HackerNews 编译，转载请注明出处： 英国信息监管机构对TikTok开出罚单一事取得重大进展，法院裁定该机构胜诉。信息监管机构指控TikTok违反了英国《通用数据保护条例》（GDPR）。 “初审法庭”裁决确认，英国信息专员办公室（ICO）的确有权对TikTok开出罚单通知（MPN）。英国信息专员办公室最初开出的1270万英镑罚单针对TikTok多次违反英国GDPR的行为——尤其是第8、12、13和5（1）（a）条。 监管机构称： 2020年约有140万名13岁以下儿童使用TikTok，这违反了该公司的规定 TikTok在未征得监护人同意的情况下使用这些未成年人的个人信息为其提供服务 TikTok未能采取足够措施核查平台用户身份，也没有识别和清理13岁以下的未成年用户 TikTok在法庭听证会上辩解称其数据处理行为属于“艺术目的”范畴，因此应适用GDPR的“特殊目的”条款——该条款限制了信息专员办公室的执法权限。抖音海外版的代理律师主张监管机构属于越权执法。 不过法院认定，本案罚单主要针对的是13岁以下儿童个人信息处理行为，故不适用特殊目的条款。英国信息专员约翰·爱德华兹对判决结果表示欢迎。 他解释道：“这是我们问责TikTok同类平台的重要一步，这些企业在提供在线服务时——尤其是对儿童——存在滥用用户信息的行为。这不仅是我们监管机构的胜利，更为公众赢得了保障，使我们能继续守护数字世界中未成年人的安全。” 然而博弈尚未终结。根据信息专员办公室说明，TikTok有权向上级法庭提起上诉。即使上诉失败，随后还将针对“上诉中提出的实质性问题进行完整听证”。本案罚单最初于2023年开出，显示出此类案件的漫长诉讼周期。隐私保护组织普遍担忧，财力雄厚的科技公司会通过马拉松式诉讼拖垮罚单执行程序，甚至最终逃避处罚。 这种情况令部分人士质疑罚款作为合规手段的有效性，并探讨是否应让企业高管为违规行为承担个人责任以改善监管效果。今年3月，英国信息专员办公室已针对TikTok及其他科技公司在未成年人信息使用问题上启动新一轮调查。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： iOS 26 的 FaceTime 新功能仍处于测试阶段，却已因隐私争议引发讨论，尽管其设计初衷值得肯定。 关于 iOS 26 的一项最新发现涉及苹果的 FaceTime 应用。据报道，测试版现在具备“冻结”通话的能力——如果系统检测到对方正在分享包含裸体或人物脱衣的照片或视频，便会触发该功能。 此功能旨在保护儿童免受露骨内容侵害。然而，该功能似乎也对成人账户生效，引发了用户对其隐私的质疑。 “啊，老大哥在监控你本应加密的通讯，”一位在线用户评论道，质疑 FaceTime 端到端加密通讯的本质。虽然有人开玩笑说这功能会“扼杀每一段异地恋”，但更多用户持续表达对隐私的担忧。“所以他们在监控！谢谢收集我的私人通话！”另一名用户写道。 当设备检测到包含裸体的照片或视频时，功能会被启用：通话被暂停，并弹出警告提示用户即将看到的内容是“敏感”的。用户随后有两个选项：“恢复音频和视频”或“结束通话”。 在 iOS 26 中，如果您在 FaceTime 通话期间脱衣服，FaceTime 将暂停视频，屏幕上会显示提示警告，询问您是否要恢复音频和视频或结束通话。 — iDeviceHelp (@iDeviceHelpus) 2025年7月2日 尽管许多人推测该功能是为保护未成年人而设，但它同样作用于成人账户，这引发疑问：这究竟是一个漏洞，还是一项普适的安全功能？ 网络安全与隐私的平衡 用户的主要担忧之一是功能的工作原理，以及这是否意味着用户实际被监控。 根据苹果支持文档，“通信安全”(Communication Safety) 功能“利用设备端机器学习分析照片和视频附件，判断其中是否包含裸体。