一家著名的数字权利倡导组织和哈佛网络法律诊所正在起诉联邦当局未能提供文件概述他们如何与一些拉丁美洲政府共享生物特征和其他非公民数据。 原告上周四表示，他们在 17 个月前向移民和海关执法局（ICE）以及海关和边境保护局（CBP）提交了信息自由法（FOIA）请求。 倡导组织Access Now 和网络法律诊所表示，美国海关及边境保护局尚未提供任何所要求的文件。ICE告诉Access Now 和哈佛大学，它没有所控制的生物特征数据库所要求的任何文件。 针对 ICE的诉讼重点是其执法和遣返行动 (ERO) 计划，该机构的网站称该计划是一项“显著的协调与合作”努力，重点是“对被关押在联邦、州和地方监狱内的优先无证人员进行生物特征和传记识别”，诉讼称。 ERO负责管理已在美国境内的外国人的逮捕、拘捕、拘留和遣返。 据 ICE网站介绍，通过 ERO，ICE 自 2010 年以来已与墨西哥、危地马拉和其他外国政府签署了合作协议。Access Now 的 FOIA 请求要求获得 ICE 与墨西哥、危地马拉、洪都拉斯和萨尔瓦多之间达成的数据共享协议全文。 美国海关及边境保卫局的诉讼同样集中在其拒绝移交《信息自由法》所要求的文件上，但重点是该机构备受争议的 CBP One 应用程序。该门户网站是移民与该机构预约和获得其他服务的唯一途径，但它需要他们的生物识别信息。 目前，美国国土安全部监察长办公室和公民权利与公民自由办公室正在对 CBP One 进行调查。根据诉讼中引用的 CBP One 内部隐私影响评估，该应用可以收集个人资料、图像和地理位置信息。 今年 2 月，美国海关及边境保护局在《联邦公报》上披露，该应用还将开始收集离境非移民的生物特征信息。他们将被要求提供带有地理位置数据的照片，以证明他们已经离境。 Access Now 声称，CBP One 可以使用其收集的数据进行自动决策、分析和“登记流动人口”。该公司正在寻求各种相关记录，以记录该应用程序的运作方式，以及墨西哥、危地马拉、洪都拉斯和萨尔瓦多政府中访问 CBP One 以获取移民数据的人数。 美国海关及边境保护局 (CBP) 和移民及海关执法局 (ICE) 尚未回应置评请求。 真实案例的教训 Access Now 表示，现实世界移民的经历为其收集更多有关 ICE 和 CBP 与拉丁美洲政府数据共享安排的信息以及他们维护的生物特征数据库的详细信息提供了帮助。 该倡导组织深入研究了萨尔瓦多人的经历，据称由于政府收集的数据不准确，这些人在进入美国时被错误拘留并被宣布为罪犯。去年6月，该组织呼吁民权和公民自由办公室进行调查。国土安全部下属有美国海关和边境保护局和移民与海关执法局。 据 Access Now 报道，2022 年 3 月，萨尔瓦多颁布了一项旨在控制黑帮的紧急措施，赋予其国家警察前所未有的权力，可以不承担任何责任地逮捕人员。 该倡导组织关注的是那些被美国移民机构抓捕和定罪的萨尔瓦多人的个人故事，该组织发现了多起因萨尔瓦多政府提供不准确数据而导致非犯罪分子被美国政府逮捕和无限期拘留的案件。 Access Now 关于萨尔瓦多的报告指出，美国国务院2022 年人权报告发现了萨尔瓦多国家警察严重侵犯人权的可信指控。这些侵权行为据称包括强迫失踪和经常因个人原因而进行的任意逮捕。 Access Now 称，美国和萨尔瓦多政府之间的数据交换协议导致美国错误地将萨尔瓦多移民定罪。 Access Now 在其呼吁调查的摘要中指出：“国土安全部从越来越多的外国来源获取信息，包括通过与有暴力侵害本国公民历史的政府签订数据共享协议，例如萨尔瓦多。” 该公司还补充称，其向国土安全部提出的投诉针对的是美国与萨尔瓦多之间的协议，“强调他们如何允许大量未经证实的信息进入用于美国移民程序的数据库。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/nooGwHNONdLFnZgjqnb3ow 封面来源于网络，如有侵权请联系删除

