近日，来自三星、首尔国立大学和佐治亚理工学院的韩国研究团队的研究人员发现一种以 ARM 的内存标记扩展（MTE）为目标的，名为 “TIKTAG “的新型攻击，黑客可利用这种方式绕过安全防护功能，这种攻击专门针对谷歌浏览器和 Linux 内核的攻击，导致数据泄露几率超过 95%。 MTE是ARM v8.5-A架构（及更高版本）新增的一项功能，旨在检测和防止内存损坏。系统采用低开销标签技术，为 16 字节内存块分配 4 位标签，确保指针中的标签与访问的内存区域相匹配，从而防止内存损坏攻击。 MTE 有三种运行模式：同步、异步和非对称，兼顾了安全性和性能。 研究人员发现，通过使用两个小工具（代码），即 TIKTAG-v1 和 TIKTAG-v2，他们可以利用投机执行在短时间内泄露 MTE 内存标记，成功率很高。 标签泄露图 泄露这些标签不会直接暴露敏感数据，如密码、加密密钥或个人信息。但理论上，它可以让攻击者破坏 MTE 提供的保护，使安全系统无法抵御隐蔽的内存破坏攻击。 TIKTAG 攻击 TIKTAG-v1 利用 CPU 分支预测和数据预取行为中的推测收缩来泄漏 MTE 标记。 TIKTAG-v1 代码 研究人员发现，这个小工具在攻击 Linux 内核时，对投机性内存访问的功能格外有效，不过需要对内核指针进行一些操作。 攻击者使用系统调用调用投机执行路径，并测量缓存状态以推断内存标签。 TIKTAG-v2 利用了投机执行中的存储到加载转发行为，这是一个将值存储到内存地址并立即从同一地址加载的序列。 TIKTAG-v2 代码 如果标签匹配，值将被转发，加载成功，并影响缓存状态；如果标签不匹配，转发将被阻止，缓存状态保持不变。 因此，通过探测投机执行后的缓存状态，可以推断出标签检查结果。 研究人员展示了 TIKTAG-v2 小工具对谷歌 Chrome 浏览器，尤其是 V8 JavaScript 引擎的有效性，为利用渲染器进程中的内存破坏漏洞开辟了道路。 通过 MTE 旁路实现的攻击场景 行业响应和缓解措施 研究人员在 2023 年 11 月至 12 月期间向受影响的企业报告了他们的发现，并得到了普遍积极的回应。 发表在 arxiv.org 上的技术论文提出了以下针对 TIKTAG 攻击的缓解措施： 修改硬件设计，防止投机执行根据标签检查结果修改高速缓存状态。 插入投机障碍（如 sb 或 isb 指令），防止关键内存操作的投机执行。 添加填充指令，以扩展分支指令和内存访问之间的执行窗口。 增强沙箱机制，将投机性内存访问路径严格限制在安全内存区域内。 虽然 ARM 认识到了情况的严重性，并在几个月前发布了公告，但它并不认为这是对功能的妥协。 ARM 在公告中写道：由于 Allocation Tags 对地址空间中的软件来说并不是秘密，因此揭示正确标签值的投机机制并不被视为对架构原则的破坏。 Chrome 浏览器的安全团队承认存在这些漏洞，但目前并未打算修复。因为他们认为 V8 沙盒的目的不是保证内存数据和 MTE 标记的机密性。 此外，Chrome 浏览器目前默认不启用基于 MTE 的防御功能，因此修复的优先级较低。 Pixel 8 设备中的 MTE 标记已于今年 4 月报告给了安卓安全团队，并被确认为符合悬赏条件的硬件漏洞。   转自Freebuf，原文链接：https://www.freebuf.com/news/403690.html 封面来源于网络，如有侵权请联系删除

在最近的一次数据泄露事件中，领先的蓝牙定位跟踪设备供应商之一 Tile 的数百万用户的个人信息可能被暴露，并引发了赎金要求。 据 404 Media 报道，黑客利用窃取的一名前 Tile 公司员工的凭证进入了公司内部工具，并访问了多个 Tile 系统，以窃取敏感数据。 这些数据包括用于转移 Tile 追踪器所有权、创建管理员账户和发送用户通知的工具，如黑客提供的截图所示。 黑客在数据泄露事件中可以访问的内容 2024 年 6 月 11 日，Tile 的母公司、专注于定位数据的 Life360 表示，检测到有人未经授权访问其客户支持平台。根据该公司的新闻稿，Tile 成为了 “犯罪勒索企图 “的目标，一名身份不明的行为者告知他们拥有 Tile 的客户信息。 公司立即展开调查，发现有人未经授权访问了 Tile 客户支持平台，但没有访问 Tile 服务平台。该公司向用户保证，没有财务数据、密码或位置信息被泄露，因为该平台从未存储过这些数据。但用户的敏感数据可能会被暴露，包括姓名、实际地址、电子邮件地址、电话号码和 Tile 设备识别码。 Life360 首席执行官 Chris Hulls 表示：”我们认为，此次事件仅限于上述特定的 Tile 客户支持数据，并不具有更大的普遍性。”他重申了该公司保护客户信息的承诺，并采取措施保护其系统免受恶意行为者的侵害。 值得注意的是，该新闻稿不适用于美国以外的用户，截图如下： 该公司已经向执法部门报告了这一事件和勒索企图。然而，此次事件凸显了用户位置追踪公司的脆弱性，以及它们是如何成为黑客攻击目标的。 