据外媒报道，近日谷歌Project Zero研究人员Ian Beer演示了如何远程盗取iPhone中的照片。在视频中，Beer用iPhone拍摄了一张照片，然后打开YouTube应用。YouTube应用并不是黑客攻击的一部分–它的打开只是为了演示iPhone在被篡改时如何没有任何被篡改的迹象。 自动攻击不需要互联网连接，它确实需要iPhone连接到某种无线系统 – 在这种情况下，它连接到Wi-Fi信号。通常情况下，Wi-Fi网络是有密码保护的，所以设备和攻击者之间会有额外的安全层。Beer建议，演示绕过了他通常需要突破第一条无线连接线的那一点，但这样做只需要时间，而这个演示都是关于初级黑客的。 在黑客攻击中，用户能够利用手机上的内核bug，让黑客将恶意软件上传到手机中，并授权访问手机中的内容。这一切都是远程完成的，黑客不需要对手机进行任何形式的物理访问。整个过程可以在手机用户不知情的情况下进行。这个过程的任何部分都不会以任何明显的方式影响手机的工作进程。 目前的好消息是，这个漏洞从今年年初开始就已经被修复了。只要iPhone有最新的安全更新，你就不会受到这个特定漏洞的影响。       （消息及封面来源：cnBeta）

IBM安全团队X-Force的安全专家表示，目前黑客盯上了那些确保冠状病毒疫苗安全运输并储存在温控环境中的组织，这一过程被称为COVID-19冷链。攻击由一个跨越6个国家的钓鱼活动组成，虽然尚未确定责任集团，但之前的类似事件与相关政府有关。 鱼叉式钓鱼邮件使用海尔生物医药公司的一名业务主管的名字进行伪装，该公司是联合国官方冷链设备优化平台(CCEOP)项目的中国公司。这些钓鱼邮件发给 销售、采购、信息技术和财务岗位的高管，他们很可能参与了公司支持疫苗冷链的工作。它们看似要求CCEOP项目的报价，但实际上包含恶意的HTML附件，受害者需要下载并在本地打开。 该方法消除了设置在线钓鱼页面的要求，这些钓鱼页面可以被安全研究人员识别和删除。一旦接收者输入他们的凭证，攻击者就有可能进入公司的内部网络，让他们了解分发Covid-19疫苗的过程、方法和计划。国际刑警组织秘书长尤尔根-斯托克表示：”当各国政府准备推出疫苗时，犯罪组织正计划渗透或破坏供应链。”。 昨天，英国成为世界上第一个批准辉瑞/BioNTech疫苗的国家，该疫苗必须在-70C（-94F）左右的温度下保存。而阿斯利康的疫苗则要求在华氏36度到46度的温度下，要求不那么苛刻。据ZDNet报道，美国联邦调查局和网络安全与基础设施安全局已经发布了有关钓鱼活动的安全警报，而国际刑警组织则警告说，Covid-19疫苗受到了有组织犯罪的威胁。           （消息来源：cnBeta；封面来自网络）

早在 2018 年，这家社交媒体巨头就已经提供了对于硬件安全密钥的支持，以代替另外两种双因素身份认证选项（短信 / 验证器 App）。尽管硬件密钥小巧得可以轻松挂在钥匙圈上，但仅限于 Web 登录的功能，也给移动设备用户造成了巨大的不便。好消息是，Twitter 周三表示，基于硬件安全密钥保护的账户，现在也可从 iPhone / Android 设备上登录。 硬件双因素认证需要用户在登录时插入密钥，即便被攻击者知晓了用户名和密码，这套方案也能够努力避免账户被黑客入侵。 然而此前的技术限制，意味着这类账户使用者只能从计算机端登录，而无法使用更加便捷的移动设备。 当时一些苦恼的 Twitter 用户，更是直接发推吐槽官方，甚至迫使许多人都默认关闭了登录验证。 去年的时候，Twitter 通过切换至 WebAuthn 协议解决了部分让人感到头疼的麻烦，同时也为将硬件保护方案引入更多设备和浏览器而铺平了道路。 现在，只需支持硬件密钥，任何在 Twitter 账户安全设置中启用了该功能的用户，都可以顺利地在移动设备端登录。 值得一提的是，除了 YubiKeys、Google Titan 等可在不同设备上工作的安全密钥，Twitter 还在今年早些时候向自家员工推出了硬件安全密钥，以防再次遭遇 7 月份的网络攻击事件。 当时黑客侵入了 Twitter 内网，滥用“管理员”工具劫持了多个高知名度的账户，然后大肆用于加密货币骗局的传播。 事件发生后，Twitter 聘请了 Rinki Sethi 接替首席信息安全官，并招募了知名黑客 Peiter“Mudge”Zatko 作为企业安全负责人。       （消息来源：cnBeta；封面来自网络）

