HackerNews 编译，转载请注明出处： 韩国消费电子巨头三星电子本周宣布，将为即将推出的搭载 One UI 8 系统的 Galaxy 智能手机带来新的安全改进。 为了保护端侧人工智能（AI）功能的安全，该公司推出了 Knox 增强加密保护 (Knox Enhanced Encrypted Protection, KEEP)。这是一项新架构，通过加密存储环境将应用程序限制在其自身的敏感信息范围内。 三星表示，KEEP 保护用户的个人洞察信息（例如偏好和日常习惯），这些信息同时也由名为 Knox Vault 的端侧防篡改硬件安全环境提供保护。KEEP 同样保护其他依赖用户特定输入的功能。 该科技巨头还宣传了 One UI 8 中改进的 Knox Matrix。它能为互联的 Galaxy 设备提供主动、用户友好的保护。它会将所有被标记为存在严重风险的设备从所有云连接服务中断开，同时通知用户并引导其解决问题。 继在 Galaxy S25 系列中引入后量子增强数据保护 (Post-Quantum Enhanced Data Protection, EDP) 之后，三星现在为 安全 Wi-Fi (Secure Wi-Fi) 功能带来了一套新的加密框架，旨在通过后量子密码学 (post-quantum cryptography) 提供更强化的保护。 据该公司称，安全 Wi-Fi 使用一个加固的安全隧道连接 Galaxy 设备和三星服务器，能够抵御那些试图截获加密数据并利用未来量子技术进行破解的攻击。 安全 Wi-Fi 包含一个自动保护模式 (Auto Protect mode)，当设备连接到公共网络时会自动激活；以及增强隐私保护 (Enhanced Privacy Protection, EPP)，用于加密所有互联网流量和路由路径，同时提供保护记录 (protection history) 的可视化。 这些改进是对现有 Galaxy 设备安全功能的补充，包括通过 Knox Vault 保护敏感信息、自动阻止未经授权的应用程序安装、提供关闭 AI 功能在线数据处理的选项，以及在设备失窃情况下保护个人信息的安全措施。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta周三宣布将在Facebook上支持新一代密码标准通行密钥（passkeys）。该公司在公告中表示：“通行密钥是验证身份和登录账户的新方式，比传统密码更便捷安全。”该功能预计“很快”登陆安卓和iOS移动设备，未来数月也将扩展至Messenger平台。用户使用Meta Pay支付时，通行密钥还可自动填充付款信息。 网络安全方面，通行密钥由FIDO联盟支持，用户可凭生物识别或设备锁屏PIN码安全登录在线服务。Meta强调该技术能有效防范钓鱼攻击和密码喷洒攻击：“相比传统密码和短信验证码，通行密钥具备抗猜测、抗窃取特性，可抵御恶意网站和欺诈链接。”此前Meta已在WhatsApp部署该技术：安卓版于2023年10月推出，iOS版于2024年4月上线，Instagram的部署计划暂未公布。 上月微软已在新用户账户中默认启用通行密钥登录。近期苹果也预告将在iOS、iPadOS、macOS和visionOS 26系统中，支持用户在不同密码管理器间导入导出通行密钥。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Instagram平台上出现冒充蒙特利尔银行（BMO）和EQ Bank（Equitable Bank）等金融机构的广告，正被用于针对加拿大消费者实施钓鱼诈骗和投资欺诈。部分广告使用AI深度伪造视频窃取个人信息，另一些则盗用官方品牌标识，将用户引导至与银行无关的高度相似的非法域名。 我们观察到多例看似由加拿大银行运营、实为诈骗的Instagram广告。如一些广告自称来自“Eq Marketing”，配色方案与EQ Bank高度相似，并承诺高达“4.5%”的利率（该收益率明显虚高）。点击后却跳转至假冒网站RBCpromos1[.]cfd——该域名与EQ Bank无关，实为收集用户银行凭证的钓鱼网站。 域名中的“RBC”字样表明，该钓鱼网站可能也曾用于针对加拿大皇家银行（RBC）等其他大型金融机构的诈骗活动。点击“是的，继续使用我的账户”后，用户会看到伪造的EQ Bank登录界面，诱导输入银行凭证。相比之下，我们在Reddit等平台看到的EQ Bank正规广告均跳转至官方域名eqbank.ca，且宣传的利率更为合理。 