最近，一种新的活动跟踪应用程序在 Android 的官方应用程序商店 Google Play 上取得了巨大收获，其下载量已经超过2000万次。 这些应用程序将自己包装为健康、计步器和养成良好习惯的应用程序，承诺为用户在日常生活中保持活跃、达到距离目标等提供随机奖励。 不过，根据 Dr.Web 杀毒软件的一份报告，奖励可能无法兑现，或者在强迫用户观看大量广告后只能部分兑现。 Dr. Web 报告中列出的三个值得注意的例子是： Lucky Step – Walking Tracker– 1000 万次下载 WalkingJoy——500万次下载 幸运习惯：健康追踪器——500万次下载 Dr. Web 表示，这三个应用程序都与同一个远程服务器地址通信，表明是一个共同的操作员/开发人员。在撰写本文时，这三款产品均在 Google Play 上可用。 这家防病毒公司表示，在用户积累大量奖励之前，这些应用程序不允许提款。而且，他们要求用户观看十几个广告视频后才能解锁“收入”。 即使在观看了一轮广告后，这些应用程序仍会推送更多广告，理由是为了加快提现过程。 除了这些标志外，Dr. Web 还报告说，早期版本的“Lucky Step – Walking Tracker”提供了将应用内奖励转换为礼品卡的选项，用户可以使用礼品卡在在线商店购买商品。 然而，在最新版本的应用程序中，此功能已从选项中删除，因此不清楚奖励可以转换成什么。 Google Play 上的一些用户留下评论称“Lucky Step – Waling Tracker”充当广告软件，在屏幕解锁时加载全屏广告，甚至覆盖活动窗口。 另一个在 Google Play 上仍然可用的类似的应用程序是“Wonder Time”，这是一款奖励应用程序，已积累了 500,000 次下载。 该应用程序承诺为完成各种任务（如安装其他应用程序和游戏）奖励真钱。 然而，与开发者设定的最低收入提款门槛相比，用户每次操作获得的代币微不足道。 钓鱼游戏 在同一份报告中，Web 博士警告说，在 Google Play 上发现了伪装成投资应用程序和游戏的网络钓鱼应用程序，下载量超过 450,000 次。 这些应用程序在启动时连接到远程服务器，并接收一个配置来指导它们做什么。通常，这些网络钓鱼页面涉及要求用户输入敏感详细信息。 Dr.Web 观察到的恶意游戏应用如下： Golden Hunt– 100,000 次下载 Reflector– 100,000 次下载 七金狼二十一点– 100,000 次下载（仍在 Google Play 上） 无限得分– 50,000 次下载 重大决策——50,000 次下载 宝石海– 10,000 次下载 Lux Fruits Game– 10,000 次下载 幸运四叶草– 10,000 次下载 King Blitz– 5,000 次下载 幸运锤– 1,000 次下载 如果您的 Android 设备上安装了上述任何网络钓鱼应用程序，您应该立即卸载它们，然后运行杀毒扫描以找到并删除残留物。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/356010.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，长达五小时的 Microsoft 365 全球中断是一个路由器 IP 地址变化，致其广域网（WAN）中所有其它路由器之间的数据包转发问题引起。 2023 年 1 月 25日，Microsoft Teams、Outlook、Xbox 和其它 Microsoft365 服务均出现不同程度中断、延迟的现象，主要影响亚洲和欧洲用户，引起业内广泛关注。微软接到客户报告后立刻展开调查，并组织技术专家修复程序，排除故障以使服务恢复在线。 随着事故发展，微软 365 团队在社交媒体上表示其发现一个潜在网络问题，并正在审查遥测技术以确定下一步的故障排除步骤。目前，微软已将服务中断问题与网络配置问题隔离开来，正在分析解决这些问题的最佳缓解策略，力争不会造成额外影响。 微软多个服务受到中断影响 根据 Redmond 的说法，受影响用户可能无法访问有问题的 Microsoft 365 服务。