近日，Twilio 称发现了一个不安全的 API 端点，允许威胁行为者非法验证数百万 Authy 多因素身份验证用户的电话号码，这可能导致他们收到短信钓鱼，同时还可能会遭遇 SIM 卡交换攻击。 Authy 是一款移动应用程序，可在启用了 MFA 的网站上生成多因素验证码。 6 月底，一个名为 ShinyHunters 的威胁行为者泄露了一个 CSV 文本文件，其中包含他们在 Authy 服务注册的 3300 万个电话号码。 ShinyHunters 在黑客论坛上分享 Twilio Authy 数据来源：BleepingComputer CSV 文件包含 33420546 行内容，每一行都包含账户 ID、电话号码、”over_the_top “列、账户状态和设备数量。 Twilio 表示，有威胁分子使用了一个未经验证的 API 端点编译了电话号码列表。目前，Twilio 检测到由于使用了未经身份验证的端点，威胁行为者能够识别与 Authy 账户相关的数据，包括电话号码。Twilio 现已采取措施保护该端点的安全，不再允许未经身份验证的请求。 目前还没有任何证据表明威胁行为者获取了 Twilio 的系统或其他敏感数据。不过作为预防措施，Twilio 要求所有 Authy 用户更新到最新的 Android 和 iOS 应用程序，以获取最新的安全更新，并敦促所有 Authy 用户保持警惕，提高对网络钓鱼和网络诈骗攻击的防范意识。 2022 年Twilio 曾披露过两起漏洞攻击事件，当时有威胁行为者入侵了其基础设施并访问 Authy 客户信息。 滥用不安全的 API 据悉，这些数据是通过不安全的 API 端点输入大量电话号码列表编制而成的。如果号码有效，端点就会返回在 Authy 注册的相关账户信息。 这种技术与此前威胁行为者滥用Twitter API 和 Facebook API 编译数千万用户配置文件的方式类似。 ShinyHunters 在帖子中称：虽然 Authy 只获取电话号码，但这对于那些想实施诈骗、SIM 卡交换攻击入侵账户的用户仍然有利。并暗示威胁行为者将电话号码列表与据称 Gemini 和 Nexo 数据泄露事件中泄露的电话号码进行比较。 如果发现匹配，威胁者可能会尝试执行 SIM 卡交换攻击或网络钓鱼攻击，入侵加密货币交易所账户并窃取所有资产。 Twilio 目前已经发布了新的安全更新，并建议用户升级到 Authy Android（v25.1.0）和 iOS App（v26.1.0），其中包括安全更新。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405195.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，一名澳大利亚男子被澳大利亚联邦警察（AFP）指控涉嫌在珀斯、墨尔本和阿德莱德的各种国内航班和机场，以伪造虚假WIFI的形式窃取他人的电子邮件或社交媒体凭证。 该男子42岁，通过便携式设备模仿航空公司及飞机上提供的官方WIFI名称建立虚假网络，当用户尝试连接时会被定向到虚假登录页面或强制门户网页，要求他们使用电子邮件地址、密码或其他凭证登录。 据法新社报道，警方在接到一家航空公司航班上出现可疑WIFI网络的报告后，于2024年4月展开调查，并于当月19日他准备乘飞机返回珀斯机场时将其逮捕，并现场从手提行李中查获了一个便携式无线接入设备、一台笔记本电脑和一部手机。 警方对查获的设备进行了分析，发现了数十个属于其他人的个人凭证以及欺诈性WiFi页面。这些凭证可用于访问更多个人信息，包括受害者的在线通信、存储的图像和视频以及银行账户信息。 2024年5月，警方正式对这名男子提出了指控，目前对该男子的的违法犯罪活动还在进一步调查中，该男子已于2024年6月28日在珀斯地方法院出庭，并面临多项指控： 未经授权破坏电子通信，最高可判处 10 年监禁； 拥有数据控制权，意图实施严重犯罪，最高可判处 3 年监禁； 未经授权访问或修改受限数据，最高可判处 2 年监禁； 以不正当手段获取或处理个人财务信息，最高可判处 5 年监禁； 持有身份信息意图犯罪，最高可判处 3 年监禁。 