Hackernews 编译，转载请注明出处： 9月2日，谷歌发布了紧急补丁，以修复Chrome浏览器中的一个安全漏洞，据称该漏洞正在被广泛利用。 该漏洞被跟踪为CVE-2022-3075，涉及Mojo中数据验证不足的情况，Mojo指的是为进程间通信 (IPC) 提供与平台无关机制的运行库的集合。 这家互联网巨头表示：“谷歌知道有报道称CVE-2022-3075在野外存在漏洞，但没有深入研究有关攻击性质的更多细节，以防止其他黑客利用该漏洞。” 这是自今年年初以来谷歌解决的第6个Chrome零日漏洞： CVE-2022-0609 – 动画中的Use-after-free漏洞 CVE-2022-1096 – V8中的类型混淆 CVE-2022-1364 – V8中的类型混淆 CVE-2022-2294 – WebRTC中的堆缓冲区溢出 CVE-2022-2856 – Intents中不受信任的输入验证不足 建议用户升级到适用于Windows、macOS和Linux的版本105.0.5195.102，以缓解潜在威胁。还建议基于Chrome浏览器（如Microsoft Edge、Brave、Opera和Vivaldi）的用户在修复应用程序时利用该补丁。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

网站安全和托管服务提供商 Cloudflare 于上周六宣布，将对鹬鸵农场（Kiwi Farms，充斥大量有害内容的在线论坛）采取屏蔽措施。在官方博文中，鹬鸵农场过去两天“有针对性的威胁”有所增加，对人类生命构成了“直接威胁”。 Kiwi Farms（官方中文名“鹬鸵农场”）是一个臭名昭著的美国论坛，致力于寻找互联网上的“lolcows（指值得被取笑的人）”，他们喜欢寻找那些看起来脆弱容易内心敏感容易受伤的人当作目标，把作恶当作一场电子游戏，尽其所能地让受害者感到精神上的难以解脱，并以此为乐。被鹬鸵农场盯上的目标往往会受到有组织的持续不断的骚扰。 充斥于鹬鸵农场的网络暴力已经导致天才模拟器程序员 Near 在内的不少人抑郁、自杀。在跨性别 YouTuber 和 Twitch 主播 Clara Sorrenti (Keffals) 成为该网站用户的危险骚扰活动的目标之后，人们对 Kiwi Farms 的担忧日益增加。上个月，Kiwi Farms 用户对 Sorrenti 发起了猛烈攻击，也就是向警方提供虚假提示，表明有人计划实施暴力犯罪，导致警方蜂拥而至受害者家中。 Sorrenti 后来躲藏起来并发起了#DropKiwifarms 活动，敦促 Cloudflare 停止为 Kiwi Farms 提供服务。 Twitter 上的用户分享了这个标签，其中一些人还透露了他们在 Kiwi Farms 用户手中所经历的骚扰。 Cloudflare 最初拒绝放弃 Kiwi Farms 的呼吁，称这样做是“滥用权力”。在上周发布到其网站的更新中，Cloudflare 概述了其关于滥用内容的政策，提出了维护服务的论据，但没有明确提及 Kiwi Farms。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1312403.htm 封面来源于网络，如有侵权请联系删除

一个影响Chrome、Firefox和Safari的浏览器漏洞在最近的Chrome软件发布后被发现。Google开发人员发现了这个基于剪贴板的攻击，当用户访问一个被攻击的网页时，恶意网站可以覆盖用户的剪贴板内容。该漏洞也影响到所有基于Chromium的浏览器，但似乎在Chrome浏览器中最为普遍，目前用于复制内容的用户手势被列为了问题报告。 Google开发人员杰夫-约翰逊解释了该漏洞是如何被触发的，几种方式都是授予页面覆盖剪贴板内容的权限。一旦授予权限，用户可以通过主动触发剪切或复制动作，点击页面中的链接，甚至采取在有关页面上向上或向下滚动这样简单的动作来影响。 