此次中断影响的服务清单主要包括: Microsoft Teams、Exchange Online、Outlook、SharePoint Online、OneDrive for Business、PowerBi、Microsoft 365 Admin Center、Microsoft Graph、Microsoft Intune、Microsoft Defender for Cloud Apps和Microsoft Defender for Identity。 Azure 团队在 Microsoft Azure 服务状态页上强调，技术团队已经确定网络连接问题发生在微软广域网（WAN）设备上，这主要影响到互联网客户与 Azure 之间的连接、ExpressRoute 连接以及数据中心服务之间的连接。 服务器中断问题正在造成一波波影响，大约每 30 分钟达到峰值。此外，一些客户在加载 Microsoft Azure 状态页面时同样会遇到问题，该页面间歇性显示“504网关超时”错误。目前微软内部技术团队正在展开积极调查，一旦有更多消息，会立刻分享给大众。 随着调查深入，Azure 团队发现此次故障背后的根本原因是微软广域网（WAN）的近期更新，目前微软已采取措施回滚这一更新。值得一提的是，微软强调最新遥测显示多个地区和服务都有恢复的迹象，正在继续积极监测，可以确认受影响的服务已经开始慢慢恢复并保持稳定。 Microsoft 365 全球中断由某个路由器 IP 变化引起 经调查分析，微软最后确认长达五小时的 Microsoft 365 全球中断是路由器 IP 地址更改所致，该更改引起了其广域网（WAN）中所有其它路由器之间的数据包转发问题。 Redmond 对事件调查后表示全球性中断是由 WAN 更新导致的 DNS 和 WAN 网络配置问题造成的，许多用户在访问受影响的 Microsoft 365 服务时都遇到了问题。微软透露，服务器中断问题是在使用未经彻底审查的命令更改 WAN 路由器的 IP 地址时引发的，该命令在不同网络设备上具有不同的行为。作为更新 WAN 路由器上 IP 地址的计划更改的一部分，向路由器发出的命令使其向 WAN 中的所有其它由器发送消息，这导致所有路由器重新计算其邻接表和转发表。 在重新计算过程中，路由器无法正确转发通过它们的数据包 当网络从 UTC 08:10 开始自行恢复时，负责维护广域网（WAN）运行状况的自动化系统由于网络受到影响而暂停。这些系统包括识别和消除不健康设备的系统，以及优化网络数据流的流量工程系统。 由于暂停，一些网络路径从 UTC 9 时 35 分开始继续“历经”数据包丢失增加，直到手动重新启动系统，使WAN 恢复到最佳运行状态，并在 UTC 12 时 43 分完成恢复过程。 特别强调的是，从 UTC 上午 7:05 开始调查，到 UTC 下午 12:43 恢复服务，Redmond 仅花费五个多小时就解决了服务中断问题。 服务器中断事件后，微软表示正在阻止执行具有高度影响力的命令，并且还将要求所有命令执行都遵循安全配置更改的指导原则。 转自 Freebuf，原文链接：https://www.freebuf.com/news/355988.html 封面来源于网络，如有侵权请联系删除

如果你本周上班打开电脑发现任务栏和开始菜单中常用的Windows程序快捷方式都不见了，不要惊慌，这只是微软的又一次安全更新导致的“乌龙事件”。 上周五，微软发布了Microsoft Defender签名更新，其中包括对攻击面减少（ASR）规则的更改，该规则在配置管理器中名为“阻止来自Office宏的Win32 API调用”，在Intune中则是“从Office宏代码导入Win32”。 总之，这个新规则能检测并阻止恶意软件使用VBA宏调用Win32 API。 但是很快，这个新规则就产生了严重的“副作用”，Windows自带的杀毒软件Defender开始不断误报，并从桌面、开始菜单和Windows任务栏中大量删除程序快捷方式（图标）。 快捷方式的“不翼而飞”在大量企业用户中引发混乱，企业环境普遍中断，用户无法快速启动其应用程序，Windows管理员们则手忙脚乱地为员工恢复快捷方式。 很快，微软紧急恢复了签名更新1.381.2164.0中的更改，但警告管理员，最新的签名可能需要数小时才能分发到所有环境。 微软发布PowerShell脚本批量修复快捷方式 周六早上，微软紧急发布了高级搜寻查询，以查找受影响的程序快捷方式，并发布了一个PowerShell脚本，为被影响最为严重的33个应用程序重建快捷方式。 