本周三，电报(Telegram)创始人帕维尔·杜洛夫通过电报频道发表讲话，对即时通讯应用Signal提出了诸多指控，包括Signal与美国政府保持着紧密联系、其端到端加密技术来自美国情报机构、缺乏软件透明度等，并称Signal为“一个打着安全幌子的通讯应用”。 Signal被美国情报机构控制 Signal是老牌加密通信软件，根据市场情报公司Sensor Tower的数据，2021年Signal在中国（被屏蔽前）总下载量高达1亿次。同年，随着Whatsapp推出饱受争议的隐私政策，以及特朗普被硅谷科技公司“社死”，特斯拉创始人马斯克在推特上发帖为Signal“带货”，导致Signal全球用户数量暴增，Signal也成了所谓言论自由和隐私保护的一面旗帜。 但是随着City Journal一篇深度报道的发布，Signal的“人设”瞬间崩塌，杜洛夫对Signal的抨击多少也受到了该报道的启发和刺激。 City Journal的报道揭了Signal的老底，称其最初的启动资金来自于美国政府开放技术基金(Open Technology Fund)的300万美元赠款，暗示Signal与美国情报机构可能存在密切关联，并提到Signal基金会现任主席凯瑟琳·马赫(Katherine Maher)曾于2010年至2011年在美国支持的NGO组织“美国国家民主研究所”任职。 该报道称，马赫在阿拉伯之春期间是美国国务院在海外“颠覆政权的代理人”，与中东和北非的持不同政见者进行过交流。马赫还担任过其他重要职务，包括2014年至2016年担任维基媒体基金会(Wikimedia)的首席内容官(CCO)，2016年至2021年升任首席执行官(CEO)；2022年至今年1月担任美国国务院外交政策委员会(希拉里克林顿于2011年成立的专家小组)的成员；并于今年3月担任NPR（美国国家公共电台）的首席执行官兼台长。 马赫不仅在美国的“深层政府”任职，还是“意识形态挂帅”的代言人，她在美国大选和新冠疫情期间将美国宪法第一修正案描述为内容监管和打击虚假信息的“头号挑战”。 担任NPR首席执行官后，马赫曾在TED发表演讲声称“对真相的探寻不能以牺牲普世价值为代价”。作为以记录真相为使命的维基百科的前首席执行官，马赫“意识形态优先于真相”的论调引起一片哗然。不久后马赫遭到共和党国会议员对“NPR政治和意识形态偏见”的调查，但马赫本人拒绝出席听证会。 硅谷没有加密自由 杜罗夫以City Journal的报道作为攻击切入点，进一步指出美国科技巨头们“没有自己的加密”： “美国政府花费了300万美元用于开发Signal使用的加密技术，相同的加密技术已经被整合到WhatsApp、Facebook Messenger、谷歌信息(Google Messages)甚至Skype之中。这给人的感觉是，美国的大型科技公司似乎不被允许开发自己的，独立于政府干预的加密协议。” 杜罗夫还声称，用户在Signal上的聊天信息曾出现在法庭案件或媒体报道中，并暗示这是因为该应用的加密并不完全安全。杜洛夫指的可能是加密货币交易所FTX的前首席执行官Sam Bankman-Fried，在Signal上的聊天信息是导致其被定罪的关键证据。不过，根据公开报道，Sam Bankman-Fried的Signal信息泄露的原因可能是其收件人（包括两名重要证人）将消息提交给了联邦检察官。 透明度之争 杜罗夫还指责Signal缺乏代码安全透明度，不允许用户复制iOS版本的应用程序，因此无法证明用户从苹果应用商店下载的Signal版本与用户使用开源代码构建的版本是完全相同的。 类似地，杜罗夫嘲讽WhatsApp不（敢）发布程序源代码，称“WhatsApp所有关于‘隐私’的言论都更像是一场拙劣的把戏。” 