据The Verge报道，根据Mozilla研究人员的最新分析，大多数流行的月经和孕期跟踪应用程序没有强大的隐私保护功能。健康应用程序的隐私政策泄露一直是个问题，但现在堕胎在美国许多地方都是非法的，属于这一特定类别的问题尤其令人担忧。 经期和孕期跟踪应用程序收集的数据，理论上可以用来起诉在非法地方堕胎的人。来自经期跟踪应用程序的数据并不是目前用于将人们与堕胎联系起来的最大东西–最常见的是，这些案件中使用的数字数据来自短信、Google搜索或Facebook信息。但它们仍然是潜在的风险。 “收集个人和敏感健康信息的公司在涉及到他们收集的个人信息的隐私和安全时需要格外勤奋，特别是现在在我们美国的罗诉韦德案之后的世界里，不幸的是，太多的公司没有这样做，”Mozilla *Privacy Not Included指南负责人Jen Caltrider在一份声明中说。 这项分析研究了25个最流行的应用程序和可穿戴设备，它们具有经期和孕期跟踪功能。报告发现，大多数人没有说他们是否以及何时会与执法部门分享信息。在这25个应用程序中，有18个从Mozilla获得了关于其隐私做法的警告标签，包括Clue Period & Cycle Tracker和Eve，这两个应用程序在苹果应用商店的周期跟踪应用程序推荐中位居前列。该标签指出，Mozilla对这些应用的隐私政策以及围绕它们如何收集、分享和保护用户数据表示担忧。 不过，分析中包括的五个可穿戴设备并没有得到警告标签。Garmin、Fitbit、Apple Watch、Oura Ring和Whoop Strap包括经期跟踪功能，并符合Mozilla的隐私标准。 Mozilla在今年5月围绕心理健康应用程序发布了一份类似的报告，也发现这些产品在保护用户隐私方面做得很差。你可以在这里看到完整的*Privacy Not Included指南。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1305529.htm 封面来源于网络，如有侵权请联系删除

在上周于拉斯维加斯举办的 Black Hat USA 2022 大会上，来自佛罗里达与新罕布什尔大学的研究人员，演示了如何通过“隐形手指”来远程操控目标设备的触控屏。尽管人们早就知晓电磁场（EMF）可对电子设备产生一些奇怪的影响，但最新实验还揭示了一套更加复杂的技术 —— 通过机械臂和多个天线阵列，远程模拟手指对多个电容式触控屏设备的操作。 该方法涉及使用一副隐藏的天线阵列来精确定位目标设备的位置，并使用另一个来生成具有精确频率的电磁场。以将电压信号馈送至触屏传感器。后者可处理这些信号，并解释为特定类型的触摸操作。 在实验室环境中，研究团队已在包括 iPad、OnePlus、Google Pixel、Nexus 和 Surface 等品牌在内的多种设备上，成功模拟了任意方向的点击、长按和滑动操作。 理论上，黑客也可利用这项‘隐形手指’技术技术，来远程执行任何预期的触屏操作。佛罗里达大学博士生兼会议首席演讲人 Haoqi Shan 表示： 它能够像你的手指一样工作，我们甚至可在 iPad 和 Surface 上模拟全方位的滑动操作，并且完全可用它来触发基于手势的解锁动作。 Invisible Finger End-to-End Attack Demonstration – Inside Out（via） 测试期间，他们使用该技术在 Android 手机上安装了恶意软件、以及往指定 PayPal 账户汇款。 但是这项方案也并非万能，比如任何需要响应 Android“是 / 否”对话框的操作，就因按钮靠得太近而难以精确模拟。 最后，在这项技术的成本变得足够低廉之前，大家还是无需担心遇到类似的攻击。毕竟光是用于精确定位的电磁天线 + 机械臂，动辄就要耗费数千美元的资金。 此外攻击者必须深入了解触摸屏的工作原理，以及摸清触发相关手势所需的精确电压。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1305427.htm 封面来源于网络，如有侵权请联系删除