英国承诺投入 850 万英镑资助旨在应对包括深度伪造在内的网络威胁的新型人工智能安全研究。技术部长米歇尔·多尼兰 (Michelle Donelan) 在人工智能首尔峰会上宣布，研究资助将重点关注“系统性人工智能安全”，即了解如何更好地保护社会免受人工智能风险并利用该技术的优势。 该研究项目将由英国政府人工智能安全研究所的研究员 Shahar Avin 领导，并与英国研究与创新局和阿兰图灵研究所合作开展。虽然申请人必须居住在英国，但鼓励他们与世界各地人工智能安全研究所的其他研究人员合作。 人工智能对经济和社会稳定构成双重威胁。一方面，人工智能系统可能成为即时注入和数据中毒等技术的目标；另一方面，黑客自己也可以利用该技术来获取优势。 英国国家网络安全中心 (NCSC)一月份警告称 ，恶意人工智能的使用“几乎肯定”会导致未来两年网络攻击的数量和影响增加，特别是勒索软件。 事实上，合规专家 ISMS.online本周发布的新研究显示，30% 的信息安全专业人士在过去 12 个月中经历过与深度伪造相关的事件，这是继“恶意软件感染”之后第二受欢迎的答案。 与此同时，四分之三（76%）的受访者声称人工智能技术正在改善信息安全，64%的受访者表示他们将在未来一年相应增加预算。 人工智能安全研究所研究主任克里斯托弗·萨默菲尔德 (Christopher Summerfield) 声称，新资金代表着确保人工智能在社会中安全部署的“重要一步”。 他补充道：“我们需要仔细思考如何调整我们的基础设施和系统，以适应人工智能融入我们所做的一切的新世界。” “这个计划旨在产生大量关于如何解决这个问题的想法，并帮助确保伟大的想法能够付诸实践。” 该研究所已经对人工智能威胁进行了有价值的研究。周一发布的 5 月份更新显示，四个最常用的生成式人工智能聊天机器人很容易受到基本越狱尝试的攻击。 英国和韩国昨天称赞 16 家主要人工智能公司签署了安全开发人工智能模型的新承诺，这是“历史性的第一次”。   转自E安全，原文链接：https://mp.weixin.qq.com/s/TjnGpzPchxF-LgzUKZKqBA 封面来源于网络，如有侵权请联系删除

MITRE 公司透露，2023 年 12 月下旬针对这家公司的网络攻击利用了 Ivanti Connect Secure (ICS) 的零日漏洞，攻击者在其 VMware 环境中创建了恶意虚拟机 (VM)。 MITRE 研究人员 Lex Crumpton 和 Charles Clancy表示：“攻击者利用受损的 vCenter Server 访问权限，在 VMware 环境中创建了自己的恶意虚拟机。” “他们在 vCenter Server 的 Tomcat 服务器下编写并部署了一个 JSP Web Shell（BEEFLUSH）来执行基于 Python 的隧道工具，从而促进对手创建的虚拟机与 ESXi 虚拟机管理程序基础架构之间的 SSH 连接。” 此举背后的动机是通过隐藏其恶意活动来逃避检测，使其不受 vCenter 等集中管理界面的监控，并保持持续访问，同时降低被发现的风险。 上个月，MITRE 披露了与黑客（谷歌旗下的 Mandiant 将其编号为 UNC5221）利用两个 ICS 漏洞 CVE-2023-46805 和 CVE-2024-21887 入侵了其网络实验、研究和虚拟化环境 (NERVE)，随后披露了此次攻击的详细信息。 绕过多因素身份验证并获得初步立足点后，攻击者在网络中横向移动，利用受损的管理员帐户控制 VMware 基础架构，并部署各种后门和 Web shell来保留访问权限和获取凭据。 