由于分析过程在您孩子的设备上进行，苹果不会收到裸体被检测到的提示，也不会因此获取相关照片或视频。” 即使有此解释，许多人仍质疑该功能的正当性及其是否侵犯用户隐私。虽然苹果承诺进行设备端处理，但这仍可能让人感到被侵犯，因为公司的裸体检测基于机器学习分析图像模式，而非识别具体情境。这可能导致误报触发通话冻结，例如在与医生进行视频问诊时。 考虑到设备可以暂停或阻止 FaceTime 通话，这变成了一种“在私人加密通话中进行的非自愿内容审查，它开创了一个先例——你的摄像头画面正被苹果的专有过滤器逐帧扫描，”商业黑客初创公司 0rcus 的首席执行官尼克·亚当斯 (Nic Adams) 解释道。 关于裸体检测功能需知 用户的另一个担忧点是苹果的检测模型是如何被训练来识别此类图像的。亚当斯指出，尽管苹果将图像数据保留在设备上，但它使用了行为元数据（包括模型运行的频率、时间和情境等信息），这些数据能在用户无意识的情况下改进苹果的内容检测能力。 这意味着“设备端”处理并不能保证绝对的隐私。科技公司 Cyber Dive（该公司开发了一款供儿童使用、父母可无限监控的智能手机）联合创始人德里克·杰克逊 (Derek Jackson) 表示，每次我们在网上搜索，无论是餐馆还是电影推荐，其实都处于一种“权衡”之中。“‘帮助你’和‘从你这里收集信息’之间的界限非常模糊，而且几乎总是偏向于收集，因为这就是这些服务得以改进和盈利的方式，”他解释道。他也将 FaceTime 试图通过新功能保护儿童免受露骨内容侵害的做法称为一种“权宜之计”(band-aid solution)。 裸体检测功能有多大帮助？ “这对那些不想管教孩子的人来说太棒了，”一位 Reddit 用户这样评价新功能。然而，FaceTime 只是众多应用（如 Snapchat、Telegram 和 Discord）中的一个，未成年人同样可能在这些平台上遭遇相同威胁。亚当斯解释道：“FaceTime 裸体检测假设暴露发生在实时通话中，但大多数诱导性威胁是通过异步消息传递进行的，而非实时视频。”他提出了一种“操作系统层级的设备全局屏幕活动监控”方法，该方法能够检测可疑活动模式，不仅能识别视觉信息，还能识别诱导性语言，因为“一切都始于言语”。 专家还分享了几款家长控制安全工具： Microsoft Family Safety 和 Bark：提供跨平台的情境感知监控。 NextDNS：在所有应用中屏蔽露骨内容。 Qustodio 和 Canopy：允许家长查看视觉历史记录和应用使用模式。 虽然有几款工具可供家长保护孩子免受露骨内容侵害，但杰克逊指出，家长首先教育孩子认识裸体本身以及可能在网上遇到的情况至关重要。“当我们消除围绕自然裸体不必要的羞耻感时，我们就削弱了那些依赖保密性以及孩子的困惑或恐惧来诱导他们的侵害者的力量，”专家分享道。 苹果 iOS 26 开发者测试版于 6 月 9 日发布，公开测试版计划于 7 月发布。最终正式版预计将随 iPhone 17 在 9 月上市。据称，苹果重新设计的 iOS 系统将拥有新界面和一系列新功能与更新，包括可自定义的闹钟贪睡时长以及防止误触拨打电话的功能。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国消费电子巨头三星电子本周宣布，将为即将推出的搭载 One UI 8 系统的 Galaxy 智能手机带来新的安全改进。 为了保护端侧人工智能（AI）功能的安全，该公司推出了 Knox 增强加密保护 (Knox Enhanced Encrypted Protection, KEEP)。这是一项新架构，通过加密存储环境将应用程序限制在其自身的敏感信息范围内。 三星表示，KEEP 保护用户的个人洞察信息（例如偏好和日常习惯），这些信息同时也由名为 Knox Vault 的端侧防篡改硬件安全环境提供保护。