另一则标注为“BMO Belski”的欺诈广告以Instagram快拍形式出现，通过“您投资股票多久了？”等筛选问题吸引用户互动——这类问题本是正规广告商用于定位目标客户的常见手段。但此次用户回答后，页面会直接要求提交联系方式给所谓“BMO Belski”广告主。 该骗局设计巧妙：不仅滥用BMO品牌，还暗示与银行首席投资策略师布莱恩·贝尔斯基（Brian Belski）存在关联。普通用户易误以为正在接收这位知名专家的权威投资建议。我们进一步发现，“BMO Belski”广告甚至播放贝尔斯基的AI深度伪造视频，诱骗用户加入“WhatsApp私人投资群组”。 这些广告存在一个共同点：投放账户在Instagram无主页，仅通过Facebook运营。例如“BMO Belski”拥有一个粉丝数千的Facebook主页（已存档），但在Instagram查无此账号——尽管其广告在该平台大量出现。 Meta商务管理平台确实支持通过Facebook主页投放Instagram广告（无需Instagram账号）。诈骗分子采用此途径的原因尚不明确，但我们推测：此举可规避在Instagram建立账号与粉丝基础的时间成本，且新创建的Instagram广告账户更易被识别风险。值得注意的是，“BMO Belski”Facebook主页创建于2023年10月27日，但仅在本周发布过两条贴文。 该主页最初名为“Brentlinger Matt Blumm”，表明攻击者可能像操作前述钓鱼域名一样，在重复利用被盗用的社交媒体资产。相比新建主页易因创建时间过新引发警惕，翻新旧主页可凭借存续时间和粉丝量（无论真实与否）获取更高可信度。 我们向Instagram举报了这些欺诈广告，但数日后广告仍在展示，凸显平台审核机制滞后带来的风险。BleepingComputer已就此事联系BMO、EQ Bank及Meta。知情人士透露Meta正在调查相关内容并将删除确认为欺诈的内容。EQ Bank回应称已察觉钓鱼广告活动，正积极协同平台方尽快下架。“这些广告绝非我们授权或认可的行为，”发言人表示，“此类高仿真诈骗的增多令人担忧。客户安全是我们的首要任务，强烈建议用户通过官方渠道验证促销信息真实性。我们已向全体客户发出防诈警示。” 用户在Instagram、Facebook等平台点击广告时需保持警惕——即使广告显示正规机构标识。带有“已验证”徽章的Instagram广告账号（如下图）可信度较高，但仍需确认跳转链接是否指向该机构的官方域名。谨记：过于诱人的承诺往往暗藏陷阱。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Malwarebytes最新研究显示，近半数（44%）移动用户每日遭遇诈骗威胁，多数用户担忧重要文件丢失及生产力损失。该公司对美国、英国、奥地利、德国和瑞士的1300名成年人开展调查并发布《点击、滑动、诈骗》报告。 尽管报告聚焦个人安全威胁，但鉴于大量企业允许自带设备（BYOD），这些风险正持续向企业领域蔓延。数据显示美国（51%）和英国（49%）用户风险暴露率最高。 核心发现： 识别难度激增 66%受访者承认难以辨别诈骗与合法通讯，超三分之一（36%）曾因此受害，近五分之一（36%）遭遇过恶意软件感染。 攻击渠道分布 主要威胁渠道包括：电子邮件（65%）、电话（53%）、短信（50%）、社交媒体（47%）、即时通讯软件（40%）及交易平台（36%）。 社会工程主导 53%用户遭遇过社交工程攻击，其中19%受害。这与Zimperium研究相印证：2024年9月数据显示82%钓鱼网站针对移动设备，同年8月每日移动钓鱼攻击峰值超1000次。 勒索威胁蔓延 37%用户遭遇勒索类威胁，17%实际受害，具体包括：勒索软件（25%）、性勒索（24%）、深度伪造诈骗（20%）。值得注意的是，18%用户经历过虚拟绑架威胁。 心理创伤加剧： 75%受害者遭受心理伤害，其中心理健康问题占比46%，勒索骚扰达25%。Malwarebytes高级隐私倡导者David Ruiz指出：“移动威胁既是技术问题，更是人身安全问题。随着深度伪造与AI技术被犯罪者利用，我们需超越意识培养，为用户配备防护工具与知识。数字生活不该以诈骗为代价——无需感到羞耻，我们应让民众自信识别、阻断并举报任何隐私性诈骗。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 网络安全专家担忧人工智能（AI）代理将很快实施大规模复杂且难以检测的网络攻击。