据安全厂商Agari称，从2022年第一季度到第二季度，因威胁行为者试图通过新方式来规避传统的安全防御，被称为“混合网络钓鱼”的多阶段网络钓鱼攻击的检测率增长了600%以上。本次Agari季度威胁趋势和情报报告是与 PhishLabs 合作制作的，是基于对数十万次针对企业、员工和品牌的网络钓鱼和社交媒体攻击的分析。 报告解释说：“混合网络钓鱼威胁是多阶段攻击，与传统网络钓鱼不同，它首先通过电子邮件与受害者进行交互。攻击者在电子邮件正文中包含一个手机号码作为诱饵，旨在诱骗受害者致电并提交敏感信息。” 网络钓鱼或基于电话的网络钓鱼攻击占报告中“基于响应”的骗局的四分之一 (25%)。此类别中的其他类型是 419 诈骗 (54%)、商业电子邮件泄露 (16%) 和工作诈骗 (5%)。这些基于响应的攻击目前占电子邮件传播威胁的五分之二 (41%)，比上一季度增长3.5%，是自2020年以来的最高份额。凭证盗窃 (55%) 和恶意软件传递 (5%)完善其他类型的公司电子邮件威胁。 有趣的是，第二季度近四分之三 (73%) 的 BEC攻击是使用免费网络邮件服务发起的，比第一季度的数据增加了3%。相比之下，那些使用欺骗或劫持域的人仅占攻击量的四分之一 (27%)。Gmail (72%) 是被滥用最多的电子邮件服务。这似乎表明更简单的策略仍然有效，尽管BEC的用户意识比一年前要高得多。 这与卡巴斯基 2 月份的数据有些吻合，该数据显示利用免费电子邮件帐户和使用模糊支付请求的商品“BEC即服务”活动的检测激增。不过对企业来说，社会工程学仍旧是他们最大的安全风险之一，所以企业在安全意识和技术防范方面还需要不断提高。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342151.html 封面来源于网络，如有侵权请联系删除

在2021年的局部试验之后，英国政府已经确认，在9月的政府宣传活动之后，自动通知智能手机用户的紧急警报系统将于10月开始推广。该系统将提醒用户高度本地化的事件，如洪水、火灾、极端天气和公共卫生突发事件、恐怖袭击等有可能被添加到可能触发信息的场景列表中。 当收到警报时，设备会发出类似警笛的响声，即使设置为无声或振动，也会在10秒内发出警报。 这是一个类似于美国引入的AMBER警报的功能，最初将在英格兰、苏格兰和威尔士使用，尚未确认北爱尔兰何时将被该系统覆盖。 英国政府已经建立了一个网站，详细介绍了该系统的工作原理，以及警报是如何直接从基站广播的，范围内的每个兼容手机和平板电脑都会收到警报。这绕过了用户提供电话号码以建立联系的需要。该网站还列出了所有当前和过去的警报，以便在你不小心忽略了某个通知或错过了它时可以参考。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1305115.htm 封面来源于网络，如有侵权请联系删除

阿根廷科尔多瓦司法机构在遭受勒索软件攻击后关闭了其 IT 系统，据报道是在新的“Play”勒索软件操作手中。 攻击发生在 8 月 13 日星期六，导致司法机构关闭 IT 系统及其在线门户。停电还迫使使用笔和纸来提交官方文件。在 Cadena 3 分享的“网络攻击应急计划”中，司法机构证实它受到了勒索软件的攻击，并与微软、思科、趋势科技和当地专家合作调查此次攻击。 2022 年 8 月 13 日星期六，科尔多瓦法院的技术基础设施遭受了网络攻击，勒索软件损害了其 IT 服务的可用性。 Clarín 报道称 ，消息人士称，这次攻击影响了司法机构的 IT 系统及其数据库，使其成为“历史上对公共机构最严重的攻击”。 与 Play 勒索软件相关的攻击 虽然司法机构尚未披露此次攻击的细节，但记者 Luis Ernest Zegarra 在 推特上表示，他们受到了将“.Play”扩展名附加到加密文件的勒索软件的攻击。 