浏览器之间的区别在于，Firefox和Safari用户必须使用Control+C或⌘-C主动将内容复制到剪贴板，而Chrome用户只需查看一个恶意页面不超过几分之一秒就可以受到影响。 约翰逊的博文引用了Šime的视频例子，Šime是一家专门面向网络开发者的内容创作者。Šime的演示揭示了Chrome浏览器用户受到影响的速度有多快，只要在活动的浏览器标签之间切换，就会触发该漏洞。无论用户进行了多长时间或何种类型的互动，恶意网站都会立即用威胁者决定提供的内容取代任何剪贴板内容。 约翰逊的博客提供了技术细节，描述了一个页面如何获得写到系统剪贴板的权限。一种方法是使用现在已被废弃的命令，即document.execCommand。 另一种方法是利用最近的navigator.clipboard.writetext API，它有能力将任何文本写入剪贴板而不需要额外的操作。一个演示说明了针对同一漏洞的两种方法如何工作。 虽然这个漏洞表面上听起来没有什么破坏性，但用户应该保持警惕，恶意行为者可以利用内容交换来利用毫无戒心的受害者。例如，一个欺诈性网站可以用另一个欺诈性URL替换之前复制的URL，在不知情的情况下将用户引向旨在获取信息和破坏安全的其他网站。 该漏洞还为威胁者提供了将复制的加密货币钱包地址保存在剪贴板上的能力，替换为由恶意第三方控制的另一个钱包的地址。一旦交易发生，资金被发送到欺诈性钱包，受害的用户通常几乎没有能力追踪和收回他们的资金。 Google已经意识到了这个漏洞，并有望在不久的将来发布一个补丁。在此之前，用户应谨慎行事，避免使用基于剪贴板的复制内容打开网页，并在继续进行任何可能危及其个人或财务安全的活动之前验证其复制内容的输出。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1312115.htm 封面来源于网络，如有侵权请联系删除

在 Mac 开机或者打开某款应用时进行恶意软件扫描之外，苹果悄然新增了一项新功能：在 Mac 处于闲置状态进行恶意软件软件扫描。Howard Oakley 在其 The Eclectic Light Company 博文中写道，苹果于 2021 年 3 月引入了名为 XProtect Remediator 的功能，在最新发布的 macOS Monterey 中开始启用。 XProtect Remediator 是对现有 XProtect 系统工具的补充。Oakley 表示 XProtect 系统工具主要用于应用生产，是否存在已知恶意软件黑名单中的代码。XProtect Remediator 由可执行代码模块组成，这些模块既可以扫描又可以修复检测到的恶意软件。 Oakley 表示，它似乎可以替代苹果之前的恶意软件删除工具 (MRT)。虽然在 Apple 的支持网站上搜索“恶意软件”确实会显示对 MRT 的引用，但这些引用已从实际支持文档中删除。 支持文档中也未提及此 XProtect Remediator，并且 XProtect 被描述为用于在检测到恶意软件后删除。但是，Apple 现在确实表示 XProtect 还有助于识别恶意软件。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1311103.htm 封面来源于网络，如有侵权请联系删除

谷歌推出一项新的漏洞奖励计划，奖励从谷歌开源项目中发现并报告漏洞的安全研究人员。 作为这项新的开源软件漏洞奖励计划 (OSS VRP) 的一部分，谷歌提供的奖励金范围是100美元至31337美元。不过针对“特别聪明或有趣的漏洞”，将会有1000美元左右的额外奖励。 谷歌运行漏洞奖励计划的时间已有12年左右并不断对其扩充，涵盖了安卓、Chrome、Linux 内核等领域。迄今为止，谷歌已向研究人员发放了超过3800万美元的奖励金。 这项新的开源漏洞奖励计划关注开源软件，旨在解决和供应链攻陷相关的风险。 