由于电子邮件地址被曝光，Tile 用户应谨防网络钓鱼，对要求提供个人信息或登录凭据的电子邮件保持警惕，并监控与 Tile 帐户相关的电子邮件和银行帐户上的可疑活动。 专家评论 总部位于新泽西州弗莱明顿的身份和访问安全提供商 Pathlock 首席执行官 Piyush Pandey 就数据泄露事件发表了评论，指出其中涉及多种因素，包括前员工或心怀不满的员工实施的潜在威胁以及缺乏安全认证。 “在这种情况下，访问权限似乎是使用 Tile 前员工的管理凭证授予的，这表明身份安全的一个关键要素——在身份生命周期的加入、移动和离开整个过程中，能够主动了解用户的访问和权限。” 此外，多因素身份验证也可能导致仅凭用户名和密码就能访问的情况不复存在。Piyush 补充说：这一漏洞还表明，除了保护主要业务线应用程序外，确保服务账户访问的安全性也至关重要。 Critical Start 网络威胁研究高级经理 Callie Guenther 强调了数据泄露事件后的重大威胁情报影响，包括有针对性的勒索、供应链漏洞、数据敏感性、事件响应等。Callie 建议采取以下措施保护管理员账户： 多因素身份验证（MFA）： 要求所有管理员账户使用多因素身份验证（MFA），以增加额外的安全层。 强密码策略： 强制使用强大、唯一的密码，并定期更改密码。 最小特权原则： 只向需要的用户授予管理权限，尽量减少拥有高级访问权限的用户数量。 定期审计和监控： 持续监控和审计管理员账户活动，及时发现和应对可疑行为。 安全意识培训： 教育员工识别网络钓鱼企图，以及保护凭证的重要性。   转自Freebuf，原文链接：https://www.freebuf.com/news/403699.html 封面来源于网络，如有侵权请联系删除

日前，华硕七种型号路由器曝出高危安全漏洞，漏洞被跟踪为 CVE-2024-3080（CVSS v3.1 评分：9.8“严重”），是一个身份验证绕过漏洞，允许未经身份验证的远程威胁攻击者控制设备。华硕方面在近日发布的固件更新中解决了安全漏洞问题。 安全漏洞主要影响以下路由器型号： XT8 （ZenWiFi AX XT8） – Mesh WiFi 6 系统，提供速度高达 6600 Mbps 的三频覆盖、AiMesh 支持、AiProtection Pro、无缝漫游和“家长”控制； XT8_V2 （ZenWiFi AX XT8 V2） – XT8 的更新版本，保持了类似的功能，增强了性能和稳定性； RT-AX88U – 双频 WiFi 6 路由器，速度高达 6000 Mbps，具有 8 个 LAN 端口、AiProtection Pro 和用于游戏和流媒体的自适应 QoS； RT-AX58U – 双频 WiFi 6 路由器，提供高达 3000 Mbps 的速度，支持 AiMesh、AiProtection Pro 和 MU-MIMO，可实现高效的多设备连接； RT-AX57 – 专为基本需求而设计的双频 WiFi 6 路由器，提供高达 3000 Mbps 的速度，支持 AiMesh 和基本的“家长”控制； RT-AC86U – 双频 WiFi 5 路由器，速度高达 2900 Mbps，具有 AiProtection、自适应 QoS 和游戏加速功能； RT-AC68U – 双频 WiFi 5 路由器，提供高达 1900 Mbps 的速度，支持 AiMesh、AiProtection 和强大的“家长”控制； 安全漏洞曝出后，华硕建议用户应当尽快将设备更新到华硕下载门户上提供的最新固件版本（上述每个型号的链接），并表示固件更新说明也可以在“此常见问题解答”页面上找到。对于那些无法立即更新固件的用户，华硕建议应当设置更加复杂的 WiFi 密码（超过 10 个非连续字符）。 此外，华硕还建议用户立即禁用对管理面板的互联网访问、WAN 远程访问、端口转发、DDNS、VPN 服务器、DMZ 和端口触发器。 值得一提的的是，新发布的安全更新固件中还修复了另一个安全漏洞 CVE-2024-3079 ，这是一个高严重性 （7.2） 缓冲区溢出问题，需要管理员帐户访问权限才能利用。同时，研究人员还披露了安全漏洞 CVE-2024-3912，这是一个严重 （9.8） 任意固件上传漏洞，允许未经身份验证的远程威胁攻击者在设备上执行系统命令（CVE-2024-3912 安全漏洞影响了多个华硕路由器型号。 每个受影响模型的建议解决方案是： DSL-N17U、DSL-N55U_C1、DSL-N55U_D1、DSL-N66U：升级至固件版本 1.1.2.3_792 或更高版本。 DSL-N12U_C1、DSL-N12U_D1、DSL-N14U、DSL-N14U_B1：升级至固件版本 1.1.2.3_807 或更高版本。 DSL-N16、DSL-AC51、DSL-AC750、DSL-AC52U、DSL-AC55U、DSL-AC56U：升级至固件版本 1.1.2.3_999 或更高版本。 DSL-N10_C1、DSL-N10_D1、DSL-N10P_C1、DSL-N12E_C1、DSL-N16P、DSL-N16U、DSL-AC52、DSL-AC55：已达到 EoL 日期，建议更换。 华硕方面在最新发布的下载主版本 3.1.0.114 解决了五个中高严重性问题，涉及任意文件上传、操作系统命令注入、缓冲区溢出、反映的 XSS 和存储的 XSS 安全问题。 尽管这些都不如 CVE-2024-3080 漏洞影响范围广、危害大，但还是建议用户应尽快将其实用程序升级到 3.1.0.114 或更高版本，以获得最佳的安全性和保护。   转自Freebuf，原文链接：https://www.freebuf.com/news/403718.html 封面来源于网络，如有侵权请联系删除