2022年ChatGPT的发布已通过自动化钓鱼、深度伪造和恶意软件开发改变了网络犯罪格局。网络安全公司Malwarebytes最新《ThreatDown报告》警告称，自主AI攻击者的崛起迫在眉睫，网络犯罪即将迎来根本性变革。 “网络犯罪正在经历转型。”Malwarebytes创始人兼CEO马尔钦·克列钦斯基表示，“我们不仅看到攻击数量的上升，还看到了几年前根本无法想象的全新欺骗形式和自动化手段。”报告指出，AI使网络犯罪分子能轻松研究漏洞、编写钓鱼邮件、生成代码，并通过声音克隆和形象伪造开发新型社会工程攻击。 典型案例与数据 2024年1月：某全球工程公司财务人员被完全由AI生成的深度伪造高管视频会议欺骗，向犯罪分子转账2500万美元 2023年：ChatGPT发布后，SlashNext研究人员观察到恶意钓鱼信息量激增1265% 2024年：The Transparency Company统计至少230万条产品评论由AI部分或全部生成 预计至2027年：Deloitte金融服务中心预测AI邮件欺诈损失将达115亿美元 虚假信息渗透：2024年“Pravda”虚假信息网络发布360万篇文章，成功将克里姆林宫宣传内容植入主流生成式AI工具 美国财政部FinCEN警示：金融机构遭遇AI生成虚假身份证明文件攻击激增 报告警告称，随着网络犯罪分子更熟练运用AI代理，最严峻的威胁尚未到来。“AI代理必然被用于扩展需要大量人力的攻击规模与速度——包括最具破坏性的‘大型猎物’勒索软件攻击。”自主AI将使黑客部署“恶意代理集群实现攻击规模指数级扩张”，并保持全天候运作。研究人员已成功演示AI代理如何用于攻击性网络安全：2023年开发的完全自主网络安全代理ReaperAI可在最少人工监督下执行攻击行动；另一款模拟勒索软件组织的AutoAttacker证明偶发攻击可转化为高速常规操作。谷歌的Big Sleep则成为首个自主发现真实世界零日漏洞的AI系统。 Malwarebytes研究人员认为，应对AI网络犯罪需采取三大措施：缩减攻击面、持续监控系统、即时响应警报。报告特别强调：“防御者必须建立超越AI攻击速度的实时威胁检测与响应机制，将自动化防御深度整合至安全运营中心（SOC）工作流。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Android企业版推出全新设备信任（Device Trust）解决方案，通过实时验证设备安全状态强化移动端防护，应对混合办公模式下的数据泄露风险。该功能基于零信任原则，持续监测操作系统版本、安全补丁级别及屏幕锁强度等指标，无论设备是否受企业统一管理，均能在访问敏感数据前完成安全评估。 国际数据公司（IDC）终端安全研究总监Mike Jude指出：“企业需要确保接入业务系统的个人设备达到基本安全标准，Android企业版设备信任方案为此提供了重要支撑。”该平台与CrowdStrike、Okta、Omnissa、Urmobo、Zimperium等安全厂商深度集成，覆盖终端管理（EMM/UEM）、身份认证（IdPs）、端点防护（EDR/MTD）及安全信息事件管理（SIEM）四大领域，输出20余项Android专属安全指标，实现分层策略与实时决策。 设备信任方案兼容企业设备与员工自有Android终端，无需完整注册管理（EMM）即可通过安装合作安全应用完成验证，尤其适用于临时工、承包商等需快速接入业务系统的场景——任务完成后可立即撤销权限。通过实时威胁可视化管理，IT团队能及时应对系统版本过时、设备丢失等风险，提升事件响应效率。 该服务支持Android 10及以上系统。Android企业版将于7月10日举办“设备信任实践研讨会”，分享技术洞察与应用案例。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全格局因生成式AI的出现发生根本性转变。攻击者现在利用大语言模型（LLM）大规模伪造可信身份并自动化实施社会工程攻击。 最新威胁情报报告强调AI驱动攻击的复杂化趋势： 语音钓鱼激增：根据CrowdStrike《2025全球威胁报告》，2024年下半年语音钓鱼（vishing）攻击量较上半年激增442%，主因是AI生成的钓鱼语音和身份伪造技术。 社会工程主导攻击：Verizon《2025数据泄露调查报告》指出，钓鱼攻击和虚假借口仍是数据泄露的主要成因。 