如果您的企业也不幸中招，可以尝试微软发布在GitHub上的这个PowerShell脚本(链接在文末)，可为以下33个应用程序重建快捷方式： 该脚本将扫描HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\注册表项，以检查计算机上是否安装了上述可批量恢复快捷方式的33个程序。 然后，脚本将检查“开始”菜单中是否存在相应的快捷方式，如果没有，则重新创建。 如果你需要恢复快捷方式的程序不在上面这个列表里，可以修改PowerShell脚本中$programs数组添加其他应用程序。 Microsoft还发布了用Intune将此脚本部署到 Windows域设备的步骤。 对于那些希望手动重建快捷方式的人，Microsoft共享了以下步骤来修复程序： 修复Windows 10中的应用程序： 1. 选择“开始” >“设置”>“应用”>“应用和功能”。 2. 选择要修复的应用。 3. 选择应用名称下的“修改链接”（如果可用）。 4. 将启动一个新页面，并允许您选择修复。 修复Windows 11中的应用程序： 1. 在搜索栏中输入“已安装的应用程序”。 2. 单击“已安装的应用程序”。 3. 选择要修复的应用。 4. 点击“…”。 5. 选择“修改”或“高级选项”（如果可用）。 6. 将启动一个新页面，并允许您选择修复。 需要注意的是，上述方法花费更长的时间，因为在大多数情况下，它将重新安装整个程序。而且，并非所有应用程序都提供修复功能。 修复方案并不完美 虽然微软发布的PowerShell脚本能方便用户为部分应用程序重新创建快捷方式，但Windows管理员普遍反映该脚本存在很多弊端。 首先，该脚本默认只修复33个程序的快捷方式，不会为计算机上常用的大量其他应用程序重新创建快捷方式。 更为夸张的是，即便是微软Office这样的“亲儿子”程序，也没能搭上车。 一位Windows管理员抱怨说：“不幸的是，这个脚本不会恢复在用户端部署的微软Office快捷方式，这也是大多数365C2R的安装方式，同时也是通过Intune部署的M365的默认安装方式。很遗憾脚本并未提供支持。” 还有Windows管理员评论说，该脚本仅能在“开始”菜单中重新创建快捷方式，但无法恢复从Windows任务栏、快速启动工具栏或Windows桌面中删除的快捷方式。 另一位管理员则建议，用户其实可以通过从卷影副本中检索开始菜单、快速启动栏和桌面快捷方式来恢复它们。 用户还可以使用Shadow Explorer或ShadowCopyView等工具来检查快捷方式是否保存在以前的快照中，然后只需简单地将它们复制回系统驱动器。 对于拥有许多设备的用户，也可以尝试使用PowerShell从卷影副本中检查和恢复文件。 总体而言，微软本次安全更新的“乌龙事件”给大量Windows管理员和IT技术支持人员造成了巨大的混乱，他们面临手动重新创建快捷方式的繁琐任务。   转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/Qfv_fpOwToU0dNsKeWwp-A 封面来源于网络，如有侵权请联系删除

据Security Affairs消息，法国数据保护监管机构因违反 Cookie 同意规则而对短视频平台 TikTok 处以500 万欧元（约540万美元）罚款。 法国国家信息和自由委员会 (CNIL) 声称，Tiktok没有提供像“一键接受”Cookie跟踪那样提供“一键拒绝”的选项，平台也未能充分告知用户不同 Cookie 的使用目的，从而违反了法国数据保护法 (DPA) 第 82 条，这也是一项符合整个欧盟实施的 GDPR（通用数据保护条例）框架的国家法规。 据悉，此次判罚源自2020 年 5 月至 2022 年 6 月期间对TikTok网站的审查，CNIL 发现，用户必须执行几次比较繁琐的点击操作才能拒绝所有 Cookie，而不像一键“全部接受”那样容易，从而自然导致 TikTok 网站上的大多数访问者点击“全部接受”按钮。尽管 CNIL 多次向 TikTok 发出警告，但TikTok直到 2022 年 2 月才实施“全部拒绝”按钮，并将其置于显著位置。 即便如此，CNIL 也认为TikTok对 Cookie的使用目的的描述也不够充分，用户点击相关选项仍然没有获得有关 Cookie 用途足够详细的信息。 其实近段时间以来，CNIL已对多家违反相关法律规定的巨头企业进行了罚款。2022 年 12 月，CNIL对苹果处以了800 万欧元（约870万美元）的罚款，原因是在其终端上存放或写入用于广告目的的标识符未征得 iPhone 法国用户（iOS 14.6 版本）的同意。而在更早前，Facebook 和谷歌也因未显著提供拒绝跟踪Cookie的选项而被分别处以 6000 万欧元（6800 万美元）和 1.5 亿欧元（1.7 亿美元）的罚款。     转自 Freebuf，原文链接：https://www.freebuf.com/news/355331.html 封面来源于网络，如有侵权请联系删除

