Hackernews 编译，转载请注明出处： 政府机构和关键基础设施部门广泛使用的地面集群无线电(TETRA)无线电通信标准中披露了五个安全漏洞，其中包括可能暴露敏感信息的故意后门。 该问题是由Midnight Blue在2021年发现的，它们被统称为TETRA:BURST。目前为止，还没有确凿的证据表明这些漏洞已经被利用。 这家总部位于荷兰的网络安全公司表示:“根据基础设施和设备配置的不同，这些漏洞允许实时解密、先获取后解密的攻击、消息注入、用户去匿名化或会话密钥锁定。” 1995年，TETRA由欧洲电信标准协会(ETSI)进行标准化，后在100多个国家得到应用，还作为美国以外的警察无线电通信系统。此外，它还用于控制电网、天然气管道和铁路等重要系统。 根据WIRED的说法，基于TETRA的无线电至少在24个美国关键基础设施中使用。其中包括电力设施、州边境管制机构、炼油厂、化工厂、主要的公共交通系统、国际机场和美国陆军训练基地。 该系统的基础是一系列秘密的专有加密算法——用于身份验证和密钥分发目的的TETRA认证算法(TAA1)套件，以及用于空中接口加密(AIE)的TETRA加密算法(TEA)套件——这些算法在严格的保密协议(NDAs)下作为商业机密加以保护。 在逆向工程TAA1和TEA中，Midnight Blue表示，它发现了严重程度不等的五个漏洞，这些漏洞允许“被动和主动攻击者的实际拦截和操纵攻击”。 此次披露的漏洞如下： CVE-2022-24400 : 认证算法中的一个漏洞,允许攻击者将派生密码密钥(DCK)设置为0。 CVE-2022-24401 : 空中接口加密(AIE)密钥流生成器依赖于网络时间，该时间以未经身份验证的方式公开广播。这允许解密oracle攻击。 CVE-2022-24402 : TEA1算法有一个后门，可以将原始的80位密钥减少到密钥大小，这使得消费者硬件在几分钟内就可以被暴力破解。 CVE-2022-24403 ：用于混淆无线电身份的加密方案设计薄弱，允许攻击者去匿名化和跟踪用户。 CVE-2022-24404 ： AIE上缺乏密文认证允许可延展性攻击。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Facebook动态消息（News Feed）因为存在重大排序错误，过去6个月一直推送“糟糕”内容。由于排序算法存在漏洞，动态消息抬高了虚假、暴力信息的权重。去年10月，工程师发现推送有问题，当时动态消息中的虚假信息明显增多。 虚假信息本来是经过事实核查员审查过的，应该早早得到抑制，但这些信息却四处传播。工程师找不到根本原因，只能眼睁睁看着虚假信息持续发酵，几个星期后平息，然后复发，最终工程师才发现是排序有问题，并于3月11日修复。 内部文档显示，该技术问题最早可追溯到2019年，但直到2021年10月才造成重大影响。Meta新闻发言人乔·奥斯本（Joe Osborne）说：“我们追踪根本原因，最终发现是软件有漏洞，然后进行了修复。漏洞不会给我们的评估标准造成任何有意义的长远影响。” 多年来，Facebook一直鼓吹公司开发的降序系统，认为它可以提高动态消息的质量，随着自动系统的优化未来能处理更多种类的内容。很明显，Facebook系统仍然不完美。   转自 新浪科技 ，原文链接：https://finance.sina.com.cn/tech/2022-04-01/doc-imcwipii1733635.shtml 封面来源于网络，如有侵权请联系删除