它包括一个基于 Golang 的后门，代号为 BRICKSTORM，嵌入在恶意虚拟机和两个称为 BEEFLUSH 和 BUSHWALK 的 Web shell 中，允许 UNC5221 执行任意命令并与命令和控制服务器进行通信。 MITRE 表示：“攻击者还使用默认的 VMware 帐户 VPXUSER 进行了七次 API 调用，列举了已安装和未安装的驱动器列表。” “恶意虚拟机在标准管理流程之外运行，不遵守既定的安全策略，因此很难仅通过 GUI 进行检测和管理。相反，需要特殊的工具或技术才能有效识别和减轻与恶意虚拟机相关的风险。” 针对攻击者秘密绕过检测并保持访问权限的有效对策之一是启用安全启动，通过验证启动过程的完整性来防止未经授权的修改。 该公司表示，还提供两个名为Invoke-HiddenVMQuery和VirtualGHOST的 PowerShell 脚本，以帮助识别和减轻 VMware 环境中的潜在威胁。 MITRE 表示：“随着对手不断改进其策略和技术，组织必须保持警惕并灵活应对网络威胁。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/xqH2NCI5VFuUCQR653YpxA 封面来源于网络，如有侵权请联系删除

近日，美国马里兰大学的安全研究人员发表论文披露苹果设备的Wi-Fi定位系统（WPS）存在安全设计缺陷，可用于大规模监控全球用户（不使用苹果设备的人也会被监控），从而导致全球性隐私危机。 研究者还在俄乌战场和以色列哈马斯加沙冲突地带实际验证了该漏洞的有效性和危险性。 比GPS更可怕的WPS定位：可监控全球数亿台设备 随着人们对位置服务的需求日益增加，移动设备也更依赖于频繁且精准的地理位置信息。这些服务包括地图导航、广告推送、游戏定位以及丢失或被盗设备追踪（例如苹果的“查找我的设备”功能）。然而，由于耗电量过高，GPS并不能满足如此频繁的定位需求。 为解决这一难题，苹果和谷歌等科技巨头推出了基于Wi-Fi的定位系统(WPS)。该系统允许移动设备通过查询服务器上的Wi-Fi接入点信息来获取自身位置。简单来说，使用过GPS定位的移动设备会定期向WPS上报所观察到的Wi-Fi接入点的MAC地址（即BSSID）及其对应的GPS坐标。WPS服务器会存储这些上报的BSSID位置信息。 之后，其他不使用GPS的移动设备也可以通过查询WPS服务获取位置信息。设备查询涉及发送附近BSSID及其信号强度的列表到WPS。 总之，WPS为客户端设备提供了一种比全球定位系统（GPS）更节能的定位方式。对于移动设备，WPS的耗电量也显著低于GPS。苹果是几家运营WPS的大型科技公司之一，其他公司还包括谷歌、Skyhook等。 由于常用的WPS系统（尤其是苹果和谷歌的系统）都是公开可访问的，并且不会要求查询数据库的设备证明其确实能看到所声称的BSSID。换句话说，任何人都可以通过查询任意MAC地址来定位跟踪个人（如果该地址存在于WPS数据库中，服务器就会返回其位置信息）。 例如，遭受伴侣暴力的人搬到了一个未公开的地址，他们的前伴侣可以通过BSSID定期查询WPS，直到受害者的Wi-Fi接入点（或旅行调制解调器、启用Wi-Fi的电视等）的位置出现，从而泄露受害者的位置信息。 通常来说，这种基于BSSID查询的WPS定位需要攻击者事先了解目标信息（例如MAC地址），并且攻击对象仅限单个目标。 近日，在题为《通过Wi-Fi定位系统监视大众》的论文中，美国马里兰大学博士生ErikRye和副教授DaveLevin介绍了一种全新的苹果WPS查询方法，可被滥用于大规模监视，甚至不使用苹果手机（以及Mac电脑和iPad等苹果设备）的人也可被监控。 这种全新的WPS查询方法能够监控全球范围内的设备，并可以详尽地跟踪设备进入和离开目标地理区域。