乌克兰安全局 SBU拘留了两名据称帮助俄罗斯情报部门传播亲克里姆林宫宣传和窃听乌克兰士兵手机的人员。 这两名嫌疑人运营所谓的机器人农场，使用特殊服务器和 SIM 卡来创建和管理虚假的社交媒体账户。 其中一个机器人农场位于西部城市日托米尔，位于一名身份不明的乌克兰女子的公寓内。根据乌克兰安全局的声明，她注册了 600 多个虚拟手机号码以及数量不详的虚假 Telegram 账户，然后在专门的俄罗斯犯罪网站上出售或出租这些号码以换取加密货币。 乌克兰安全局称，俄罗斯情报部门利用这些账户和电话号码向乌克兰军方发送钓鱼邮件，入侵其设备。这些邮件包含恶意文件，一旦打开，就会在目标手机上安装间谍软件，以收集机密数据。 乌克兰安全局称，俄罗斯还利用这些账户传播据称代表普通乌克兰公民的亲克里姆林宫言论。 另一名嫌疑人是来自乌克兰中东部城市第聂伯罗的一名 30 岁男子，他使用乌克兰移动运营商的 SIM 卡在各种社交网络和即时通讯应用上注册了近 15,000 个虚假账户。乌克兰安全局称，他随后在暗网论坛上将这些账户卖给了俄罗斯情报机构。 如果罪名成立，两名嫌疑人将面临最高三年监禁或罚款。调查仍在进行中。 俄罗斯此前曾利用机器人农场在战争期间进行宣传和制造恐慌。参与运营机器人农场的人通常会收到俄罗斯卢布的报酬，而卢布是乌克兰禁止使用的货币。 今年 4 月早些时候，乌克兰安全局在基辅逮捕了两名黑客，他们涉嫌通过冒充乌克兰政府官员的社交媒体账户传播俄罗斯宣传。同月，一名乌克兰男子因制作和传播俄罗斯宣传被判处15 年监禁。 今年 1 月，乌克兰安全局拘捕了一名亲俄黑客，他涉嫌对乌克兰国家网站发动网络攻击并泄露战略信息。如果罪名成立，他可能面临最高 12 年的监禁。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/T9IibyYHilKsSVLQid3TrQ 封面来源于网络，如有侵权请联系删除

美国政府削减国家漏洞库的预算，导致无人处理富化CVE属性信息，全球网络防御基础数据出现缺失状况，引发业界广泛关注。目前，CISA、NIST正在着手解决这一问题。 有消息称，最新研究显示，自今年2月美国政府宣布削减国家漏洞数据库（NVD，由NIST运营，以下简称NVD漏洞库）预算以来，超过90%提交至该数据库的漏洞尚未完成分析或补充信息（即在创建漏洞编号后添加完善各类元信息）。 因资金短缺和漏洞激增，NVD漏洞库不得不缩减运营规模。作为网络安全防御方的重要信息来源，该数据库运转放缓后，通用漏洞披露（CVE）信息完善流程受到了严重影响。 网络安全公司VulnCheck的研究人员分析发现，NVD漏洞库自2月12日预算削减以来，期间新增了12720个漏洞，其中高达11885个“尚未完成分析或或补充关键数据，而这些数据能帮助安全专业人士确定哪些软件受到漏洞影响。” 大量漏洞基础信息缺失 VulnCheck表示，NVD漏洞库运行放缓以来，已被利用漏洞列表中有近一半漏洞尚未得到分析。该公司还称，82％的存在公开概念样本（POC）的已被利用漏洞也未经检查。 NVD漏洞库每周发布CVE的处理状况（2024年2月12日至5月19日） VulnCheck的Patrick Garrity表示：“众多知名和有影响力的业内人士已经警告，这种情况将为恶意威胁者提供可乘之机，将漏洞武器化，从而大幅增加多个关键领域的供应链风险。” “近期，NVD漏洞库运行速度放缓，我们必须认清这一状况的严重性。国家级威胁分子和勒索软件集团一直在持续攻击各大组织，造成破坏性后果，而我们却自乱阵脚。” Garrity补充说，20多年来，NVD漏洞库一直向网络安全专家提供了关键信息，包括严重性分数、参考标签、漏洞分类，以及其他影响流行软件的简明漏洞数据。 他表示，没有这些数据，“NVD漏洞库的前景就将一片黯淡”。 数据消费方该如何应对？ 未来，网络安全公司将不得不填补NVD漏洞库留下的空白。Garrity建议，为了帮助下游消费者，有权创建CVE编号（即漏洞标签）的机构应添加更完整的关于漏洞的数据。 全球共有379家CVE编号机构（CNAs），分布在40个国家。它们通常是网络安全公司、政府网络安全机构、技术供应商等。 Garrity还特别提及了严重程度评分和漏洞分类：“CVE编号机构应尽最大努力完整补充CVE记录，包括提交产品名称、供应商名称、版本号、详细描述、广泛参考、CPE、CVSS和CWE。” 