此扩展与 2022 年 6 月启动的新“Play”勒索软件操作有关，当时受害者开始在 BleepingComputer 论坛上描述他们的攻击。 像所有勒索软件操作一样，威胁参与者将破坏网络并加密设备。加密文件时，勒索软件将附加 .PLAY 扩展名，如下所示： 然而，与大多数勒索软件操作会留下冗长的赎金票据以向受害者发出可怕的威胁不同，Play 赎金票据异常简单。 Play 的ReadMe.txt赎金记录不是在每个文件夹中创建，而是  仅在硬盘驱动器的根目录 (C:\) 中创建，并且仅包含单词“PLAY”和联系电子邮件地址。 BleepingComputer 知道攻击中使用了不同的电子邮件地址，因此上述电子邮件地址可能与对科尔多瓦司法机构的攻击无关。 尚不清楚 Play 是如何入侵司法机构网络的，但作为3 月份 Lapsus$ 入侵 Globant 的一部分，员工电子邮件地址列表被泄露，这可能允许威胁参与者进行网络钓鱼攻击以窃取凭据。 没有与勒索软件团伙相关的数据泄漏或任何数据在攻击期间被盗的迹象。 这不是阿根廷政府机构第一次遭受勒索软件攻击。2020 年 9 月，Netwalker 勒索软件团伙袭击了 Dirección Nacional de Migraciones并索要 400 万美元的赎金。 转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/n-_jigTxvCv4edxPXiXKwQ 封面来源于网络，如有侵权请联系删除

世界各地的农民已经转向拖拉机黑客，以便他们能够绕过制造商强加给他们车辆的数字锁。就像胰岛素泵的 “循环 “和iPhone的越狱一样，这使得农民可以修改和修理对他们工作至关重要的昂贵设备。 周六在拉斯维加斯举行的DefCon安全会议上，被称为Sick Codes的黑客展示了针对约翰迪尔公司拖拉机的新越狱方法，他可以通过触摸屏控制多种型号的拖拉机。这一发现凸显了维修权运动的安全影响。Sick Codes发现的拖拉机漏洞并不是一个远程攻击，但所涉及的漏洞代表了设备中的基本不安全因素，可能会被恶意行为者利用或可能与其他漏洞串联。 正如2021年JBS肉类公司的勒索软件攻击等事件所显示的那样，确保农业产业和食品供应链的安全至关重要。但与此同时，像Sick Codes发现的那些漏洞有助于农民用自己的设备做他们需要做的事情。居住在亚洲的澳大利亚人Sick Codes在2021年 DefCon上发表了关于拖拉机应用编程接口和操作系统错误的演讲。在他公开了他的研究后，包括约翰迪尔在内的拖拉机公司开始修复一些缺陷。 Sick Codes表示，虽然他主要关注的是世界粮食安全和脆弱的农用设备带来的风险，但他也认为让农民完全控制自己的设备具有重要价值。在美国，关于一个人购买的设备的”维修权”的争论持续了多年之后，这一运动似乎已经达到了一个转折点。白宫去年发布了一项行政命令，指示联邦贸易委员会加大执法力度，处理因外部维修而使保修失效等做法。这一点，再加上纽约州通过了自己的维修权法和创造性的活动家压力，为这一运动带来了前所未有的动力。 面对越来越大的压力，约翰迪尔公司在3月份宣布，它将向设备所有者提供更多的维修软件。该公司当时还表示，它将在明年发布一个”增强型客户解决方案”，这样客户和机械师就可以自己下载和应用迪尔设备的官方软件更新，而不是由约翰迪尔单方面远程应用补丁或强迫农民将产品送到授权经销商处。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1304725.htm 封面来源于网络，如有侵权请联系删除