法新社西部司令部网络犯罪侦探督察安德里亚·科尔曼（Andrea Coleman）表示，此案是一个及时的警告，要谨慎登录任何公共WIFI网络，避免输入个人敏感信息。 他还建议在公共场合外出时关闭手机或其他电子设备上的WiFi，以防止设备自动连接到不安全的热点。   转自Freebuf，原文链接：https://www.freebuf.com/news/404900.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，Proofpoint的安全研究人员近期注意到有多个黑客组织正利用虚假的谷歌 Chrome浏览器、Word 和 OneDrive 等程序的运行错误来诱导用户安装运行带有恶意 PowerShell的修复程序。 据观察，这些黑客组织包括 ClearFake和TA571， ClearFake曾利用网站覆盖层，提示访问者安装带有恶意软件的虚假浏览器更新，而TA571以发送大量电子邮件的垃圾邮件分发商而闻名。 Proofpoint观察到三个攻击链，这些攻击链主要在初始阶段存在差异。第一种情况与 ClearFake 相关，当 Chrome 用户访问一个受感染的网站时，会通过币安的智能链合约加载托管在区块链上的恶意脚本。 此脚本会显示虚假的 Google警告，指出显示网页时出现问题，并提示访问者安装“根证书”，将恶意 PowerShell 脚本复制到 Windows 剪贴板并在 Windows PowerShell（管理）控制台中运行。 虚假的谷歌浏览器错误 PowerShell 脚本将执行各种步骤来确认设备是有效目标，然后下载其他有效负载，包括刷新 DNS 缓存、删除剪贴板内容、显示诱饵消息、下载另一个远程 PowerShell 脚本并在下载信息窃取程序之前执行反 VM 检查。 第二个攻击链是在被攻击的网站上使用注入程序，创建一个 iframe 来覆盖另一个虚假的 Chrome 浏览器错误。用户被指示打开 “Windows PowerShell（管理员）”并粘贴所提供的代码，从而导致上述相同的感染。 第三个攻击链使用类似 Word 文档的 HTML 附件，提示用户安装 “Word Online “扩展来正确查看文档，所弹出的提示提供了 “如何修复 “和 “自动修复 “选项，其中 “如何修复 “会将一个 base64 编码的 PowerShell 命令复制到剪贴板，指示用户将其粘贴到 PowerShell 中。 虚假的 Word 提示 “自动修复 “使用 search-ms 协议在远程攻击者控制的文件共享上显示 WebDAV 托管的 “fix.msi “或 “fix.vbs “文件。 在这种情况下，PowerShell 命令下载并执行 MSI 文件或 VBS 脚本，分别导致 Matanbuchus 或 DarkGate 感染。 以上三种攻击连都是攻击者利用了目标用户对其系统上执行 PowerShell 命令风险认知的匮乏，他们还利用  Windows 无法检测和阻止粘贴代码发起的恶意操作。 Proofpoint 指出，他们观察到的有效载荷已包括 DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、剪贴板劫持者和 Lumma Stealer。这些攻击虽然需要大量交互，但每一步操作看起来都足够以假乱真。   转自Freebuf，原文链接：https://www.freebuf.com/news/403837.html 封面来源于网络，如有侵权请联系删除

