据Security Affairs消息，近期披露的一个严重 Linux 内核漏洞会影响 SMB 服务器，可能导致远程代码执行。 该漏洞的 CVSS 评分达到了最高级别的10分，影响启用了 KSMBD 的服务器。KSMBD 是一个 Linux 内核服务器，它在内核空间实现 SMB3 协议，用于通过网络共享文件，未经身份验证的远程攻击者可以在易受攻击的 Linux 内核安装上执行任意代码。 趋势科技在其网站上的发布的漏洞披露显示，虽然利用此漏洞不需要身份验证，但只有启用了KSMBD 的系统容易受到攻击。漏洞存在于 SMB2_TREE_DISCONNECT 命令的处理过程中，是由于在对象执行操作之前没有验证对象的存在，攻击者可以利用此漏洞在内核上下文中执行任意代码。 Thales Group 的 Thalium 团队的研究人员于今年7月26日首次发现了该漏洞，12 月 22 日该漏洞得到公开披露。 云安全初创公司 wiz.io 的研究主管Shir Tamari表示，由于 KSMBD 模块不像 Samba 套件那样流行，因此尽管漏洞很严重，但其潜在影响可能有限。该漏洞仅影响使用 Linux 5.15 中引入KSMBD 模块的 SMB 服务器。若用户的 SMB 服务器使用 Samba，则不会受到任何影响。 为此，使用 KSMBD的用户必须更新到自8 月之后发布的新版Linux 内核版本——5.15.61及以上版本。   转自 Freebuf，原文链接：https://www.freebuf.com/news/353584.html 封面来源于网络，如有侵权请联系删除

苹果公司已经修复了一个漏洞，攻击者可以通过能够绕过Gatekeeper应用程序执行限制的不受信任的应用程序在脆弱的macOS设备上部署恶意软件。该安全漏洞”Achilles”由微软首席安全研究员Jonathan Bar Or发现并报告，现在被追踪为CVE-2022-42821。一周前，即12月13日，苹果在macOS 13（Ventura）、macOS 12.6.2（Monterey）和macOS 1.7.2（Big Sur）中解决了这个漏洞。 Gatekeeper是一个macOS安全功能，它自动检查所有从互联网上下载的应用程序是否经过公证和开发者签名（经苹果公司批准），在启动前要求用户确认，或发出应用程序不可信的警告。 这是通过检查一个名为com.apple.quarantine的扩展属性来实现的，该属性由网络浏览器分配给所有下载文件，类似于Windows中的Mark of the Web。 该缺陷允许特别制作的载荷滥用逻辑问题，设置限制性的访问控制列表（ACL）权限，阻止网络浏览器和互联网下载器为下载的ZIP文件存档的有效载荷设置com.apple.quarantine属性。结果是存档的恶意载荷中包含的恶意应用程序在目标系统上启动，而不是被Gatekeeper阻挡，使攻击者能够下载和部署恶意软件。 微软周一表示，”苹果在macOS Ventura中引入的锁定模式，是针对可能被复杂网络攻击盯上的高风险用户的可选保护功能，旨在阻止零点击远程代码执行漏洞，因此不能防御Achilles”。微软安全威胁情报团队补充说：”无论他们的锁定模式状态如何，终端用户都应该应用苹果发布的已修复版本”。 这只是过去几年发现的多个Gatekeeper旁路之一，其中许多被攻击者在外部滥用，以规避macOS安全机制，如Gatekeeper、文件隔离和系统完整性保护（SIP）在完全打过补丁的Mac上。 例如，Bar Or在2021年报告了一个被称为Shrootless的安全漏洞，可以让威胁者绕过系统完整性保护（SIP），在被攻击的Mac上进行任意操作，将权限提升到root，甚至在脆弱的设备上安装rootkit。该研究人员还发现了powerdir，这是一个允许攻击者绕过透明、同意和控制（TCC）技术来访问用户受保护数据的漏洞。他还发布了一个macOS漏洞（CVE-2022-26706）的利用代码，可以帮助攻击者绕过沙盒限制，在系统上运行代码。 最后但并非最不重要的是，苹果在2021年4月修复了一个零日macOS漏洞，使臭名昭著的Shlayer恶意软件背后的威胁者能够规避苹果的文件隔离、Gatekeeper和证书安全检查，并在受感染的Mac上下载更多的恶意软件。 Shlayer的创造者还设法让他们的有效载荷通过苹果的自动证书程序，并使用多年的技术来提升权限和禁用macOS的Gatekeeper，以运行未签署的载荷。   转自 cnBeta，原文链接：https://www.toutiao.com/article/7179139903052546575/ 封面来源于网络，如有侵权请联系删除