约翰·霍普金斯大学的教授马修·格林表示，iOS用户确实无法制作可复制的Signal版本，但这可能并非Signal不愿为之：“由于Apple自身的特殊原因，在iOS上做到这一点非常困难，主要是因为应用程序被加密了(Apple应该修复这个问题)。” 格林指出，DRM加密同样使Telegram的iOS应用程序复制变得复杂，这种复制仅在已越狱的老款iPhone上才有可能实现，并且由于某些文件仍被加密，最终也只会部分验证成功。相比之下，在安卓系统上则可以进行复制，因为安卓并不像iOS那样对应用进行加密。 最后，值得注意的是，杜洛夫的言论距离其披露电报首次公开募股(IPO)上市计划仅仅几个月时间，因此不排除杜洛夫对竞争对手的抨击存在财务动机。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16349.html 封面来源于网络，如有侵权请联系删除

近日，据Rstoreprivacy报道，曾标榜自身安全可靠的加密电子邮件服务Proton Mail，因再次因向执法部门提供用户信息而陷入舆论漩涡。 总部位于瑞士的Proton Mail提供端到端加密的电子邮件服务，宣称用户的内容和附件对他们而言是不可读的，并且鼓吹其提供“最高级别的隐私标准”和“无跟踪无广告”的特性。 然而，事实并非如此，ProtonMail仍可访问部分用户信息，并在压力下被迫泄露。2021年，ProtonMail向瑞士警方提供了其试图追踪的一名网络用户的IP地址和设备详细信息。这名用户是一名法国气候活动人士，在ProtonMail向法国警方提供了其隐私数据后被捕。 在最初的争议过后不久，ProtonMail就从其网站上删除了有关不跟踪用户IP地址的声明。此前，ProtonMail也曾被指控向瑞士当局提供用户实时监控功能。 最近的一次事件中，ProtonMail向西班牙警方提供了涉嫌支持加泰罗尼亚分离主义者的嫌疑人的账户恢复电子邮件地址信息。西班牙警方之后将该恢复地址交给苹果公司，后者能够识别出与该账户相关的人员。 ProtonMail告诉维权组织RestorePrivacy，他们清楚该案件，但由于瑞士反恐法律，他们别无选择。 “正如本案中用于识别恐怖嫌疑犯的数据来自苹果公司一样，ProtonMail仅保存最少的用户信息，”Proton Mail的发言人辩称：“Proton Mail默认提供隐私保护，而非匿名。因为匿名需要用户采取特定的操作来确保适当的网络安全运营(OpSec)，例如不添加用户的Apple账户作为可选的恢复方法。” 总之，Proton Mail服务虽然能保障用户的邮件内容安全，但任何未经端到端加密的用户信息，在政府发出传票时都将可能被泄露。根据Rstoreprivacy发布的Proton透明度报告，2023年Proton Mail遵守了5971次数据请求。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16338.html 封面来源于网络，如有侵权请联系删除

微软表示，美国情报机构现在可以安全地利用这项强大技术（ChatGPT）来分析绝密信息。 如何将ChatGPT这样的顶流人工智能技术安全地武器化，供情报机构和军队使用？微软给出的答案是“物理隔离”。 提示注入攻击和训练数据泄露是包括ChatGPT在内的当前主流大语言模型面临的主要安全威胁，也是政府和军队将其武器化的主要障碍（虽然今年1月份OpenAI悄悄修改使用政策，默许军方和情报部门使用）。例如，美军已经禁止在内部使用ChatGPT之类的工具，因为担心军事机密可能被泄露或提取。 据彭博社报道，微软公司近日打破常规，首次部署了一款与互联网完全隔离的生成式AI模型。微软表示，美国情报机构现在可以安全地利用这项强大技术（ChatGPT）来分析绝密信息。 微软的一位高管称，这是大语言模型首次完全脱离互联网运行。包括OpenAI的ChatGPT等大多数AI大语言模型都依赖云服务来学习和推理数据模式，但微软希望为美国情报界提供一个真正安全的系统。 