研究者对苹果WPS提供的数据进行了系统的实证评估，发现这些数据涵盖了数亿台设备，并且允许我们监控Wi-Fi接入点和其他设备的移动情况。 苹果的WPS最危险 根据论文描述，WPS一般以两种方式之一作出响应。 WPS定位主要又两种工作方式：要么计算客户端位置并返回这些坐标，要么返回提交的BSSID的地理位置（与AP硬件相关联），并让客户端进行计算以确定其位置。谷歌的WPS采用前者，而苹果的WPS采用后者。 研究人员指出，谷歌和苹果的WPS系统在基本工作原理上有根本区别，苹果的系统由于其开放性，为安全研究人员和潜在的攻击者提供了进行这项研究的途径。 研究人员指出，苹果的WPS系统特别“热情健谈”（下图）： 论文指出：“除了客户端提交的BSSID的地理位置，苹果的API还会随机性地返回多达数百个附近BSSID的地理位置。” “在苹果的WPS版本中，用户提交BSSID进行地理定位，苹果WPS则会返回其认为的BSSID位置，同时返回的还包括用户未请求的多达400个附近BSSID的位置。这400个额外的BSSID对于安全研究人员/黑客的研究非常重要，因为它们允许研究人员在短时间内积累大量的地理定位BSSID。此外，苹果的WPS服务接口没有设置认证或速率限制，可以免费使用。” 相比之下，谷歌的WPS则仅返回计算出的位置，并且经过认证、速率限制和收费，使得进行类似攻击或安全研究变得难以负担，因此比苹果的WPS要安全得多。 俄乌战争和以色列哈马斯冲突实战案例 利用苹果WPS系统的设计缺陷，Rye和Levin获取并编译了一个包含4.9亿个BSSID的全球数据库，从而可以追踪全球大量个人和人群（包括军事人员）的移动。 论文解释道：“由于苹果WPS的精度在几米范围内，这使我们在许多情况下能够识别出AP所在的个人家庭或企业。出于对用户隐私的尊重，我们在本研究中审查的案例中不包括可能公开识别个人的例子。” 尽管如此，研究人员表示，使用论文中描述的技术“显然有可能”确定个人或他们所属群体的身份，“可以精确到个人姓名、军事单位和基地，甚至是房车停车场。” 为了进一步展示利用WPS进行开源情报(OSINT)潜在的攻击手法，研究者分享了几个重点案例研究，包括： 俄乌战争：研究者首先利用苹果的WPS分析了进出乌克兰和俄罗斯的设备移动情况，从而获得了有关正在进行的战争的一些见解（这些见解尚未公开）。研究者发现疑似军用人员将个人设备带入战区，暴露了预部署地点和军事阵地。研究结果还显示了一些离开乌克兰并前往世界各地的人员信息，这验证了有关乌克兰难民重新安置地点的公开报道。 以色列-哈马斯加沙战争：研究者使用苹果的WPS追踪加沙地带居民的离境和迁徙情况，以及整个加沙地带设备的消失情况。该案例研究表明，研究者可以利用苹果的WPS数据跟踪大规模停电和设备丢失事件。更糟糕的是，被追踪设备的用户从未选择加入苹果的WPS，在研究者进行这项研究时也没有退出机制。仅仅处于苹果设备的Wi-Fi范围内，就可能导致设备的位置和移动信息被广泛公开。事实上，研究者在苹果的WPS中识别了来自1万多家不同厂商的设备。 防御措施：IEEE不作为，马斯克遭到表扬 研究团队已将发现报告给苹果、Starlink和GL.iNet，并建议通过在AP的WiFi网络名称中添加“_nomap”字符串来防止BSSID进入WPS数据库。苹果已在其隐私和位置服务帮助页面中增加了对“_nomap”的支持，而谷歌和WiGLE则早在2016年就已支持这一措施。 此外，研究人员建议实施BSSID随机化，以防止通过WPS追踪。这一措施得到了SpaceX产品安全团队的迅速响应，他们在所有Starlink设备中加快了BSSID随机化的实施步伐。然而，GL-iNet对这一建议的反应不积极，表示暂无计划部署该防御措施。 尽管目前业界尚未意识到将BSSID随机化纳入WiFi标准工作的重要性和紧迫性，研究人员希望这项研究能引起IEEE技术专家的重视，推动这一问题的解决，就像过去推动MAC地址随机化那样。 