HackerNews 编译，转载请注明出处： 安全研究人员发现了另一个复杂的 iOS 漏洞利用工具包，并找到证据表明它已被国家支持的黑客和商业间谍软件供应商使用。 一个被追踪为 UNC6353 的俄罗斯国家支持的间谍组织，在针对乌克兰的攻击中使用了这个 iOS 漏洞利用工具包。 3 月初，谷歌和 iVerify 分享了关于 Coruna 的详细信息，这是一个功能强大的漏洞利用工具包，针对 iOS 13 至 17.2.1 版本中的 23 个漏洞，其中包括近十几个零日漏洞。 Coruna 被视为首个大规模针对 iOS 设备的漏洞利用工具包，UNC6353 在针对乌克兰的水坑攻击中使用了它，随后因其具备窃取加密货币的能力，也被出于经济利益的组织利用。 周三，iVerify、谷歌和 Lookout 分享了 UNC6353 使用的第二个大规模利用 iOS 漏洞的工具包的详细信息。该工具包名为 “暗剑”（DarkSword），它针对苹果移动平台的六个漏洞，只需极少的用户交互就能完全攻陷设备。 “暗剑” 与 Coruna 共享基础设施，且在针对乌克兰的水坑攻击中被使用，这表明它们同属一个威胁行为者的武器库。 用人工智能防御对抗人工智能攻击 谷歌还发现证据表明，“暗剑” 已被商业监视供应商使用，其中包括一个被追踪为 UNC6748 的组织，用于针对沙特阿拉伯、土耳其和马来西亚的攻击。 “暗剑” 完全用 JavaScript 编写，首先利用 Safari 漏洞实现远程代码执行（RCE），接着进行沙盒逃逸，然后利用内核漏洞注入并执行 JavaScript 代码以提升权限并最终执行有效载荷。 观察到的攻击是通过在独立新闻机构顿巴斯新闻（News of Donbas）的网站以及文尼察第七行政上诉法院的官方网站中注入恶意 iframe 来实施的。 完整的攻击链 被攻击的漏洞包括 CVE – 2025 – 31277、CVE – 2025 – 43529、CVE – 2025 – 14174、CVE – 2025 – 43510、CVE – 2025 – 43520 和 CVE – 2026 – 20700。 CVE – 2025 – 31277 和 CVE – 2025 – 43529 是两个 WebContent 进程的即时编译（JIT）问题，可导致任意内存读 / 写原语，“暗剑” 在攻击初始阶段利用了这些问题。 然后，它针对 CVE – 2026 – 20700，以绕过可信路径只读（TPRO）和指针认证码（PAC）保护并实现任意代码执行。该漏洞在 2 月作为零日漏洞被修复。 接下来，攻击链针对 CVE – 2025 – 14174，这是 ANGLE 中的一个越界写入漏洞，结合 PAC 绕过，通过 GPU 进程逃离 Safari 的沙盒。CVE – 2025 – 43529 和 CVE – 2025 – 14174 在 12 月被修复。 从 GPU 进程开始，攻击利用 CVE – 2025 – 43510 针对 XNU 内核，这是一个写时复制漏洞，可在 mediaplaybackd 守护进程中提供任意内存读 / 写原语，然后利用这些原语利用 CVE – 2025 – 43520 实现内核权限提升。 强大的信息窃取能力 Lookout 解释说，最终的有效载荷是一个由众多模块组成的编排器，使攻击者能够从受感染设备中窃取敏感信息。 它的目标包括密码、照片、WhatsApp 和 Telegram 消息、短信、联系人、通话记录、浏览器数据（cookie、历史记录和密码）、已安装的应用程序、Wi – Fi 数据和密码、苹果健康数据、日历和便签、已连接账户的信息以及加密货币钱包。 Lookout 指出：“这种恶意软件非常复杂，似乎是一个专业设计的平台，通过访问高级编程语言能够快速开发模块。这一额外步骤表明，在开发这种恶意软件时投入了大量精力，考虑到了可维护性、长期开发和可扩展性。” 