世界各地的间谍机构都渴望利用生成式AI来帮助他们理解和分析每天生成的大量机密信息，但同时又面临着数据泄露或遭到网络攻击的风险。微软战略任务和技术首席技术官William Chappell表示，微软已将基于GPT-4的模型及其关键支持元素部署到一个与互联网隔离的“物理隔离”的（私有）云环境中。 美国情报机构官员曾多次明确表示渴望获得与当今主流生成式AI功能同样强大的工具，这类工具有望彻底改变传统情报工作。去年，美国中央情报局(CIA)在非密级层面推出了类似于ChatGPT的服务（编者：五角大楼甚至用ChatGPT撰写官网博客），但情报界需要能够处理更敏感数据的工具。 上个月，美国中情局跨国和技术任务中心助理主任Sheetal Patel在范德堡大学的一次安全会议上告诉与会代表：“获取用于处理情报数据的生成式AI是一场竞赛。”她表示：“率先将生成式AI用于情报工作的国家将赢得这场竞赛，我希望是我们。” 微软在过去18个月里一直致力于该系统的开发，包括对爱荷华州一台AI超级计算机进行改造。参与该项目的电气工程师Chappell此前曾为国防高级研究计划局（DARPA）开发微系统，他表示其团队在2022年开始这项工作时并不确定该如何去做。 Chappell告诉彭博社：“这是我们第一次拥有一个‘孤立’的ChatGPT版本，这里的孤立意味着它不连接互联网，而是位于一个特殊网络上，只有美国政府才能访问。” 放置在云端的GPT-4模型是静态的，这意味着它可以读取文件，但不能从中学习，也不能从开放互联网中学习。Chappell表示，通过这种方式，政府可以保持模型的“干净”，并防止秘密信息被平台吸收。“你不希望它学习你提出的问题，然后以某种方式泄露这些信息，”Chappell透露：“理论上该AI模型支持大约1万人访问。” 据悉，该服务已经于上周四上线，情报界正在对其进行测试和认证。Chappell表示：“该系统已经部署，正在回答问题，可以编写代码，这只是它能做的事情的一部分。” 美国中央情报局和国家情报总监办公室(负责监督美国18个情报机构)没有立即回应媒体的置评请求。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16306.html 封面来源于网络，如有侵权请联系删除

英国最近通过了一项具有里程碑意义数据安全法案，禁止使用容易被猜到的弱密码，这是全球首部明令禁止弱密码的法案，覆盖广大消费者和设备制造商，有望推动全球性的安全意识和安全文化提升。 密码不得少于 12 个字符 该法案已经生效，所有在线实体，包括服务、组织和个人，均被禁止使用诸如“12345”、“qwerty”和“admin”等易于预测的密码。英国政府强制规定，如果在创建账户过程中尝试使用此类弱密码，将被提示选择更安全的密码。 易于猜解的弱密码极易受到攻击，黑客经常利用自动化工具针对弱密码发起攻击。为了应对这一漏洞，英国政府编制了一个全面的弱密码禁用列表，被禁止的密码包括常用短语，例如“123456”、“password”、“qwerty”、“123456789”，以及足球相关术语（例如“arsenal”、“Liverpool”、“Chelsea”）和知名人士姓名（例如贝克汉姆“David Beckham”）。 此外，法案还要求智能设备制造商在用户首次启动设备时要求其更改密码，或使用安全且长度为12-15个字符的密码来保护消费者免受密码攻击。 这项将于2024年4月29日开始强制执行的法案使英国站在了全球网络安全意识和文化倡导者的前列。值得注意的是，智能互联设备（包括智能手机、智能门铃、联网电视和其他技术先进的小工具）的制造商将被强制执行严格的密码策略，从而提高整体的网络安全韧性。 不仅仅是密码 网络安全业界对该法案普遍持支持态度，安全专家强烈建议个人采取强密码安全措施，以有效降低安全风险。