安全内参7月24日消息，今年1月中旬，正值隆冬时节，乌克兰利沃夫市的部分居民被迫在没有集中供暖的情况下生活了两天。安全研究人员和乌克兰当局后来得出结论，原因是一家市政能源公司遭受了网络攻击。 美国工控安全公司Dragos昨天发布报告，详细介绍了一种名为FrostyGoop的新型恶意软件。Dragos表示，该软件旨在攻击工业控制系统。在上述案例中，该软件被用来针对一种供暖系统控制器。 新型恶意软件致使超600栋公寓停暖 Dragos的研究人员在报告中写道，他们在今年4月首次检测到这种恶意软件。当时，除了恶意软件样本外，Dragos没有更多关于FrostyGoop的信息，认为它仅用于测试。然而，后来乌克兰当局向Dragos发出预警称，有证据表明在1月22日晚间至1月23日，这种恶意软件被用于对利沃夫发起网络攻击。 在报告发布前的一次记者电话会议中，Dragos的研究人员Mark Graham（代号“喜鹊”）说道：“攻击导致超过600栋公寓楼在近48小时内失去了供暖。” 乌克兰国家安全委员会的一位发言人通过电子邮件告诉外媒TechCrunch，在攻击发生后，他们“参与制定了应对措施”。 发言人在电子邮件中写道：“因此，网络攻击的影响很快被消除，服务得以恢复。” 发言人证实攻击发生在2024年1月，影响了“利沃夫市超过600户家庭。”发言人还表示，黑客的目标是“LvivTeploEnergo的信息和通信基础设施”，这是一家大型暖气和热水供应商。 Dragos的研究人员Graham、Kyle O’Meara和Carolyn Ahlers在报告中写道：“事件的修复花了近两天时间。在此期间，民众不得不忍受低于零度的气温。” 工控恶意软件正成为重大威胁 这是近年来乌克兰人遭遇的第三起与网络攻击相关的市政服务停运事件。研究人员表示，虽然这种恶意软件不太可能引起大范围停运，但它表明恶意黑客正在加大对关键基础设施（如能源电网）的攻击力度。 FrostyGoop恶意软件旨在通过Modbus协议与工业控制设备（ICS）交互。Modbus是一种在全球范围内广泛使用的旧协议，用于控制工业环境中的设备。根据Dragos的说法，这意味着FrostyGoop可以用于攻击其他公司和设施。 Graham告诉记者：“目前，至少有4.6万个暴露在互联网上的ICS设备允许使用Modbus。” Dragos表示，FrostyGoop是该公司多年来遇到的第九个专门针对ICS的恶意软件。其中最著名的是Industroyer（也称为CrashOverride）。与俄罗斯政府有关的臭名昭著的黑客组织Sandworm先后利用Industroyer切断基辅的电力、断开乌克兰的电力变电站。 除了针对乌克兰的这些网络攻击，Dragos还发现名为Triton的恶意软件，它先后被部署在沙特一家石化工厂和另一座未知设施。另外，去年Mandiant公司还发现名为CosmicEnergy的恶意软件。 攻击者通过路由器进入网络，国产控制器遭劫持 Dragos的研究人员写道，他们认为控制FrostyGoop恶意软件的黑客首先通过利用暴露在互联网的MikroTik路由器的漏洞访问了目标市政能源公司的网络。研究人员表示，该路由器与其他服务器和控制器没有“充分隔离”。其中一款控制器的制造商是中国公司ENCO。 Graham在电话会议中表示，他们在立陶宛、乌克兰和罗马尼亚发现了处于暴露状态的ENCO控制器。他再次强调，虽然这次FrostyGoop用于利沃夫的定向攻击，但控制该恶意软件的黑客完全有可能会在其他地方发起攻击。 ENCO及其员工未立即回应TechCrunch的置评请求。 研究人员写道：“对手没有尝试破坏控制器。相反，对手让控制器报告不准确的测量结果，导致系统运行错误，无法向客户供暖。” 在调查期间，研究人员表示，他们得出结论认为黑客“可能在2023年4月”首次访问了目标网络，这差不多是他们部署恶意软件并切断供暖之前一年。报告称，在接下来的几个月中，黑客不断访问网络，并在2024年1月22日通过位于莫斯科的IP地址连接到网络。 Graham表示，尽管攻击者IP地址位于俄罗斯，Dragos并未指出哪一家已知黑客组织或政府应对此次网络攻击导致的服务中断负责，因为他们找不到与之前活动或工具的联系，也因为Dragos长期以来并不对网络攻击进行溯源。 