在拉斯维加斯举办的黑帽大会上，调查记者 Kim Zetter 表示：自 2010 年发现“震网”（Stuxnet）蠕虫病毒以来，针对全球石油 / 天然气管道、电力 / 水厂、以及其它基础设施计算机系统的攻击有急剧增加。但若人们能够积极落实必要的预防措施，去年针对 Colonial Pipeline 的勒索软件攻击，也本该是能够避免的。 Black Hat USA 2022（图自：Cnet / Bree Fowler 摄） 多年来，Kim Zetter 为《连线》等出版物撰写了多篇重大安全事件的报道，并且有在一本著作中详细介绍了针对伊朗铀浓缩设施的震网攻击。 由一位白罗斯安全研究人员率先发现的 Stuxnet 攻击，起初普遍被认为是美国与以色列在幕后主导，但后来也被 Symantec 等网络安全公司给深入挖掘。 Kim Zetter 表示，震网引发了国家之间的“网络军备竞赛”、并预示着“网络空间正向着军事化”去发展。 Stuxnet 展示了通过网络攻击解决地缘政治冲突的可行性，突然间，每个人都想加入这场游戏。 虽然此前只有少数国家持有攻击性的黑客程序，但震网还是促使其它国家迅速迎头赶上。 在事件全面曝光后，以电力为代表的需要高度监管的领域，已对其关键基础设施增强了防护。 然而在没有全面提升安全性的情况下，大多数领域的安全防护形势也正变得更加复杂。 Kim Zetter 以 Colonial Pipeline 遭遇的黑客攻击举例称： 在计算机系统被勒索软件挟持后，Colonial 迅速支付了数百万美元的赎金。 但是这笔灰色交易，也让那些认为石油和天然气管道运营商‘会有充分的数据备份’的观察人士大跌眼镜。 当时 Colonial Pipeline 官员向议员透露，该公司的安全响应计划，并未将勒索软件攻击考虑在内 —— 即便针对关键基础设施的攻击已经蔓延数年。 Kim Zetter 指出，坦普尔大学的研究人员，早在前一年就记录了针对关键基础设施的数百次攻击，此外各大网络安全公司也通报了此类攻击的增长。 2020 年，美国网络安全和基础设施安全局（CISA）还特地发布了一份报告，以提醒相关行业警惕针对能源管网的勒索软件攻击。 后续调查发现，攻击者利用了在另一个网络上使用、且不受多因素身份验证保护的员工密码，而渗透进了 Colonial 的虚拟专用网络。 在被勒索软件击倒后，该公司被迫停运近一周。当时相关报道还引发了民众的恐慌与油气涨价，并争抢购买原本并不紧缺的能源。 在该事件告一段落之后，CISA 再次苦口婆心地发布了一长串‘工控系统安全指南’。 相关建议还是一如既往，只可惜以 Colonial 为代表的的短视企业长期没有遵循既有的指导方针。 综上所述，Kim Zetter 认为针对关键基础设施的攻击威胁依然高企 —— 当前的美国选举系统也不例外，即便安全专家长期呼吁为投票机引入防篡改冗余设计。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1303687.htm 封面来源于网络，如有侵权请联系删除

据The Record网站消息，一些黑客和加密货币盗窃者正在转向所谓的跨链平台洗钱，并试图避免执法部门追踪和冻结他们的非法收益。 根据区块链分析公司 Elliptic 本周发布的研究报告，在过去3年中，名为 RenBridge 的平台已被用于洗钱至少 5.4 亿美元的加密货币，该平台允许在不同的区块链网络之间无缝移动资产，例如将比特币转换为以太坊区块链。 目前。一些跨链桥被合法地用于帮助较新的加密货币与更通用的数字资产竞争，但这些平台也越来越受到网络犯罪分子的青睐，相比那些受监管的加密货币交易所，这些新型平台往往不会要求对客户进行过多的身份识别并向执法部门提供信息。 根据研究，一些最臭名昭著的网络犯罪集团已经使用了这些服务，比如攻击了哥斯达黎加政府而出名的Conti，通过 RenBridge 洗钱超过 5300 万美元；而 Ryuk 洗钱超过 9200 万美元，目前转账仍在进行中。 Elliptic 表示，在过去两年中，RenBridge还被用来清洗从交易所和去中心化金融服务中窃取的至少 2.67 亿美元加密货币资产，其中包括从日本加密货币交易所 Liquid 盗窃的 3380 万美元，该公司在去年 8 月与朝鲜有关的一次攻击中总共损失了 9700 万美元。 据 Chainalysis 的数据， 网络犯罪分子长期以来一直滥用加密货币的去中心化和不受监管的性质，使他们在去年洗钱86 亿美元。尽管加密货币为网络犯罪分子提供了一些匿名性，但它们并非无法追踪。