HackerNews 编译，转载请注明出处： 谷歌云宣布在其云密钥管理服务（Cloud KMS）中引入量子安全数字签名功能，目前该功能已在预览版中提供。 这家科技巨头表示，这一举措符合美国国家标准与技术研究院（NIST）的后量子密码学（PQC）标准，旨在应对量子计算可能破坏经典加密方案的未来风险。 鉴于谷歌云被金融机构、大型企业、政府机构、关键基础设施单位和软件开发者广泛使用，引入量子安全加密对于保护敏感数据免受高级攻击至关重要。 量子就绪的 Cloud KMS Cloud KMS 是谷歌云的加密密钥管理工具，用于安全地生成、存储和管理用于加密和签名数据的加密密钥。 使用传统的公钥密码学（如 RSA 和 ECC），客户面临未来通过所谓的“现在收集，以后解密”（HNDL）攻击暴露数据的风险。 尽管目前尚不存在能够破解当前加密方案的量子计算机，但所有专家都一致认为 HNDL 风险过高，不可忽视。微软宣布其 Majorana 1 芯片取得突破，这标志着向构建未来量子计算机迈出了关键一步，进一步加剧了这一担忧。 为了帮助保护我们的数据免受未来量子计算的威胁，谷歌现在正在将抗量子密码学集成到 Cloud KMS（软件）和 Cloud HSM（硬件安全模块）中。 采用的两种算法是 ML-DSA-65（FIPS 204），一种基于格的数字签名算法，以及 SLH-DSA-SHA2-128S（FIPS 205），一种无状态的基于哈希的数字签名算法。 “今天，我们很高兴地宣布在谷歌云密钥管理服务（Cloud KMS）中推出量子安全数字签名（FIPS 204/FIPS 205），用于软件密钥，目前该功能已在预览版中提供，”谷歌在公告中表示。 “我们还分享了谷歌云加密产品的后量子战略的高层次视图，包括 Cloud KMS 和我们的硬件安全模块（Cloud HSM）。” Cloud KMS 现在允许用户使用这些新的 PQC 算法进行数字签名的签名和验证，就像使用传统密码学一样。 这些加密实现将通过 BoringCrypto 和 Tink 库开源，保持透明度并允许独立的安全审计。 谷歌邀请各组织开始测试和集成抗量子算法到现有部署中，并报告他们的反馈，以帮助解决任何问题。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌在 Android 16 Beta 2 中推出了一项新的安全功能，旨在防止用户在通话期间更改敏感设置，以应对日益复杂的电话诈骗。 电话诈骗手段日益复杂，诈骗者常利用心理操纵技巧诱使受害者授予权限，从而安装恶意软件。常见手法包括引导受害者在通话中启用侧载或无障碍权限，使恶意应用能够绕过安全防护并控制设备。鉴于此，谷歌在 Android 16 中引入了“通话中防诈骗保护”功能。 阻止通话期间启用侧载权限：侧载允许应用安装其他应用，通常默认禁用以确保安全。Android 16 现在防止用户在通话期间启用此权限，进一步增强了安全性。 限制通话期间的无障碍权限：无障碍权限允许应用读取屏幕内容并代表用户执行操作，这常被恶意软件利用。Android 16 在通话期间阻止授予这些权限，进一步降低了未经授权控制的风险。 警告提示：用户在尝试绕过这些限制时，会收到关于潜在诈骗的明确警告，鼓励他们验证来电者的身份。 增强的确认模式：此功能扩展了 Android 15 中引入的保护措施，增加了更严格的防护，防止未经授权访问敏感设置。 这项新安全功能是谷歌在应对电话导向攻击交付（TOAD）诈骗等日益增长的威胁中，持续提升用户安全性的努力的一部分。通过将这些保护措施集成到 Android 16 Beta 2 中，谷歌旨在显著减少诈骗案件。 虽然诈骗者可能仍会指示受害者挂断电话后启用权限，但这一额外步骤足以扰乱其诈骗手段。此外，Android 16 还包括更广泛的安全增强功能，如防止意图重定向攻击和改进大屏设备的应用兼容性。 目前，防诈骗保护功能已在 Android 16 Beta 2 中上线，适用于 Pixel 设备（Pixel 6 及更新型号）。Android 16 的最终版本预计将于 2025 年第二季度晚些时候发布。随着这些功能的公开推出，用户可以期待一个更安全的移动体验，优先保护隐私和防止诈骗。 随着诈骗手段因人工智能的进步而变得更加复杂，谷歌的新方法标志着在降低风险和为用户提供强大防御网络威胁方面迈出了重要一步。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   微软宣布将从 Windows 中移除位置历史功能，该功能曾允许像 Cortana 虚拟助手这样的应用程序获取设备的位置历史。 