不过，Graham指出，他和他的同事们认为这次破坏行动是通过互联网进行的——而不是向设施发射导弹——可能是为了破坏当地乌克兰人的士气。 Graham说：“我认为，这次攻击在很大程度上是一种心理攻击，通过网络手段进行。这种情况下，物理攻击可能并非最佳选项。” 最后，Dragos的首席技术官Phil Tonkin表示，虽然我们不能低估FrostyGoop带来的危害，但同样重要的是不要过分炒作它。他在与媒体的电话会议中说道：“我们必须认识到，这是一个被积极使用的工具。同样重要的是，我们不要认为这个工具能够立即摧毁一个国家的电网。”   转自安全内参，原文链接：https://mp.weixin.qq.com/s/pjZbGxwrxS-FvAffOMUM5Q 封面来源于网络，如有侵权请联系删除

ClickBalance一个云数据库暴露在公网，导致7.69亿条记录泄露，其中包括API密钥和电子邮件地址等信息。 安全内参7月25日消息，根据安全研究员Jeremiah Fowler的最新发现，ERP软件提供商ClickBalance拥有的一个包含7.69亿条记录的云数据库未设置任何密码或安全认证，恶意威胁行为者可以轻而易举地访问这些数据。 ClickBalance是墨西哥最大的企业资源规划（ERP）技术提供商之一，提供可以从任何设备访问的ERP工具。ERP工具负责管理和自动化各部门的业务流程，涵盖财务、人力资源、供应链、制造和销售等部门。 Fowler向WebsitePlanet报告了这一问题。该报告指出，该数据库包含了潜在的敏感信息，如访问令牌、API密钥、密钥、银行账号、税号和381224个电子邮件地址。 泄露记录的截图（来源：Jeremiah Fowler） API和密钥的暴露非常令人担忧，因为网络犯罪分子可能利用这些数据未经授权地访问关键系统和敏感数据，进而引发数据盗窃、账号接管、未经授权的交易和服务中断。 电子邮件地址的暴露也带来了潜在的风险。相关风险不仅限于垃圾邮件，因为91%的网络攻击始于钓鱼邮件。犯罪分子可以创建欺骗性电子邮件以窃取个人信息、财务数据和登录凭证。网络犯罪分子获取业务相关的电子邮件地址之后，可能发动有针对性的钓鱼攻击。 目前尚不清楚数据库暴露了多长时间，也不清楚是否有其他人访问过。不过，Fowler指出，对于管理着大量客户、员工和终端用户数据的科技公司来说，数据保护是一大难题。为此，他们设计了企业资源规划（ERP）、客户关系管理（CRM）和持续诊断与缓解（CDM）系统，方便跟踪和管理这些数据。然而，数据泄露可能暴露敏感信息，带来长期的运营和战略风险。 好消息是，Fowler发送了负责任的披露通知，几小时后该数据库限制了公共访问。尽管如此，为了防范这些风险，组织应更改密码并启用双因素认证（2FA）。 同样重要的是，要警惕未经请求的电子邮件和可疑的信息请求。通过访问控制和安全存储实践保护密钥、令牌和其他管理凭证也至关重要。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/K9_67EAtndaO55v90kA5aA 封面来源于网络，如有侵权请联系删除

法国警方与欧洲刑警组织推出大规模U盘消毒方案，可自动清除法国境内设备感染的PlugX僵尸木马。 近日，法国国家宪兵队数字犯罪打击中心（C3N）在法国网络安全公司Sekoia的协助下，与欧洲刑警组织联合推出了一款“消毒方案”，该方案能自动从受感染设备中删除PlugX僵尸网络木马。 “孤儿”僵尸网络在欧洲阴魂不散 据悉，此次行动是在Sekoia公司去年4月接管了一个广泛分布的PlugX变种病毒的命令与控制（C2）服务器后进行的。PlugX是一款被多个黑客组织长期部署的僵尸网络远程访问木马，其新变种会根据恶意活动的操作需求进行修改和发布。 Sekoia曾报告称，一个通过U盘传播的PlugX变种的僵尸网络在原始操作者放弃后继续独立传播，感染了近250万台设备。Sekoia接管了被遗弃的C2服务器，该服务器在六个月内从170个国家接收了250万次独立连接，每天有高达10万次来自感染主机的ping请求。 