本文回顾2022年网络安全领域热点新闻事件，涉及国际动态、黑客攻击、数据泄露、安全漏洞等方面，数据来源 https://hackernews.cc/。转载请注明出处。   · 美国国会网站遭亲俄黑客组织攻击 美国国会图书馆透露，有亲俄黑客团伙攻击了国会立法网站Congress.gov，导致系统临时宕机并“短暂影响到公众访问”。该亲俄黑客团伙名为KillNet，曾向全球被认为对俄罗斯政府怀有敌意的国家目标，发起过一系列分布式拒绝服务攻击。该团伙此次专门发布了一段视频，其中包含503错误页面以及拜登总统的图像。 详情阅读：https://hackernews.cc/archives/40006   · 美及欧洲执法机构联盟查封了黑客网站 RaidForums.com 一个由多个全球执法机构组成的联盟–包括FBI、特勤局、英国国家犯罪署、欧洲刑警组织和其他机构–最近领导了一次行动，以查封RaidForums拥有的网络域名。RaidForums.com通常被描述为世界上最大的黑客论坛之一，它承载着一个留言板系统，恶意方可以在这里购买、出售和交易来自重大漏洞的黑客和被盗数据，据悉，其中就包括最近在2021年公开的T-Mobile数据泄漏。 详情阅读：https://hackernews.cc/archives/38224   · 南非总统的个人信贷数据泄露：该国已沦为“黑客乐园” 黑客团伙SpiderLog$窃取了南非现任总统Cyril Ramaphosa自2000年代在国内四大银行之一的贷款详细记录。SpiderLog$称，这批数据来自另一个名为N4ugtysecTU的黑客团伙，而后者曾于今年早些时候入侵信用报告机构TransUnion，窃取了5400万消费者征信数据，几乎覆盖该国所有公民。泄露数据集中包含Ramaphosa本人的家庭住址、身份证号码及手机号码。 SpiderLog$通过Ramaphosa的数据唤起了大众的警觉，让人们关注南非安全系统，特别是政府部门（包括国防和国家安全部门）所使用安全系统中的显著漏洞。SpiderLog$团伙在采访中表示，“南非已经成为黑客们的乐园，任何人都能轻松绘制出南非的数字基础设施分布。” 详情阅读：https://hackernews.cc/archives/39146   · 美军黑客为支持乌克兰而开展进攻性行动 美国网络司令部负责人告诉Sky News，美军黑客已经开展了支持乌克兰的进攻性行动。在一次独家采访中，Paul Nakasone将军还介绍了单独的hunt forward行动是如何让美国在外国黑客被用来对付美国之前搜索出他们的工具。 详情阅读：https://hackernews.cc/archives/39207   · 勒索软件攻击造成哥斯达黎加国家危机 自4月17日Conti勒索软件攻击爆发以来，已至少影响了哥斯达黎加27个政府机构，其中9个受到严重影响，如征税工作受阻碍、公务员工资发放金额错乱等；哥国新任总统日前表示，有证据显示，国内有内鬼配合勒索软件团队敲诈政府，这场危机是政府多年未投资网络安全的苦果；安全专家称，这些犯罪团伙财力雄厚，完全有可能以收买的方式渗透进任何目标组织。 详情阅读：https://hackernews.cc/archives/38806   · 美国悬赏 1000万 美元，征集 Conti 成员信息 美国国务院宣布悬赏1000万美元征集5名Conti勒索软件高级成员的信息，包括首次展示了其中一名成员的脸。正义奖赏计划是美国国务院的一项计划，会用高额金钱来奖励那些能够提供影响美国国家安全者相关信息的人。该计划最初是为了收集针对美国利益的恐怖分子的信息，现在已经扩大到为网络罪犯的信息提供奖励，如俄罗斯沙虫黑客、REvil勒索软件和邪恶集团黑客。 详情阅读：https://hackernews.cc/archives/40829   · 朝鲜黑客组织 Lazarus 利用 Log4J 攻击 VMware 服务器长达数月之久 作为朝鲜最著名的黑客组织之一，Lazarus 利用称为“NukeSped”的 Log4J RCE 漏洞在 VMware Horizon 服务器上注入后门，以检索信息窃取有效载荷。