近日，来自三星、首尔国立大学和佐治亚理工学院的韩国研究团队的研究人员发现一种以 ARM 的内存标记扩展（MTE）为目标的，名为 “TIKTAG “的新型攻击，黑客可利用这种方式绕过安全防护功能，这种攻击专门针对谷歌浏览器和 Linux 内核的攻击，导致数据泄露几率超过 95%。 MTE是ARM v8.5-A架构（及更高版本）新增的一项功能，旨在检测和防止内存损坏。系统采用低开销标签技术，为 16 字节内存块分配 4 位标签，确保指针中的标签与访问的内存区域相匹配，从而防止内存损坏攻击。 MTE 有三种运行模式：同步、异步和非对称，兼顾了安全性和性能。 研究人员发现，通过使用两个小工具（代码），即 TIKTAG-v1 和 TIKTAG-v2，他们可以利用投机执行在短时间内泄露 MTE 内存标记，成功率很高。 标签泄露图 泄露这些标签不会直接暴露敏感数据，如密码、加密密钥或个人信息。但理论上，它可以让攻击者破坏 MTE 提供的保护，使安全系统无法抵御隐蔽的内存破坏攻击。 TIKTAG 攻击 TIKTAG-v1 利用 CPU 分支预测和数据预取行为中的推测收缩来泄漏 MTE 标记。 TIKTAG-v1 代码 研究人员发现，这个小工具在攻击 Linux 内核时，对投机性内存访问的功能格外有效，不过需要对内核指针进行一些操作。 攻击者使用系统调用调用投机执行路径，并测量缓存状态以推断内存标签。 TIKTAG-v2 利用了投机执行中的存储到加载转发行为，这是一个将值存储到内存地址并立即从同一地址加载的序列。 TIKTAG-v2 代码 如果标签匹配，值将被转发，加载成功，并影响缓存状态；如果标签不匹配，转发将被阻止，缓存状态保持不变。 因此，通过探测投机执行后的缓存状态，可以推断出标签检查结果。 研究人员展示了 TIKTAG-v2 小工具对谷歌 Chrome 浏览器，尤其是 V8 JavaScript 引擎的有效性，为利用渲染器进程中的内存破坏漏洞开辟了道路。 通过 MTE 旁路实现的攻击场景 行业响应和缓解措施 研究人员在 2023 年 11 月至 12 月期间向受影响的企业报告了他们的发现，并得到了普遍积极的回应。 发表在 arxiv.org 上的技术论文提出了以下针对 TIKTAG 攻击的缓解措施： 修改硬件设计，防止投机执行根据标签检查结果修改高速缓存状态。 插入投机障碍（如 sb 或 isb 指令），防止关键内存操作的投机执行。 添加填充指令，以扩展分支指令和内存访问之间的执行窗口。 增强沙箱机制，将投机性内存访问路径严格限制在安全内存区域内。 虽然 ARM 认识到了情况的严重性，并在几个月前发布了公告，但它并不认为这是对功能的妥协。 ARM 在公告中写道：由于 Allocation Tags 对地址空间中的软件来说并不是秘密，因此揭示正确标签值的投机机制并不被视为对架构原则的破坏。 Chrome 浏览器的安全团队承认存在这些漏洞，但目前并未打算修复。因为他们认为 V8 沙盒的目的不是保证内存数据和 MTE 标记的机密性。 此外，Chrome 浏览器目前默认不启用基于 MTE 的防御功能，因此修复的优先级较低。 Pixel 8 设备中的 MTE 标记已于今年 4 月报告给了安卓安全团队，并被确认为符合悬赏条件的硬件漏洞。   转自Freebuf，原文链接：https://www.freebuf.com/news/403690.html 封面来源于网络，如有侵权请联系删除

乌克兰安全局 SBU拘留了两名据称帮助俄罗斯情报部门传播亲克里姆林宫宣传和窃听乌克兰士兵手机的人员。 这两名嫌疑人运营所谓的机器人农场，使用特殊服务器和 SIM 卡来创建和管理虚假的社交媒体账户。 其中一个机器人农场位于西部城市日托米尔，位于一名身份不明的乌克兰女子的公寓内。根据乌克兰安全局的声明，她注册了 600 多个虚拟手机号码以及数量不详的虚假 Telegram 账户，然后在专门的俄罗斯犯罪网站上出售或出租这些号码以换取加密货币。 乌克兰安全局称，俄罗斯情报部门利用这些账户和电话号码向乌克兰军方发送钓鱼邮件，入侵其设备。这些邮件包含恶意文件，一旦打开，就会在目标手机上安装间谍软件，以收集机密数据。 乌克兰安全局称，俄罗斯还利用这些账户传播据称代表普通乌克兰公民的亲克里姆林宫言论。 另一名嫌疑人是来自乌克兰中东部城市第聂伯罗的一名 30 岁男子，他使用乌克兰移动运营商的 SIM 卡在各种社交网络和即时通讯应用上注册了近 15,000 个虚假账户。乌克兰安全局称，他随后在暗网论坛上将这些账户卖给了俄罗斯情报机构。 