网络犯罪分子不得不利用各种工具来隐藏被盗数字资产的来源。 Elliptic 的研究强调了跨链网络所带来的威胁：通过在区块链网络中轻松转移资金来隐藏被盗资金的来源。 Elliptic 研究人员写道：“RenBridge 等区块链桥对监管机构构成了挑战，因为没有中央服务提供商可以促进这些跨链交易。” “金融行动特别工作组 (FATF) 最近在其关于虚拟资产风险的最新报告中指出了通过‘链式跳跃’进行的洗钱活动，但如何监管此类活动仍有待观察。” 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341744.html 封面来源于网络，如有侵权请联系删除

研究发现，64%的受访者至少拥有一台暴露SSH的设备，这可能允许攻击者探测它以进行远程访问。 据ExtraHop最新发布的报告，全球大多数组织都在向公共互联网公开暴露敏感和不安全的协议，这可能会使攻击面扩大。 报告分析了一系列企业IT环境，基于开放端口和敏感协议暴露情况对网络安全状况进行基准测试。 研究发现，64%的受访者至少拥有一台暴露SSH的设备，这可能允许攻击者探测它以进行远程访问。 该研究还显示，超过三分之一(36%)的组织通过不安全的文件传输协议(FTP)暴露了至少一个设备，该协议以纯文本形式发送文件，这意味着它们很容易被拦截。 超过五分之二(41%)的受访企业至少拥有一台暴露LDAP的设备，该设备可被用于在Active Directory中查找用户名。这些协议以纯文本形式传输查询，可能会使凭据面临风险。 令人惊讶的是，报告还发现，尽管远程连接协议（Telnet）自2002年以来已被弃用，但仍有12%的组织至少有一台设备将Telnet暴露在公共互联网上。 SMB协议是WannaCry和其他攻击的热门目标，是企业的另一个常见安全风险。超过一半(51%)的医疗组织和45%的SLED组织拥有多个暴露SMB协议的设备。 ExtraHop首席信息安全官Jeff Costlow将这些端口和协议称为“门和走廊”，攻击者使用这些端口和协议来探索网络和发动攻击。 “知道哪些协议在你的网络上运行以及哪些漏洞与它们相关极为重要，”他补充道：“这使防御者能够基于其风险承受能力做出明智的决定并采取行动——例如在环境中保持软件和硬件的持续资产报告，快速、持续地修补软件，以及投资用于实时洞察和分析的工具。” 转自 安全内参，原文链接：https://www.secrss.com/articles/45646 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 云代码托管平台GitHub宣布，它将为易受攻击的GitHub Actions发送Dependabot警报，以帮助开发人员修复CI/CD工作流程中的安全问题。 GitHub的Brittany O’Shea和Kate Catlin说：“在行动中报告安全漏洞时，我们的安全研究团队会创建一个文件来记录该漏洞，这会触发对受影响存储库的警报。” GitHub Actions是一种持续集成和持续交付（CI/CD）解决方案，使用户能够自动执行软件生成、测试和部署管道。 Dependabot是微软旗下子公司的一部分，通过通知用户其源代码依赖于具有安全漏洞的软件包，并帮助所有依赖项保持最新状态，来确保软件供应链的安全。 最新举措需要接收有关GitHub操作和影响开发人员代码的漏洞的警报，用户还可以选择通过遵守一致的披露流程，提交特定GitHub操作的建议。 该公司指出：“这些改进加强了GitHub和我们用户的安全态势，这就是为什么我们继续投资收紧GitHub供应链安全解决方案和GitHub Actions之间的连接点，从而提高构建的安全性。” 本周早些时候，GitHub开放了一个新的评论系统，允许软件包维护人员能够与Sigstore合作签署和验证发布到NPM的软件包。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文