在12月7日举行的欧洲黑帽大会上，SafeBreach安全研究员Yair发表了主题为“开发下一代擦除器”的演讲，并公布了对多家安全厂商的11种EDR工具的测试结果，其中四家厂商的六种工具存在严重漏洞。这些易受攻击的产品分别是Microsoft Windows Defender，Windows Defender for Endpoint、TrendMicro ApexOne、Avast Antivirus、AVG Antivirus和SentinelOne。 在Yair披露漏洞之前，其中三家供应商已经为这些漏洞分配了正式的CVE编号并为其发布了补丁。 Yair还在黑帽大会上发布了名为Aikido的概念验证代码（一个数据擦除器），演示了仅拥有非特权用户权限的擦除器如何操纵存在漏洞的EDR工具擦除系统上的几乎所有文件，包括系统文件。 “超过半数的受测EDR和AV产品中存在该漏洞，包括Windows上的默认端点保护产品，”Yair在他的黑帽大会演讲中说：“我们很幸运能抢在黑客之前发现问题，因为这些工具和漏洞一旦落入坏人手中会造成难以估量的严重损失，易受该漏洞攻击的EDR版本管理着数亿个端点！” Yair透露他在7月至8月期间向受影响的供应商报告了该漏洞。“然后，在接下来的几个月里，我们与供应商密切合作，在披露漏洞（利用）之前开发补丁程序，其中三家供应商发布了新版本的软件或补丁来解决这个漏洞。分别是微软，趋势科技和Gen（Avast与AVG的开发商）。但是没有收到SentinelOne发布修复程序的确认”。 Yair表示，披露的漏洞与某些EDR工具删除恶意文件的方式有关。“在这个删除过程中有两个关键事件，”Yair指出：“EDR有时会将文件检测为恶意文件，而实际删除文件时，有时可能需要重新启动系统。在这两个事件之间，攻击者有机会使用所谓的NTFS链接点来指示EDR删除与其标识为恶意的文件不同的文件。” NTFS链接点类似于所谓的符号链接，符号链接是位于系统中其他位置的文件夹和文件的快捷方式文件，只是用于链接系统上不同本地卷上的目录。 Yair说道，为了在易受攻击的系统上触发问题，他首先创建了一个恶意文件，使用非特权用户权限，因此EDR将检测并尝试删除该文件。Yair找到了一种方法，通过保持恶意文件打开，强制EDR将删除推迟到重新启动后。然后，恶意文件会在系统上创建一个C：\TEMP\目录，使其成为另一个目录的联结点，并进行硬件设置，以便当EDR产品尝试执行删除恶意文件的操作时（重新启动后），会被导引到完全不同的文件。Yair发现黑客可以使用相同的技巧删除计算机上不同位置的多个文件，方法是创建一个目录快捷方式并将指向不同文件的特制路径放入其中。 Yair透露，在测试某些EDR产品时，虽然他无法删除指定文件，但是能够删除整个文件夹。 受该漏洞影响的主要是那些将删除恶意文件推迟到系统重启后的EDR工具。此类EDR产品将恶意文件的路径存储在某个位置（因供应商而异），并在重新启动后使用该路径删除文件。Yair表示，一些EDR产品在重新启动后不会检查恶意文件的路径是否指向同一位置，这为攻击者提供了一种在路径中间安插快捷方式的方法。他指出，此类漏洞属于检查与使用时间差（TOCTOU）漏洞。   转自 goupsec，原文链接：https://mp.weixin.qq.com/s/OJUSm2rPeCpnVfTOjowNeA 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 据观察，一种名为Zerobot的基于Go的新型僵尸网络利用物联网（IoT）设备和其他软件中的近20个安全漏洞，在野外迅速扩散。 Fortinet FortiGuard实验室的研究员Cara Lin说：“僵尸网络包含几个模块，包括自我复制、针对不同协议的攻击和自我传播。