如果罪名成立，两名嫌疑人将面临最高三年监禁或罚款。调查仍在进行中。 俄罗斯此前曾利用机器人农场在战争期间进行宣传和制造恐慌。参与运营机器人农场的人通常会收到俄罗斯卢布的报酬，而卢布是乌克兰禁止使用的货币。 今年 4 月早些时候，乌克兰安全局在基辅逮捕了两名黑客，他们涉嫌通过冒充乌克兰政府官员的社交媒体账户传播俄罗斯宣传。同月，一名乌克兰男子因制作和传播俄罗斯宣传被判处15 年监禁。 今年 1 月，乌克兰安全局拘捕了一名亲俄黑客，他涉嫌对乌克兰国家网站发动网络攻击并泄露战略信息。如果罪名成立，他可能面临最高 12 年的监禁。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/T9IibyYHilKsSVLQid3TrQ 封面来源于网络，如有侵权请联系删除

据称，来自巴基斯坦的黑客在为期六年针对印度政府、国防和技术部门相关公司的攻击活动中使用了基于 Android 的恶意软件。 据思科 Talos 研究人员称，该攻击活动仍在进行中，涉及使用名为 GravityRAT 的恶意软件，该恶意软件可让黑客窃取信息。在该研究机构周四发布的一份报告中，研究人员将该活动称为“Operation Celestial  Force（天体力量行动）”。 思科 Talos 表示，自 2019 年以来，它发现黑客不断为 GravityRAT 添加功能，使他们能够窃取设备数据，例如移动设备识别码、电话号码、网络操作、SIM 信息和设备位置。 “Operation Celestial  Force（天体力量行动）”的感染链 思科此前曾曝光巴基斯坦攻击者在 2018 年使用 GravityRAT 攻击印度目标。 该恶意软件还允许黑客阅读短信、窃取设备上的文件、阅读通话记录并删除所有联系人。 黑客通过恶意网站传播 GravityRAT，其中一些网站的注册时间最晚为 2024 年 1 月。这些网站声称提供合法的 Android 应用程序。 此次攻击背后的黑客属于一个被研究人员称为“Cosmic Leopard（宇宙豹）”的组织，该组织主要专注于间谍和监视活动。 思科 Talos 的研究人员表示：“这项行动至少在过去六年中一直活跃，Talos 观察到近年来威胁形势总体呈上升趋势，尤其是利用移动恶意软件针对高价值目标进行间谍活动，包括使用商业间谍软件。” 扩展和重叠 除了 GravityRAT 恶意软件之外，“Operation Celestial  Force（天体力量行动）”活动还使用了“不断扩展和演变的恶意软件套件”——思科 Talos 表示，这证明黑客“在针对印度目标方面取得了高度成功”。 此次扩展包括 HeavyLift 恶意软件家族——它允许黑客下载并安装其他恶意植入程序到受害者的设备上。 “此次活动主要利用两种感染媒介——鱼叉式网络钓鱼和社会工程。鱼叉式网络钓鱼包括向目标发送带有相关语言和包含 GravityRAT 等恶意软件的恶意文档的消息。”研究人员表示。 “另一种感染媒介在这次行动中越来越受欢迎，现在也是“Cosmic Leopard （宇宙豹）”行动的主要策略，即通过社交媒体渠道联系目标，与他们建立信任，最终向他们发送恶意链接，下载基于 Windows 或 Android 的 GravityRAT 或基于 Windows 的加载程序 HeavyLift。” “Cosmic Leopard （宇宙豹）”的活动与透明部落（另一个巴基斯坦黑客组织）的活动重叠。透明部落涉嫌参与多起针对印度教育部门、政府和军队以及阿富汗各地组织的活动。 透明部落过去曾利用针对 Android 的恶意软件攻击印度和巴基斯坦公民，这些恶意软件旨在记录电话、窃取照片等。思科 Talos 表示，没有足够的技术证据将这场持续六年的攻击活动与透明部落联系起来，这就是为什么他们将其标记为 “Cosmic Leopard （宇宙豹）”的原因。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/LnecCMZAGXF0IFyTdN4JgQ 封面来源于网络，如有侵权请联系删除