谷歌表示，“去年，针对开源软件供应链的攻击同比增长了650%，出现在新闻头条的事件如 Codecov和Log4Shell 等事件展示了单个开源漏洞的破坏潜力。” 谷歌表示，谷歌所持有的GitHub组织机构公开库中包括的所有当前软件均涵盖在OSS VRP内。同时计划还涵盖这些项目的第三方依赖，不过研究人员必须提前向依赖的所有人发送通知。该奖励计划提到，“请首先将您的漏洞报告直接发给易受攻击数据包的所有人，确保该问题在我们知晓漏洞详情前就已在上游修复。” 涵盖在内的项目分为三个层级，旗舰开源软件项目（这些项目被认为敏感度高）中的漏洞将为研究人员获得更高的奖励。最多奖励金将分配给 Bazel、Angular、Golang、Protocol buffers和Fuchsia。 谷歌鼓励研究人员关注导致供应链攻陷的漏洞、导致产品缺陷的设计问题以及安全问题如凭据泄露、弱密码和不安全的安装程序等。 转自 安全内参，原文链接：https://www.secrss.com/articles/46426 封面来源于网络，如有侵权请联系删除

美国驻黑山大使馆警告居留当地的美国人，该国正在进行的勒索软件攻击可能会对该国关键的公共服务和政府服务造成广泛的破坏。黑山国家安全局（ANB）上周首次证实了这一勒索软件攻击，其目标是政府系统和其他关键的基础设施和公用事业，包括电力、水系统和交通系统。在撰写本报告时，黑山政府的官方网站无法使用，由于攻击，甚至数个发电厂都已经转为手动操作。 然而，黑山的官员声称没有数据被盗，并声称没有设施因为这次攻击而造成永久性损害。ANB宣称，该国正处于”混合战争”之下，并将这次攻击归咎于俄罗斯协调的对抗行为。自黑山于2017年加入北约以来，两国的关系一直很紧张，之后俄罗斯威胁要采取报复行动。 此后，美国驻黑山大使馆发布了安全警报，表示黑山政府正面临着一场”持续不断的”网络攻击。”大使馆警告说：”攻击可能包括对公共事业、交通（包括边境口岸和机场）和电信部门的干扰。建议居住在巴尔干国家的公民限制旅行，审查个人安全计划，并注意周围的环境”。 根据恶意软件研究小组VX-Underground的说法，Cuba勒索软件集团声称对这次攻击负责。在其暗网泄露网站上，Cuba勒索软件集团声称它在8月19日从黑山议会获得了”财务文件、与银行雇员的通信、账户变动、资产负债表、税务文件、赔偿金[和]源代码”。 黑山自8月20日以来总理职位一直空缺，当时该国议会投票通过了对执政政府的不信任案，从而导致政府倒台。 网络安全公司Profero此前将Cuba勒索软件集团与讲俄语的黑客联系起来，研究人员在该集团与受害者谈判时观察到了这一点。但Profero表示，它相信该组织”不是国家支持的”。 这个勒索软件团伙自2019年以来一直存在，去年联邦调查局发布了一份警报，警告各组织，网络犯罪分子一直以关键基础设施为目标。联邦调查局表示，它已经观察到大约50个目标实体，黑客向受害者索要了数千万美元。 对黑山的攻击发生在与俄罗斯有联系的Conti勒索软件集团在4月开始的长达数周的攻击中攻击哥斯达黎加政府后仅几个月。在其暗网泄密博客上发布的一条信息中，Conti敦促哥斯达黎加公民向他们的政府施压以支付赎金，该组织后来将赎金翻倍至2000万美元。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1310931.htm 封面来源于网络，如有侵权请联系删除

近日，美国加利福尼亚州（下称“加州”）总检察长罗伯·邦塔（Rob Bonta）在发布会上表示，著名化妆品品牌丝芙兰（SEPHORA）就其侵犯消费者隐私一事与加州居民达成和解协议，决定支付120万美元的罚款，并在隐私政策中披露其向第三方出售消费者个人信息的事实，为消费者提供个人信息出售的退出机制。 公开资料显示，丝芙兰是1969年创立于法国里摩日的个人护理和美容产品跨国零售商，旗下拥有近340个品牌，在全球开设超过1000家门店，途径遍布巴黎、纽约、莫斯科等超过28个国家的国际化都市。 据了解，去年6月，邦塔所在部门针对各大在线零售商开展执法检查，其后发现丝芙兰存在多项违规问题。