自毁式消杀方案 为了防止恶意行为者重新控制僵尸网络并恢复感染，Sekoia提出了一种清理机制，向感染设备推送自定义的PlugX插件，发出自毁命令将其删除。此外，研究人员还提出了一种扫描U盘并清除恶意软件的方法。然而，这种方法也存在风险，自动清理U盘可能会导致U盘损坏或数据无法访问。 由于这种“自毁式消杀”方案具有侵入性，并可能导致法律问题，研究人员不敢擅自行动，而是选择与执法部门共享解决方案。Sekoia在4月份的报告中解释说：“鉴于进行大规模消毒活动可能带来的潜在法律挑战，我们决定将是否在各自国家开展大规模消毒工作的决定权留给各国的国家计算机紧急响应小组（CERTs）、执法机构（LEAs）和网络安全当局自行决定。” 法国赶在奥运前展开“消杀”行动 根据C3N的说法，欧洲刑警组织从Sekoia那里获得了消毒方案，并正在与合作伙伴国家共享，以便从各自国家的设备中移除恶意软件。 随着2024年巴黎奥运会的临近，法国当局都处于高度警戒状态，因此在法国发现的3000个系统中存在PlugX的风险被认为是不可接受的。目前除法国外，马耳他、葡萄牙、克罗地亚、斯洛伐克和奥地利等国的执法机构也正从受感染系统中移除PlugX有效载荷。 消毒行动于2024年7月18日开始，预计将持续数月，可能在2024年底结束。法国信息系统安全局（ANSSI）将逐一通知法国受害者清理过程及潜在影响。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/5PL9D8RSl3Yt8zrCCqb0lA 封面来源于网络，如有侵权请联系删除

在巴黎奥运会前夕，卡巴斯基专家检查了巴黎近 25,000 个可免费访问的 Wi-Fi 网络。该分析发现，25% 的网络加密程度较弱或根本没有加密，导致用户的个人和银行数据容易被盗。只有 6% 的网络使用较新的安全协议 WPA3。 预计将有数千名游客参加巴黎奥运会，这是自取消健康限制以来首次亲自举办的奥运会。作为活动的一部分，卡巴斯基 GReAT（全球研究与分析团队）的研究人员绘制并评估了可供游客使用的公共 Wi-Fi 网络的安全性。 研究人员分析了最受欢迎的旅游景点和奥运场馆*附近发出的 47,891 个 Wi-Fi 信号，从中识别出 24,891 个独特的 Wi-Fi 接入点。这些网络中有四分之一（25%）在网络安全方面存在许多弱点，特别是加密级别太弱，使用户数据面临拦截、解密甚至黑客攻击的风险。 此外，近20%的网络配置了WPS协议，这是一种过时且易被攻击的算法，尤其使这些网络面临WPS攻击，可能导致数据丢失。在所分析的网络中，只有 6% 使用最新的安全协议 WPA3。 “运动员并不是唯一为奥运会做准备的人：网络犯罪分子还准备在酒店、球迷区甚至测试现场设置虚假接入点，迎接今年夏天预计将抵达巴黎的数百万人。 或危害合法网络以拦截和传输数据。配置不良的开放式 Wi-Fi 网络特别受网络犯罪分子欢迎，因为它们使他们更容易窃取密码、信用卡凭证和其他敏感数据。”卡巴斯基 GReAT META 研究中心负责人 Amin Hasbini 评论道。 使用虚拟专用网络 (VPN) 为公共 Wi-Fi 网络的用户提供了额外的安全屏障。 VPN 对互联网连接进行加密，在设备和互联网之间创建安全隧道。这种加密可以防止网络犯罪分子拦截数据，即使在不安全的网络上也是如此。通过隐藏 IP 地址并对所有传输的数据进行加密，VPN 可确保在使用公共 Wi-Fi 时个人和财务信息仍然受到保护。 转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5pcJxbTE-ahI1ZAijPHjig 封面来源于网络，如有侵权请联系删除