它还使用WebSocket协议与其命令和控制服务器进行通信。” 据称，该行动于2022年11月18日之后开始，主要针对Linux操作系统，以控制易受攻击的设备。 Zerobot的名字来自于一个传播脚本，该脚本用于在获得对主机的访问权后根据其微架构实现（例如“zero.arm64”）检索恶意有效载荷。 该恶意软件旨在针对各种CPU架构，如i386、amd64、arm、arm64、mips、mips64、mips64le、mipsle、ppc64、ppc64le、riscv64和s390x。 迄今为止，已经发现了两个版本的Zerobot：一个是在2022年11月24日之前使用的，它具有基本功能和一个更新的版本，包括自传播模块，可以使用21个漏洞攻击其他端点。 这包括影响TOTOLINK路由器、Zysel防火墙、F5 BIG-IP、海康威视摄像头、FLIR AX8热成像摄像头、D-Link DNS320 NAS和Spring Framework等的漏洞。 Zerobot在受感染的机器上初始化后，会与远程命令控制（C2）服务器建立联系，并等待进一步的指令，允许它运行任意命令，并对TCP、UDP、TLS、HTTP和ICMP等不同网络协议发起攻击。 “在很短的时间内，它被更新为字符串模糊处理、复制文件模块和传播攻击模块，这使得它更难被检测出来，并使其具有更高的感染能力。”Lin说。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 美国Megatrends（AMI）MegaRAC基板管理控制器（BMC）软件中披露了三种不同的安全漏洞，可能导致在易受攻击的服务器上执行远程代码。 固件和硬件安全公司Eclypsium在与The Hacker News分享的一份报告中表示：“利用这些漏洞的影响包括远程控制受感染的服务器，远程部署恶意软件、勒索软件和固件植入物，以及服务器物理损坏（砖砌）。” BMC是服务器中的特权独立系统，用于控制低级硬件设置和管理主机操作系统，即使在计算机断电的情况下也是如此。 这些功能使BMC成为黑客的目标，他们希望在操作系统重新安装和硬盘更换后幸存下来的设备上植入持久性恶意软件。 这些新发现的问题统称为BMC&C，攻击者可以访问Redfish等远程管理界面（IPMI），从而利用这些漏洞，可能使对手能够控制系统并使云基础设施面临风险。 其中最严重的漏洞是 CVE-2022-40259（CVSS评分：9.9），这是一种通过Redfish API执行任意代码的情况，要求攻击者在设备上拥有最低级别的访问权限（回调权限或更高）。 CVE-2022-40242（CVSS评分：8.3）与系统管理员用户的哈希有关，可以破解和滥用该哈希值以获得管理shell访问权限，而CVE-2022-2827（CVSS 评分：7.5）是密码重置功能中的一个漏洞，可以利用该漏洞来确定是否存在具有特定用户名的帐户。 研究人员解释说：“[CVE-2022-2827]允许精确定位预先存在的用户，并且不会导致进入shell，但会为攻击者提供暴力攻击或撞库攻击的目标列表。” 调查结果再次强调了确保固件供应链和确保BMC系统不直接暴露在互联网上的重要性。 该公司表示：“由于数据中心倾向于在特定硬件平台上实现标准化，任何BMC级别的漏洞都很可能适用于大量设备，并可能影响整个数据中心及其提供的服务。” Binarly在基于AMI的设备中披露了多个高影响漏洞，这些漏洞可能导致早期启动阶段（即EFI前环境）内存损坏和任意代码执行。 今年5月早些时候，Eclypsium还发现了影响Quanta Cloud Technology（QCT）服务器的所谓“Pantsdown”BMC漏洞，成功利用该漏洞可以让攻击者完全控制设备。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