根据 WthSecure 的最新报告，边缘服务和基础设施设备中的漏洞正越来越多地被网络威胁者利用。 边缘服务是安装在网络边缘的软件，可以从互联网和内部网络访问，对黑客很有吸引力，因为它们是进入网络的完美初始接入点。 最近，针对易受攻击的边缘软件的攻击呈爆炸性增长，包括MOVEit、CitrixBleed、Cisco XE、Fortiguard的FortiOS、Ivanti ConnectSecure、Palo Alto的PAN-OS、Juniper的Junos和ConnectWise ScreenConnect等安全事件。 传统上，这些被利用的边缘服务安装在基础设施设备（也称为设备）上。这些设备由供应商提供，没有额外的安全工具，软件和硬件完全由供应商定义。最常见的基础设施设备包括防火墙、VPN 网关和电子邮件网关。 边缘安全漏洞持续增加 在报告的介绍中 WithSecure 提醒读者，最近的许多报告显示，大规模利用可能已经取代僵尸网络成为勒索软件事件的主要载体，而且由于大规模利用易受攻击软件引发的安全事件也在迅速增加。 基于这一假设，这家总部位于芬兰的公司想要确定边缘服务漏洞利用在这一趋势中发挥了多大程度的关键作用。 WithSecure 分析了边缘服务和基础设施漏洞不同于已知漏洞（KEV）目录中其他漏洞的一些趋势，KEV 是由美国网络安全和基础设施安全局（CISA）维护的已知被利用的关键漏洞列表。 该公司发现，在过去几个月中，KEV 列表中新增的边缘服务和基础设施漏洞比常规漏洞要多。 例如，与2023年相比，2024年每月加入KEV列表的常见漏洞和暴露（CVE）数量有所下降（-56%），但同期每月加入的边缘服务和基础设施CVE增加了22%。 在过去三年中，每月被利用漏洞的总体趋势并不一致，相比之下，每月被利用的边缘漏洞自 2022 年以来持续上升。 此外，添加到 CISA KEV 列表中的边缘服务和基础设施漏洞往往比其他类型的 CVE 影响更大，在过去两年的 KEV 数据中，这些特定 CVE 的严重性评分高出 11%。   转自FreeBuf，原文链接：https://www.freebuf.com/news/403455.html 封面来源于网络，如有侵权请联系删除

新研究表明，Apple 和 Starlink 基于 WiFi 的定位系统 (WPS) 可能被滥用，从而造成全球隐私威胁，尤其是在战区。 WPS 技术使用 WiFi 信号来确定设备（例如智能手机或平板电脑）的物理位置。它通过根据附近 WiFi 接入点的已知位置和信号强度对设备的位置进行三角测量来运行。 移动设备会定期发送通过 GPS 和/或蜂窝塔确定的位置以及附近的基本服务集标识符 (BSSID)。这些数据组合使这些设备能够准确地确定其在几英尺或几米范围内的位置。 Apple 在服务器上收集这些位置数据，为设备提供一种众包、低功耗的替代方案，以取代不断请求全球定位系统 (GPS) 坐标。 马里兰大学的研究人员利用 Apple 公开的数据进行了一次攻击，在短短几天内收集了全球 WiFi BSSID 地理位置快照，并对几乎全球任何地方的用户 WiFi 接入点进行了大规模监控。 研究人员警告称，他们尝试的攻击模型只需要最低限度的技术知识，并且可以由拥有消费级硬件的个人执行。 经过一年的研究，该团队确定了全球超过 20 亿个 BSSID 的精确位置。 全球范围内发现的 BSSID 热图 研究人员能够确定旅行路由器（例如 GL.iNet 设备）的移动，据该团队称，这“对不希望被追踪的个人构成了严重威胁”。 在冲突地区，跟踪变得极为敏感。研究人员分析了乌克兰的战区，发现了至少 3,722 个基于卫星的宽带服务 Starlink 终端，暴露了部署前的地点和军事动向。 研究人员提出的问题更加复杂的是，被跟踪设备的用户从未选择使用 Apple 的 WPS。只要处于 Apple 设备的 WiFi 覆盖范围内，设备的位置和移动情况就可能被公开和广泛获取。 该团队向苹果和谷歌披露了他们的研究结果，这两家公司都运营着自己的 WPS，以及两家知名制造商——SpaceX 和 GL.iNet。 