微软在公告中表示：“我们正在弃用并移除位置历史功能，这是一个允许 Cortana 在位置启用时访问设备 24 小时历史的 API。” 弃用该功能意味着数据将不再本地保存，相关设置也将从操作系统（Windows 10 和 11）中消失。 该功能背后的 API ‘Geolocator.GetGeopositionHistoryAsync’ 为应用程序提供本地存储的数据，这些数据是位置服务在过去 24 小时内收集的。 “位置服务仅在应用程序或服务查询用户位置时收集位置信息，但每秒不超过一次，”微软解释道。 设备位置数据本地存储，只有在应用程序或服务主动请求时才会填充列表。 BleepingComputer 已联系微软，询问弃用位置历史 API 的原因，我们将在收到回复后更新此文章。 开发者应审查使用 Windows.Devices.Geolocation API 的应用程序，并迁移到其他方法，否则其工具的核心功能可能在未来出现故障。 位置服务选项也将从 Windows 设置 > 隐私与安全 > 位置中移除。 用户可以完全停用该设置，以阻止所有应用程序和服务访问位置数据。 停用后，用户应点击 “清除” 按钮，以删除过去 24 小时内的任何位置数据。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌正在为安卓系统开发一项新安全功能，该功能可在通话过程中阻止设备所有者更改敏感设置。 具体来说，通话中的防诈骗保护措施包括防止用户开启安装未知来源应用的设置和授予无障碍访问权限。这一开发最初由Android Authority报道。 用户在通话过程中尝试进行这些操作时，会收到提示：“诈骗者通常会在通话中要求进行此类操作，因此我们将其阻止以保护您。如果您是在不认识的人的指导下进行此操作，这可能是一个诈骗。” 此外，该功能还阻止用户在通话过程中授予应用无障碍访问权限。 该功能目前已在本周早些时候发布的安卓16 Beta 2中上线。通过这一最新功能，旨在增加恶意行为者常用的一种滥用手段的难度，即通过发送短信诱导目标拨打电话，从而传递恶意软件。 这些方法被称为电话导向攻击传递（TOAD），涉及向潜在目标发送短信，诱导他们拨打一个号码，制造一种紧迫感。 去年，NCC集团和芬兰国家网络安全中心（NCSC-FI）披露，网络犯罪分子正在通过结合短信和电话的方式分发dropper应用，诱骗用户安装如Vultr等恶意软件。 这一开发是在谷歌扩大限制设置范围以覆盖更多权限类别之后进行的，旨在防止侧载应用访问敏感数据。 谷歌还在巴西、香港、印度、肯尼亚、尼日利亚、菲律宾、新加坡、南非、泰国和越南等市场推出了自动阻止可能不安全应用侧载的功能，以打击欺诈行为。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软发布了一款 PowerShell 脚本，旨在帮助 Windows 用户和管理员更新可启动介质，使其在 2026 年底前使用新的 “Windows UEFI CA 2023” 证书，以应对即将实施的 BlackLotus UEFI Bootkit 缓解措施。 BlackLotus 是一种 UEFI Bootkit，能够绕过安全启动（Secure Boot），并控制操作系统的启动过程。一旦获得控制权，BlackLotus 可以禁用 Windows 安全功能，例如 BitLocker、受 hypervisor 保护的代码完整性（HVCI）和 Microsoft Defender Antivirus，从而在最高权限级别部署恶意软件，同时保持隐蔽性。 2023 年 3 月和 2024 年 7 月，微软发布了针对 CVE-2023-24932 的安全更新，该漏洞是一个被 BlackLotus 利用的 Secure Boot 绕过漏洞。然而，此修复默认情况下是禁用的，因为错误应用更新或设备上的冲突可能导致操作系统无法加载。分阶段推出修复程序，可以让 Windows 管理员在 2026 年底前强制实施前进行测试。 启用后，安全更新将把 “Windows UEFI CA 2023” 证书添加到 UEFI “Secure Boot Signature Database” 中。管理员随后可以安装使用该证书签名的较新启动管理器。此过程还包括更新 Secure Boot Forbidden Signature Database（DBX），以添加用于签名较旧、易受攻击启动管理器的 “Windows Production CA 2011” 证书。一旦撤销该证书，这些启动管理器将变得不受信任且无法加载。 然而，如果应用缓解措施后设备启动出现问题，必须首先更新可启动介质以使用 Windows UEFI CA 2023 证书来排查 Windows 安装问题。