根据Garrity的说法，NVD漏洞库还应该尽可能自动补充CVE信息，从而填补信息空白。他补充说，NVD漏洞库应该“不再分析每个CVE提交情况，转而建立与CNAs和CVE程序的信任模式，无需人工逐个审核。” 他指出，第三方也应被允许为CVE记录添加信息。 CISA&NIST提出解决办法 4月底，NVD漏洞库表示，正在“努力组建联盟，应对所面临的挑战，并开发更好的工具和方法。” 5月上旬，美国网络安全和基础设施安全局（CISA）表示理解安全社区的担忧和愤慨，并表示正在启动新的漏洞信息富化项目“Vulnrichment”，为CVE添加Garrity所述的大部分内容。 CISA表示：“最近，我们为1300个CVE补充了信息，并将继续努力确保为所有提交的CVE补充信息。我们要求所有CVE编号机构在向CVE.org提交初始信息时就提供完整详细的CVE数据。” CISA承诺采取其他措施为漏洞管理流程补充信息。立法者已建议为负责维护NVD漏洞库的NIST提供充足预算，以摆脱当前的困境。 5月29日，NVD漏洞库发布状态更新称，已授予一份合同，以支持NVD CVE信息富化工作。据悉，美国安全公司Analygence赢得了这份合同，项目底价为86万美元。   转自安全内参，原文链接：https://www.secrss.com/articles/67059 封面来源于网络，如有侵权请联系删除

美国联邦政府各机构2023年累计上报3万余起事件，数量同比增长10%。 有消息称，根据白宫最新发布的报告，2023年，美国联邦机构报告的网络安全事件数量高达32211起，同比增长9.9％。该报告还披露了美国政府遭受的最严重事件的细节。 在所有事件中，大多数（38％）被归类为“不当使用”，即系统被以违反机构可接受使用政策的方式使用。报告指出，机构有能力检测到安全政策被违反的情况，但无法阻止其实际发生。 第二类最常见的事件由钓鱼和恶意电子邮件引起。按事件数量计算，此类攻击向量同比增长幅度最大。从2022年到2023年，此类事件数量从3011起增长到6198起。 有5687起事件无法确定攻击向量的归类，因此被模糊地划归“其他/未知”类别。与2022年相比，基于网络（Web）的攻击数量（3569起）几乎没有增长。 由于疏忽或盗窃引发的设备故障事件有较大增长。从2022年到2023年，此类事件数量从1832起增长到3135起。然而，报告并没有将此类事件细分为损失或失窃。 除此之外，唯一超过1000起的事件类别是针对网络和服务的暴力破解攻击。此类事件同比增长百分比最大。2022年仅有197年，2023年暴涨到1147起。 尽管攻击数量每年都在增加，但没有任何事件超过“国家网络事件评分系统”（NCISS）的“中级”评分。该系统类似通用漏洞评分系统（CVSS），用于评估漏洞的影响，并根据它们对社会各方面（比如国家和经济安全、公共服务、外交关系）的可能影响程度对事件进行评分。 绝大多数事件（31621起）属于基线类别，即“极不可能”有社会影响。只有348起属于“低级”，即“不太可能”有社会影响，而31起被归类为“中级”，即可能有社会影响。另外229起案例因信息不足无法分类。 11起重大事件 除了考虑事件对美国的影响程度，报告还从另一个维度评出了“重大事件”。2023年，美国联邦机构一共报告了11起重大事件。卫生与公众服务部、司法部和财政部均提交了多份报告。 根据M-23-03备忘录，如果事件符合以下两种描述之一，就被定义为重大事件： 任何可能会对美国的国家安全利益、外交关系或经济，或对公众信心、公民自由或美国人民的公共健康和安全造成实际危害的事件； 涉及个人可识别信息（PII）的数据泄露。如果数据被窃取、修改、删除或以其他方式破坏，可能会对美国的国家安全利益、外交关系或经济，或对公众信心、公民自由或美国人民的公共健康和安全造成实际危害。 卫生与公众服务部 2023年的11起重大事件中，有两起来自卫生与公众服务部。报告将首起事件描述为勒索软件攻击，主要针对支持该部门卫生与医疗保险服务中心的承包商拥有和运营的系统。这次攻击专门针对网络文件共享，导致280万人的个人数据暴露，其中约一半个人已经去世。暴露信息包括姓名、地址、出生日期、医疗保险号码和银行信息。事件听起来类似Maximus公司遭遇的MOVEit攻击事件。该公司负责为医疗保险和医疗补助提供行政服务。不过，那起事件影响了800-1100万人，而不仅仅是280万人，攻击者也没有部署勒索软件。 卫生与公众服务部的另一起重大事件依然是承包商的过失。攻击者利用零日漏洞入侵了两名承包商的个人数据托管系统。据信，188万人的数据可能受到影响，包括所有常见的数据类型，某些情况下还涉及社会保障号码和医疗诊断。 财政部 2023年，美国财政部也发生了两起重大事件。第一起可以被认为是两起单独的事件，因为事件中同一数据集被连续披露两次。这起事件于2022年9月被美国国税局（IRS）公布。攻击导致990-T表格中包含的姓名、地址、电子邮件地址和电话号码可以公开下载。事件源于编码错误。