微软周一表示，越南政府支持的黑客最近被发现部署加密货币挖掘恶意软件。 该报告强调了网络安全行业的增长趋势，越来越多的国家支持的黑客组织也将目光投向了常规的网络犯罪活动，这使得区分金钱和情报收集为动机的犯罪活动变得更加困难。   APT32涉足MONERO领域 该越南小组由Microsoft追踪为 Bismuth，自2012年以来一直活跃，并以代号APT32 和 OceanLotus等 广为人知。 该组织大部分时间都在组织国内外黑客活动，目的是收集信息以帮助其政府处理政治、经济和外交政策决策。 但微软在周一晚间发布的 一份报告中说，观察到该小组的策略发生了变化。 微软表示：“在2020年7月至8月的竞选活动中，该组织将Monero部署到了针对法国及越南私营企业和政府机构的攻击中。”   目前尚不清楚该黑客组织为何更改，但是Microsoft有两种理论: 第一点是该组织正在使用网络犯罪操作相关的加密恶意软件掩饰某些攻击。 第二点是，该小组正在尝试使用新方式从感染系统中创收。   其他国家赞助的黑客组织也为个人利益而犯罪 这一理论符合网络安全行业的普遍趋势，近年来，中国、俄罗斯、伊朗和朝鲜政府资助的黑客组织也出于个人利益开展网络犯罪活动，而非网络间谍活动。 这些组织通常在当地政府的保护下开展活动，无论是作为承包商还是情报人员，他们也都在与美国没有引渡条约的国家/地区内开展攻击活动，从而使他们自己不承担任何后果。 由于越南也缺乏与美国的引渡条约，预计该国因“处于边缘”而成为未来十年的网络犯罪和网络间谍中心。     消息来源：zdnet；封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Check Point的研究人员发现，利用DHL、亚马逊和联邦快递的品牌，试图让人们在网购高峰期分出信息的钓鱼诈骗活动增加了400%。两周前，Check Point的研究人员记录了针对网上购物者的 “特别优惠”的恶意网络钓鱼活动增加了80%，最新的峰值出现在使用 “跟踪您的货物”和 “交付问题”等主题词。 DHL是全球被模仿最多的品牌，占到与运输相关的钓鱼邮件总量的56%，其次是亚马逊的37%和联邦快递的7%。 虽然美国和欧洲的增幅最大，但其他地区的增幅也很大。在欧洲，运费钓鱼邮件增加了401%，其中77%是假冒的DHL。美国的航运钓鱼邮件增加了427%，其中亚马逊是被冒充最多的品牌，65%是假冒的亚马逊送货邮件。在亚太地区，送货钓鱼邮件增加了185%，其中65%是与DHL品牌有关。 “黑客正在追寻整个在线购物体验，在人们购物之前和之后，”Check Point的数据情报经理Omer Dembinsky说。“首先，黑客会从他们最喜欢的品牌向人们的收件箱发送’特别优惠’。然后，黑客会发送一封关于交付购买的电子邮件，即使你是从一个值得信赖的来源购买的。” “现在 “黑色星期五 “和 “网络星期一 “已经结束，我们正在转向等式的另一边，也就是送货。当你在这个假日季节打开任何购买后的电子邮件时，请三思。这封邮件可能来自黑客。仔细查看任何声称自己来自亚马逊、DHL或联邦快递的电子邮件。我们很清楚，黑客在网上购物体验的每一步都在瞄准网上购物者，在你购物前后，危险是非常真实的。” 诈骗范例：     （消息及封面来源：cnBeta）