朝鲜深度伪造行动：朝鲜黑客组织被曝光使用深度伪造技术创建合成身份参与远程职位面试，试图渗透目标组织。 三大趋势推动AI冒充成为新型威胁载体： AI降低欺骗成本：借助开源音视频工具，攻击者仅需数分钟素材即可伪造任意身份。 虚拟协作暴露信任漏洞：Zoom、Teams和Slack等工具默认屏幕后用户的身份真实性，攻击者正利用这一假设。 概率式防御体系失效：现有深度伪造检测工具依赖面部标记分析进行概率判断，无法应对高精度伪造攻击。端点防护工具和用户培训虽有一定作用，但无法实时解答关键问题：正在对话的对象是否可信？ 传统检测技术存在根本缺陷：当前防御体系聚焦于事后检测，例如训练用户识别可疑行为或用AI分析人员真伪。但随着深度伪造技术快速进化，基于概率的工具已无法对抗AI生成的欺骗。 构建可验证的信任体系实现主动防御： 身份验证：仅允许持有加密凭证的授权用户加入敏感会议或聊天，取代传统密码/验证码机制。 设备完整性检查：若用户设备被感染、越狱或不合规，即使身份已验证也应阻止其接入会议，直至风险修复。 可视化信任标识：所有会议参与者需看到他人身份与设备安全的可验证证明，从而消除终端用户的判断负担。 Beyond Identity的RealityCheck方案专为填补协作工具信任缺口设计，通过以下功能实现实时防护： 身份核验：为每位参与者生成基于加密设备认证的可视化身份徽章。 动态风险检测：实时验证设备合规性，包括非托管设备。 跨平台支持：目前兼容Zoom和Microsoft Teams（视频与聊天功能）。 该方案通过构建无法被伪造的信任条件，在董事会会议、金融交易等高危场景中彻底阻断AI深度伪造攻击的渗透路径。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新西兰研究员“MrBruh”指出，华硕主板预装的驱动程序软件DriverHub存在两个可通过远程利用执行任意代码的漏洞。 这两个漏洞被追踪为CVE-2025-3462（CVSS评分8.4）和CVE-2025-3463（CVSS评分9.4），攻击者可通过构造恶意HTTP请求与DriverHub交互。 华硕表示，漏洞源于缺乏充分验证，分别可被用于与软件功能交互及影响系统行为。该公司同时称“笔记本电脑、台式机或其他终端设备”不受影响。 然而MrBruh解释称，安全缺陷存在于预装软件接收和执行软件包的过程中，可实现远程代码执行。 DriverHub在后台运行，与driverhub.asus.com通信以通知用户需安装或更新的驱动程序。其依赖远程过程调用（RPC）协议，并通过本地服务允许网站通过API请求连接。 据MrBruh分析，虽然DriverHub仅接受来自driverhub.asus.com的RPC请求，但将源地址改为“driverhub.asus.com.*”即可允许未授权用户发送请求。 此外，驱动程序的UpdateApp端点接受包含“.asus.com”的构造URL参数，保存指定名称文件，下载任意扩展名文件，自动以管理员权限执行签名文件，且不删除签名验证失败的文件。 在分析以ZIP压缩包分发的独立Wi-Fi驱动程序时，MrBruh发现可利用静默安装功能通过UpdateApp端点执行任意文件。 该研究员演示了如何通过诱使用户访问托管在driverhub.asus.com.*子域名的恶意网页，实现一键远程代码执行。 MrBruh于4月8日报告漏洞，华硕于5月9日发布修复补丁。研究员称未发现任何注册的driverhub.asus.com.*域名，“表明漏洞在报告前未被主动利用”。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 浏览器扩展已深度嵌入员工日常工作流程，从语法检查到寻找折扣等任务均提供助力。然而，其广泛权限带来了重大安全风险，却大多未被IT和安全团队察觉。 一份独特的《2025年企业浏览器扩展安全报告》首次结合公开扩展商店数据与企业实际使用遥测数据，揭示了这一被低估的威胁载体。 报告主要发现： 扩展无处不在但危险：99%的企业用户安装了浏览器扩展，其中52%运行超过10个扩展，显著扩大了威胁面。 安全分析：几乎每位员工都可能危及组织安全。 对敏感数据的广泛权限：企业环境中53%的扩展拥有“高”或“关键”风险权限，可访问Cookie、密码、浏览历史和网页内容等敏感数据。 安全分析：单个被攻破的扩展可能使整个组织陷入风险。 生成式AI扩展：隐蔽威胁：超过20%的企业员工使用生成式AI扩展，其中58%具有“高”或“关键”权限，构成重大风险。 