The Hacker News 网站披露，IBM 近日修复一个影响其 PostgreSQL 云数据库（ICD）产品的高严重性安全漏洞（CVSS分数：8.8），该漏洞可能被利用来篡改内部存储库并运行未经授权的代码。 云安全公司 Wiz 将该漏洞称为“Hell’s Keychain ”，一旦恶意攻击者成功利用该漏洞可能会在客户环境中远程执行代码，甚至读取或修改存储在 PostgreSQL 数据库中的数据。 Wiz 研究人员 Ronen Shustin 和 Shir Tamari 表示：该漏洞由三个暴露的秘密 Kubernetes 服务帐户令牌、私有容器注册密码、CI/CD 服务器凭据组成，再加上对内部构建服务器的过度许可网络访问。 Hell’s Keychain 始于 ICD 中的一个 SQL 注入漏洞，该漏洞可能授予攻击者超级用户（又称 “ibm”）权限，然后允许其在托管数据库实例的底层虚拟机上执行任意命令。 据悉，这个功能被武器化以期访问 Kubernetes API 令牌文件，从而允许更广泛的开发后工作，包括从 IBM 的私有容器注册表中提取容器图像，该注册表存储与用于PostgreSQL 的 ICD 相关的图像，并扫描这些图像以获取其他机密。 研究人员强调，容器图像通常包含公司知识产权的专有源代码和二进制工件，此外，它们还可以包含攻击者可以利用的信息，以发现其他漏洞并在服务的内部环境中执行横向移动。 Wiz 表示，它能够从图像清单文件中提取内部工件存储库和 FTP 凭证，有效地允许对受信任的存储库和 IBM 构建服务器进行不受限制的读写访问。 这种攻击能够覆盖到 PostgreSQL 映像构建过程中使用的任意文件，然后将这些文件安装在每个数据库实例上，因此可能会产生严重后果。 IBM 在一份独立的咨询报告中表示，所有用于 PostgreSQL 实例的 IBM 云数据库都可能受到该 漏洞的影响，但目前还没有发现恶意活动的迹象，修补措施于 2022 年 8 月 22 日和 9 月 3 日推出，已自动应用于客户实例，无需进一步操作。 研究人员表示：作为广泛攻击链的一部分，这些漏洞可能被恶意攻击者利用，最终导致对平台的供应链攻击。 为了减轻此类威胁，建议组织监控其云环境中分散的凭据，强制实施网络控制以防止访问生产服务器，并防止容器注册表损坏。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351588.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 谷歌为Chrome网络浏览器推出了紧急安全更新，以解决一个新的零日漏洞，该漏洞在野外被积极利用，追踪为CVE-2022-4262。 CVE-2022-4262漏洞是V8 JavaScript中的一个类型混淆漏洞。 2022年11月29日，谷歌威胁分析小组的Clement Lecigne报告了该漏洞。 谷歌没有分享有关该漏洞的技术细节，以允许用户更新其Chrome安装。无论如何，黑客可以利用该漏洞来实现任意代码执行。 谷歌通过发布适用于Mac和Linux的108.0.5359.94以及适用于Windows的108.0.5359.94/.95修复了零日漏洞，该公司计划在未来几天/几周内推出。 CVE-2022-4262 是谷歌今年解决的第九个积极利用的Chrome零日漏洞，以下是这家科技巨头修复的其他零日漏洞列表： CVE-2022-4135（11月25日）– GPU中的堆缓冲区溢出漏洞。 CVE-2022-3723（10月28日）– V8 Javascript引擎中的类型混淆漏洞。 CVE-2022-3075（9月2日）– Mojo运行库集合中的数据验证不足。 CVE-2022-2856（8月17日）– Intents中不可信输入的验证不足。 CVE-2022-2294（7月4日）– Web实时通信 （WebRTC） 组件中的堆缓冲区溢出。 CVE-2022-1364（4月14日）– V8 JavaScript引擎中存在的类型混淆漏洞。 CVE-2022-1096（3月25日）– V8 JavaScript引擎中的类型混淆漏洞。 CVE-2022-0609（2月14日）– 在动画组件中释放问题后使用。 建议Chrome用户尽快更新其安装，以消除试图利用零日漏洞的攻击。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