美国网络安全公司 KnowBe4 表示，其最近聘请的一名首席软件工程师原来是朝鲜黑客，他试图在其设备上安装信息窃取软件。 该公司及时发现并阻止了恶意行为，因此没有发生数据泄露。这起案件凸显了朝鲜黑客冒充 IT 人员的持续威胁，这是FBI 自 2023 年以来多次警告的事情 。 朝鲜拥有一支组织严密的IT 工作者大军，他们隐瞒自己的真实身份，可能受雇于数百家美国公司。 朝鲜黑客利用AI骗过背景调查 在雇用这名“员工”之前，KnowBe4 进行了背景调查，核实了所提供的推荐信，并进行了四次视频面试，以确保他们是真实的人，并且他的脸与简历上的相符。 但后来确定，该人提交了一名被盗的美国人的身份，以逃避初步检查，并且在视频会议中利用人工智能工具创建个人资料图片并进行面部匹配。 KnowBe4 是一家专门从事安全意识培训和网络钓鱼模拟的公司，2024 年 7 月 15 日，其 EDR 产品报告有人试图从刚刚发送给新员工的 Mac 工作站加载恶意软件，因此怀疑出现了问题。 KnowBe4 的一位发言人表示，该恶意软件是一个针对存储在网络浏览器数据的信息窃取程序，而这名恶意员工很可能希望提取在委托给他之前留在计算机上的信息。 攻击者可能为了查找 IT 部门初始配置过程中先前浏览器会话遗留的凭据，或者提取先前发给其他员工的未完成或未正确擦除的笔记本电脑中遗留的信息。 当该公司 IT 人员质问该活动时，这名“员工”最初辩解，但很快就停止了所有通信。 当这些警报到达 KnowBe4 的 SOC 团队时，他们联系了用户，询问异常活动和可能的原因。XXXX回复 SOC 说，他正在按照路由器指南上的步骤排除速度问题，这可能造成了损害。 攻击者执行了各种操作来操纵会话历史文件、传输潜在有害文件并执行未经授权的软件。他使用 Raspberry Pi 下载了恶意软件。SOC 试图从 XXXX 获取更多详细信息，包括给他打电话。XXXX 表示他无法接听电话，后来没有回应。 KnowBe4 首席执行官 Stu Sjouwerman 在一篇帖子中解释说，该计划涉及诱骗雇主将工作站发送到“IT 电脑农场”，该农场位于诈骗者在其申请表上申报的家庭住址附近。 然后，他们在夜间使用 VPN 连接到该设备，这样看起来就像他们在美国时间工作一样，并正常执行分配给他们的任务。 为了降低这种风险，KnowBe4 建议公司为新员工维护一个与最关键的网络部分隔离的沙盒。 该公司还表示，要确保新员工的外部设备不会被远程使用，并将送货地址不一致视为危险信号。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/NqYAPiPcdk4OsVgAG_LkLQ 封面来源于网络，如有侵权请联系删除

随着全球隐私法规的日益严格，跨国企业在网络安全战略上正面临前所未有的挑战。Gartner最新报告指出，隐私法规的实施可能导致全球IT架构的解体，并预测到2027年，至少25%的跨国企业将因数据主权战略而增加业务单位的交付成本，增幅超过一倍。 地缘政治风险与隐私法规驱动的数据本地化 在欧盟的《通用数据保护条例》(GDPR)、中国的《个人信息保护法》以及巴西的《通用数据保护法》等法规的推动下，跨国企业在全球范围内的IT和安全架构正变得日益复杂。这不仅考验了企业的组织结构和运营模式，也对网络安全战略提出了新的要求。 Gartner研究总监陈延全指出：“跨国企业正在采取多种应用和数据本地化战略，以降低合规风险，并在高度监管的市场中建立竞争优势。然而，随着本地化程度的加深，企业的全球IT架构和安全运营也变得日趋复杂。” 图1：隐私驱动的应用和数据本地化 跨国企业网络安全面临的三大挑战 Gartner指出，跨国企业网络安全面临三大挑战，企业安全和风险管理（SRM）领导者必须与法律和合规领域的专家合作，对网络安全计划进行调整，以更好地支持目标市场的业务运营。三大挑战具体如下： 地理分布式应用和数据托管增加数据访问管理的复杂性 随着合规风险和数据本地化要求的持续增加，跨国企业正在转变其应用和数据架构，从传统的中心化和单例设计模式转向组装式架构。这一转变不仅扩大了企业的攻击面，也增加了数据在不同地区分散化带来的风险。要求数据本地化存储的地区拥有较大规模业务的跨国企业，正在对其企业资源规划（ERP）、客户关系管理（CRM）以及数据和分析平台等中心化应用进行解耦。此举扩大了企业的攻击面。数据在不同地区的分散化，增加了攻击者借助物理或远程手段访问数据的风险。 2022年Gartner首席信息官（CIO）和技术高管调研显示，7%的受访者已就打造组装式企业展开了投资，另有61%的受访者预计将在2024年底之前采取这一行动。 