微软在关于 CVE-2023-24932 修复分阶段推出的支持公告中解释道：“如果应用缓解措施后设备出现问题且无法启动，你可能无法从现有介质启动或恢复设备。恢复或安装介质需要更新，以便与已应用缓解措施的设备兼容。” 昨天，微软发布了一款 PowerShell 脚本，帮助用户更新可启动介质以使用 Windows UEFI CA 2023 证书。该脚本可以从微软下载，并用于更新 ISO CD/DVD 镜像文件、USB 闪存驱动器、本地驱动器路径或网络驱动器路径的可启动介质文件。 要使用该工具，必须先下载并安装 Windows ADK，这是脚本正常运行的必要条件。运行时，脚本将更新介质文件以使用 Windows UEFI CA 2023 证书，并安装由该证书签名的启动管理器。 微软强烈建议 Windows 管理员在安全更新强制实施阶段到来之前测试这一过程。微软表示，这将在 2026 年底前发生，并将在开始前六个月内通知用户。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌周四宣布推出OSV-SCALIBR（软件成分分析库），这是一款用于软件成分分析的开源库。 该工具以开源Go库的形式发布，是一款可扩展的文件系统扫描器，旨在提取软件库存信息并识别漏洞。 OSV-SCALIBR既可以作为独立的二进制文件（库的外围包装）使用，也可以作为库导入到Go项目中。 该工具支持对包、二进制文件和源代码进行软件成分分析（SCA）。它可用于扫描Linux、Windows和macOS上的操作系统包，并支持多种编程语言的工件和锁定文件扫描。 此外，它还提供了漏洞扫描功能，并可用于生成SPDX和CycloneDX格式的软件物料清单（SBOM）。 “OSV-SCALIBR现在是谷歌用于实时主机、代码仓库和容器的主要SCA引擎。它已在许多不同的产品和内部工具中进行了广泛使用和测试，以帮助生成SBOM、发现漏洞，并以谷歌的规模保护用户数据，”这家互联网巨头表示。 该工具的功能已被分组为软件提取和漏洞检测插件，当执行独立的二进制文件时，一组推荐的内部插件将默认运行。 OSV-SCALIBR在其定义文件中存储了内置插件模块。当该工具作为库使用时，可以通过导入这些插件并将它们添加到扫描配置中来启用它们。当SCALIBR作为库使用时，也可以运行自定义插件。 OSV-SCALIBR目前主要作为开源Go库提供，但谷歌正在努力将其更深入地集成到2022年发布的开源依赖项漏洞扫描器OSV-Scanner中。 OSV-SCANNER中的一些功能已经具备了OSV-SCALIBR的部分能力，未来几个月内将集成更多功能，包括已安装包的提取、SBOM生成和弱凭据扫描。 “请注意，OSV-Scanner V2即将发布，将具备许多这些新功能。OSV-Scanner将成为需要CLI界面的用户使用OSV-SCALIBR库的主要前端。OSV-Scanner的现有用户可以继续以相同的方式使用该工具，同时保持对所有现有用例的向后兼容性，”谷歌表示。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软已扩大Windows 11管理员保护功能的测试范围，允许内部人员通过Windows安全设置启用该安全功能。 该功能最初于去年10月在面向Canary频道的Windows 11内部人员预览版中推出。管理员保护采用隐藏的即时提升机制和Windows Hello身份验证提示，仅在需要访问关键系统资源时解锁管理员权限，以阻止对它们的访问。 启用后，该功能可确保登录的管理员用户仅拥有标准用户权限，并在安装新应用或尝试更改注册表时，要求通过PIN码或生物识别方法使用Windows Hello进行身份验证。 与Windows用户帐户控制（UAC）安全功能相比，这些身份验证提示更难绕过，以防止恶意软件和攻击者通过访问关键资源来破坏系统。 “启用管理员保护后，请求用户授权以提升不受信任和未签名应用程序的提示现在包含扩展的颜色编码区域，这些区域将向下延伸至应用程序描述部分，”Windows内部人员团队周四表示。 管理员保护身份验证提示 管理员保护默认处于关闭状态，必须通过IT管理员通过组策略或Intune等移动设备管理（MDM）工具启用，同时根据Windows内部人员团队今日分享的信息，用户也可以通过Windows安全设置启用。 “现在可以在‘帐户保护’选项卡下的Windows安全设置中启用管理员保护。这允许用户在不需要IT管理员帮助的情况下启用此功能，”Windows内部人员团队补充道。 “这也允许Windows家庭用户通过Windows安全设置启用管理员保护。更改此设置需要重新启动Windows。” 