首先，丝芙兰未能在隐私政策中向消费者披露其向第三方出售个人信息的事实，允许不具备“服务提供商”资格的第三方广告和分析提供商通过cookies和其他追踪技术追踪丝芙兰官网和应用程序上的消费者行为。 其次，丝芙兰未能向消费者提供退出个人信息出售的相关渠道，未以显著的方式提供“不要出售我的个人信息”的选项。此外，Mozilla去年推出的全球隐私控制（Global Privacy Control，GPC）功能一旦启用，浏览器将通知每个网站不要出售或共享用户个人信息——但丝芙兰对收到的这类信号视而不见，拒绝回应用户不愿出售个人信息的诉求。 诉状显示，邦塔部门在去年6月通知丝芙兰其可能违反了《加州消费者隐私法案》（CCPA）的相关条款，要求其在30天内采取补救措施。然而，丝芙兰并未采取任何行动，邦塔及所在部门以加州居民的名义将丝芙兰告上加州高级法院。 近日，邦塔在一场新闻发布会上披露了该事件的最新进展。丝芙兰同意以支付120万美元的罚款为代价与加州居民达成和解协议，并作出四项承诺： 在隐私政策中向消费者披露其向第三方出售个人信息的事实；为消费者提供包括GPC功能在内的退出个人信息出售的有效渠道；与丝芙兰合作的服务提供商需符合法律的相关要求；向司法部长提供有关其出售个人信息、其与服务提供商的关系状态以及其遵守GPC要求等情况的报告。 “你生活中一些最私密的细节正在被收集。一家公司掌握的关于你的数据越多，他们对你的影响力就越大，他们就越有可能让你购买他们的商品和服务。”邦塔表示，“我希望这份和解协议能向未遵守CCPA的企业发出一个强烈的信号——我的办公室在看着，我们会让你负责。” CCPA要求，如果在发起针对企业的诉讼前，消费者提前30天向企业提供了书面通知，表明消费者指控的企业正在或已经违反法律，消费者可提起诉讼；如企业在30天内实际纠正了被通知的违规行为，并向消费者提供书面声明且不会再发生违规行为，则不得发起诉讼。 据报道，邦塔还向众多企业发出警告，指控其未能处理消费者通过启用GPC等功能提出的退出请求。该功能在消费者访问每个网站时，浏览器都会自动发送拒绝出售个人信息的信号，不必每进入一个网站都点击选择一次。他强调，目前收到警告的企业有30天的时间来纠正涉嫌违规行为，否则将面临司法部的强制措施。 转自 安全内参，原文链接：https://www.secrss.com/articles/46381 封面来源于网络，如有侵权请联系删除

据TechCrunch消息，美国联邦贸易委员会（FTC）在当地时间8月29日宣布，已对数据中间商Kochava提起诉讼，称其出售数亿手机的地理位置数据，这些涉及个人隐私信息的数据可能会使人们暴露在“耻辱、跟踪、歧视、失业甚至肢体暴力”的威胁中。 该诉讼旨在阻止Kochava收集涉及敏感地理位置的数据，并要求该公司删除已经收集的数据。 联邦贸易委员会指出，这些数据可用于追踪个人行踪，包括那些进出敏感位置的人，例如生殖健康诊所、家庭暴力/无家可归者收容所、成瘾康复中心和礼拜场所等场所的访问情况。 这起诉讼表明，联邦贸易委员会正在打击移动数据中间商，这些中间商从消费者手机上收集和转售数据。此前，苹果还对追踪数据进行了重大反思，更新了移动操作系统，允许消费者选择不按应用程序收集某些数据。 最近，在罗伊诉韦德案后，美国众议院监督委员会开始调查，周期性跟踪应用程序和数据中间商的商业行为，将消费者私人健康数据武器化的问题。 收集大量精确数据 Kochava总部在爱达荷州，名声不大，但在数据收集行业占有相当大的市场份额。它是一家位置数据代理公司，从消费者的智能手机上收集精确的位置数据，也从其他代理公司购买数据然后转售给客户。客户经常使用这些数据流来分析当地商店或其他地点的人流量等信息。收集的数据本非常精确——包括移动设备确切位置的时间标记、经纬度坐标、设备ID、P地址、设备类型等等。 设备ID也被称为移动广告ID，是运营商分配给消费者移动设备的唯一标识符，用于帮助想要向终端用户做广告的营销人员。