多样化的合规要求将推动跨国企业协调安全标准 数据和应用的本地化实施，需要企业在应用开发和部署过程中，对不同司法管辖区的安全标准进行协调。这要求安全和风险管理（SRM）领导者采取系统化方法，整合各类安全标准，创建统一且适应性强的安全框架。实施数据和应用本地化，通常涉及复制应用和数据存储库，或者从相应国家/地区采购应用。针对特定地区的需求对应用进行调整和优化，为企业提供了一个机会，可以将安全要求嵌入应用的开发过程，而不是等开发完成后再行添加。对于存在解耦需求的应用，鉴于不同司法管辖区采用的安全标准可能并不相同，企业必须在应用开发和部署过程中，对不同的安全标准和要求进行协调。 图2：系统化协调和整合安全标准的方法 数据隔离和数据传输管理挑战 应用和数据的本地化导致了数据的碎片化，引发数据隔离和互操作性的挑战。SRM领导者需要采取综合性方法，全面考虑技术和非技术因素，以支持信息在不同地区间的顺畅流动。 陈延全表示：“数据隔离可能会降低信息的保真度、影响业务连续性并阻碍创新。” 此外，云服务和API的使用，增加了跨国企业数据传输管理出现缺口的风险。跨国企业可以通过实施API网关等安全控制措施来降低此类风险。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/Qs3pECspXNqkAOxpNUXP0g 封面来源于网络，如有侵权请联系删除

网络安全公司 CrowdStrike 因向 Windows 设备推送有缺陷的更新而导致全球 IT 中断，面临压力。目前，该公司警告称，攻击者正在利用这一情况，以提供修补程序为幌子，向其拉丁美洲客户分发 Remcos RAT。 攻击链涉及分发名为“ crowdstrike-hotfix.zip ”的 ZIP 存档文件，其中包含一个名为Hijack Loader（又名 DOILoader 或 IDAT Loader）的恶意软件加载器，然后启动 Remcos RAT 负载。 具体来说，该存档文件还包括一个文本文件（“instrucciones.txt”），其中包含西班牙语说明，敦促目标运行可执行文件（“setup.exe”）来从问题中恢复。 该公司表示：“值得注意的是，ZIP 档案中的西班牙语文件名和说明表明，此次活动很可能针对拉丁美洲 (LATAM) 的 CrowdStrike 客户”，并将此次活动归咎于一个疑似电子犯罪组织。 周五，CrowdStrike 承认，在 UTC 时间 7 月 19 日 04:09 推送到其适用于 Windows 设备的 Falcon 平台的常规传感器配置更新触发了逻辑错误，导致了蓝屏死机 (BSoD)，令众多系统无法运行，并使企业陷入混乱。该事件影响了运行 Falcon 传感器的客户。 攻击者迅速利用此次事件造成的混乱，建立冒充 CrowdStrike 的域名抢注网站，并向受此问题影响的公司宣传服务，以换取加密货币支付。 建议受影响的客户“确保通过官方渠道与 CrowdStrike 代表沟通，并遵守 CrowdStrike 支持团队提供的技术指导”。 微软表示，此次数字危机导致全球 850 万台 Windows 设备瘫痪，这占所有 Windows 设备的不到 1%。 此次事件再次凸显了依赖单一供应链的风险，标志着历史上最具破坏性的网络事件的影响力和规模首次被正式公开。Mac 和 Linux 设备未受到此次中断的影响。 微软表示：“这一事件表明了我们广泛的生态系统的相互关联性——全球云提供商、软件平台、安全供应商和其他软件供应商以及客户。”“这也提醒我们，对于整个技术生态系统中的所有人来说，使用现有机制优先考虑安全部署和灾难恢复是多么重要。” 英国国家网络安全中心 (NCSC) 警告称，旨在利用此次中断的网络钓鱼信息有所增加。 自动恶意软件分析平台 AnyRun 注意到“冒充 CrowdStrike 的尝试有所增加，这可能会导致网络钓鱼” AnyRun 发现，恶意攻击已开始利用 CrowdStrike 事件来传播 HijackLoader，该程序会在受感染的系统上投放 Remcos 远程访问工具。 为了诱骗受害者安装恶意软件，攻击者将 HijackLoader 负载伪装在 WinRAR 压缩文件中，承诺提供来自 CrowdStrike 的修补程序。 