2024 年 3 月，Apple 更新了其网站，表明个人可以选择不让 Apple 收集和共享其无线接入点的位置。 用户可以通过在 WiFi 接入点名称 (SSID) 末尾添加“_nomap”来选择退出。将“_nomap”附加到您的 WiFi 网络名称还可以阻止 Google 索引您的位置。 论文下载地址：https://www.cs.umd.edu/~dml/papers/wifi-surveillance-sp24.pdf   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/-9EpXQjaSERO7T5tacz3Mw 封面来源于网络，如有侵权请联系删除

黑客组织“Sharp Panda”正在开展网络间谍活动，其目标已扩大到非洲和加勒比地区。 Check Point 在一份报告中表示：“此次攻击活动采用 Cobalt Strike Beacon 作为有效载荷，启用 C2 通信和命令执行等后门功能，同时最大限度地减少其自定义工具的暴露。”“这种精妙的方法表明他们对目标有更深入的了解。” 以色列网络安全公司正在以新名称“Sharp Dragon”跟踪这一活动，称对手在瞄准目标时十分谨慎，同时正在扩大侦察力度。 该活动于 2021 年 6 月首次曝光，当时被发现针对东南亚，在 Windows 系统上部署了一个名为 VictoryDLL 的后门。 Sharp Dragon随后发起的攻击将目光瞄准了东南亚备受瞩目的实体，以传播Soul 模块化恶意软件框架，然后该框架用于从攻击者控制的服务器接收其他组件，以促进信息收集。 有证据表明，Soul 后门自 2017 年 10 月以来一直在酝酿中，采用了Gh0st RAT 和其他公开的黑客工具。 另一组攻击发生在 2023 年 6 月，目标是 G20 国家的高级政府官员。 Sharp Panda 行动的关键是利用 1day 安全漏洞（例如 CVE-2023-0669）渗透基础设施，以便以后用作命令和控制 (C2) 服务器。另一个值得注意的方面是使用合法的模拟框架 Cobalt Strike 而不是自定义后门。 更重要的是，最新一系列针对非洲和加勒比地区的攻击表明其原有目标有所扩大，其作案手法包括利用东南亚被入侵的知名电子邮件账户发送网络钓鱼电子邮件，感染这两个地区的新目标。 这些消息带有恶意附件，利用 Royal Road 富文本格式 (RTF) 武器化来投放名为 5.t 的下载程序，该下载程序负责进行侦察并启动 Cobalt Strike Beacon，从而允许攻击者收集有关目标环境的信息。 诱饵文档 Check Point 补充道，使用 Cobalt Strike 作为后门不仅可以最大限度地减少自定义工具的暴露，而且还表明了“改进的目标评估方法”。 自 2023 年 5 月以来 Sharp Dragon 的感染链 有迹象表明攻击者正在不断改进其策略，最近的攻击序列已被观察到使用伪装成文档的可执行文件来启动感染，而不是依靠利用远程模板的 Word 文档下载被 Royal Road 武器化的 RTF 文件。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/YUOD4mrQpV2QGUwDaoSEKQ 封面来源于网络，如有侵权请联系删除

当电脑有了像素级“记忆”，知道你看过的一切，做过的一切，不再有“阅后即焚”，可能意味着一场地狱级的隐私灾难。 近日，作为新发布的人工智能电脑“Copilot+PC”的最大亮点，微软在Build大会上发布了一个名为“回忆”（Recall）的新AI功能，可记住用户在电脑上的所见所为并智能检索回溯，引发了全球用户的广泛关注甚至恐慌。 尽管微软声称“回忆功能”记录的数据经过加密并存储在本地，但该功能仍然引起了大量用户对隐私问题的担忧。特斯拉创始人马斯克更是在X上发推文怒斥Windows的回忆功能堪比《黑镜》中的恐怖技术，必须关闭。 