美国网络安全和基础设施安全局（CISA）上周发布了一份工业控制系统（ICS）咨询报告，警告三菱电机GX Works3工程软件存在多个漏洞。如果成功利用这些漏洞可使未经授权的用户获得对MELSEC iQ-R/F/L系列CPU模块和MELSEC iQ-R系列OPC UA服务器模块的访问权，或查看和执行程序。 GX Works3是ICS环境中使用的工程工作站软件，作为从控制器上传和下载程序的机制，排除软件和硬件问题，并执行维护操作。广泛的功能也使该平台成为希望破坏此类系统以控制被管理的PLC的威胁者的诱人目标。 10个缺陷中有3个与敏感数据的明文存储有关，4个与使用硬编码的加密密钥有关，2个与使用硬编码的密码有关，1个涉及保护不足的凭证情况。 其中最关键的漏洞CVE-2022-25164和CVE-2022-29830的CVSS评分为9.1，可以被滥用，以获得对CPU模块的访问，并获得项目文件的信息，而不需要任何权限。 发现CVE-2022-29831（CVSS评分：7.5）的Nozomi Networks表示，能够访问安全PLC项目文件的攻击者可以利用硬编码密码直接访问安全CPU模块，并可能破坏工业流程。 报告指出：“工程软件是工业控制器安全链中的一个重要组成部分，如果其中出现任何漏洞，对手可能会滥用这些漏洞，最终破坏所管理的设备，从而破坏受监督的工业流程。” CISA披露了三菱电机MELSEC iQ-R系列的拒绝服务（DoS）漏洞的细节，该漏洞源于缺乏适当的输入验证（CVE-2022-40265，CVSS评分：8.6）。 CISA指出：”成功利用这个漏洞可以使远程未认证的攻击者通过发送特制的数据包在目标产品上造成拒绝服务的情况。 在一个相关的发展中，网络安全机构进一步概述了影响霍纳自动化公司的远程紧凑型控制器（RCC）972的三个问题，其中最关键的问题（CVE-2022-2641，CVSS评分：9.8）可能导致远程代码执行或引起DoS条件。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/b9D8hfD8H_dkUVhtpXyYnA 封面来源于网络，如有侵权请联系删除

据cybernews消息，现代汽车APP存在一个重大安全漏洞。利用这个漏洞，黑客可以远程解锁、启动汽车。更令业界感到惊讶的是，这个漏洞已经存在了10年之久，影响了自2012年生产的现代汽车，以及旗下高端品牌捷尼赛思汽车。但现代汽车发布公告称，该漏洞并未被广泛利用。 这两个APP的名称是MyHyundai 和 MyGenesis，允许经过身份验证的用户启动、停止、锁定和解锁他们的车辆，可进一步提升车主的使用体验。 根据网络安全研究人员Sam Curry的说法，原本现代和捷尼赛思汽车的APP仅向授权用户提供车辆的控制权限，但是，该APP与授权服务器的通信之间存在一个严重的安全漏洞，导致攻击者可以轻易取得相应的权限。 Sam Curry在社交平台发文称，“我们注意到服务器不要求用户确认他们的电子邮件地址，此外还有一个非常松散的正则表达式，允许在您的电子邮件中使用控制字符。” 在深入研究绕过身份验证的可能方法后，Sam Curry和他的团队发现，在注册过程中，只需要在现有受害者电子邮件的末尾添加CRLF字符，攻击者就可以使用现有的电子邮件注册一个新帐户。 而这个新帐户将获得一个JSON网络令牌 (JWT)，该令牌与服务器中的合法电子邮件相匹配，从而授予攻击者对目标车辆的访问权限。 Sam Curry发布消息称，“我们目前在确认，是否可以使用被篡改的 JWT 执行解锁或启动汽车等实际操作，如果真的可以做到这一点，那么将有可能全面接管所有远程启动的现代汽车和捷尼赛思汽车。 随后，有安全研究人员利用他们手里的一辆现代汽车来测试该漏洞。最终结果显示，使用受害者的电子邮件地址并添加 CRLF 字符，就可以让他们远程解锁链接了相应电子邮件地址的车辆。 有消息称，某些黑客团队也盯上了这个漏洞，甚至开发了一个python 脚本，只需要获取受害者的电子邮件地址，即可执行车辆上的所有命令，甚至接管车主的帐户。 目前，该漏洞已经报告给现代汽车公司，并且已经得到修复。在发布的公告中，现代汽车表示，经过调查后并未发现该漏洞被黑客利用了。 