恶意软件加载程序伪装成 CrowdStrike 的修补程序 AnyRun 在另一条警告中宣布，攻击者还以提供 CrowdStrike 更新为幌子分发数据擦除器：“它通过用零字节覆盖文件来破坏系统，然后通过 #Telegram 报告此事。” 虚假的 CrowdStrike 更新会擦除文件 在另一个例子中，AnyRun 指出，网络犯罪分子冒充 CrowdStrike 更新或错误修复传播其他类型的恶意软件。 一个恶意可执行文件通过包含 CrowdStrike 官方更新部分内容的 PDF 文件中的链接传播。该 URL 指向一个名为update.zip的存档，其中包含恶意可执行文件 CrowdStrike.exe。 受害企业还要面临的另一种安全威胁 因为目前几乎所有灾难恢复方案需要受害者手动操作，即删除引发蓝屏的 CrowdStrike 驱动程序。 当完成该步骤后， CrowdStrike 软件处于短暂的防守空白期，用户也可能卸载该软件（比如马斯克一怒之下要求在公司的网络中完全抛弃CrowdStrike 软件）。有研究人员认为，完成此次大规模蓝屏事件的修复工作可能需要耗时数周。这为网络犯罪组织进行新的攻击活动提供了可趁之机。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/b-8jtkq-KG_7PNvZswybqA 封面来源于网络，如有侵权请联系删除

近期，印度加密货币交易所WazirX被黑客入侵，价值超过2.349亿美元的资金被盗。为了保证剩余资产的安全，目前平台关闭了所有提款。WazirX表示，团队正在积极调查这一事件。 1 WazirX遭入侵 7月18日，印度加密货币交易所WazirX被黑客入侵。安全平台Cyvers从其多重签名钱包中发现了多笔可疑交易。Cyvers报告称，黑客已将价值超过2.349亿美元的资金转移到新地址。 为了保证剩余资产的安全，目前平台关闭了所有提款。WazirX表示，团队正在积极调查这一事件。尽管此前他们采取了措施来保护客户的资产，但攻击者似乎在盗窃发生之前就已经破坏了他们的安全防护措施。 2 研究人员发声 据悉，在WazirX公开消息前，7月17日晚上多家区块链安全公司例如Elliptic、Arkham和BlockSec等均表示，他们注意到有价值数百万美元的加密货币被非法转移出了WazirX这个平台。 根据Elliptic公司的说法，攻击者已经利用多种去中心化服务将一些代币换成了以太币。Elliptic公司通过审查区块链数据和其他信息，将这次事件归咎于与朝鲜有关联的黑客。 一位知名的加密货币黑客研究人员指出，最近的一次攻击具有“Lazarus Group攻击的潜在特征”。“Lazarus Group”是一个著名的朝鲜黑客组织，他们以擅长进行引人注目的加密货币平台盗窃而知名。 3 安全漏洞引关注 外媒表示，当下网络犯罪分子持续利用加密货币平台中的安全漏洞来进行大规模的盗窃行为。 不久前一个流行的加密货币平台被盗取了大约800万美元。上个月，日本加密货币交易所DMM Bitcoin被盗，损失了价值超过3亿美元的比特币。加密货币平台仍需进一步加强安全措施来保护用户资产。   转自E安全，原文链接：https://www.secrss.com/articles/68248 封面来源于网络，如有侵权请联系删除

苹果的 Wi-Fi 定位系统 (WPS) 可用于绘制和跟踪全球的 Wi-Fi 接入点 (AP)。但在Black Hat 2024 的一次演讲中，马里兰大学研究员 Erik Rye 将演示如何在几天内绘制数亿个 AP，甚至不需要苹果设备或任何类型的权限。 苹果如何暴露全球 AP 您是否曾经想过，您的手机如何知道它在世界上的位置？ 当然，全球定位系统 (GPS) 是它使用的工具之一，但它并不完美。当设备与天空失去清晰的联系时，它的效率就会降低，而且它会消耗大量电量，这对于如此持久的任务来说并不理想。 这就是 Wi-Fi 定位系统的用武之地。如果用 Wi-Fi 接入点 (AP) 替代卫星，WPS 的工作原理有点像 GPS。 