KEEP 同样保护其他依赖用户特定输入的功能。 该科技巨头还宣传了 One UI 8 中改进的 Knox Matrix。它能为互联的 Galaxy 设备提供主动、用户友好的保护。它会将所有被标记为存在严重风险的设备从所有云连接服务中断开，同时通知用户并引导其解决问题。 继在 Galaxy S25 系列中引入后量子增强数据保护 (Post-Quantum Enhanced Data Protection, EDP) 之后，三星现在为 安全 Wi-Fi (Secure Wi-Fi) 功能带来了一套新的加密框架，旨在通过后量子密码学 (post-quantum cryptography) 提供更强化的保护。 据该公司称，安全 Wi-Fi 使用一个加固的安全隧道连接 Galaxy 设备和三星服务器，能够抵御那些试图截获加密数据并利用未来量子技术进行破解的攻击。 安全 Wi-Fi 包含一个自动保护模式 (Auto Protect mode)，当设备连接到公共网络时会自动激活；以及增强隐私保护 (Enhanced Privacy Protection, EPP)，用于加密所有互联网流量和路由路径，同时提供保护记录 (protection history) 的可视化。 这些改进是对现有 Galaxy 设备安全功能的补充，包括通过 Knox Vault 保护敏感信息、自动阻止未经授权的应用程序安装、提供关闭 AI 功能在线数据处理的选项，以及在设备失窃情况下保护个人信息的安全措施。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： FlirtAI约会助手应用因未受保护的云存储泄露16万张私密聊天截图。该iOS应用由德国柏林公司Buddy Network GmbH开发，主打AI辅助社交功能。用户上传聊天截图后，应用会生成五条定制回复建议。但研究人员发现其谷歌云存储桶未设权限保护，导致超16万张涉及私密对话的截图暴露。 核心风险点： 未成年人数据高危：泄露数据显示青少年为主要用户群体，其上传的截图包含同龄人私密对话。这些未成年人可能完全不知晓自己的聊天内容被截图并外泄。 非用户隐私裸奔：对话截图中的另一方（非应用使用者）个人信息遭泄露，且因聊天软件界面设计特性，其身份标识（如姓名、头像）更易被锁定。 心理伤害隐患：该应用目标用户多存在社交焦虑或自我认同危机，隐私泄露可能加剧其心理压力。 应用机制争议： 用户需手动截取约会软件聊天或个人资料界面，上传至FlirtAI获取回复建议。 应用条款虽要求“上传前需获得对话方授权”，但实际操作中几乎无法执行。 苹果商店标注17+年龄限制，但未有效阻止未成年人使用。 处置进展： 5月6日：研究人员发现漏洞 5月19日：向开发商发出披露通知 6月2日：通报计算机应急响应小组(CERT) 6月16日：存储桶访问权限修复 涉事公司另运营两款AI应用：情感陪伴应用“Angel”及AI日记工具“90 Seconds”。此次事件再次暴露移动应用生态的数据安全顽疾——近期针对15.6万款iOS应用的研究显示，71%的应用存在至少一项敏感数据泄露风险，平均每款应用暴露5.2个安全凭证。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员监测到针对员工登录凭证的身份驱动型网络攻击激增。eSentire威胁响应部门（TRU）最新报告显示：2024年至2025年一季度期间，该机构处理的1.9万起身份相关安全事件同比激增156%，此类威胁在其服务的2000余家企业中占比高达59%。 钓鱼即服务（PhaaS）推动凭证窃取 Tycoon 2FA平台成为主要推手：该钓鱼即服务平台通过提供中间人攻击（AitM）能力绕过双因素认证（2FA），已超越EvilProxy等竞品成为2025年1-5月最活跃攻击工具。