据《华尔街日报》报道，一项新的调查发现，美国人普遍担心政府通过他们的数字设备追踪他们的行踪，绝大多数人认为应该需要有搜查令才能获得这些数据。哈里斯民调的一项新调查显示，55%的美国成年人担心政府机构通过手机和其他数字设备产生的位置数据来追踪他们。该民调还发现，77%的美国人认为，政府应该获得授权令，才能购买数据经纪人经常在商业市场上买卖的那种详细的位置信息。 《华尔街日报》曾报道，美国一些执法机构在没有任何法院监督的情况下，从经纪人那里购买地理定位数据，用于刑事执法和边境安全目的。联邦机构的结论是，他们不需要搜查令，因为这些位置数据可以在公开市场上购买。美国最高法院在2018年裁定，强制手机运营商将位置数据交给执法部门需要搜查令，但它没有解决消费者是否对应用程序而不是运营商产生的数据有任何隐私或正当程序的期望。 现代手机应用程序，如天气预报、地图、游戏和社交网络，通常会要求消费者允许记录手机的位置。然后，这些数据会被经纪人打包并转售。电脑、平板电脑、汽车、可穿戴健身技术和许多其他互联网设备也有可能产生被公司收集的位置信息。 从现代技术中提取的位置数据的买卖已经成为一项价值数十亿美元的业务–经常被企业用于定向广告、个性化营销和行为特征分析。华尔街公司、房地产开发商和许多其他公司使用这些信息来指导投资、开发和规划的决策。 执法部门、情报机构、国内税务局和美国军方也开始从同一个数据池中购买用于间谍、情报、刑事执法和边境安全。《华尔街日报》今年早些时候报道，国土安全部的几个机构正在通过专门的经纪人购买美国人的手机位置数据。 美国市场研究和全球咨询公司哈里斯的调查发现，一些美国人表示，他们会采取措施避免这种追踪。40%的受访者表示，他们会用软件屏蔽手机上的此类追踪，26%的受访者表示，他们会改变自己的习惯和日常工作，减少可预测性。另有23%的人表示他们会把手机更多地留在家里，而32%的人表示他们不会做任何不同的事情。 该调查还询问了人们对位置隐私的总体看法。大多数受访者不同意这样的说法：“只有那些关心保持自己位置数据隐私的人，才会有所隐瞒。”民调发现，60%的美国人有点或强烈不同意这一说法，39%的人强烈或有点同意。 与年轻人相比，年长的美国人对政府监控的关注度较低。在18至34岁的受访者中，65%的人表示担心政府的位置追踪。对于65岁及以上的受访者，只有39%的人表示担心。 非白人美国人比白人美国人更担心政府机构的位置数据监控。民调发现，65%的黑人受访者、65%的西班牙裔受访者和54%的受访亚裔美国人表示他们有些或非常担心，而白人受访者的比例为51%。 这项民调是哈里斯在11月19日至11月21日期间在线进行的，调查了2000名美国成年人。哈里斯没有提供误差范围，这种样本量的民调通常带有大约正负3%的误差。       （消息及封面来源：cnBeta）

在美国网络安全公司 Palo Alto Networks 报告发布后，谷歌随机对两款来自百度的 Android 应用展开了调查。报告称百度搜索框和地图应用内含收集用户信息的代码，而谷歌也在 2020 年 10 月将之从 Play 商店下架。不过上周，百度搜索框再次出现在了广大用户的面前。 具体说来是，Palo Alto Networks 称数据收集代码存在于百度推送 SDK 中，用于在两款 App 内显示实时通知。然而数据收集行为研究员 Stefan Achleitner 和 Xuchengcheng 指出： “该代码会收集包括电话型号、MAC 地址、运营商信息、国际移动订阅用户身份（IMSI）等在内的详细信息。 Achleitner 和 Xu 补充道，尽管这种行为看似无害，但诸如 IMSI 代码之类的数据，仍可被用于精准识别和追踪用户，即使该用户切换到了另一设备也无解。” 一方面，尽管向谷歌报告了此事，但尴尬的是，该公司的 Android 应用政策并未特别禁止收集个人用户的详细信息。 不过另一方面，Play 商店安全研究团队还是在两次调查中发现了百度 App 的其它未指明的违规情况，最终导致两款 App 于 2020 年 10 月 28 日被官方应用商店下架。 “百度发言人在今日的一封电子邮件中称，最初报告提到的数据收集行为引发了谷歌团队的调查，但这并不是两款 App 被 Play 商店下架的原因，因为该公司已从用户那里获得了收集此类信息的许可。 与此同时，百度团队表示正在努力解决谷歌发现的其它问题。截止发稿时，百度搜索框应用已经重返 Play 商店，而地图应用也会在修复相关问题后尽快回归。” 10 月下架之前，两款百度 App 的下载量总计超过了 600 万。此外 Palo Alto Networks 研究人员在中国广告技术巨头 MobTech 开发的 ShareSDK 中发现了类似的数据收集代码。 Achleitner 和 Xu 表示，该 SDK 已被 37500 多款应用程序使用，且允许开发者收集包括电话型号、屏幕分辨率、MAC 地址、Android ID、广告 ID、运营商 / IMSI / IMEI 等在内的个人信息。 显然，这类事件并非孤立发生，而是围绕 Android 生态的一个老大难问题。       （消息来源：cnBeta；封面来自网络）