CVE-2021-44228 (log4Shell) 是已被跟踪并识别此漏洞的 CVE ID，它影响了包括 VMware Horizon 在内的多种产品。 自2022年1月份以来，多个威胁参与者都在利用此漏洞，1 月份 VMware 敦促客户修补关键的 Log4j 安全漏洞，这些漏洞会影响以持续攻击为目标的暴露于Internet的VMware Horizon 服务器 。 Ahnlab的 ASEC 的网络安全分析师声称，自 2022 年 4 月以来，Lazarus 组织背后的威胁行为者一直通过 Log4Shell 攻击易受攻击的 VMware 产品。 详情阅读：https://hackernews.cc/archives/38921   · 因勒索软件攻击，芝加哥公立学校 50 万学生数据遭泄露 美国芝加哥公立学校发生了一起大规模的数据泄露事件，近 50 万名学生和 6 万名员工的数据遭泄露，这一切源于其供应商 Battelle for Kids 遭受了勒索软件攻击。5 月 20 日，芝加哥公立学校（CPS）学区披露，去年 12 月 1 日对 Battelle for Kids 的勒索软件攻击暴露了其学校系统中 495448 名学生和 56138 名员工的存储数据，时间范围为 2015 学年至 2019 学年。 详情阅读：https://hackernews.cc/archives/38935   · 通用汽车遭撞库攻击被暴露车主个人信息 通用汽车表示他们在今年4月11日至29日期间检测到了恶意登录活动，经调查后发现黑客在某些情况下将客户奖励积分兑换为礼品卡，针对此次事件，通用汽车也及时给受影响的客服发邮件并告知客户。根据调查，这些违规行为并不是通用汽车被黑客入侵的结果，而是由针对其平台上的客户的一波撞库攻击引起的。 详情阅读：https://hackernews.cc/archives/38909   · Lapsus$ 再出手：泄漏 Globant 软件公司 70GB 数据 就在英国警方逮捕了 7 名嫌疑犯之后，近期非常猖獗的黑客组织 Lapsus$ 又有了新动作。在攻击微软、三星、NVIDIA 和 Okta 等公司之后，该组织再次宣布成功攻陷 Globant，后者是一家位于卢森堡的软件开发咨询公司。该组织在其 Telegram 频道上发布了一个 70G 的种子文件，其中包括据称从该公司窃取的数据，黑客声称其中包括其企业客户的源代码。 详情阅读：https://hackernews.cc/archives/38059   · RansomHouse 宣布盗取芯片制造巨头 AMD 450GB 数据 RansomHouse 团伙声称入侵了芯片制造商巨头 AMD 并从该公司窃取了 450 GB 的数据，并威胁说如果该公司不支付赎金，就会泄露或出售这些数据。 详情阅读：https://hackernews.cc/archives/39668   · 连锁酒店巨头万豪证实又一起数据泄露事件 酒店集团万豪国际集团已经证实了另一起数据泄露事件，黑客们声称窃取了20GB的敏感数据–包括客人的信用卡信息。该事件首先由Databreaches.net报道，据说发生在6月，一个不知名的黑客组织宣称他们利用社会工程欺骗马里兰州一家万豪酒店的员工以让他们进入他们的电脑。 详情阅读：https://hackernews.cc/archives/39794   · 西门子工控系统暴露 15 个安全漏洞 网络安全研究人员披露了西门子 SINEC 网络管理系统 (NMS) 中 15 个安全漏洞的详细信息，其中一些可能被攻击者混合使用，以在受影响的系统上实现远程代码执行。工业安全公司 Claroty在一份新报告中表示：“这些漏洞如果被利用，会给网络上的西门子设备带来许多风险，包括拒绝服务攻击、凭据泄漏和在某些情况下远程执行代码。” 详情阅读：https://hackernews.cc/archives/39503   · 甲骨文耗时 6 个月修补 Fusion Middleware 的重大漏洞 安全研究人员揭露甲骨文在今年1月及4月，所分别修补2项影响Fusion Middleware的重大漏洞细节，并指后者花了6个月才修复。 