尽管数据很快从公共网络服务器中删除，但相关供应商却没有从缓冲服务器中删除数据，不经意地导致数据第二次公开。 第二起事件中，该部门监察长办公室（OIG）的一名员工被一名某国政府支持的攻击者钓鱼，之后无意中泄露了登录凭据。攻击者接管了账户大约15小时，可以访问各种文件。好在，攻击者尚未进行横向移动或部署恶意软件之前就被逐出系统。 司法部 美国司法部在2023财年遭遇了两起成功的勒索软件攻击。第一起事件攻击了美国法警（USMS）的一台计算机，暴露了相关人员的个人数据。由于响应迅速，事件影响有限。 关于第二起事件的详细信息并不多。这次攻击对提供案件数据分析支持的供应商造成影响，导致了个人和医疗数据的泄露。所有受影响的人都获得了必要的信用监控服务。 内政部 美国内政部仅发生了一起重大案件，而这纯属意外。据报告描述，一位授权开发人员修改了工资系统的安全政策，错误地允许人力资源人员查看36个联邦机构客户的记录。 据信，大约147000的个人数据可能因此泄露。尽管架构更改引发事故，操作受影响系统的内政业务中心没有进行隐私影响评估。事后，内政部加强了内部流程和培训。 消费者金融保护局 由于员工（现已被开除）作案，美国消费者金融保护局遭受了数据泄露。该员工发送了14封电子邮件和两张电子表格，其中包含约256000名与单一金融机构相关的消费者的个人数据。消费者金融保护局要求这名犯罪分子删除电子邮件并提供删除证据，却遭到无视。官方评估认为，这些电子邮件包含的数据无法用于访问个人账户或进行身份盗用，但仍然选择向受影响个人发出通知。 交通部 交通部多个管理系统遭到入侵，且支持TRANServe计划的停车和交通福利系统（PTBS）中的个人数据遭到窃取。大约237000人的个人信息可能受到影响。攻击者通过利用一个未修补的“商业Web应用开发平台”中的关键漏洞获取了访问权限，并窃取了姓名、住址和工作地址以及社会安全号码的最后四位数字等详细信息。 人事管理局 虽然报告未明确提到MOVEit，但几乎可以肯定Cl0p是美国人事管理局2023财年唯一一起重大事件的幕后黑手。该局一名承包商使用MOVEit MFT软件协助管理联邦雇员观点调查信息。结果导致数据泄露，涉及约632000名司法和国防部门雇员。 能源部 这大概率是另一起MOVEit攻击事件，影响了美国能源部的废物隔离试验场和橡树岭大学联盟。34000名参与可能接触核废料等危险物质人员补助项目的前能源部员工遭遇数据泄露，泄露数据包括个人和健康数据。 能源部下属的科学办公室约有66000员工也受到了影响。他们的姓名、出生日期、完整或部分社会安全号码、护照细节和国籍遭到泄露。   转自安全内参，原文链接：https://www.secrss.com/articles/67058 封面来源于网络，如有侵权请联系删除

近日，科技巨头谷歌发布了安全更新，成功解决其 Pixel 设备中存在的 50 个安全漏洞。 值得注意的是，谷歌方面着重提到了一个被追踪为 CVE-2024-32896 的安全漏洞，并指出威胁攻击者可以利用该漏洞非法提升权限，目前安全人员已经发现其在野被利用的证据。 谷歌方面一再强调有迹象表明，CVE-2024-32896 安全漏洞可能已被用于有限的针对性攻击活动。因此，谷歌督促所有 Pixel 用户应立即在设备上安装安全更新，以最大程度上缓解安全风险，保障自身设备的安全。 谷歌此次发布的安全更新还解决了直接影响 Pixel 设备的其他 44 个安全漏洞，其中 7 个是权限升级漏洞，这些漏洞一旦被威胁攻击者利用，可能会引发更大的安全危机。 注意：有关 Pixel 六月份更新的更多信息，请查看谷歌智能手机安全公告。要应用更新，Pixel 用户需要进入 “设置”>”安全与隐私”>”系统与更新”>”安全更新”，点击 “安装”，然后重启设备完成更新过程。 2024 年 4 月，谷歌方面还解决了 Pixel 中的另外两个 0day 漏洞，这些漏洞被取证公司用来在没有 PIN 码或访问数据的情况下解锁手机。CVE-2024-29745 安全漏洞被标记为与 Pixel 引导加载器信息泄露有关的高危漏洞，CVE-2024-29748 被标记为 Pixel 固件中的权限升级漏洞。   转自Freebuf，原文链接：https://www.freebuf.com/news/403559.html 封面来源于网络，如有侵权请联系删除