攻击者以月租200-300美元（约合人民币1450-2170元）获取以下服务： 伪装成可信来源的邮件模板 突破MFA防护的中间人攻击模块 反调试与规避检测工具 内置凭证窃取功能 客户支持及定期更新 攻击者利用该平台实施商业邮件欺诈（BEC）：主要针对应收账款部门员工，窃取其凭证后篡改支付路径，将企业资金转入攻击者控制账户。 信息窃取器提供低成本替代方案 攻击者通过Lumma窃密程序等工具批量获取凭证：地下市场中单份窃密日志仅售10美元（约合人民币72元），每份日志可能包含数十项高价值数据： 邮箱/银行服务登录凭据 密码管理器数据库 加密钱包及浏览器扩展数据 VPN/FTP客户端及本地文件 该窃密程序自2022年活跃至今，其内置自动化过滤机制可快速识别高价值数据，大幅缩短凭证利用周期，并通过”Russian Market”等黑市加速销赃。 凭证窃取呈现高回报特性 据FBI统计：2013年至今全球累计发生超30万起商业邮件欺诈案件，造成550亿美元（约合人民币3980亿元）损失。2025年第一季度，信息窃取器占eSentire阻断恶意软件的35%，身份攻击的经济回报率已超越传统漏洞利用。 防御建议 eSentire TRU预测此类威胁将持续蔓延，呼吁企业采取三项核心措施：部署钓鱼攻击免疫的身份验证技术、实施零信任架构、建立实时访问监控机制。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国加利福尼亚州的一家法院已下令谷歌支付3.14亿美元，原因是其被指控在安卓设备用户手机空闲时滥用其蜂窝数据，被动地向该公司发送信息。这一判决标志着最初于2019年8月提起的法律集体诉讼告一段落。 原告在其诉讼中辩称，谷歌的安卓操作系统利用用户的蜂窝数据，在未经用户许可的情况下传输“各种信息给谷歌”，即使他们的设备处于空闲状态也不例外。 原告表示：“尽管谷歌可以设计成仅在手机连接Wi-Fi时进行这些传输，但它却将这些传输设计为也可以在蜂窝网络上进行。” “谷歌未经授权使用他们的蜂窝数据违反了加州法律，并要求谷歌就其未经许可、为自身利益而使用的蜂窝数据价值向原告作出补偿。” 原告辩称，这些传输发生在谷歌产品在后台打开并运行时，即使用户已关闭所有谷歌应用程序且设备处于休眠状态也不例外，从而滥用了用户的数据流量配额。 在一个实例中，原告发现，一台采用默认设置、装有标准预装应用程序并连接了新谷歌账户的三星Galaxy S7设备，每天发送和接收8.88 MB的蜂窝数据，其中94%的通信发生在谷歌与设备之间。 这种信息交换在24小时内大约发生了389次。传输的信息主要包括包含操作系统指标、网络状态和已打开应用列表的日志文件。 根据法庭文件：“日志文件通常不是时间敏感的，其传输可以轻易延迟至有Wi-Fi时再进行，谷歌也可以对安卓进行编程，允许用户仅在连接Wi-Fi时启用被动传输，但显然它选择不这样做。相反，谷歌选择直接利用原告的数据流量配额。” 这还不是全部。该法庭诉讼还引用了2018年的另一项实验，该实验发现，一部“外表处于休眠且静止不动”但打开了Chrome网络浏览器应用程序并将其置于后台的安卓设备，在24小时内导致了约900次被动传输。 相比之下，一部同样静止未动、Safari浏览器在后台打开的iPhone则发送了“明显少得多的信息”，并且指出苹果的操作系统在被动信息传输方面给予用户更大的控制权。 在2025年6月2日开始的审判之后，陪审团支持了原告，称这家科技巨头应对进行这些被动数据传输并导致用户承担其所称的“强制且不可避免的负担[…]以利于谷歌的便利和利益”负责。 谷歌在给路透社的一份声明中表示将对裁决提出上诉，并辩称这些数据传输与“对安卓设备的安全性、性能和可靠性至关重要的服务”有关。该公司还指出，其在用户使用条款协议中披露了这些传输行为并获得了用户的同意。 