虽然消费者有权选择重置设备ID，但很多人并不知道如何操作，甚至很多并不知道可以重置设备ID。 根据联邦贸易委员会起诉书中引用的Kochava产品描述，该公司为客户提供“原始的经纬度数据，每个月大约有940多亿次地理交互信息，1.25亿的月活跃用户，3500万的日活跃用户，平均每台设备每天记录到超过90次交互信息。” 截至2022年6月，Kochava在公开可访问的网站（包括AWS市场）上以订阅的方式出售其数据源。访问数据源之前，买家需要免费的AWS账户，以及2.5万美元订阅费。其中某个数据样本包含超过3.27亿行和11类数据集，涉及6180多万台移动设备。 联邦贸易委员会表示，这些数据没有脱敏处理，可以用来识别移动设备的用户或所有者。数据代理商专门出售将这些移动广告ID与线下信息（如消费者姓名和物理地址）匹配的服务。 除了能够跟踪访问敏感地点的用户之外，联邦贸易委员会指出，这些数据还可用于推断用户的LGBTQ+身份，并将其活动与家庭住址联系起来。 联邦贸易委员会的目标是起诉Kochava，理由是它违反了《联邦贸易委员会法》，包括那些涉及销售敏感数据和损害消费者利益的行为。它正在寻求一项永久禁令，以预防未来的违规行为。 美国联邦贸易委员会消费者保护局（Bureau of Consumer Protection）局长塞缪尔·莱文（Samuel Levine）在一份声明中表示：”涉及消费者寻求医疗保健、接受咨询或做礼拜地点的私人信息，不应该进行买卖。“”联邦贸易委员会将Kochava告上法庭，以保护人们的隐私，并停止出售敏感地理位置信息。” 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343277.html 封面来源于网络，如有侵权请联系删除

8月29日，国内知名技术社区qidao123.com消息，我国多个安全技术社群开启疯狂吐槽模式，网传以用友为代表的头部管理软件厂商遭遇大规模勒索攻击，从而影响到无数下游企业，引发了难以想象的危害，其损失暂时无法估计。 由于病毒模块的投放时间与企业用户升级软件时间相近，因此有安全厂商表示，该勒索攻击事件有可能是黑客通过供应链污染或漏洞的方式进行投毒。简单来说，黑客首先通过漏洞或其他方式向受害者终端投放后门病毒模块，以此执行任意恶意模块（恶意模块数据被AES算法加密），再通过后门模块在内存中加载执行勒索病毒。 据悉，一旦被攻击，用户计算机文件被.locked后缀的勒索病毒加密，攻击者索要0.2个BTC（约合2.7万+人民币）的赎金。 目前受该勒索病毒影响的企业用户数量还在不断增加。根据现有的信息，该勒索病毒与之前流行的TellYouThePass勒索病毒为关联家族，甚至有可能就是TellYouThePass的最新变种。 建议：可能遭受攻击的企业用户应立即对本地数据进行手动备份和自动备份你，一旦不幸中招也可通过备份对数据进行恢复，或者求助于安全厂商，寻找解决方案。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343248.html 封面来源于网络，如有侵权请联系删除

能拍照，能定位，还能打电话……近年来，儿童智能手表获得了越来越多未成年学生的青睐。暑假期间，各大品牌的儿童智能手表更是再次进入了销售高峰。然而，儿童智能手表这个快速增长的市场却频发乱象。信息泄露和免密支付带来的资金风险等问题，都是对未成年人安全的潜在威胁。 “碰一碰手表，加个好友吧！”如今，这句话成了不少儿童社交时打招呼的见面语。从前的儿童手表，只能提供定位和紧急通信联络等一些简单功能。而如今，经过多年的迭代升级，儿童智能手表样式新颖而时尚，硬件配置和功能越来越强大。儿童智能手表早已不像传统的手表，而更像是一部戴在手腕上的，集定位、通话、社交、娱乐、学习、购物、拍照搜题等多种功能于一体“智能手机”。而且由于其手表的外观，佩戴儿童智能手表，往往可以绕开“中小学生不得带手机进校园”的规定。因此，儿童智能手表备受中小学生的推崇。 