Cybernews 网站消息，比荷卢经济联盟（Benelux）最大的汽车经销商 Van Mossel 和多家公司使用了一家不知名的数据分析公司的服务来训练人工智能模型，结果将客户数据泄露到了互联网上。 2 月 1 日，Cybernews 研究团队在数据收集和分析公司 Rawdamental 的系统中发现了一个令人担忧的错误配置，导致个人数据泄露。 尽管 Rawdamental 没有在荷兰公司登记册中找到，但其服务已被众多荷兰公司使用。此次发现的安全事件影响了可能使用数据收集服务的 10 家公司的用户，其中包括拥有近 7000 名员工的跨国汽车经销商 Van Mossel。 受泄露影响的公司 汽车经销商 – Van Mossel 软件公司 – Simpul.nl 和 Divtag.nl 摩托车零部件市场 – Motorparts-online.com 营销机构 – InovaMedia 烟花零售商 – Vuurwerkbestel.nl 室内装饰零售商 – Oletti.nl 圣诞礼物服务 – Kerstpakkettenexpress.nl 和 kerstcomplimenten.nl 荷兰赛车迷俱乐部 – Ttassen-fanbase.com 收集用户数据的目的是为 Rawdamental 的客户提供一个起始数据集，用于训练人工智能模型来预测用户行为。暂不论使用企业人工智能模型是否符合道德规范，但目前的数据泄露事件表明，此类服务的安全性仍然非常模糊。 Cybernews 联系了使用 Rawdamental 服务的公司，但尚未得到回应。据调查，泄漏是由于 Rawdamental 公司的 Kibana 面板（一种用于搜索、可视化和分析存储数据的流行在线工具）上的身份验证缺失造成的。认证缺失未被察觉，导致数据自 2021 年 12 月起被公开访问。 Cybernews 和荷兰计算机应急响应小组（CERT）试图与 Rawdamental 公司取得联系，但该公司均未回应。此后，研究人员注意到该公司已经关闭了这一实例。 受影响域的仪表板 泄露的电子商务仪表板 在私有数据上训练人工智能模型 Rawdamental的 商业模式基于为其客户收集大量数据，以创建网站访问者的独特档案。通过收集点击流数据，该公司汇编了大量有关用户访问过程和行为的数据，随后可供公司用于训练其人工智能模型。 泄露的 IP、用户代理和指纹 不过，使用此类数据集来训练人工智能是危险的。Cybernews 对泄露的流量数据的调查显示，收集到的数据中有用户的私人信息，在私人数据上训练出来的模型可能会在未经用户同意的情况下泄露敏感信息。 这是工作场所种使用人工智能工具众所周知的风险，多个组织已经禁止使用这些工具，因为他们担心敏感的公司信息可能会泄露给工具的运营商。Cybernews 的安全研究员 Aras Nazarovas 说：”这次泄露也提醒我们，传统在线工具中也存在这种风险。” 泄露的网络流量包括 用户 IP 地址 访问的 URL 访问过的网页标题 用户代理 在某些情况下，用户名和他们正在进行的项目 根据不同类型的元数据创建的唯一用户标识符 在私有数据上训练人工智能模型 Rawdamental的 商业模式基于为其客户收集大量数据，以创建网站访问者的独特档案。通过收集点击流数据，该公司汇编了大量有关用户访问过程和行为的数据，随后可供公司用于训练其人工智能模型。 泄露的 IP、用户代理和指纹 不过，使用此类数据集来训练人工智能是危险的。Cybernews 对泄露的流量数据的调查显示，收集到的数据中有用户的私人信息，在私人数据上训练出来的模型可能会在未经用户同意的情况下泄露敏感信息。 这是工作场所种使用人工智能工具众所周知的风险，多个组织已经禁止使用这些工具，因为他们担心敏感的公司信息可能会泄露给工具的运营商。Cybernews 的安全研究员 Aras Nazarovas 说：”这次泄露也提醒我们，传统在线工具中也存在这种风险。” 泄露的网络流量包括 用户 IP 地址 访问的 URL 访问过的网页标题 用户代理 在某些情况下，用户名和他们正在进行的项目 根据不同类型的元数据创建的唯一用户标识符 无法匿名化用户数据 除了明显的网络安全漏洞导致数据泄露，并为威胁行为者提供了一个数据库外，另一个主要问题是公司对用户数据的匿名化处理不力。 对于像 Rawdamental 这样的服务公司来说，匿名化用户数据至关重要。Cybernews 的安全研究员 Nazarovas 表示，尽管 Rawdamental 有意对用户数据进行匿名处理，但调查显示，他们未能预见到所有可能出现的情况。 要求披露个人信息和项目信息 其中一个例子涉及该公司的客户平台，这些平台很可能专门用于会计工作。一些平台在网站的标题标签中显示个人身份信息，如姓名和项目，这些标签会出现在浏览器的标签名称中。 Rawdamental 没有针对这种情况实施保护措施，因此收集到了敏感的用户数据。此外，用户 IP 地址也出现在收集到的数据中，这表明数据集也没有完全匿名化。 除 Van Mossel 外，大多数受影响的公司都没有披露用于跟踪和指纹识别目的的第三方 cookies。公司隐私政策的模糊性让用户不清楚自己的个人信息是否会被 Rawdamental 等第三方服务共享。   转自Freebuf，原文链接：https://www.freebuf.com/news/403553.html 封面来源于网络，如有侵权请联系删除