该陪审团裁决是在谷歌同意支付近14亿美元以和解德克萨斯州两起诉讼近两个月后作出的，这两起诉讼指控谷歌在未经同意的情况下追踪用户的个人位置信息并保存其人脸识别数据。 这一进展也紧随Meta之后，该公司表示正在对欧盟委员会2025年4月的一项决定提出上诉，该决定认为其“付费或同意”模式违反了该地区的《数字市场法案》(DMA)，并处以2亿欧元（2.27亿美元）的罚款。 “该决定强制要求Meta必须免费提供个性化程度较低的广告服务，而忽略了成本、影响或有效性，并强加了一种可能不可行的商业模式，”该公司表示。 “这忽视了市场经济中的商业现实，即Meta理应为其用户选择使用的有价值且创新的服务获得公平补偿——这一原则对于维持创新和经济增长至关重要。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 丹麦政府计划修订版权法，赋予公民对其身体、面部特征及声音的专属权利，以打击AI生成的深度伪造内容。这项被认为是欧洲首创的立法已获议会九成议员支持，将于夏季休会前启动公众咨询，秋季正式提交修正案。 文化部长雅各布·恩格尔-施密特（Jakob Engel-Schmidt）强调，新法案旨在明确个人对自身生物特征数据的所有权。他直言：“现行法律未能有效保护民众免受生成式AI的侵害，人类正被置于数字复印机中遭到滥用，我绝不容忍这种现象。” 新法核心条款包括： 删除权保障：公民可要求平台下架未经同意分享的深度伪造内容。 艺术表演保护：禁止未经许可制作“逼真数字仿制的艺术表演”，违者需赔偿受害者。 例外情形：戏仿与讽刺作品不受新规限制，创作自由仍受保护。 针对科技平台合规性，恩格尔-施密特警告拒不配合者将面临“严厉罚款”，并计划在丹麦即将接任欧盟轮值主席国期间，向各成员国推广此立法模式。他透露：“若平台消极应对，欧盟委员会或将介入处理。”       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 影响蓝牙芯片组的安全漏洞波及十大音频品牌超29款设备，可被用于窃听或窃取敏感信息。研究人员确认拜亚动力、Bose、索尼、马歇尔、捷波朗（Jabra）、JBL、Jlab、EarisMax、MoerLabs及德斐尔（Teufel）的29款设备存在风险，涉及音箱、耳塞、耳机及无线麦克风等产品。攻击者可借此劫持设备，在特定手机上甚至能窃取通话记录与通讯录。 蓝牙连接的隐秘窃听 德国TROOPERS安全会议上，网络安全公司ERNW披露了台湾络达（Airoha）系统级芯片（SoCs）的三个漏洞——该芯片广泛应用于真无线立体声（TWS）耳塞。这些漏洞本身非关键性，除需蓝牙范围内的物理接近外，利用过程还需“高水平技术能力”。具体漏洞标识如下： CVE-2025-20700（6.7分，中危）：GATT服务缺乏身份验证 CVE-2025-20701（6.7分，中危）：蓝牙BR/EDR协议缺失认证 CVE-2025-20702（7.5分，高危）：自定义协议的关键功能缺陷 ERNW研究人员成功开发概念验证漏洞利用代码，可读取目标耳机当前播放的媒体内容。尽管此类攻击风险有限，但组合利用三个漏洞可令攻击者劫持手机与蓝牙音频设备的连接，通过蓝牙免提协议（HFP）向手机发送指令。“可用命令范围取决于手机操作系统，但所有主流平台至少支持发起/接听通话”。研究人员通过提取漏洞设备内存中的蓝牙链接密钥，成功触发向任意号码拨号。根据手机配置，攻击者还可能窃取通话记录与通讯录。 攻击的现实限制 尽管存在严重攻击场景，实际大规模实施受多重制约：技术复杂性与物理接近需求将此类攻击局限在针对外交、新闻、敏感行业等高价值目标。研究人员坦言：“技术上虽严重，但实际攻击极难执行。” 修复进展 络达已发布包含修复方案的更新版SDK，设备制造商正开发并分发补丁。