VNG公司的PeterJson和VNPT的Nguyen Jang去年10月发现Fusion Middleware 2项漏洞，分别为影响Oracle JDeveloper内ADF Faces framework的前远端程序码执行（pre-auth RCE）漏洞，以及影响Oracle Access Manager（OAM）的伺服器端请求伪造（Server Side Request Forgery，SSRF）漏洞。 详情阅读：https://hackernews.cc/archives/39590   · 邮件巨头 Zimbra 曝严重漏洞，黑客无需密码即可登录 邮件巨头Zimbra某些版本的高严重性漏洞的技术细节已经浮出水面，通过利用该漏洞，黑客可以在没有身份验证或用户交互的情况下窃取登录信息，这意味着黑客无需账号密码即可登录用户的邮箱。 详情阅读：https://hackernews.cc/archives/39462   · 360 万+ MySQL 服务器暴露在互联网上 至少有360万台MySQL服务器已经暴露在互联网上，这意味着这些服务器已经全部公开且响应查询。毫无疑问它们将成为黑客和勒索攻击者最有吸引力的目标。在这些暴露、可访问的MySQL服务器中，近230万台是通过IPv4连接，剩下的130万多台设备则是通过 IPv6 连接。虽然Web服务和应用程序连接到远程数据库是较为常见的操作，但是这些设备应该要进行锁定，保证只有经过授权的设备才能连接并查询。 详情阅读：https://hackernews.cc/archives/39197   · 黑客以 3 万美元兜售 Twitter 数据，称涉及 540 万用户 Twitter在2022年早些时候曾确认其存在并修复过一个网络安全漏洞，该漏洞可导致用户的账号ID、电话号码、电子邮件被泄露。 有黑客以3万美元（约合20万人民币）兜售540万Twitter账户数据。据了解，Twitter今年早些时候曾确认其存在并修复过一个网络安全漏洞，该漏洞可导致用户的账号ID、电话号码、电子邮件被泄露。 详情阅读：https://hackernews.cc/archives/40401    

从本周二开始，微软将不再为专业版和企业版的Windows 7提供扩展安全更新。与此同时，雷德蒙公司鼓励Windows 7设备用户升级到更高的Windows操作系统版本，特别是Windows 11，尽管它在市场表现上仍然落后于老的Windows 10系统。 2009年10月，微软推出了Windows7，后来分别在2015年1月和2020年1月达到其支持结束和延长支持结束的日期。这促使希望停留在Windows 7的用户转向微软的扩展安全更新（ESU）计划。然而，这一计划的更新也将于1月10日星期二结束，与Windows 8.1的EOS时间节点一致。 微软建议那些将受到影响的人升级他们的系统或设备。微软的支持页面说，目前的Windows 7设备所有者可以通过购买和安装其完整版本升级到Windows 10。它还强调，虽然Windows 10是一个快速的解决方案，但Windows 11显然是一个更理想的选择，因为Windows 10在达到其支持期限之前也只剩下三年时间。 “大多数Windows 7设备将不符合升级到Windows 11的硬件要求，作为替代方案，兼容的Windows 7电脑可以通过购买和安装完整版本的软件升级到Windows 10，”微软在其页面上说。”在投资于Windows 10升级之前，请考虑到Windows 10将于2025年10月14日达到其支持期限。” 虽然升级到Windows 11意味着购买新的电脑，但微软向Windows 7机器用户解释了拥有更先进硬件组件的现代设备的好处。 “为了保持Microsoft 365的可靠性和稳定性，我们强烈建议你利用最新的硬件功能，转而购买装有Windows 11的新电脑，”微软解释说。”自十年前Windows 7首次发布以来，个人电脑已经发生了很大变化。今天的电脑更快、更强大、更时尚，而且它们已经安装了Windows 11。” 此举反映了微软不断致力于提升最新Windows操作系统的Windows桌面市场份额。目前，Windows 11占整个Windows桌面市场份额的68.01%，而Windows 10的总份额只有16.93%。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7186546121320333884 封面来源于网络，如有侵权请联系删除