首先，运行 Apple 或 Google 操作系统的设备会定期报告其位置（通过 GPS 或手机信号塔三角测量）以及来自附近网络的相对信号强度（用其基本服务集标识符或 BSSID 标记），从而提供一些距离指示。通过这种众包，这些公司开发了有关全球 AP 位置的庞大数据库。 正如 Rye 所解释的那样，“您可能不拥有任何 Apple 设备，但尽管如此，您的 Wi-Fi 接入点仍将进入此系统，这仅仅是因为拥有 Apple 设备的人会路过您的家、给您送包裹或住在您隔壁。” 然后，单个设备可以通过扫描附近的 Wi-Fi 网络并向公司服务器报告来确定其位置。在 Apple 的案例中，WPS 服务器将返回这些 Wi-Fi 网络的位置，设备可以将其与观察到的信号强度进行比较以确定其相对位置。那么，问题是什么呢？ Apple 的 WPS API 是开放且免费的。它是为 Apple 设备设计的，但任何人都可以从非 Apple 设备查询它，而无需任何类型的身份验证或 API 密钥。使用用 Go 编写并在 Linux 上运行的程序，Rye 暴力猜测了大量 BSSID 号码，直到他最终找到一个真正的 BSSID，为此，WPS API 端点向他赠送了一组靠近它的其他 BSSID。 “一旦开始获得命中，你就可以进行所谓的‘滚雪球抽样’，然后将其反馈回去，并不断反复抽样。”他解释道。“在不到一周的时间内，我们能够积累大约 5 亿个唯一的 BSSID。” 苹果 WPS 的一个特殊功能让这一过程变得更加高效。在响应位置查询时，它会主动返回最多 400 个结果，而不仅仅是几个附近的网络。 有什么风险？ “我们基本上可以创建一张地球的 Wi-Fi 地图，其中包括一些最偏远的地方：南极洲、大西洋中部的小岛等等。”Rye 说。 他的研究成果包括：一张为饱受战争蹂躏的乌克兰提供互联网接入的 Starlink AP 地图，以及一幅加沙地带互联网接入不断变化的图景，这些都可能是有价值的军事情报。 更有针对性的隐私攻击可能涉及在个人搬家或使用移动 AP（例如，在房车中）旅行时跟踪他们。 “这很有趣——每个人都有自己想要了解的案例研究。”赖伊说。“有人问过我们关于火人节的问题，这个问题很容易回答，因为火人节位于偏僻的地方。所以如果你的接入点出现在那里，我们就知道你来参加火人节了。” 什么可以做（什么不可以做） 细心的读者可能会问：如果苹果和谷歌都有 WPS，为什么我们只挑选一个呢？ 这两个系统都使用庞大的全球 BSSID 数据库来三角测量设备位置。但是，当 Android 设备查询 Google 的 WPS API 时，Google 的服务器会进行三角测量并回复结果，而不是回复一长串 BSSID。因此，所有额外数据都不会被暴露。 Google 还需要一个 API 密钥，它用它来对查询收取费用（最多每两次请求收取一分钱）。对于普通用户来说，这笔小费用微不足道，但对于需要猜测大量 BSSID 才能找到真实 BSSID 的攻击者来说，这笔费用是高得离谱的，就像 Rye 在测试中所做的那样。 这只是苹果、接入点制造商甚至立法者可以改善接入点安全性的众多方法中的两种。与此同时，个人也可以采取一些预防措施。 “如果你是一个技术娴熟的用户——运行OpenWrt 或类似程序——你可以手动随机化你的 BSSID。但这超出了大多数人的能力范围。”Rye 说。 特别处于危险中的个人可以完全避免使用旅行 AP，并在每次搬家时采用新的 AP。Rye 补充道：“Apple 已实施了选择退出功能。如果您在网络名称末尾添加‘_nomap’，Apple 表示这将阻止您的 Wi-Fi 接入点进入他们的系统。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/teziza2UEcX8a0U9G-7_KQ 封面来源于网络，如有侵权请联系删除