但德国Heise媒体指出，超半数受影响设备的最新固件仍停留在5月27日（络达发布SDK修复前）版本，意味着漏洞尚未实际修复。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： Meta旗下社交网络平台Facebook正要求用户上传手机相册照片，通过人工智能（AI）技术生成拼贴画、内容回顾及其他创意建议，包括用户从未直接上传至服务的照片。据TechCrunch首发报道，用户尝试在Facebook创建新故事（Story）时，会收到弹出消息请求授权“允许云端处理”。 弹窗声明称：“为提供创意建议，我们将根据时间、地点或主题等信息，持续从您的相册选择媒体内容上传至云端。仅您本人可见建议内容，您的媒体文件不会用于广告定位。我们将基于安全性与完整性原则进行审核。”若用户同意照片云端处理，即视为接受Meta的AI条款——该条款允许公司分析用户媒体文件及面部特征。 Meta在帮助页面说明“该功能尚未全面开放”，目前仅限美加用户使用，并向TechCrunch强调该AI功能为选择性加入，用户可随时关闭。这再次印证科技公司在产品中竞相整合AI功能时，常以用户隐私为代价。 Meta称新AI功能不会用于定向广告，但专家仍存疑虑：用户即使同意上传私人照片视频，其数据存储时限与访问权限仍不明确。云端处理过程存在风险，尤其涉及面部识别及时间地点等隐藏信息。此类数据即便不用于广告，仍可能进入训练数据集或用于构建用户画像——如同将相册交给算法，使其持续学习用户习惯、偏好与行为模式。 上月，Meta在获得爱尔兰数据保护委员会（DPC）批准后，开始使用欧盟境内成年用户公开数据训练AI模型。2024年7月，该公司因巴西政府隐私担忧暂停生成式AI工具运营。该社交巨头还在WhatsApp新增AI功能，最新推出的是通过“隐私优先处理”（Private Processing）技术汇总未读消息。 这属于生成式AI大趋势的一部分：科技公司将便利性与追踪技术捆绑。自动拼贴或智能故事建议看似实用，实则依赖监控设备使用行为的AI系统（不限于应用内）。因此隐私设置、明确授权及数据收集限制比以往更为关键。         消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名交友软件Bumble因与OpenAI合作开发的“破冰”功能，被欧洲数字权利中心（noyb）指控违反欧盟《通用数据保护条例》（GDPR）。该组织于6月25日向奥地利监管机构提交正式投诉，直指四项违规行为。 “破冰”功能于2023年12月在Bumble for Friends（专为发展非恋爱友谊设计的独立应用）上线，通过OpenAI分析用户资料生成定制开场白。Bumble官网称其可“帮助用户创建个性化沟通信息”。 noyb指控Bumble： 未明确告知数据用途及接收方 缺乏向OpenAI传输个人数据的法律依据 未获授权处理敏感数据 采用诱导式弹窗替代有效同意机制 用户启动功能时会收到“AI助你破冰”弹窗，说明“利用AI生成匹配个人资料的问题”。投诉指出： 用户需点击“好”才能关闭弹窗，否则每次启动都会重现 关键数据共享说明隐藏在独立FAQ页面，关闭后无法回溯 投诉人表示点击“好”仅为关闭弹窗，未意识到同意数据共享 当用户发信询问“数据传给谁、共享哪些数据”时，Bumble未予答复。noyb强调GDPR要求企业必须清晰披露数据处理细节。 noyb曾推动欧盟监管机构在2023年对Meta处以12亿欧元罚款，并叫停其向美国传输数据的行为。此次投诉若成立，Bumble可能面临年营收4%（约4,000万美元）的罚款。截至发稿，Bumble尚未回应置评请求。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文