这家网络安全公司还指出，“暗剑” 针对加密货币的攻击能力表明，UNC6353 可能已将其能力扩展到金融盗窃领域，或者它从一开始就是一个出于经济利益的威胁行为者。UNC6353 使用的 Coruna 漏洞利用工具包并未针对加密货币钱包。 数百万部 iPhone 可能受影响 安全研究人员警告称，苹果已经为 Coruna 和 “暗剑” 所针对的所有漏洞推出了补丁，但仍有数亿台设备可能面临攻击。 iVerify 表示：“我们估计，‘暗剑’漏洞利用链仍然影响着相当一部分 iPhone 用户。具体来说，运行 iOS 18.4 至 18.6.2 版本的用户中有 14.2%（约 2.2152 亿台设备）被认为存在漏洞。” 这家网络安全公司指出，如果目标漏洞可用于攻击低于 18.4 版本和高于 26.x 版本的 iOS 系统，受影响设备的数量可能会高得多。 iVerify 解释说：“基于所有 iOS 18 版本都易受该攻击链中大多数漏洞影响的假设，大约 18.99% 的用户（2.96244 亿）可能会受到影响。” 建议用户更新到 iOS 26.3.1 和 18.7.6 版本，这是包含针对 “暗剑” 漏洞利用工具包中所有漏洞补丁的最新平台版本。 在沙特阿拉伯、土耳其和马来西亚的攻击 在过去五个月里，谷歌识别出在 “暗剑” 成功攻击中投放的三个有效载荷，即 GhostBlade、GhostKnife 和 GhostSaber。 这家互联网巨头表示，2025 年 11 月，UNC6748 利用 “暗剑”，通过一个以 Snapchat 为主题的网站，在水坑攻击中针对沙特阿拉伯用户。所使用的恶意软件 Ghostknife 是一个 JavaScript 后门，具备强大的信息窃取能力。 11 月下旬，商业监视供应商 PARS Defense 在针对土耳其用户的攻击中使用了 “暗剑”，并于 2025 年 1 月在针对马来西亚用户的攻击中再次使用。 这些攻击中的有效载荷是 GhostSaber，这是一个 JavaScript 后门，能够进行文件渗出、设备和账户枚举、数据窃取以及执行任意 JavaScript 代码。 UNC6353 自 2025 年 12 月开始使用 “暗剑” 针对乌克兰发动攻击，投放了 GhostBlade 恶意软件，该软件具备信息窃取功能但没有后门能力，这与 iVerify 和 Lookout 的发现一致。 谷歌解释说：“UNC6748、PARS Defense 和 UNC6353 在漏洞利用交付实现方面存在显著的异同。我们评估，每个行为者都在‘暗剑’开发者的一组基本逻辑基础上构建了自己的交付机制，并根据自身需求进行了调整。” 谷歌还指出，虽然 UNC6353 使用的 “暗剑” 漏洞利用工具包仅针对运行 iOS 18.4 – 18.6 版本的设备，但 UNC6748 和 PARS Defense 使用的变体也针对 iOS 18.7 版本。 Lookout 指出：“利用受感染合法网站的水坑攻击本质上是零点击攻击，因为目标受害者可能本来就经常访问恶意网站。即使需要引诱用户访问该网站，社会工程防御培训也无效，因为感染网址是合法的。” 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Apple 于周四宣布，iPhone 和 iPad 已获得北约批准用于处理涉密信息，并被列入该军事联盟的信息保障产品目录（NIAPC）。 该科技巨头表示，其手机和平板是首款获得该级别认证的消费类设备，具体为北约受限级（NATO RESTRICTED）。 NIAPC 是北约官方认证通过的网络安全产品登记目录，联盟成员国及其军事、民用机构可使用这些产品满足关键的业务安全需求。 NIAPC 对列入目录的安全产品实施严格准入规则：产品通常必须来自北约国家、持有认可认证、获得国家主管机构批准，并证明符合北约市场适用性。认证采用逐案酌情审批制，违规行为将面临被移除目录或暂停资格的风险。 