这包括采用至少15-18个字符长度的密码，并确保密码的复杂性和唯一性以阻止潜在的黑客攻击。利用密码管理器工具可以简化密码管理，减轻记忆负担并增强整体安全态势。 此外，实施多因素认证(MFA)可提供额外的安全保障，进一步保护账户免遭非法访问。 最后，保持警惕至关重要，用户在遇到可疑链接或要求输入账号密码的网站时应格外谨慎。验证此类请求的真实性可以防止成为网络钓鱼攻击和数据泄露的受害者。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16272.html 封面来源于网络，如有侵权请联系删除

近日，Bitwarden对来自美国、英国、澳大利亚、法国、德国和日本的2400位用户进行调查，以研究当前用户的密码使用习惯。 调查结果显示，全球有超过25%的受访者在11-20个以上的账户中重复使用密码，36%承认在他们的账号密码中使用个人信息，这些信息在社交媒体（60%）平台和在线论坛（30%）上是公开可访问的。 由此可见，即便是到了2024年，用户在账户中使用弱密码/不安全的密码依旧十分普遍。2023网络安全成熟度报告的数据显示，身份管理最常见的风险点top1就是弱密码，占有率高达32%。弱密码策略与弱身份验证机制的组合让黑客入侵更加便捷，或者说这样的攻击并不需要黑客技术，攻击者只需要登录即可。而当访问权限“允许访问包含敏感信息”时，黑客可以毫不费力气地访问敏感数据。 2022年最弱密码排行榜公布，第一名是password，也就是密码的英文拼写，而去年的第一名是123456，密码的英文拼写仅排在第五位。 这也意味着在培养用户网络安全意识方面还需持续加强。尽管60%的用户声称他们有信心识别网络钓鱼攻击，68%的用户觉得他们准备好识别并缓解由AI增强的网络攻击，但许多受访者仍然采用风险较高的密码管理方法。 这可能也解释了，为什么个人安全漏洞持续存在。全球19%的用户承认由于他们的密码习惯，经历过安全漏洞或数据丢失，23%的用户确认密码在过去被盗用或受到损害。但即便如此，很多人依旧使用不安全的密码方式，其网络安全认知与实际做法互相矛盾。有趣的是，调查显示美国的发生率更高，有23%的美国受访者承认遭遇过安全漏洞，26%确认他们的密码被盗用或受到损害。 另外一个调查结果也非常有意思。大多数受访者承认依靠记忆（53%）和笔和纸（34%）来管理他们工作场所的账户；将近一半（48%）的人透露他们有时或非常频繁地在工作平台或账户之间重用密码。 全球用户仍然坚持使用弱密码或基于个人信息的密码（39%），不安全地存储工作密码（35%），不使用双因素认证（2FA）（33%），以及不安全地共享密码（32%）。 尽管存在密码安全挑战，但越来越多的用户开始使用密码管理器，也更加注重隐私与数据安全。工作中使用密码管理器的积极影响在受访者的个人生活中也很明显，52%的人承认在家中的安全意识增强，密码重用的频率降低（41%）。 此外，采用双因素认证（2FA）的趋势在上升，80%的全球受访者使用它保护大多数个人账户或某些重要账户，66%的人在大多数工作账户或仅限重要账户上使用它。 全球范围内，人们对其作为第二安全层的重要性有很好的认识，有57%的受访者使用2FA来增强他们的安全姿态，原因是网络钓鱼攻击的增加。针对员工账号密码的网络攻击日益频繁也未被忽视。65%的受访者已经进行了一些改进或增加了防护措施以增强安全姿态。 尽管只有45%的全球调查受访者采用了通行证，但超过一半（52%）的人认为他们对其安全优势有很好的了解，这标志着向无密码的更大转变即将到来。尽管采用率在增长，但对隐私和安全的担忧仍然存在。 用户同样担心数据滥用（31%）、监控不确定性（31%）、未经授权的访问（31%），同时还有29%的人对安全存储表示怀疑。透明的沟通和强有力的安全保证对于解决这些问题、提升用户信心和推动通行证更广泛接受至关重要。 如果组织采用通行证，62%的受访者认为他们对公司安全韧性的信任会增加，如果工作场所实施通行证，66%的人会更倾向于个人使用通行证。51%的受访者预见通行证和密码将共存，而只有17%的人预期通行证将使密码过时。不管个人对通行证未来的看法如何，几乎一半（44%）的人认为行业需要加强努力，向公众教育通行证技术的好处。   转自Freebuf，原文链接：https://www.freebuf.com/news/399631.html 封面来源于网络，如有侵权请联系删除