目前，已安装Windows 11 Insider Preview Build 27774的Canary频道内部人员可以使用这一新的安全功能。 Windows安全设置中的管理员保护 近几个月来，微软还宣布将于2025年初向Windows 11内部人员计划社区推出新的“快速机器恢复”功能，该功能将帮助系统管理员通过Windows更新的“目标修复”功能远程修复无法启动的设备。 此外，该公司还计划为Windows 11添加对配置刷新（允许管理员将PC设置恢复到预设配置）和零信任DNS（旨在将所有DNS查询重定向到受信任的DNS服务器）的支持。 自去年11月以来，微软还开始在Windows 365和Windows 11 Enterprise 24H2客户端设备上测试热补丁功能，该功能使Windows能够在后台下载安全更新并安装它们，而无需重新启动。 自2023年11月微软启动“安全未来倡议”（SFI）网络安全工程工作以来，已推出部分功能。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一种新的隐蔽信用卡盗刷攻击活动正瞄准WordPress电子商务结账页面，通过向与内容管理系统（CMS）相关的数据库表中插入恶意JavaScript代码来实施攻击。 Sucuri研究人员Puja Srivastava在新的分析中指出：“这款针对WordPress网站的信用卡盗刷恶意软件会悄无声息地将恶意JavaScript注入数据库条目中，以窃取敏感的支付信息。” “该恶意软件专门在结账页面上激活，要么劫持现有的支付字段，要么注入虚假的信用卡表单。” 这家由GoDaddy拥有的网站安全公司表示，它发现恶意软件被嵌入到WordPress的wp_options表中，该表具有“widget_block”选项，从而使其能够躲避扫描工具的检测，并在被攻陷的网站上持续存在而不引起注意。 通过这种方式，恶意JavaScript被插入到WordPress管理面板（wp-admin > widgets）中的HTML区块小部件中。 JavaScript代码的工作原理是检查当前页面是否为结账页面，并确保只有在网站访问者即将输入支付信息时才采取行动。此时，它会动态创建一个虚假的支付屏幕，模仿Stripe等合法的支付处理器。 该表单旨在捕获用户的信用卡号码、有效期、CVV号码和账单信息。此外，该恶意脚本还能够实时捕获在合法支付屏幕上输入的数据，以最大限度地提高兼容性。 随后，被盗数据会经过Base64编码并结合AES-CBC加密，以使其看起来无害并抵抗分析尝试。在最终阶段，数据会被传输到攻击者控制的服务器（“valhafather[.]xyz”或“fqbe23[.]xyz”）。 这一发现是在Sucuri突出类似攻击活动一个多月后出现的，该活动利用JavaScript恶意软件动态创建虚假的信用卡表单或提取结账页面上支付字段中输入的数据。 收集到的信息在被传输到远程服务器（“staticfonts[.]com”）之前，会经过三层混淆：首先将其编码为JSON，然后使用密钥“script”进行XOR加密，最后使用Base64编码。 Srivastava指出：“该脚本旨在从结账页面上特定的字段中提取敏感的信用卡信息。然后，该恶意软件通过Magento的API收集额外的用户数据，包括用户的姓名、地址、电子邮件、电话号码和其他账单信息。这些数据是通过Magento的客户数据和报价模型检索的。” 此次披露还紧随一起以金钱为目的的网络钓鱼邮件活动的发现，该活动诱骗收件人点击伪装成近2200美元未支付请求下的PayPal登录页面。 Fortinet FortiGuard Labs的Carl Windsor表示：“骗子似乎只是注册了一个为期三个月免费的Microsoft 365测试域名，然后创建了一个包含受害者电子邮件的分发列表（Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com）。在PayPal网页门户上，他们只是请求资金，并将分发列表作为地址添加。” 该活动之所以狡猾，是因为邮件来自合法的PayPal地址（service@paypal.com），并包含真实的登录网址，这使得邮件能够绕过安全工具的检测。 更糟糕的是，一旦受害者尝试登录他们的PayPal账户了解支付请求，他们的账户就会自动与分发列表的电子邮件地址关联，从而使威胁行为者能够控制该账户。 近几周来，还观察到恶意行为者利用一种名为交易模拟欺骗的新技术从受害者的钱包中窃取加密货币。 Scam Sniffer表示：“现代Web3钱包将交易模拟作为用户友好的功能纳入其中。此功能允许用户在签署交易之前预览其预期结果。虽然旨在提高透明度和用户体验，但攻击者已找到利用此机制的方法。” WordPress信用卡盗刷软件 感染链涉及利用交易模拟和执行之间的时间差，使攻击者能够设置模仿去中心化应用（DApps）的虚假网站，以执行欺诈性的钱包资金耗尽攻击。 Web3反诈骗解决方案提供商表示：“这一新的攻击手段代表了网络钓鱼技术的重大演变。攻击者不再依赖简单的欺骗手段，而是利用用户依赖的安全功能的可信钱包。这种复杂的方法使检测变得特别具有挑战性。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