全程录屏的“回忆功能” 与常见的基于时间线和数据历史版本的回滚和恢复不同，“记忆功能”提供一种类似录屏的“视觉记忆”，允许Windows 11用户搜索和检索他们在PC上的所有历史活动（包括你的所有操作和屏幕历史截图）。 根据微软官网介绍，“回忆功能”利用了Copilot+PC人工智能电脑的高级处理能力，每隔几秒钟对用户的活动屏幕进行一次截图。这些截图被加密后存储在用户PC的硬盘上，用户可以通过搜索或时间线滚动来定位和查看这些内容。 “回忆功能”有些类似Windows 10中的时间线功能（该功能已在2021年停止），但“回忆功能”增加了持续截图（类似录屏）的功能。这方面，“回忆功能”与Mac第三方应用Rewind有许多相似之处，Rewind同样记录用户活动以供稍后回放。 除了视觉记忆外，“回忆功能”一个重要卖点是可以帮助用户快速找到特定时间段内的历史信息，提供相应的上下文，还支持通过AI功能对会议记录和观看过的视频进行转录和翻译。 更为“恐怖”的是，借助微软的人工智能助手，用户只需要通过语言描述（提示），就可以找到在屏幕中出现过的，用户自己都没注意的信息（例如滚动电商网站列表页一闪而过的某款棕色手提包，直播视频中某个人物的特写）。通常，如果一个页面或会话窗口被关闭，且用户没有收藏或者截图的话，这类信息很难被定位和回溯。 目前阶段，用户使用Windows的“回忆功能”有一定硬件配置要求。用户需购买搭载高通Snapdragon X Elite芯片并配备神经处理单元（NPU）的Copilot+PC，最低配置为256GB硬盘空间和50GB可用空间。 默认情况下，256GB设备的“记忆功能”需要分配的存储空间为25GB，可存储约三个月的截图。用户可以在PC设置中调整存储分配，当分配的存储空间满时，旧的截图将被删除。 微软表示，Recall目前处于预览阶段，正在收集用户反馈，开发更多企业客户管理和控制“回忆数据”的功能，并改进用户体验。 隐私与信息安全的一场灾难？ 表面上，“回忆功能”为用户提供了方便的回溯工具，但深入了解后，人们对其可能带来的隐私问题（以及信息安全和版权保护问题）提出了质疑。因为“记忆功能”如同为PC提供了“全程录屏记忆”，用户可以通过本地大语言模型查询在PC上所做的一切，看到的一切。 通过时间线滚动，用户可以找到（任何）应用程序、网站或文档的（截屏）内容，并基于识别的内容建议相应的操作，例如用户可以轻松返回到Outlook中的特定邮件界面或聊天软件中的聊天记录。 一些安全专家认为，这可能意味着严重的隐私和数据安全隐患。任何拥有你Windows账户访问权限的人都可以利用“回忆功能”查看你最近在PC上所做的一切，这不仅涉及隐私问题，还可能威胁到记者或情报人员的生命安全。 尽管存在隐私问题，微软坚称“回忆功能”依赖于设备上的个人语义索引，所有数据都存储在本地设备上，不会发送到微软服务器。 微软的Yusuf Mehdi在一份声明中表示：“Recall截图仅与特定用户档案相关联，不会与其他用户共享，也不会供微软查看或用于广告定位。截图仅对登录设备的用户本人可见。你的截图是你的，它们保存在你的PC上。你可以删除单个截图，调整和删除设置中的时间范围，或随时从任务栏系统托盘图标暂停该功能。”。 微软表示，用户可以暂停、停止或删除AI捕获的内容，还可以排除特定的应用程序或网站。“回忆功能”不会对Microsoft Edge中的InPrivate浏览会话或受DRM保护的内容进行截图。 尽管微软声明这些数据不会被传输到他们的服务器，但仍有安全专家担心这些包含高度敏感隐私数据的记录在本地如何确保安全。以及一旦威胁行为者获得设备的本地访问权限，是否能够访问这些数据并将其发送到远程计算机进行离线分析，进而获取敏感数据？ 最后，安全专家建议用户在选择微软Windows的“记忆功能”时权衡便利性与隐私风险。尽管“记忆功能”为用户提供了强大的“过目不忘”的回溯功能，但其潜在的巨大隐私风险也不容忽视。对于高度重视隐私的用户，特别是涉及敏感信息的工作者，需谨慎评估这一功能的使用。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16404.html 封面来源于网络，如有侵权请联系删除