知名智能门铃/摄像头厂商 Ring，不但未能阻止员工和黑客窥探用户，而且未经用户同意使用用户视频训练算法，其产品在乌克兰等地甚至被滥用成监控工具，最终因产品安全漏洞和用户隐私泄露而遭受重罚。 近日，美国联邦贸易委员会(FTC)将向智能家居安防厂商 Ring 的用户发放总计 560 万美元的退款，主要原因如下： Ring 用户的私人视频录像遭到亚马逊员工和承包商的未经授权访问 Ring 未经用户同意使用用户视频训练算法 因产品安全防护不足导致用户账户和设备被黑客入侵 该处罚是 2023 年 5 月 FTC 针对 Ring 提起诉讼后达成的和解协议的一部分。诉讼指控 Ring 未实施足够的安全措施来保护设备免遭未授权访问。 Ring 是亚马逊的一家子公司，以其智能家居安防产品而闻名全球，主打产品包括视频门铃、室内外安全摄像头、中央警报集线器、智能传感器、运动感应灯等。这些设备连接互联网，用户可以通过移动应用程序远程访问和控制。 FTC 在最初的起诉书中称，Ring 为了提高工作效率和开发速度，允许其员工无限制访问用户的Ring 设备。此外，Ring 还向高级客户支持人员授予了高级访问权限，其中包括数百名位于乌克兰和其他地方的第三方承包商，他们可以在没有限制的情况下操作设备，无法保护客户免遭滥用访问的侵害。 除了内部访问政策松懈之外，FTC 还指控Ring 直到 2019 年才实施基本的安全措施，例如多因素认证(MFA)。这使得用户账户更容易被劫持，攻击者可以通过凭证填充和暴力破解攻击来访问私人视频录像。 作为对用户损失的补偿，根据和解协议，FTC 将通过PayPal 向 11.7 万名 Ring 用户（由 Ring 提供名单）直接发放退款。 FTC 指出，所购买产品存在投诉中指控的隐私和安全问题的 Ring 用户都有资格获得退款。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16236.html 封面来源于网络，如有侵权请联系删除

Volexity 安全研究人员警告说，疑似国家背景的不明黑客组织已成功利用 Palo Alto Networks 防火墙中的0day漏洞已有两周多的时间。 Palo Alto Networks于周五披露了该漏洞，警告称其已意识到有限的野外利用情况，并承诺在未来两天内提供补丁。 该安全缺陷被追踪为CVE-2024-3400（CVSS 评分为 10/10），被描述为命令注入问题，允许未经身份验证的攻击者以 root 权限在受影响的防火墙上执行任意代码。 据供应商称，所有运行 PAN-OS 版本 10.2、11.0 和 11.1 且启用了 GlobalProtect 网关和设备遥测的设备都容易受到攻击。其他 PAN-OS 版本、云防火墙、Panorama 设备和 Prisma Access 不受影响。 “Palo Alto Networks 已意识到有人恶意利用此问题。我们正在以“MidnightEclipse 行动”的名义跟踪此漏洞的初始利用，因为我们非常有信心地评估，迄今为止我们分析的已知利用仅限于单个攻击者。”该公司在博客文章中表示。 Volexity 将CVE-2024-3400 漏洞归因于一个有国家背景的黑客，追踪编号为“UTA0218”，攻击者似乎能力很强，“有一个明确的剧本，说明如何进一步实现其目标”。 “Volexity 评估认为，根据开发和利用此类性质的漏洞所需的资源、攻击者针对的受害者类型以及安装 Python 后门和所显示的功能，UTA0218 很可能是国家支持的黑客组织，意图进一步访问受害者网络。”该网络安全公司指出。 该公司目前无法将该活动与先前已知的黑客组织联系起来。 目前尚不清楚这种利用的范围有多广泛，但 Volexity 表示，“有证据表明，潜在的侦察活动涉及更广泛的利用，旨在识别易受攻击的系统”。 该网络安全公司表示，自 3 月 26 日以来，UTA0218 已成功利用0day漏洞攻击多个组织。在两个实例中，攻击者还注入了一个名为 Upstyle 的基于 Python 的后门，并用它来执行其他命令。 “成功利用设备后，UTA0218 从他们控制的远程服务器下载了额外的工具，以便于访问受害者的内部网络。他们迅速在受害者的网络中横向移动，提取敏感凭证和其他文件，以便在入侵期间和之后可能进行访问。”Volexity 解释道。 攻击链 研究人员发现攻击在防火墙上创建了一个 cron 作业，以持续从远程服务器获取文件并执行其内容。我们看到攻击者手动管理命令与控制 (C&C) 服务器的访问控制列表，以确保只能从与其通信的设备进行访问。 还观察到 UTA0218 部署了用 Python 编写的反向 shell 和开源 SSH 反向 shell，下载 GOST（GO Simple Tunnel）等反向代理工具，并从受感染的防火墙中窃取配置数据。 在一次攻击中，攻击者使用帕洛阿尔托网络防火墙的高特权服务帐户通过 SMB 和 WinRM 横向移动。随后，UTA0218 窃取了 Active Directory 数据库、关键数据、Windows 事件日志、登录信息、cookie 和浏览器数据，并能够解密存储的凭据。 “没有观察到 UTA0218 在受害者网络内的系统上部署恶意软件或其他持久性方法。被盗的数据确实使攻击者能够有效地破坏所有域帐户的凭据。此外，攻击者获得了访问权限，并可能使用从浏览器数据中获取的有效凭据或 cookie 来访问特定的用户工作站。”Volexity 解释道。 CVE-2024-3400 的补丁预计将于 4 月 14 日发布。与此同时，建议组织在其防火墙上禁用设备遥测，并应用 Palo Alto Networks 在其公告中详细介绍的其他缓解建议。 建议认为自己因该0day漏洞而受到损害的组织收集日志、创建技术支持文件并保留取证工件。他们还应该寻找潜在的横向移动，并应考虑防火墙上的所有敏感数据受到损害。 Palo Alto Networks 和 Volexity 警告称，UTA0218 和其他攻击者对 CVE-2024-3400 的利用可能会在未来几天内激增，这主要是由于补丁尚未推出。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/nxtN-VsXRmSLKEZ_avFeLA 封面来源于网络，如有侵权请联系删除

Google 宣布在 Chrome 网络浏览器中支持所谓的 V8 沙盒。该公司将 V8 沙盒纳入 Chrome 的漏洞奖励计划 (VRP)。 Chrome 123 是沙盒的一种“测试版”版本，旨在缓解 Javascript 引擎中的内存损坏问题。 V8 沙箱旨在防止内存损坏问题，从而影响进程中的其他内存区域。 2021 年至 2023 年间，几乎所有在野外观察到的Chrome 漏洞都会触发 Chrome 渲染器进程中的内存损坏问题，该进程被用于远程代码执行 (RCE)。其中大部分问题 (60%) 影响了 V8 Javascript 引擎。 “V8 漏洞很少是“经典”内存损坏错误（释放后使用、越界访问等），而是微妙的逻辑问题，这些问题反过来可以被利用来损坏内存。因此，现有的内存安全解决方案大部分不适用于 V8。”