安全分析：企业必须对生成式AI扩展的使用和数据处理实施严格政策。 不可信的扩展发布者：54%的扩展通过Gmail账户匿名发布，79%来自仅发布过单个扩展的发布者，导致信任评估极度困难。 安全分析：扩展信任验证高度困难，增加了恶意活动的可能性。 废弃和过时扩展：51%的扩展超过一年未更新，26%的企业扩展通过旁加载规避安全审查。 安全分析：过时或未受管理的扩展因潜在漏洞显著增加安全风险。 对安全和IT团队的建议： 审计企业环境中所有浏览器扩展。 对扩展进行分类以了解其风险特征。 详细枚举和分析扩展权限。 对每个扩展执行全面风险评估。 实施基于风险的自适应安全策略以有效管理扩展威胁。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 应用安全领域正面临一个持续十余年的悖论：检测工具越先进，警报结果却越无用。随着静态分析工具、扫描器和CVE数据库的警报激增，真正的安全保障却愈发遥不可及。取而代之的是警报疲劳与不堪重负的团队——这已成为行业新常态。 根据OX Security的《2025年应用安全基准报告》，95-98%的应用安全警报无需采取行动——事实上，这些警报对组织的危害可能大于帮助。我们的研究覆盖178个组织的1.01亿个安全检测结果，揭示了现代应用安全运营的低效。每个组织平均收到近57万条警报，其中仅有202条代表真实关键问题。 这个令人震惊的结论难以忽视：安全团队正在追逐幻影，将时间浪费在对无实际威胁漏洞的处置上，消耗预算，并与开发团队关系紧张。最糟糕的是——安全正在阻碍实际创新。正如Chris Hughes所言：“我们以业务赋能者自居，实则将同事埋没于苦工，延缓开发速度，最终损害业务成果。” 回溯2015年，全球公开披露的CVE漏洞仅6,494个，彼时检测能力被视为核心指标。十年间，云原生应用普及、开发周期提速、攻击面扩张，至2025年全球CVE漏洞总数已突破20万。然而，多数安全工具仍固守“检测为王”逻辑，向控制面板倾泻未经筛选、缺乏上下文的警报。 OX的基准报告证实了从业者长期怀疑的现象： 32%的已报告问题存在低利用概率 25%没有已知公开漏洞利用 25%源于未使用或仅用于开发的依赖项 这种无关检测结果的洪流不仅拖慢安全速度——更在主动削弱安全效能。 为对抗这种厄运循环，组织必须采用基于证据优先级的更复杂应用安全方法。这需要从通用警报处理转向涵盖从设计阶段到运行时代码的全面模型，包含以下要素： 可达性：漏洞代码是否被使用，是否可访问？ 可利用性：该环境中是否存在漏洞利用条件？ 业务影响：此处被攻破会造成实际损害吗？ 云到代码映射：该问题在SDLC中起源于何处？ 通过实施此类框架，组织能有效过滤噪音，专注于构成真实威胁的少数警报。这能提升安全效能，释放宝贵资源，并支持更自信的开发实践。OX Security正通过代码投影（Code Projection）应对这一挑战——这项基于证据的安全技术将云和运行时元素映射回代码源头，实现上下文理解和动态风险优先级排序。 通过基于证据的优先级排序，每个组织平均569,354条警报可缩减至11,836条，其中仅202条需立即处置。行业基准揭示多个关键洞见： 一致的噪音阈值：无论企业或商业环境，不同行业的基线噪音水平惊人相似 企业安全复杂性：企业环境因更广泛的工具生态、更大的应用覆盖、更多的安全事件、更频繁的事件和更高的整体风险敞口面临更大挑战 金融行业脆弱性：金融机构警报量显著更高。其对金融交易和敏感数据的处理使其成为高价值目标。如《Verizon数据泄露调查报告》所示，95%的攻击者主要动机是经济利益而非间谍活动。金融机构与货币资产的密切关系为攻击者创造了直接获利机会 这些发现具有深远影响。如果少于5%的应用安全修复对组织至关重要，那么所有组织在分类、编程和网络安全工时上的巨额投入都将徒劳。这种浪费延伸至漏洞赏金计划支付（白帽黑客发现需修复的漏洞），以及未及时发现并进入生产环境的漏洞修复成本。最终重大成本是开发团队与安全团队之间因要求修复无关漏洞而产生的紧张关系。 面对2025年预计新增的5万个漏洞，传统“全检测、后修复”模式已显危险。OX报告强调应用安全的未来不在于修复所有潜在漏洞，而在于智能识别真实风险。当企业能将97.8%的无效警报过滤，安全团队方能摆脱“救火队”角色，真正成为业务创新的护航者。          消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文