在隐私保护为重要卖点的AI手机市场，苹果的“隐私云计算”和安卓的“混合AI”展开了隐私保护军备竞赛。 随着生成式AI技术逐渐融入手机核心功能，隐私问题变得愈加突出。苹果在6月10日的全球开发者大会上宣布推出“苹果智能”（Apple Intelligence），宣布与OpenAI合作将ChatGPT引入iPhone，标志着苹果在AI领域迈出了一大步，同时也引发了外界对苹果隐私保护的广泛关注。除了消费者外，苹果智能还面临着虎视眈眈的欧盟《数字市场法案》（DMA）。就在苹果全球开发者大会结束后不久，6月25日欧盟委员会通知苹果公司将对其展开调查，因为苹果公司（阻挠第三方应用商店的反市场竞争）行为违反了欧盟DMA法律，可能被处以全球总营业额10%的天价罚款。 苹果打造AI隐私新标准：隐私云计算 在全球开发者大会上，苹果的软件工程高级副总裁Craig Federighi表示，苹果的策略将成为AI隐私的新标准。苹果的“Private Cloud Compute (PCC)”系统将在自己的硬件服务器上运行，提供一种创新的隐私保护方式。“苹果通过PCC设计了一种新的端到端AI架构，扩展了用户iPhone的私人云环境，允许更好地控制数据。”Digital Barriers首席执行官Zak Doffman解释道。实际上，这意味着苹果可以掩盖AI请求的来源，防止包括苹果在内的任何人访问用户数据。Doffman表示，“理论上，这接近于云端AI的端到端加密。” Inrupt的安全架构主管Bruce Schneier称赞苹果为其AI打造了一个“令人印象深刻的隐私保护系统”。他指出，苹果的目标是确保AI的使用，即便在云端，也不低于手机自身的安全性。虽然这一系统仍存在一些不确定因素，但他认为苹果已经做得相当出色。 遗憾的是，虽然将隐私保护作为重要卖点，但“苹果智能”出师不利。上周五苹果公司宣布推迟在欧盟推出“苹果智能”和其他相关功能，原因是“《数字市场法案》带来的监管不确定性”。 安卓的“混合AI” 三星和谷歌的“混合AI”也采用本地和云端相结合的方法。GRC国际集团的AI主管Camden Woollven表示，这种方法旨在提供强大AI功能的同时，尽可能保护隐私。然而，这种混合AI处理方式仍存在风险，因为部分数据需要传输到云端服务器，可能更容易被截获或滥用。谷歌和其硬件合作伙伴则认为，隐私和安全是安卓AI方法的关注重点。三星电子的移动体验业务安全团队负责人Justin Choi解释说，其混合AI提供了数据控制和无与伦比的隐私保护。Choi表示混合AI在云端处理的服务器受严格的安全政策控制。谷歌的数据中心具备强大的安全措施，包括物理安全、访问控制和数据加密。谷歌产品信任副总裁Suzanne Frey表示，谷歌的AI功能依赖于其自身的云端模型，确保敏感信息不会被发送给第三方处理。 第三方风险 与安卓AI不同，“苹果智能”还面临第三方风险。事实上，苹果与OpenAI的合作一开始就引发了外界的广泛质疑，尤其是来自OpenAI联合创始人埃隆·马斯克的批评。马斯克在社交媒体X上称，苹果的ChatGPT驱动AI工具是“令人毛骨悚然的间谍软件”和“不可接受的安全漏洞”。他甚至威胁，如果苹果在操作系统层面整合OpenAI，其公司将禁止使用苹果设备。苹果反驳了马斯克的指控，称与OpenAI的合作不会影响iPhone的安全性，并强调了为用户隐私提供的保护措施，包括查询共享前需征得用户同意和IP地址的匿名处理。然而，安全专家仍对合作的隐私影响和“第三方风险”表示担忧。 AI手机的隐私保护竞赛 苹果和谷歌都在鼓励安全研究人员寻找其AI解决方案中的漏洞。但谷歌的方法更为封闭，其Secure AI Framework由旗下的网络安全公司Mandiant负责测试AI模型的防御能力。苹果则采用了相对开放的“可验证透明度”模式，为PCC的软件图像提供公开访问，让外部安全研究人员能够检查其软件功能并识别问题。随着苹果计划在即将推出的iOS 18更新中整合“苹果智能”和ChatGPT功能，隐私和安全问题将成为用户选择AI功能的重要考虑因素。正如专家Andy Pardoe所指出的，“苹果（宣称的）的隐私保护能力仍然是重视数据安全的用户的关注重点。” 选择苹果iOS还是安卓AI手机，最终取决于用户的信任。Pardoe建议用户评估操作系统在隐私特性、数据处理实践和透明度方面的整体权衡。目前从云端加密控制、安全测试开放度和透明度等方面来看，“苹果智能”在隐私保护方面的表现已经领先安卓。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/jowNVqYE1YXhq3hUCWB72g 封面来源于网络，如有侵权请联系删除