儿童智能手表市场蓬勃发展背后，乱象也在滋生。记者调查发现，一些儿童手表里可以下载的应用程序（App）多达上百款，其中不乏游戏类App。下载这些各式各样的App，很容易导致孩子沉迷其中，既耽误学习，也影响视力。 其中，一些App一旦绑定手机号，就同步开通了免密支付。在家长不知情的情况下，孩子可以随意进行消费，包括购物、开通平台VIP服务，购买游戏皮肤等，极大地影响了家庭的资金安全。 公开统计数据显示，近10年来我国14岁以下儿童人口数量一直保持在2.5亿人左右，这些人都是儿童智能手表的潜在用户。而随着“三胎政策”的放开，14岁以下儿童的数量可能会进一步上升，儿童智能手表的潜在用户还在进一步增加。据相关机构统计，近年来我国儿童手表保持较快增长，在2020年，其销售量已经达到了2990万件。 信息泄露极大危害用户安全 今年央视的“3·15”晚会曝光了儿童手表的许多信息安全漏洞。儿童手表中的一些App在安装后，无需用户授权就可以获得定位、通讯录、麦克风、摄像头等多种敏感权限，从而轻易获取孩子的位置、人脸图像、录音等个人隐私信息。 根据报道，“3·15”信息安全实验室对电商平台有着“10万+”销售记录的一款儿童智能手表展开了专门的测试。测试人员将一个恶意程序的下载二维码伪装成抽奖游戏，儿童通过这款手表扫码之后，恶意程序就轻松进驻到了手表中。工程师可以实现对这款手表的远程控制，采集位置信息、监听通话记录、偷窥视频等操作易如反掌。 儿童智能手表信息泄露的根本原因在于操作系统过于老旧。报道指出，这款手表使用的竟然是没有任何权限管理要求的安卓4.4操作系统。由于该操作系统的落后性，App申请什么权限，系统就会给App什么权限，而不会给用户任何告知。在该系统下，App无需用户授权就可以获得多种敏感权限。手表厂商选择低版本的操作系统是压缩成本而忽视安全的举措，给儿童带来的风险后患无穷。 廉价儿童手表更是信息安全的“重灾区”。科技日报记者在某电商平台搜索发现，在售的电话手表价格从35元到3600元不等，既有“小天才”“华为”“360”等大品牌，也有不少小品牌，可谓鱼龙混杂。 此外，许多儿童智能手表对App缺乏监管和筛选，用户可以轻易搜到色情、暴力等不良内容。部分平台还存在诱导消费、推送广告等问题。 解决乱象应靠他律与自律 今年4月，市场监管总局发布了推荐性国家标准GB/T41411-2022《儿童手表》。该标准将于今年11月1日开始实施。作为首个儿童手表国家标准，该标准覆盖了儿童手表的定位性能、通话、电磁辐射、信息安全等关键质量安全和性能指标，并提出了相关的评估和检测方法。 7月18日，中央网信办等部门将组织开展为期2个月的专项行动，聚焦未成年人使用频率高的短视频直播、社交、学习类App、网络游戏、电商、儿童智能设备等平台，集中解决涉未成年人问题乱象。该项活动强化对专门供未成年人使用的智能手表、智能音箱、平板电脑、早教故事机等智能设备信息内容管理，深入排查语音、视频、文字、图片、游戏等场景，以全面清理违法不良信息。 产业经济分析师、钉科技创始人丁少将在接受媒体采访时表示：“儿童智能硬件，安全性一定是基础，包括硬件本身的安全和内容的安全。一方面，厂商需要在功能开发和商业变现上进行克制和自律，确保安全底线不被突破；另一方面，国家有关方面在安全性方面可以设置细化的准入标准，特别是内容审查上要更加严苛，从而规范儿童智能硬件市场的发展。” 儿童手表制造、销售等相关行业呼吁，应对专项行动过程中行之有效、操作性强的具体措施和经验加以总结、完善，构建规范化、制度化、长效化的制度机制。比如在严格落实《未成年人保护法》等法律法规的基础上，针对儿童智能硬件的安全性设立行业准入标准，进一步明确儿童手表厂商和软件开发商的法律责任以及相关部门的监管责任，将儿童手表的生产、销售、使用等所有环节纳入常态化监管，还孩子们一个清朗的成长环境。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1310111.htm 封面来源于网络，如有侵权请联系删除