Mozilla:TikTok Lite 会让用户接触到有害内容
Mozilla 最新报告显示,TikTok Lite 与旗舰版相比缺乏安全功能,用户可能会接触到有害内容。研究人员称,TikTok Lite 缺乏“主动用户控制”,例如过滤攻击性内容和关键词的功能,以及帮助减少应用成瘾的工具。研究人员还发现,TikTok Lite 未能对可能造成伤害的内容提供警告标签或横幅,例如危险的恶作剧视频或“挑战”、选举错误信息和人工智能生成的内容。TikTok 驳斥了该调查结果并表示:“这份报告中存在一些事实错误,从根本上歪曲了我们的安全方法。事实上,违反我们规则的内容会像我们的主要应用一样从 TikTok Lite 中删除,我们提供了许多安全功能,如果 Mozilla 在发布报告之前询问我们,我们会解释这些功能。”
—— Techcrunch
欧易OKX疑似存在安全问题,部分账户资金被盗
据报道,加密货币交易所 OKX 已成为黑客攻击的目标,至少有两名用户报告说,他们在收到来自香港的短信风险通知后资金被盗。
据 SlowMist 创始人于贤称,一个身份不明的实体创建了具有提款和交易权限的新 API 密钥,允许他们从平台上交换和提取币值。OKX中文账号6月9日在X上发文称,该交易所已与受影响的用户取得联系,目前正在对事件进行调查。”如最终确定为平台责任平台会主动承担。”
截至发稿时,攻击的破坏程度仍不清楚,并且还有待观察黑客究竟是如何劫持交易账户的。
—— crypto.news
可视化门铃 EKEN 制造商修复了导致用户容易受到监视的安全问题
总部位于深圳的公司 Eken Group 已发布固件更新,以解决今年早些时候《消费者报告》调查发现的其可视化门铃的重大安全问题。这些可视化门铃与 Aiwit 应用配对,并以多种品牌出售。在测试中,监管机构发现未加密的摄像头可能会泄露家庭 IP 地址和 Wi-Fi 网络等敏感信息,并允许外部人员使用其序列号远程访问摄像头源中的图像。现在,《消费者报告》称问题已经得到解决,只需更新设备即可。这些品牌的设备现在应该显示2.4.1或更高版本的固件,这表明它们已经收到更新。这些可视化门铃曾在亚马逊、沃尔玛和 Temu 等热门电商平台上销售,但后来似乎已被下架,而且缺乏美国联邦通信委员会要求的正确标签。
—— Engadget
AI 开源开发平台 Hugging Face 存在托管的恶意代码
安全公司 JFrog 的研究人员周四在一份报告中表示,上传到人工智能开发平台 Hugging Face 的代码在用户计算机上秘密安装了后门和其他类型的恶意软件。研究人员表示,他们总共发现大约 100 个提交内容在下载并加载到最终用户设备上时执行了隐藏的和不需要的操作。 大多数被标记的机器学习模型(所有这些模型都没有被 Hugging Face 检测到)似乎是研究人员或好奇的用户上传的良性概念证明。研究人员表示,其中大约10个是“真正恶意的”,因为它们在加载时执行的操作实际上损害了用户的安全,例如创建一个可以从互联网远程访问并完全控制用户设备的反向 Shell 。 Hugging Face 已删除了所有 JFrog 标记的模型。这是继 PyPI, NPM 和 GitHub 之后又一个被发现受到水坑攻击(Watering Hole Attack)的开发平台,虽然并不让人太意外。
—— Ars Technica
孰真孰假?
立陶宛国家网络安全中心(NCSC)对三款中国产手机进行了安全审查(PDF):华为 P40 5G、小米 Mi 10T 5G 和 一加 8T 5G。NCSC 发现小米手机预装的非标准浏览器 Mi Browser 包含了两个值得注意的模块:其一是读取浏览和搜索历史并将数据发送到小米服务器的 Google Analytics,该模块默认激活;其二是 Sensor Data 模块,它会收集与应用活动相关的 61 个参数,数据在加密之后发送到小米位于新加坡的服务器。小米用户的手机号码还会悄悄通过加密 SMS 短信注册到新加坡的服务器激活云服务,这一短信对用户是不可见的。多个小米系统应用会从新加坡服务器下载 MiAdBlackListConfig 文件,该文件包含了 449 个与宗教、政治和社会团体相关的记录。MiAdBlackListConfig 的内容过滤功能在欧洲地区默认关闭,但由于手机会定期下载该文件,小米能在任何时候远程激活该功能。
—- solidot
#孰真孰假