印度加密货币交易所 Mudrex 因合规性更新而停止提款至 1 月 28 日，引发了用户的反弹和社区的怀疑。 印度加密货币交易所 Mudrex 暂时停止了加密货币提现，引发了加密货币社区的反弹。 1 月 11 日，Mudrex 暂停了其平台上的加密货币提现，让用户对这一突然决定感到不解。 该公司告诉 Cointelegraph，暂停是暂时的，将持续到 1 月 28 日，目的是升级平台的合规框架，防止不良行为者滥用。 当被问及暂停运营以进行合规升级的必要性时，Mudrex 的联合创始人兼首席执行官 Edul Patel 说： 他说：“像加密货币这样重要的东西，你必须这样做。如果基础设施不正确，就很容易被滥用于邪恶活动。作为一个负责任的平台，我们需要确保我们的系统到位，并在各个时间点改进服务。” 值得注意的是，Mudrex 是印度少数几家允许加密货币提现的加密货币交易所之一。 “过去三年半以来，我们是印度唯一一家允许加密货币提现的公司，我们将继续坚持这一点。”帕特尔说。 社区反弹 在加密货币交易商 Vivan Live 在 X 上发帖，警告 Mudrex 用户立即撤回资金后，这一问题获得了关注。 Vivan 在帖子中写道： “恭喜！Mudrex 禁用了加密货币提款功能！别说我没告诉你！如果你还没把钱取出来，把它兑换成印度卢比–提现到你的银行，然后跑吧！” 另一位社区成员 Aakash Athawasya 对该交易所的意图表示怀疑，认为 Mudrex “本来就没有（加密货币提现）”，并指责它提供的是 “价格曝光，而不是所有权”。他说，“十英尺长的杆子 ”他都不会碰 Mudrex。 资料来源 Aakash Athawasya Mudrex 报告称，其用户数量每年增长 200%，达到 300 万，12 月份的交易量激增 20 倍，达到 2 亿美元。 印度面临着越来越严格的监管审查，这已经导致 Bybit 等交易所暂停了在该国的业务。Bybit宣布，从1月12日起，它将限制服务，包括加密货币交易、开户和下单，理由是不断变化的监管动态是其暂时退出印度市场的原因。 CoinDCX 推出加密货币提现服务 印度加密货币交易所 CoinDCX 为其用户推出了加密货币提现功能。 1 月 6 日，CoinDCX 首席执行官苏米特-古普塔（Sumit Gupta）在 X 上宣布，第一阶段将向 150 万用户推出该功能，并计划在后续阶段扩大该功能。 不过，选择加密货币取款的用户将不得不永久关闭其印度卢比存款功能，但卢比取款仍可继续使用。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303436 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 周二，软件代码分析公司Veracode宣布收购软件供应链领域初创企业Phylum的关键资产。 此次交易的财务条款未予公布。 总部位于美国马萨诸塞州伯灵顿的Veracode表示，此次收购包括Phylum的某些资产，如其恶意软件包分析、检测和缓解技术。 自2020年成立以来，总部位于科罗拉多州的Phylum已筹集约2000万美元的风险投资资金，旨在保护开源生态系统周边的应用程序。 Veracode表示，此次收购旨在增强其识别和阻止开源库中恶意代码的能力，并将为客户提供更全面的开源代码使用风险视图。 该公司援引数据显示，预计到2031年，软件供应链攻击的成本将从2023年的460亿美元增至1380亿美元，并表示Phylum技术的加入将有助于通过实时识别和阻止恶意软件包和漏洞来主动预防攻击。 Veracode计划将Phylum的技术，包括其恶意软件包数据库和包管理防火墙，整合到其SCA产品中，预计今年年初即可全面上市。 此次收购是Veracode在不到一年内完成的第二起收购。去年4月，该公司收购了初创企业Longbow Security，增加了帮助安全团队快速发现云和应用资产并轻松评估其威胁暴露程度的技术。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文