Rye指出：“BSSID随机化是防止通过WPS追踪的最有效的防御措施，因为每次设备启动（或移动位置）时生成一个随机标识符，将使其在WPS中看上去像是一个完全不同的设备。” Rye还称赞了SpaceX的产品安全团队迅速解决这一问题并在其产品中实施BSSID随机化的举措。 Rye透露：“在我们的研究期间，一些厂商的产品已经开始实施BSSID随机化，但星链对安全的重视程度显然更高；与研究者交流后，星链加快了在所有星链设备上实施的步伐。值得注意的是，这一漏洞并非由SpaceX引起（他们无法控制苹果或谷歌的行为），但他们仍然及时且正确地解决了这一问题。” 研究人员还通知了旅行路由器制造商GL-iNet，但该公司反应不积极。Rye表示：“他们承认了研究者的担忧以及随机化BSSID的解决方案，但告诉我们他们没有计划部署该防御措施。” Rye计划在8月的黑帽大会上展示这篇论文。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16457.html 封面来源于网络，如有侵权请联系删除

本周一（5月28日），Check Point 公司发布警告称，有黑客针对其远程访问VPN设备发起了持续攻击。 Check Point 公司方面表示，这些攻击者的目标，是使用不安全的纯密码验证的旧本地账户的安全网关。一般来说，这种验证应与证书验证一起使用，以防止出现漏洞攻击事件。 Remote Access是集成在所有Check Point网络防火墙中的，并可以配置成客户端到站点VPN，通过VPN客户端访问企业网络，也可以设置成SSL VPN门户，进行基于Web的访问。 近期已经发生了多起VPN解决方案遭到破坏的事件，涉及到多家网络安全供应商。 研究人员表示：鉴于这些事件，我们一直在监控未经授权访问 Check Point 客户 VPN 的尝试。截至 2024 年 5 月 24 日，我们发现了少量使用旧 VPN 本地账户的登录尝试，这些账户依赖于未推荐的仅密码验证方法。 最初我们发现了 3 次这样的尝试，后来当我们与我们组建的特别小组进一步分析时发现他们使用的攻击方式可能是相同的模式。 Check Point 发言人称：这些黑客在全球范围内的几次尝试让我们了解到了一种趋势，尤其是一种确保攻击不成功的非常直接的方法。 为了抵御这些持续不断的攻击，Check Point警告客户要及时检查Quantum Security Gateway和CloudGuard Network Security产品以及Mobile Access和Remote Access VPN软件上是否有此类易受攻击的账户。 同时，他们还建议客户将用户验证方法更改为更安全的选项（使用本支持文档中的说明），或从安全管理服务器数据库中删除易受攻击的本地账户。 该公司还发布了一个安全网关热修复程序，它将阻止所有本地账户使用密码进行身份验证。安装后，仅使用弱密码验证的本地账户将无法登录远程访问 VPN。 安装热修补程序后阻止了存在漏洞的本地帐户 思科 VPN 设备也成为严重攻击目标 Check Point是近几个月来第二家警告其VPN设备成为持续攻击目标的公司。 今年 4 月，思科也警告说，针对思科、Check Point、SonicWall、Fortinet 和 Ubiquiti 设备上的 VPN 和 SSH 服务的凭据暴力攻击非常普遍。 这种攻击最早始于今年 3 月 18 日左右，攻击源于 TOR 出口节点，并使用其他各种匿名工具和代理服务器来躲避拦截。 一个月前，思科发现了一波针对运行远程访问 VPN（RAVPN）服务的思科安全防火墙设备的密码喷射攻击，这可能是该攻击行动的第一阶段侦察活动。 