公告中表示， “特别是，无论是 切换到内存安全语言（例如 Rust），还是使用当前或未来的硬件内存安全功能（例如 内存标记），都无法帮助解决 V8 当前面临的安全挑战。” 研究人员强调，几乎所有 V8 漏洞的一个共同点是最终内存损坏发生在 V8 堆内。这主要是因为编译器和运行时主要处理 V8 HeapObject 实例。 为了缓解此类漏洞，研究人员设计了一种技术来隔离 V8 的（堆）内存，以防止内存损坏扩散到进程内存的其他部分。 “沙箱通过将 V8 执行的代码限制在进程虚拟地址空间（“沙箱”）的子集内，从而将其与进程的其余部分隔离，从而限制了典型 V8 漏洞的影响。这纯粹在软件中起作用（带有硬件支持选项，请参阅下面链接的相应设计文档），通过有效地将原始指针转换为距沙箱底部的偏移量或转换为沙箱外指针表的索引。原则上，这些机制与现代操作系统使用的用户态/内核分离非常相似（例如unix文件描述符表）。” 谷歌表示： “沙箱假设攻击者可以任意同时修改沙箱地址空间内的任何内存，因为该原语可以从典型的 V8 漏洞构建。此外，假设攻击者能够读取沙箱外部的内存，例如通过硬件侧通道。然后，沙箱旨在保护进程的其余部分免受此类攻击者的侵害。因此，沙箱地址空间之外的任何内存损坏都被视为沙箱违规。” 基于软件的沙箱 用“沙箱兼容”替代方案替换了可以访问沙箱外内存的数据类型。 在基于软件的沙箱中，只有 V8 堆被封闭在沙箱内。因此，整体结构类似于WebAssembly 采用的沙箱模型。 研究人员表示，沙箱产生的大部分开销主要来自外部对象的指针表间接。一个较小的开销与使用偏移量而不是原始指针有关，主要涉及移位+添加操作，无论如何这是相当便宜的。根据使用 Speedometer 和 JetStream 基准套件的测量结果确定，沙箱的开销约为标准工作负载的 1% 或更少。因此，V8 Sandbox 可以在兼容平台上默认激活。 “必须在构建时使用构建标志启用/禁用 V8 沙箱 v8_enable_sandbox 。（由于技术原因）不可能在运行时启用/禁用沙箱。 V8 Sandbox 需要 64 位系统，因为它需要预留大量虚拟地址空间，目前为 1 TB。”公告总结道。 “大约在过去两年里，V8 沙盒已经在 Android、ChromeOS、Linux、macOS 和 Windows 上的 64 位（特别是 x64 和 arm64）版本的 Chrome 上默认启用。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/_UhdYJiOBpD4nBB4zfkvsQ 封面来源于网络，如有侵权请联系删除

苹果手机到底能否为用户保守秘密？芬兰阿尔托大学的一项新研究给出了近乎否定的回答。 研究人员研究了八款应用程序，分别是Safari，Siri，家庭共享，iMessage，FaceTime，定位服务，查找和Touch ID。他们发现，无论是iPhone、iPad或MacBook，默认应用程序即使在显示为禁用状态时也会收集用户数据，这表明苹果用户无法完全控制他们的隐私。 阿尔托计算机科学系主任副教授扬内·林德奎斯特（Janne Lindqvist）说道：“这些应用程序完全依附在平台上，摆脱它们几乎是不可能的。” 他指出，由于用户界面的设计方式，用户并不知道发生了什么。例如用户可以选择是否启用苹果的虚拟助手 Siri，但启用仅指是否使用 Siri 的语音控制功能，但无论如何选择，Siri都会在后台从使用的其他应用程序中收集数据，除非用户知道如何进入设置并进行专门的更改。 虽然许多研究都调查了第三方应用程序如何侵蚀用户隐私，但研究人员表示，这是苹果自己的默认应用程序隐私设置首次被调查，并且结果令他们“感到惊讶”。 研究人员称，即便是要禁用某些应用，需要进行复杂且专业的操作，而在线说明很复杂，没有列出所有必要的步骤，收集到的数据如何处理也不清楚。