据CyberNews独家研究的消息，无论是Booking、Airbnb、希尔顿还是丽笙，这些市场上Top级别的酒店或旅行类相关应用程序都会不同程度地尝试在未询问的情况下获取用户敏感权限及数据。 CyberNews称，这些应用都会获知用户的位置信息，但是包括Booking在内大约一半的应用并不会告知用户它们正在收集这一数据，某些应用还会简单地读取用户短信、访问摄像头和麦克风、读取设备中的其他文件，甚至代表用户拨打电话。 CyberNews分析了22款目前被广泛使用的旅行和酒店订阅类软件，这些软件在Google Play 商店上已获得至少百万次的下载量。虽然这些应用Google Play列出了所需权限及相关声明事项，但研究人员对此并不信任，认为这些可通过软件开发人员手动填写。某些应用不仅没有披露收集了用户的敏感数据，而且似乎也没有正当理由收集这些数据。 通过排名发现，Booking、MakeMyTrip 和 HotelTonight 是数据收集方面的终极“冠军”。 旅行类应用涉及数据采集权限数量的排名 研究人员检查了这些应用的内置权限，发现这些权限基本上允许开发人员访问用户设备上的敏感信息，例如位置、联系人、相机、麦克风和短信等。“一个设计良好的应用程序应该只请求对其功能至关重要的权限，因此用户在授予应用程序权限时应始终谨慎行事，并仔细查看它们。不幸的是，我们的调查显示情况并非总是如此，“安全研究员Mantas Kasiliauskis说道。 虽然旅行应用程序主要用于预订酒店和安排接送服务，但有些应用程序显然可以阅读短信，甚至更改设备设置。“请求敏感权限的应用程序，特别是与设备系统文件和配置相关的应用程序是一个危险的信号，可能表明潜在的恶意意图或糟糕的代码设计，”Kasiliauskis表示。 获得用户的确切位置 在用户定位上，所调查的22款的应用都可以访问用户的精确位置，包括纬度和经度坐标，该权限虽然是为了获得用户的精确位置来提供更好的服务，但也会被用来记录用户活动并了解其生活和工作地点。这些数据对于提供个性化广告或进一步销售这些数据的公司来说是一个宝库，如果恶意攻击者访问该数据，用户可能会面临安全威胁。 有权获取位置信息的应用 访问设备相机 在22 款被调查的应用中有14款会访问设备的摄像头进行拍照、录制视频和视频通话，其中有10款未在应用商店中披露与相机相关的数据搜集权限。这些应用可能会在未经用户同意的情况下执行此操作，从而损害用户的隐私和安全。 有权访问相机的应用 获取手机标识符甚至读取短信 一些应用程序具有特别危险的访问权限，能够读取手机状态，使其能够识别用户和设备。 此权限允许提取各种用户标识符，例如国际移动设备标识 （IMEI）、国际移动用户标识 （IMSI）、电话号码、设备序列号和 SIM 卡的唯一标识符。 一个重要的问题是，酒店预订和租赁应用程序没有正当理由向用户请求此类权限，即使不需要这些权限应用也能正常运行。通常，此类权限仅授予系统应用或使用平台密钥签名的应用，因为它们允许访问敏感设备信息。 研究人员还注意到，名为MakeMyTrip的应用可以读取存储在设备上的整条短信，包括有关发送方和接收方以及消息日期的信息。这类应用几乎没有任何理由需要阅读用户的短信，因为其中可能包含用户的敏感信息。 有权读取手机状态的应用 读取设备文件 在研究的22款应用中有14款可以读取和写入外部存储，而 Hopper 只能读取存储在设备中的文件。只有3款应用程序在收集“文件和文档”方面相对透明，其余的应用决定对收集文件相关数据的权利保持沉默。 访问设备存储的权限是敏感的，因为它使应用能够访问、写入、修改或删除外部存储（包括 SD 卡和其他外部媒体）上的数据。对设备存储的访问可能包括用户文件，例如照片、视频、文档和其他机密信息。如果此类数据处理不当或恶意行为者访问它，可能会导致潜在的数据丢失和隐私泄露。 有权读取手机文件的应用 访问麦克风 在经过测试的 22 款应用中，有 3 款（Hotwire、Trip.com 和 MakeMyTrip）有权访问设备的麦克风并录制音频。 Trip.com在应用商店中披露，它收集语音和录音。相比之下，MakeMyTrip 和 Hotwire 没有透露音频相关数据的收集，但访问麦克风的权限内置于这些应用中。如果被恶意利用，“录制音频”权限可能会导致未经授权的监视，捕获敏感对话和个人信息。 读取联系人列表 有3款应用——MakeMyTrip、Hilton Honors 和 Hopper会要求读取用户设备的联系人列表，这对于此类应用而言也是非必要项。 联系信息是敏感的，可能包含有关朋友、家人、同事和熟人的私人数据，包括姓名、电话号码、电子邮件地址和其他联系方式。如果滥用，此权限可能会导致不必要的数据抓取、用户隐私侵犯，甚至数据利用以制定各种欺诈计划。 替代用户进行通话 MakeMyTrip、希尔顿和 Trip.com会在不告知用户的情况下访问用户设备上的消息和通话。具有此权限的应用可以代表用户发送短信和拨打电话，如果被滥用可能会导致隐私泄露和欺诈性垃圾邮件通信。 HotelTonight 可以操作文件系统 Airbnb旗下的住宿预订应用HotelTonight可以请求用户访问设备上的挂载和卸载文件系统。文件系统是操作系统 （OS） 的组成部分。它组织文件和目录，跟踪它们的位置，并维护有关文件的元数据，确保高效的数据检索和存储。