安全研究员 Aaron Martin 认为此类活动于此前的 “Brutus “恶意软件僵尸网络有所关联。据悉，该僵尸网络控制着云服务和住宅网络中至少 20000 个 IP 地址。 上个月，该公司还披露，UAT4356（又名 STORM-1849）黑客组织至少从 2023 年 11 月起就一直在利用思科自适应安全设备（ASA）和火力威胁防御（FTD）防火墙中的零日漏洞，用以入侵世界各地的政府网络，这种攻击活动被称为 ArcaneDoor 的网络间谍活动。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402032.html 封面来源于网络，如有侵权请联系删除

据观察，威胁行为者利用伪装成 Avast、Bitdefender 和 Malwarebytes 合法防病毒解决方案的虚假网站来传播能够从 Android 和 Windows 设备窃取敏感信息的恶意软件。 Trellix 安全研究员 Gurumoorthi Ramanathan表示：“通过看似合法的网站托管恶意软件对普通消费者来说是一种掠夺行为，尤其是那些希望保护其设备免受网络攻击的消费者。” 网站列表如下 ： avast-securedownload[.]com，用于以 Android 包文件（“Avast.apk”）的形式传播SpyNote 木马，一旦安装，就会请求侵入性权限以读取短信和通话记录、安装和删除应用程序、截屏、跟踪位置，甚至挖掘加密货币 bitdefender-app[.]com，用于传递 ZIP 存档文件（“setup-win-x86-x64.exe.zip”），该文件会部署Lumma信息窃取恶意软件 malwarebytes[.]pro，用于传递 RAR 存档文件（“MBSetup.rar”），该文件会部署StealC信息窃取恶意软件 该网络安全公司表示，还发现了一个名为“AMCoreDat.exe”的恶意 Trellix 二进制文件，该二进制文件可作为投放窃取恶意软件的渠道，该恶意软件能够收集受害者信息（包括浏览器数据），并将其泄露到远程服务器。 目前尚不清楚这些虚假网站是如何传播的，但过去类似的活动曾采用恶意广告和搜索引擎优化（SEO）投毒等技术。 窃取恶意软件日益成为一种常见威胁，网络犯罪分子宣传了各种复杂程度的自定义变种。其中包括Acrid、SamsStealer、ScarletStealer和Waltuhium Grabber等新型窃取恶意软件，以及SYS01stealer（又名 Album Stealer 或S1deload Stealer）等现有恶意软件的更新版本。 转自E安全，原文链接：https://mp.weixin.qq.com/s/M844BZdb8O9NWaYA1y2Drw 封面来源于网络，如有侵权请联系删除

Gipy 是一种新发现的信息窃取恶意软件，它以德国、俄罗斯、西班牙和台湾的用户为目标，通过钓鱼诱饵承诺提供人工智能语音更改应用程序。 卡巴斯基的研究人员表示，Gipy 恶意软件最早出现于 2023 年初，一旦成功部署，威胁行为者就可以窃取数据、挖掘加密货币，并在受害者的系统中安装其他恶意软件。 研究人员解释说，在这种情况下，威胁行为者以合法的人工智能语音更改应用程序为诱饵。卡斯帕克团队补充说，一旦用户安装了它，应用程序就会按照承诺开始工作，与此同时，Gipy 恶意软件也会在后台运行。 研究人员注意到，当 Gipy 被执行时，恶意软件会从 GitHub 启动受密码保护的恶意软件。在对该活动的调查过程中，专家们分析了其中的 200 多个档案。 卡巴斯基在一封电子邮件声明中说：”GitHub 上的大多数档案都包含臭名昭著的 Lumma 密码窃取程序。“另外，专家们还发现了 Apocalypse ClipBanker、一个修改过的 Corona 密码窃取程序、几个 RAT（包括 DCRat 和 RADXRat）、一个名为 Loli 的基于 Golang 的窃取程序、RedLine 和 RisePro 等密码窃取程序，以及一个名为 TrueClient 的基于 Golang 的后门程序。 研究人员表示，威胁行为者热衷于利用人工智能工具的日益普及来进行此类恶意利用，用户需要多加注意。   转自Freebuf，原文链接：https://www.freebuf.com/news/401931.html 封面来源于网络，如有侵权请联系删除