列入 NIAPC 后，iPhone 和 iPad 可直接用于处理涉密信息，无需额外专用软件或配置。目录明确说明，iOS 和 iPadOS 原生的邮件、日历和通讯录应用可提供安全的数据访问能力。 Apple 表示，在此之前，iPhone 和 iPad 已通过德国联邦信息安全办公室（BSI）评估，获得处理德国政府涉密数据的批准。BSI 开展的测试同时确保了这些设备符合北约安全要求。 BSI 主席 Claudia Plattner 表示：“只有在移动产品开发之初就将信息安全纳入考量，安全的数字化转型才能成功。” “在 BSI 针对德国涉密信息环境使用的 iOS 和 iPadOS 平台及设备安全进行严格审核的基础上，我们很高兴确认其符合北约各国的信息保障要求。” NIAPC 目录中注明了 “indigo configuration”，但 Apple 澄清这只是 BSI 在评估期间指定的名称。该公司指出，获得北约批准的是标准设备配置。 此外，尽管北约目录中提及 iOS 26 和 iPadOS 26，但 Apple 表示 BSI 实际是在更早版本的操作系统上完成测试的。   消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新型复杂网络威胁已出现，攻击者通过被攻陷的镜像网站与 GitHub 仓库，针对多操作系统用户发动攻击。 RU-APT-ChainReaver-L 攻击活动是近期发现的最精密供应链攻击之一，同时波及 Windows、macOS 与 iOS 平台。 该攻击活动运用多项先进技术，包括使用有效证书进行代码签名、欺骗性重定向链，以及通过合法云服务分发恶意软件，导致传统安全系统极难检测。 此次攻击的基础设施具备惊人的规模与复杂度。攻击者攻陷了两大主流文件共享镜像服务 Mirrored.to 与Mirrorace.org，二者被全球各类软件下载网站广泛使用。 通过向这些平台注入恶意代码，威胁行为者将受信任的基础设施转化为信息窃密恶意软件的投放渠道。 用户通过这些被攻陷的服务下载文件时，会经过多层中间页面重定向，此类设计可绕过安全检测，同时保持外观合法。 GRAPH 分析师在调查暗网市场中大量流出的用户凭据时，发现了该攻击活动。 研究团队将这些被盗账号溯源至一场已持续数月的协同式感染行动。 借助扩展检测与响应（XDR）平台与威胁狩猎行动，GRAPH 研究人员发现了涵盖超 100 个域名的攻击基础设施，包括命令与控制服务器、感染页面与重定向中介。 攻击运营者持续更新工具与基础设施，短时间内修改恶意软件特征码与投放方式，以规避杀毒软件检测。 攻击方式会根据受害者的操作系统有所不同。Windows 用户会被重定向至 MediaFire、Dropbox 等云存储服务，加密压缩包内包含带签名的恶意软件，可在安全软件面前伪装成合法程序。 macOS 受害者会遭遇 ClickFix 攻击，欺骗性页面诱骗用户手动执行终端命令，下载并安装 MacSync 窃密木马。 iOS 用户会被引导至苹果应用商店的虚假 VPN 应用，这些应用后续会对设备发起钓鱼攻击。 GitHub 滥用与恶意软件功能 该攻击对 GitHub 的利用，体现出攻击者对安全团队防御盲区的精准把握。 GRAPH 研究人员指出，攻击者攻陷了 50 个 GitHub 账号，其中多数为多年注册、有正常使用记录的账号，并用其托管恶意仓库。 这些账号大多在 2025 年 11 月被劫持，被用于分发破解软件与激活工具，专门针对搜索盗版软件的用户。 攻击流程（来源：GRAPH） Windows 端恶意软件为信息窃密程序，可截取屏幕、窃取加密货币钱包数据、聊天软件数据库、浏览器凭据，并复制桌面、文档、下载文件夹中的文件。 GRAPH 分析师指出，样本搭载来自多家企业的有效代码签名证书，大幅增加了检测难度。 MIRRORACE.org 供应链攻击（来源：GRAPH） macOS 版 MacSync 窃密木马采用无文件内存运行模式，可窃取浏览器数据、Ledger 与 Trezor 等加密货币钱包、SSH 密钥及 AWS 云凭证。 