116 种 MSI 产品中找到了 Intel Boot Guard 的私钥。

    —— 个人电脑杂志

  • 支付宝安全漏洞

    支付宝流程设计存在安全缺陷,会导致跨域攻击,咸鱼/淘宝交易慎扫不明二维码

    目前支付宝存在逻辑漏洞,一个精心构造的虚假页面可以直接拉起确认收货提示框,如果此时确认收货会钱货两空。
    虽然确认收货需要二次验证(密码、指纹、面容),但如果使用了 Face ID,这个二次验证基本等于自动确认。Mozzie(蚊子)大佬录制了一段视频来展示复现过程,可以看到在开启 Face ID 的情况下会直接完成确认收货操作。
    目前支付宝似乎已对大额交易进行风控(确认收货后仍然冻结 3 天资金),但是小额交易仍需谨慎。
    这个问题在一周前就已在知乎(相关文章)和小红书等平台被数人提起,但至今除了风控之外没有进一步动作。(Soha 的日常频道)

    淘宝系 App 本身并不提供担保服务,担保交易功能由支付宝提供。这个接口是公开的 isbridge 接口,不管是阿里系还是第三方都在调用这个接口。接口设计之初并没有考虑到根据调用域名来鉴权,所以并不容易改动。

    PS :看起来调用这个接口时支付宝并没有做二次确认,直接触发了确认流程( FaceID ) ,连付款都是假的。这个页面全套流程都是假的,但用户看到的流程和「支付 1 元」的流程别无二致,大概也是这么多人上当的原因。反而不是代码上的漏洞,而是逻辑上的漏洞。最简单的修复方式大概是在支付宝 SOK 里对「确认收货」行为做二次弹窗确认了。

    在官方修复前(距问题发现已一周多),目前能想到的缓解措施如下:

    · 避免扫难以确认安全性的二维码,尤其是在网购交易过程中
    · 关闭人脸支付,避免扫到问题二维码后,无交互式的直接确认了
    · 关闭小额免密支付

    —— V2EX

  • 中国公民敏感数据被黑客卖

    有黑客正在兜售超过 6.3 亿条中国公民的敏感数据。这些信息包括姓名、身份证号码、DoB、地址、电话、性别和银行卡号码。黑客报价80,000 美元。

    本频道获得了一份据称是样本的1万条数据,但是无法立即验证这些信息的真伪。

  • 欧盟对TikTok采取的措施

    欧盟不会像美国那样对待 TikTok

    欧洲对这家中国公司采取了务实的态度,这与美国形成鲜明对比,一位欧盟议员凯伦·梅尔基奥 (Karen Melchior) 将其描述为“闹剧”。

    欧洲立法者担心TikTok收集数据的问题,但他们同样担心美国科技公司。Facebook 和谷歌也有令人担忧的数据收集行为。“我不明白为什么只针对 TikTok,”他说。

    欧盟可能会像对待该公司的美国竞争对手一样,对 TikTok 进行同样程度的审查。下周,欧盟委员会预计会将 TikTok 指定为“超大型在线平台”。这将迫使母公司 ByteDance Ltd. 遵守《数字服务法》中最严格的欧盟内容审核规则——与谷歌母公司 Alphabet Inc. 和 Meta Platforms Inc. 一样。

    监管机构也不太可能将 TikTok 列为竞争规则的目标,因为数字市场法案是为美国科技巨头制定的。

    撇开国际冲突不谈,一些欧洲政客——至少目前是这样——将 TikTok 视为接触年轻选民的有用工具。加利表示,他计划在 TikTok 上为明年的欧洲选举竞选。他只会用他的私人手机上使用。

    —— 彭博社

  • 美国政府考虑对卡巴斯基实验室采取执法行动

    美国政府酝酿对卡巴斯基采取执法行动,为打击TikTok进行一场预演

    华盛顿——据知情人士透露,拜登总统的商务部正在权衡根据其在线安全规则对卡巴斯基实验室采取执法行动,卡巴斯基实验室是一家俄罗斯网络安全公司,长期以来一直面临对美国构成威胁的指控。

    据一些知情人士称,该行动——如果成为现实——可能成为商务部在监管网络威胁方面日益重要的作用的一个测试案例,他们表示针对卡巴斯基实验室的潜在行动可能成为针对 TikTok 或其他中国控制技术的类似行动的典范。

    据报道,在卡巴斯基采取执法行动之前,美国出台了一项新立法,该立法将允许白宫在中国的 TikTok 或其他外国技术构成国家安全风险时禁止这些技术。

    —— 华尔街日报 , 路透社

  • 网络安全领域人员掩盖违规行为率高

    调查显示三分之一的组织承认掩盖过数据泄露

    在一个网络犯罪变得越来越难以预防的世界里,许多安全领导者正在向 IT 专业人员施加压力,要求他们掩盖真相。

    网络安全供应商 Bitdefender 今天发布的新研究调查了 400 多名在拥有 1,000 名或更多员工的公司工作的 IT 和安全专业人员。Bitdefender 发现,接受调查的 IT 和安全专业人士中有 42% 被告知在应该报告违规行为时对违规行为保密——即掩盖违规行为。

    也许更令人震惊的是,29.9% 的受访者承认掩盖过违规行为而不是报告。

    这项研究强调,数量惊人的组织愿意无视其向监管机构和客户报告数据泄露的义务,以试图避免法律和经济处罚。

    —— VentureBeat