印度大选之际，一个涉及生物识别数据泄露的安全事件暴露了数百万人的生物识别信息，彻底打乱了印度公民的选举”步伐“。 据悉，安全研究人员发现一个包含警察、军事人员和民众指纹和面部扫描信息的数据库遭到泄露，彻底引发了印度民众对身份信息泄露以及选举安全的担忧。 目前，研究人员已经报告了针对大选的网络攻击和数据泄露事件，并表示此次数据泄露事件可能会引发了印度民众对境内网络安全脆弱状况的质疑。 数据库泄露了大量印度国民数据信息 网络安全研究员 Jeremiah Fowler 在日常巡检中发现了一个配置错误的非密码保护数据库，其中包含 160 多万份文件，随后便向 Website Planet 报告了这一情况。 经过详细审核，被曝光的文件共约 166159 个文件（496.4 GB），包含面部扫描图像、指纹、签名、警察、出生证明、图像、电子邮件地址、就业申请、文凭、证书和其他教育相关文件军人、教师甚至铁路工人的识别标志等敏感的生物识别信息。 更糟糕的是，数据库泄露的信息还有大约 284535 份文件被归类为印度警察和执法人员的物理效率测试 （PET），其中一些以压缩.zip格式存储，包含了大量签名图像、PDF 文档、移动应用程序和安装数据等印度军警的敏感信息。 经过进一步深入分析，研究人员甚至在被泄露的数据库中发现了一个名为 “面部软件安装 “的文件夹，里面不仅存有大量通过应用程序捕获和传输的图像和文件，还存储了纯文本形式的内部数据库名称、登录名和密码信息。 泄露的文件 被盗数据在 Telegram 上被出售 数据库泄露事件披露后，Jeremiah Fowler 向部分媒体透露，指纹等生物识别数据是与个人身份绑定的唯一标识符，几乎无法更改，这些数据可被用于多种恶意目的，包括冒名顶替和身份盗窃。 目前，被盗数据可能已经在 Telegram 群组中出售了，或导致数百万人面临各种威胁。 此次数据库泄露事件表明，围绕生物识别数据的收集、使用和存储存在道德和监管方面的挑战，政府和私营企业必须时刻警惕，持续加强数据安全实践和法律法规完善，以期能够最大程度上保护公民数据隐私安全。   转自Freebuf，原文链接：https://www.freebuf.com/news/401925.html 封面来源于网络，如有侵权请联系删除

新研究表明，Apple 和 Starlink 基于 WiFi 的定位系统 (WPS) 可能被滥用，从而造成全球隐私威胁，尤其是在战区。 WPS 技术使用 WiFi 信号来确定设备（例如智能手机或平板电脑）的物理位置。它通过根据附近 WiFi 接入点的已知位置和信号强度对设备的位置进行三角测量来运行。 移动设备会定期发送通过 GPS 和/或蜂窝塔确定的位置以及附近的基本服务集标识符 (BSSID)。这些数据组合使这些设备能够准确地确定其在几英尺或几米范围内的位置。 Apple 在服务器上收集这些位置数据，为设备提供一种众包、低功耗的替代方案，以取代不断请求全球定位系统 (GPS) 坐标。 马里兰大学的研究人员利用 Apple 公开的数据进行了一次攻击，在短短几天内收集了全球 WiFi BSSID 地理位置快照，并对几乎全球任何地方的用户 WiFi 接入点进行了大规模监控。 研究人员警告称，他们尝试的攻击模型只需要最低限度的技术知识，并且可以由拥有消费级硬件的个人执行。 