未来的电子设备可能会在其电路中集成改进的安全措施，以帮助抵御恶意攻击。来自阿卜杜拉国王科技大学（KAUST）的研究人员展示了如何将基于自旋电子学前沿领域的保护性”逻辑锁”插入电子芯片的集成电路中，以保护芯片安全。 “对基于硬件的安全功能的需求反映了现代电子制造的全球化性质，”来自KAUST的Yehia Massoud解释说。电子公司通常雇用大型专业的外部代工厂来生产他们的芯片，这最大限度地降低了成本，但给供应链带来了潜在的漏洞。电路设计可能只是被一个不受信任的代工厂非法复制，用于生产假冒的芯片，或者可能被恶意修改，在电路中加入”硬件木马”，以某种方式对其行为产生不利的影响。 马苏德实验室的博士生迪维安舒（Divyanshu Divyanshu）说：”为了增加对全球化集成电路制造链的信心，现在广泛使用诸如逻辑锁定等安全方法。为了捍卫芯片安全，ITL团队设计了一种基于被称为磁隧道结（MTJ）的组件的集成电路逻辑锁。” 迪维安舒解释说，逻辑锁的工作原理类似于密码锁。除非向锁提供正确的”钥匙”组合信号，否则电路的操作会被扰乱。锁的钥匙存储在防篡改的存储器中，确保硬件安全，防止几种威胁模式。 MTJ的逻辑锁定行为是基于自旋电子学，一种新兴的先进电子学形式。自旋电子学是一个研究领域，其中除了电荷之外，还利用了电子的一种物理属性，即自旋。MTJ的电子输出取决于其内部电子的自旋排列。然而，只有当MTJ接收到正确的关键信号输入时，它才能产生正确的输出，使受保护的电路发挥作用。 与传统的硅元件相比，基于自旋的设备有几个优点，包括低工作电压和待机时无功耗。随着制造方法的进步，在芯片设计中使用新兴的自旋电子器件结构的可能性已经增加，这些特性使自旋电子器件成为探索硬件安全的潜在选择。 该团队的工作表明，自旋电子器件可能是逻辑锁定任务的理想选择。研究人员表示下一步将包括调查其他基于自旋的设备，在KAUST现有的最先进的制造设施的帮助下，开发逻辑锁定块。   转自 cnBeta，原文链接：https://www.toutiao.com/article/7184262847009194534/ 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，谷歌与美国印第安纳州和华盛顿特区监管机构达成了和解协议，同意支付总计 2950 万美元，以了结两起与追踪用户位置相关的诉讼。 从和解协议内容来看，谷歌分别向华盛顿特区、印第安纳州支付 950 万美元和 2000 万美元。上月，谷歌已经因类似指控同意向 40 个州支付总计 3.915 亿美元。值得一提的是，除上述诉讼案外，谷歌还面临德克萨斯州和华盛顿州另外两起追踪用户位置的诉讼案。 Google 长时间追踪用户位置信息 印第安纳州在上周一份新闻稿中表示，谷歌使用从该州消费者处收集的位置数据，建立了详细用户档案，至少从 2014 年开始，就一直在欺骗和误导用户。 据悉，2018 年，媒体披露谷歌大范围追踪用户位置信息后，多个州对其发起诉讼，谷歌虽然在事后关闭了“位置历史”的选项，但仍通过一个名为 “Web 和 APP 活动 ”的设置，在安卓和 iOS 上跟踪用户的位置信息。 和解协议的结果显示，Google 被勒令必须告知开启了“位置历史 ”和 Web&App 活动的用户是否正在收集其位置数据，以及用户可以采取那些措施，避免信息泄露。谷歌还被要求维护一个网页，披露其收集的所有类型和来源的位置数据，并避免在未经用户明确同意的情况下与第三方广告商分享这些精确的位置信息。此外，Google 还需要在 30 天内自动删除从用户设备或 Web&APP 中获得的位置数据。 Google 加强了用户位置隐私保护 目前，Google 已经推出了一些用户隐私保护措施，例如允许用户自动删除与其账户绑定的位置数据。Google 进一步表示，将提供有关 Web&App 活动中的更多 “详细 ”信息，后续将推出了一个信息中心和新的切换按钮，以方便用户“处置”自己的位置信息。   转自 Freebuf，原文链接：https://www.freebuf.com/news/354106.html 封面来源于网络，如有侵权请联系删除