机构应部署全面的防御策略。攻击依托社会工程学实施，因此用户安全教育是最关键的防御环节。 安全团队应部署多层终端防护，包括可检测异常进程行为与可疑文件访问模式的 EDR 系统。 网络监控应重点关注与文件共享服务、新注册域名的连接。 机构应限制用户系统直接访问互联网，将下载流量引流至具备静态分析、动态分析与机器学习能力的文件分析平台。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为 ZeroDayRAT 的新型移动间谍软件攻击活动已被记录，其攻击目标同时覆盖安卓与 iOS 设备。 该跨平台工具可使攻击者持久获取用户的个人通信内容、精准定位数据及银行业务操作记录。 网络安全厂商 iVerify 发布的最新安全公告显示，该恶意软件的新颖之处在于其为操控者提供的控制权限广度，以及极低的设备感染门槛。 攻击者仅需诱骗受害者安装恶意二进制文件，即可攻陷目标设备，此类文件通常为安卓 APK 安装包或 iOS 恶意有效载荷。 短信钓鱼仍是最常用的诱骗手段，攻击者通过短信推送仿冒但极具迷惑性的应用链接。研究人员还观测到钓鱼邮件、假冒应用商店，以及通过 WhatsApp、Telegram 传播的恶意链接等攻击方式。 设备概览、用户画像构建与资金窃取 设备感染后，攻击者通过专属网页端控制面板，首先可查看目标设备的全面概览信息。 面板会展示硬件参数、操作系统版本、电池状态、归属国家、SIM 卡与运营商信息、设备锁定状态，以及按时间拆分的应用使用数据。 近期短信与实时行为时间轴同步展示，帮助攻击者快速构建用户行为习惯与联系人画像。 浏览概览界面即可查看截获的银行、移动通信运营商及个人联系人信息。该单一面板可呈现用户高频联系人、设备活跃时段及接入网络等关键信息。攻击者可基于该界面进一步获取更细分的数据流。 独立功能标签页搭载更多监控功能。全球定位系统（GPS）数据会在嵌入式谷歌地图界面呈现，并保留完整定位历史轨迹。 恶意软件可在不启动任何应用的前提下，被动抓取设备通知，包括 WhatsApp、Instagram、Telegram、YouTube 的提醒、未接来电及系统事件。 ZeroDayRAT 还搭载专用资金窃取模块： ·     加密货币窃取模块：可识别加密货币钱包，并替换为攻击者控制的剪贴板地址 ·     银行信息窃取模块：通过覆盖层攻击，针对网上银行应用、PhonePe 与谷歌支付等统一支付接口（UPI）平台，以及苹果支付、贝宝等支付服务实施窃取 持续性且持续升级的威胁 iVerify 表示，该平台构成了一套完整的移动设备攻陷工具套件，此类能力以往仅国家级主体可掌握。 如今该工具通过 Telegram 频道公开售卖，购买者可获取目标设备的定位、短信、资金、相机、麦克风及按键记录，覆盖安卓与 iOS 双系统。 iVerify 警示，员工设备被攻陷将引发凭据窃取、账户劫持与数据窃取等严重安全风险。 研究团队表示：“对企业而言，员工沦陷设备是凭据窃取、账户劫持与数据窃取的攻击向量。” “对个人而言，这意味着隐私完全泄露，直接面临财产损失风险。移动设备安全需与终端安全、邮件安全同等重视。” 研究团队补充，检测 ZeroDayRAT 这类威胁需要移动终端检测与响应（EDR）能力，该能力超越传统设备管理范畴，可在统一管理与自带设备办公（BYOD）环境中，融合设备端检测、移动取证与自动化响应能力。   消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款新型 iOS 零日漏洞攻击链被证实与某雇佣军间谍软件相关联，该软件可对高风险目标用户的设备实施隐秘监听。 攻击者串联起多个此前未被发现的系统漏洞，目标用户只需在苹果浏览器（Safari）中点击一个链接，就能让间谍软件完整植入其苹果手机。 此次攻击主要针对公民社会人士与政治相关目标。