经过一年的研究，该团队确定了全球超过 20 亿个 BSSID 的精确位置。 全球范围内发现的 BSSID 热图 研究人员能够确定旅行路由器（例如 GL.iNet 设备）的移动，据该团队称，这“对不希望被追踪的个人构成了严重威胁”。 在冲突地区，跟踪变得极为敏感。研究人员分析了乌克兰的战区，发现了至少 3,722 个基于卫星的宽带服务 Starlink 终端，暴露了部署前的地点和军事动向。 研究人员提出的问题更加复杂的是，被跟踪设备的用户从未选择使用 Apple 的 WPS。只要处于 Apple 设备的 WiFi 覆盖范围内，设备的位置和移动情况就可能被公开和广泛获取。 该团队向苹果和谷歌披露了他们的研究结果，这两家公司都运营着自己的 WPS，以及两家知名制造商——SpaceX 和 GL.iNet。 2024 年 3 月，Apple 更新了其网站，表明个人可以选择不让 Apple 收集和共享其无线接入点的位置。 用户可以通过在 WiFi 接入点名称 (SSID) 末尾添加“_nomap”来选择退出。将“_nomap”附加到您的 WiFi 网络名称还可以阻止 Google 索引您的位置。 论文下载地址：https://www.cs.umd.edu/~dml/papers/wifi-surveillance-sp24.pdf   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/-9EpXQjaSERO7T5tacz3Mw 封面来源于网络，如有侵权请联系删除

黑客正在利用微软经典游戏扫雷的 Python 克隆代码来隐藏恶意脚本，以攻击欧洲和美国的金融机构。 乌克兰的 CSIRT-NBU 和 CERT-UA 将这些攻击归咎于一个被追踪为“UAC-0188”的黑客组织，攻击者使用合法代码来隐藏下载和安装 SuperOps RMM 的 Python 脚本。 Superops RMM 是一款合法的远程管理软件，可远程访问受感染的系统。 CERT-UA 报告称 ，在首次发现此次攻击之后进行的研究显示，欧洲和美国的金融和保险机构中至少存在五起由相同文件引发的潜在漏洞。 攻击细节 攻击始于一封从地址“support@patient-docs-mail.com”发送的电子邮件，该邮件冒充一家医疗中心，主题为“医疗文件个人网络档案”。 收件人会收到提示，要求从提供的 Dropbox 链接下载一个 33MB 的 .SCR 文件。此文件包含来自扫雷游戏的 Python 克隆的无害代码，以及从远程源（“anotepad.com”）下载其他脚本的恶意 Python 代码。 可执行文件中包括的扫雷代码可以作为包含恶意代码的 28MB base64 编码字符串的掩护，试图使其对安全软件显得无害。 此外，扫雷代码包含一个名为“create_license_ver”的函数，该函数被重新用于解码和执行隐藏的恶意代码，因此合法软件组件被用于掩盖和促进网络攻击。 对 base64 字符串进行解码以组装一个 ZIP 文件，该文件包含 SuperOps RMM 的 MSI 安装程序，最终使用静态密码进行提取和执行。 攻击链，来源：CERT-UA SuperOps RMM 是一个合法的远程访问工具，但在这种情况下，它被用来授予攻击者对受害者计算机的未经授权的访问权限。 CERT-UA 指出，未使用 SuperOps RMM 产品的组织应将其存在或相关网络活动（例如对“superops.com”或“superops.ai”域的调用）视为黑客入侵的迹象。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/DslAJuYGb9ZLAvuGvE9ngA 封面来源于网络，如有侵权请联系删除