法国国家技术和自由委员会（Commission Nationale de l’Informatique et des Libertes，简称CNIL）对微软通过必应搜索引擎强迫客户使用Cookies的行为罚款6000万欧元。这笔罚款是对微软爱尔兰公司开出的，那里是该这一软件巨头的欧洲基地。 微软今年有不同的问题需要解决。除了目前与GitHub Copilot、Teams有关的问题，以及与拟议的690亿美元动视合并交易有关的不同诉讼之外，在CNIL的调查发现微软在Bing上的催促性Cookie接受系统存在不合规之后，公司现在需要支付高达6400万美元的罚款。 法国的隐私监督机构周四解释说，”当用户访问该网站时，未经他们同意，Cookies被存放在他们的终端上，而这些Cookies被用于广告等目的”。它补充说，还”观察到没有任何按钮可以像接受它一样方便地拒绝存放Cookies”。 CNIL特别提到了微软是如何不对等地设置接受和拒绝Cookies的选项的，只用一个按钮就可以接受，但点击两次才可以拒绝请求。此外，调查还阐述了Bing在没有通知用户的情况下在用户的浏览器上放置广告Cookies，这直接违反了法国数据保护法中详细规定的互联网用户的同意原则。 这一数额被认为是监督机构施加的最大罚款，但它解释说，考虑到该软件巨头从Cookies中获得的利润，这是合理的。此外，如果该公司未能在CNIL给出的三个月期限内解决这个问题，它可能会每天额外支付6万欧元的逾期罚款。 尽管如此，微软在最近的一份声明中说，它已经”在这项调查开始之前就对我们的Cookies做法进行了关键的改变”。它补充说，它继续”恭敬地关注CNIL对广告欺诈的立场”，并强调CNIL的”立场将损害法国个人和企业”。 同样的情况在欧洲并不新鲜，特别是在欧盟通过了科技公司必须遵守的2018年个人数据同意法之后。微软也不是第一个陷入这种制裁的企业。Google和Facebook由于Cookies相关事宜分别被CNIL罚款1.5亿和6000万欧元。此外，由于将欧盟居民的个人数据发送到美国的服务器的问题，这两家公司正在接受调查。欧洲数据保护监督员还对Meta公司关于使用数据进行定向广告的补充案件作出了具有约束力的决定。   转自 cnBeta，原文链接：https://www.toutiao.com/article/7180235314651857445/ 封面来源于网络，如有侵权请联系删除

当地时间12月13日，谷歌宣布开源OSV-Scanner，该开源漏洞扫描仪可访问各种项目的漏洞信息，加强软件供应链安全。 谷歌软件工程师Rex Pan向媒体介绍，该工具基Go语言编写，由开源漏洞（OSV）数据库提供支持，可以生成可靠和高质量的漏洞信息，填补了开发人员的软件包清单与漏洞数据库信息之间的空白。 扫描仪的原理是利用从OSV.dev数据库中提取的数据，来识别一个项目的所有横向依赖关系同时突出相关的漏洞。 OSV.dev数据库拥有3.8万个共建者，支持16个生态系统，包括所有主要语言、Linux发行版（Debian和Alpine）、安卓、Linux内核和OSS-Fuzz。安全告警数量比一年前的1.5个多，其中Linux（27.4%）、Debian（23.2%）、PyPI（9.5%）、Alpine（7.9%）和npm（7.1%）占据告警量前五。 下一步，谷歌计划建立一个“高质量数据库”来支持C/C++漏洞，包括向CVEs添加 “精确的提交级元数据”。 10月20日，谷歌还推出了开源计划GUAC（Graph for Understanding Artifact CompositionGUAC），加强软件供应链安全。 GUAC收集并综合执行此类分析所需的源自不同来源的所有信息，如软件物料清单 （SBOM）、已知漏洞信息和关于某特定软件如何构建的签名证明书等。用户将能够从GUAC查询其软件中最常使用的关键组件信息、相关依赖信息和任意潜在弱点和漏洞信息。 上周，谷歌还发布了一份《安全展望》报告，呼吁组织开发和部署一个通用的SLSA框架，以防止篡改，提高完整性，并保护软件包免受潜在威胁。 该公司提出的其他建议包括承担额外的开源安全责任，并采用更全面的方法来解决近年来Log4j漏洞和SolarWinds事件等风险。 谷歌表示，“软件供应链攻击通常需要强大的技术才能和长期的承诺才能实现。复杂的行为者更有可能具有进行这些类型攻击的意图和能力。大多数组织都很容易受到软件供应链攻击，因为攻击者会花时间瞄准与客户网络有可信连接的第三方提供商。然后，他们利用这种信任更深入地挖掘最终目标的网络。”   转自 Freebuf，原文链接：https://www.freebuf.com/news/352442.html 封面来源于网络，如有侵权请联系删除