为此，研究小组安排了一次测试，要求参与者尝试更改程序设置。虽然参与者能够朝着正确的方向采取一两个步骤，但最终没有人能够成功完成整个的设置流程。 此外，在测试过程中，参与者无法获得是否成功的反馈，从而迷失方向，在过程中随意倒退、点按、滚动，不知道自己已经操作到哪种程度。 根据公开的信息，研究人员无法透露苹果会如何处理收集到的数据，但表示这些数据可以用来训练 Siri 背后的人工智能系统，并提供个性化体验。专家称，解决这一问题的一些变通办法是使用第三方应用程序替代默认应用程序，例如用火狐浏览器切换 Safari。 目前，这项经过同行评审的研究已经在网络上公开， 并将在5月檀香山举行的 CHI 会议上公布。   转自Freebuf，原文链接：https://www.freebuf.com/news/397382.html 封面来源于网络，如有侵权请联系删除

近期，思科公司表示，全球仅有 3% 的组织达到抵御网络安全风险所需的 “成熟 “准备水平。值得一提的是，这一比例与一年前相比大幅下降，当时有 15% 的公司被评为 “成熟”。 组织网络安全风险准备水平较低 如今，从网络钓鱼、勒索软件到供应链攻击和社交工程攻击，各种威胁技术持续将全球组织作为攻击目标。虽然一些组织正在针对这些攻击建立起了防御措施，但由于自身的安全态势过于复杂，且以多点解决方案为主，因此在防御攻击方面仍然举步维艰。 虽然 80% 的组织对其现有基础设施抵御网络攻击的能力非常乐观，但信心与准备程度之间有着很明显的差距。从现有状况来看，组织不仅对其”驾驭“安全威胁的能力存在认知不足，也可能没有正确评估所面临挑战的真正规模。 思科执行副总裁兼安全与协作部总经理 Jeetu Patel 指出，组织不能低估自身面对的安全威胁，需要持续优先投资于集成防御平台，并且不断智能化运营倾斜，以便最终实现自动化防御，使”天平“始终向有利于防御者的方向倾斜。 值得一提的是，73% 的受访组织表示，其预计在未来 12 到 24 个月内，网络安全事件将扰乱业务经营。如果组织内部毫无准备，可能要付出很大的代价。此外，54% 的受访者表示，在过去 12 个月中经历过网络安全事件，52% 的受访者表示至少损失了 30 万美元。 人才短缺影响组织构建安全防御机制 80% 的受访者承认，组织采用多点解决方案会降低其团队检测、响应和从网络安全事件中恢复的能力，没有带来显著的结果 。（67% 的组织表示，内部安全团队在安全堆栈中部署了10个或更多的点解决方案，25% 的企业表示部署了30个或更多的点解决方案。） 85% 的组织表示，内部员工通过非托管设备访问公司各个网络平台，其中 43% 的员工花费 20% 的时间通过非托管设备登录公司网络系统。此外，29% 的公司表示，其员工一周内至少在六个网络之间”跳来跳去“。 87% 的受访者指出，关键网络安全人才的短缺进一步阻碍了网络安全防御工作的开展。事实上，46% 的组织表示，他们的组织中有超过 10 个与网络安全相关的职位空缺。值得注意的是，52% 的组织计划在未来 12-24 个月内大幅升级其 IT 基础设施，这一数字比去年计划升级的 33% 有了明显增加。 最突出的是，企业计划升级现有解决方案（66%）、部署新解决方案（57%）和投资人工智能驱动技术（55%）。此外，97% 的公司计划在未来 12 个月内增加网络安全预算，86% 的受访者表示他们的预算将增加 10% 或更多。 最后，安全研究人员强调，组织必须加快在安全方面的资源投入，包括但不限于采用创新的安全措施和安全平台方法，加强网络弹性，更多的使用生成式人工智能产品，并加大安全人才招聘力度，从而构建起组织的网络安全防御体系。   转自Freebuf，原文链接：https://www.freebuf.com/news/396871.html 封面来源于网络，如有侵权请联系删除