该软件的此项权限允许在系统级别操作和修改文件，可能会导致严重的安全风险。 希尔顿可以控制设备上打开的对话框 该应用专为希尔顿酒店和度假村的预订管理和会员计划而设计，有权访问设备的系统级组件。此权限允许应用请求系统关闭任何打开的系统对话框，包括关键用户界面 （UI） 组件，例如通知栏、最近使用的应用屏幕和电源对话框。虽然此权限主要由设备系统使用，但处理不当可能会导致应用强制关闭系统对话框并干扰设备 UI 的正常操作。 目前，被调查的部分应用已给出回应，MakeMyTrip称这些权限是可选的，并且“仅在应用程序的特定流程和功能中”请求；万豪旅享家称位置数据改善了用户在搜索或浏览酒店预订和提供路线时的体验，同时摄像头访问允许用户扫描信用卡并将其添加到他们的应用程序帐户配置文件中，这些权限都非默认设置，需基于用户的许可；Trivago也表示，激活定位功能需经用户同意。 Kayak和Momondo则表示不清楚为何在Google Play上没有充分列出软件的权限信息，并会对此展开调查。 敏感权限滥用可能会对用户造成潜在的有害后果。隐私侵犯是最重要的风险之一，因为具有风险权限的应用程序可以在未经适当同意的情况下访问敏感信息。权限处理不当也会危及数据安全，使用户数据容易受到未经授权的访问、身份盗用或数据泄露。 此外，滥用权限或消耗过多资源的应用可能会对设备性能产生负面影响，从而导致速度变慢、崩溃或电池耗尽。 Cybernews 建用户议在允许访问之前始终查看权限请求，注意那些对于应用的预期功能来说似乎不必要的权限，并可通过导航到“应用程序管理器”或“应用程序”来管理和撤消相应的权限。   转自Freebuf，原文链接：https://www.freebuf.com/news/403449.html 封面来源于网络，如有侵权请联系删除

据称，来自巴基斯坦的黑客在为期六年针对印度政府、国防和技术部门相关公司的攻击活动中使用了基于 Android 的恶意软件。 据思科 Talos 研究人员称，该攻击活动仍在进行中，涉及使用名为 GravityRAT 的恶意软件，该恶意软件可让黑客窃取信息。在该研究机构周四发布的一份报告中，研究人员将该活动称为“Operation Celestial  Force（天体力量行动）”。 思科 Talos 表示，自 2019 年以来，它发现黑客不断为 GravityRAT 添加功能，使他们能够窃取设备数据，例如移动设备识别码、电话号码、网络操作、SIM 信息和设备位置。 “Operation Celestial  Force（天体力量行动）”的感染链 思科此前曾曝光巴基斯坦攻击者在 2018 年使用 GravityRAT 攻击印度目标。 该恶意软件还允许黑客阅读短信、窃取设备上的文件、阅读通话记录并删除所有联系人。 黑客通过恶意网站传播 GravityRAT，其中一些网站的注册时间最晚为 2024 年 1 月。这些网站声称提供合法的 Android 应用程序。 此次攻击背后的黑客属于一个被研究人员称为“Cosmic Leopard（宇宙豹）”的组织，该组织主要专注于间谍和监视活动。 思科 Talos 的研究人员表示：“这项行动至少在过去六年中一直活跃，Talos 观察到近年来威胁形势总体呈上升趋势，尤其是利用移动恶意软件针对高价值目标进行间谍活动，包括使用商业间谍软件。” 扩展和重叠 除了 GravityRAT 恶意软件之外，“Operation Celestial  Force（天体力量行动）”活动还使用了“不断扩展和演变的恶意软件套件”——思科 Talos 表示，这证明黑客“在针对印度目标方面取得了高度成功”。 此次扩展包括 HeavyLift 恶意软件家族——它允许黑客下载并安装其他恶意植入程序到受害者的设备上。 “此次活动主要利用两种感染媒介——鱼叉式网络钓鱼和社会工程。鱼叉式网络钓鱼包括向目标发送带有相关语言和包含 GravityRAT 等恶意软件的恶意文档的消息。”研究人员表示。 “另一种感染媒介在这次行动中越来越受欢迎，现在也是“Cosmic Leopard （宇宙豹）”行动的主要策略，即通过社交媒体渠道联系目标，与他们建立信任，最终向他们发送恶意链接，下载基于 Windows 或 Android 的 GravityRAT 或基于 Windows 的加载程序 HeavyLift。” “Cosmic Leopard （宇宙豹）”的活动与透明部落（另一个巴基斯坦黑客组织）的活动重叠。透明部落涉嫌参与多起针对印度教育部门、政府和军队以及阿富汗各地组织的活动。 透明部落过去曾利用针对 Android 的恶意软件攻击印度和巴基斯坦公民，这些恶意软件旨在记录电话、窃取照片等。思科 Talos 表示，没有足够的技术证据将这场持续六年的攻击活动与透明部落联系起来，这就是为什么他们将其标记为 “Cosmic Leopard （宇宙豹）”的原因。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/LnecCMZAGXF0IFyTdN4JgQ 封面来源于网络，如有侵权请联系删除