来自Digital Defense的安全研究人员发现了托管软件 cPanel中的一个安全问题。黑客可以利用此漏洞绕过帐户身份验证（2FA）并管理关联网站。 “漏洞和威胁管理解决方案的领导者宣布，其 漏洞研究团队（VRT） 发现了一个未披露的漏洞，该漏洞影响了cPanel＆WebHost Manager（WHM）网络托管平台。” “ c_Panel＆WHM版本11.90.0.5（90.0 Build 5）具有两因素身份验证绕过漏洞，易受到攻击，从而导致了解或访问有效凭据的黑客可以绕过两因素身份验证。” 该漏洞可能会产生巨大影响，因为Web托管提供商当前正在使用该软件套件来管理全球超过7,000万个域。   “双重身份验证cPanel安全策略并未阻止攻击者重复提交双重身份验证代码。这使黑客可以使用技术绕过两因素身份验证检查。” “现在，将两因素身份验证代码验证失败的情况等同于帐户的主密码验证失败以及cPHulk限制的速率。” 研究人员补充说，攻击者可以在几分钟内绕过2FA。通过发布以下内部版本解决了此问题： 11.92.0.2（ZoomEyes搜索结果） 11.90.0.17（ZoomEyes搜索结果） 11.86.0.32（ZoomEyes搜索结果） 网站管理员敦促检查其托管服务提供商是否已更新相关cPanel版本。     消息来源：securityaffairs ；封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

扩展程序已成为现代浏览器体验中不可或缺的一环，而 Google Chrome 也是许多用户的不二之选。发展迅猛的 Chrome 网上应用店，已经能够满足大多数用户的实际需求。与此同时，谷歌希望进一步提升隐私体验。比如在最新宣布的隐私政策中，该公司就要求开发者必须披露其收集和分享的数据。 虽然日常使用中可能很难察觉，但某些扩展显然会对用户的数据隐私和安全构成威胁，尤其是那些能够读取浏览器中所加载的所有信息、有时也包括敏感细节的恶意扩展。 庆幸的是，在最新提出的隐私要求中，谷歌将强制扩展程序开发人员附带明确的数据收集信息，以便用户在安装时就有所了解。 “从 2021 年 1 月开始，Chrome 网上应用店中的每款扩展程序的详情页，都将以清晰易懂的语言来描述和披露其收集的数据信息。” 此外谷歌还宣布了一项新的约束政策，以限制开发者对其通过加载项收集的数据进行利用，进而保护用户的相关权益： “（1）确保对用户数据的操作使用符合用户的主要利益，并且符合扩展的合理使用目的。 （2）重申坚决不允许转售用户数据，谷歌自己不会、也不允许第三方扩展程序开发者这么做。 （3）禁止利用用户数据开展有针对性的广告营销活动。 （4）禁止将用户数据用于任何形式的信贷、数据经纪、或其它形式的转让和使用目的。” 即日起，开发者已能够在 Chrome 网上应用店中更新其隐私详情，正式功能将于 2021 年 1 月正式上线。逾期未更新的扩展程序，将被挂上“开发者未提供此类信息”的显眼提示。     （消息来源：cnBeta；封面来自网络）

身为微软身份安全总监的Alex Weinert写了一篇博客文章，强调了摆脱基于公共交换电话网络（PSTN）的多因素认证（MFA）机制的必要性。这位高管强调了基于PSTN的MFA系统存在安全隐患的各种理由，如短信和语音验证码，他强调，MFA本身是必不可少的，只是人们使用它的方式应该改变。 Weinert表示，基于PSTN的机制是目前最不安全的MFA方法，因为实际上所有的利用技术，如网络钓鱼和账户接管等仍然可以借此进行。一旦攻击者将兴趣转移到破解MFA系统上，这种情况只会变得更糟，而这取决于公众使用MFA系统的程度。此外，PSTN消息也不能适应不同类型的用户，所以通过它们进一步提高安全性的潜力是有限的。 例如，攻击者可以在大多数网络上部署软件来拦截基于PSTN的消息，意味着这又是一个独特的攻击面，对于恶意行为者来说是有利用价值的。 值得注意的是，大多数PSTN系统都有在线账户和丰富的客户支持基础设施支持。可悲的是，客户支持代理很容易受到魅惑、胁迫、贿赂或敲诈。如果这些社会工程学攻击成功，客户支持可以提供对SMS或语音通道的访问。虽然社会工程攻击也会影响电子邮件系统，但主要的电子邮件系统（如Outlook、Gmail）拥有更发达的 “肌肉”，可以通过其支持生态系统防止账户泄露。这就导致了从信息拦截、呼叫转发攻击到SIM卡劫持等一切问题。 不幸的是，PSTN系统并不是100%可靠，报告也不是100%一致。这取决于地区和运营商，但消息到最终接收人那里的路径可能会影响它需要多长时间才能得到，以及是否完全得到它。在某些情况下，运营商会在投递失败时报告投递情况，而在另一些情况下，消息的投递可能需要足够长的时间，以至于用户认为消息已经无法通过。在一些地区，投递率甚至低至50%。MFA提供商没有实时信号反馈来提示问题的出现，只能依靠统计完成率或服务台电话来发现问题，这意味着向用户提供替代方案或警告问题的信号难以提供。 不仅如此，监管方面，有关短信和通话的规定变化很快，而且各地区的规定也不尽相同，当使用基于PSTN的MFA系统时，可能会导致中断。     （消息来源：cnBeta；封面来自网络）