现代声称该公司调查了这个问题，并没有发现该漏洞在野外被利用，并强调利用该漏洞条件苛刻，“需要知道与特定现代汽车帐户和车辆相关的电子邮件地址，以及研究人员使用的特定网络脚本。” 而这似乎与目前不少安全人员发布的内容不太相符。 Yuga Labs公司的分析师称，只需要知道目标车辆识别号 (VIN)，就有可能向端点发送伪造的 HTTP 请求，从而顺利利用该漏洞。 在实际情况中，车辆VIN 很容易在停放的汽车上获取，通常在仪表板与挡风玻璃相接的板上可见，攻击者可以轻松访问它。这些识别号码也可以在专门的汽车销售网站上找到，供潜在买家查看车辆的历史记录。 近年来，智能汽车产业正处于快速发展期，越来越多的安全专家们也开始将研究重点放在汽车攻击领域，发现了不少重量级汽车网络安全漏洞，包括远程解锁、启动、停止车辆等，成功向外界展示，攻击者是如何破坏车辆中的各种组件，涉及多个主流汽车品牌。 也正因为如此，汽车厂商们应进一步加大对网络安全的重视程度，并真切投入资源改善这种不安去的状况。汽车作为一个私密、封闭的个人空间，其安全性的重要性毋庸置疑，也是车主们选择汽车的重要衡量因素。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351422.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer 11月30日消息，谷歌的威胁分析小组 (TAG) 发现一家西班牙软件公司试图利用 Chrome 、 Firefox 浏览器以及 Microsoft Defender 安全应用程序中的漏洞从事间谍活动，目前漏洞已经得到修复。 谷歌TAG表示，这家总部位于巴塞罗那的软件公司虽然官方宣称是一家安全解决方案提供商，但其实也从事商业监控活动。 该公司使用Heliconia 框架，利用了 Chrome、Firefox 和 Microsoft Defender 中的 N-day 漏洞，提供了将有效载荷部署到目标设备所需的所有工具。该利用框架由多个组件组成，每个组件都针对目标设备软件中的特定安全漏洞： Heliconia Noise：一个 Web 框架，用于部署 Chrome 渲染器错误利用，以及 Chrome 沙箱逃逸以在目标设备上安装代理 Heliconia Soft：一个部署包含 Windows Defender 漏洞的 PDF  Web 框架，被跟踪为 CVE-2021-42298 Heliconia 文件：一组针对 Linux 和 Windows 的 Firefox 漏洞利用，其中一个被跟踪为 CVE-2022-26485 对于 Heliconia Noise 和 Heliconia Soft，这些漏洞最终会在受感染的设备上部署名为“agent_simple”的代理。 TAG分析了一个包含虚拟代理的框架样本，得到的结果是在运行和退出的情况下未执行任何恶意代码，认为该框架的客户提供了他们自己的代理，或者是谷歌没有权限访问整个框架。 尽管没有证据表明目标安全漏洞被积极利用，并且谷歌、Mozilla 和微软在 2021 年和 2022 年初修补了这些漏洞，但TAG 表示这些漏洞很可能在野外被用作零日漏洞。 对间谍软件供应商的跟踪 TAG 属于谷歌旗下的安全专家团队，专注于保护谷歌用户免受国家支持的网络攻击，但团队也跟踪了数十家从事间谍或监视服务的公司。 2022年6 月，TAG 注意到意大利间谍软件供应商 RCS Labs在一些互联网服务提供商 (ISP) 的帮助下，在意大利和哈萨克斯坦的 Android 和 iOS 用户的设备上部署了商业监控工具。期间，目标用户被提示安装伪装成合法移动运营商应用的监控软件。 最近，TAG 揭露了另一场监视活动，受国家支持的攻击者利用五个零日漏洞，在目标设备上安装商业间谍软件开发商 Cytrox 开发的 Predator 间谍软件。 TAG表示，间谍软件行业的发展使用户处于危险之中，并降低了互联网的安全性，虽然根据国家或国际法律，监控技术可能是合法的，但它们经常以有害的方式被用来对一系列群体进行数字间谍活动。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351256.html 封面来源于网络，如有侵权请联系删除