这一事件也凸显出，资金雄厚的间谍软件供应商正不断将浏览器及系统内核漏洞武器化，用于开展长期秘密监听活动。 攻击始于一个一次性恶意链接，这类链接通常通过加密通讯软件发送。当目标用户在苹果浏览器中打开该链接时，浏览器会加载一款漏洞利用程序，该程序会触发一个远程代码执行漏洞，此漏洞后续被编号为 CVE – 2023 – 41993 并完成修复。 攻击的第一阶段会借助通用漏洞利用框架，实现对苹果浏览器渲染进程的任意读写操作，随后进一步获取苹果移动操作系统新版中的原生代码执行权限。自 2021 年起，多个监听技术供应商及国家背景黑客组织均复用该框架，可见可复用漏洞组件已形成活跃的地下交易市场。 苹果浏览器被攻破后，攻击进入威力更强的第二阶段。攻击者利用编号为 CVE – 2023 – 41991 与 CVE – 2023 – 41992 的两个内核漏洞，突破苹果浏览器的沙箱限制并提升操作权限。这一步操作会向名为 “猎物猎手”（PREYHUNTER）的第三阶段恶意负载开放内核内存的读写权限。 “猎物猎手” 包含 “辅助模块” 和 “监控模块” 两大组件。前者可完成受害设备校验、躲避安全分析等操作；后者能执行早期监听任务，比如进行网络电话录音、记录键盘输入、拍摄摄像头画面等，且执行这些操作时会隐藏相关通知，避免被用户察觉。 感染过程与 “猎物猎手” 的运行机制 其套接字的简化配置代码如下： 以下为攻击链中涉及的漏洞详情表： 漏洞编号 漏洞类型 涉及组件 / 开发商 在攻击链中的作用 造成后果 CVE – 2023 – 41993 远程代码执行漏洞 苹果浏览器 / 苹果移动操作系统 初步攻破浏览器 获取浏览器进程的代码执行权限 CVE – 2023 – 41992 沙箱突破 + 本地权限提升漏洞 系统内核 / 苹果移动操作系统 突破苹果浏览器沙箱限制 获取系统级代码执行权限 CVE – 2023 – 41991 本地权限提升漏洞 系统内核 / 苹果移动操作系统 提升内核权限并实现持久化驻留 支持间谍软件对内核进行读写操作 这种精心设计的分阶段攻击模式，再加上攻击者获取的内核级操作权限，足以看出当前漏洞开发者、非法中间商与间谍软件运营者已形成成熟的黑色产业链。他们相互勾结，让针对苹果移动设备的监听攻击既能隐秘实施，又能长期持续。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，助眠类iOS应用《Sleep Journey: Insomnia Helper》因配置错误导致数万用户隐私泄露，涉及姓名、饮酒习惯等敏感数据。该应用由塞浦路斯注册公司Fitsia Holdings Limited运营，因开发人员错误配置Firebase数据库服务器，超过25,000条用户记录可被公开访问。由于Firebase作为临时数据库的特性，实际泄露规模可能远超当前可见数据量。 泄露信息包含多维敏感内容： 身份信息：用户真实姓名、电子邮箱、出生日期、性别 健康数据：睡眠监测记录、尼古丁与酒精摄入量、睡前活动模式、药物使用情况 行为轨迹：应用使用过程中生成的交互日志 研究团队指出，攻击者可利用泄露数据实施精准钓鱼攻击、凭证填充攻击或社会工程操纵。更严重的是，应用客户端代码中暴露了API密钥、Google应用ID、存储空间凭证等核心密钥，理论上允许攻击者绕过认证系统直接访问用户设备数据，甚至操控第三方服务实施资源滥用。 此次事件是iOS应用安全问题的又一典型案例。Cybernews团队近期扫描App Store 15.6万款应用发现，71%的应用存在至少一项密钥泄露问题，平均每款应用暴露5.2个敏感凭证。此前已有多款涉及小众社交通讯的应用被曝泄露用户私密照片。 安全专家建议采取分层修复措施： 对Firebase数据库启用基于角色的访问控制，限制未授权访问。 将硬编码密钥迁移至服务器端，通过代理网关管理服务调用。 在开发流程中集成静态代码分析工具，自动检测密钥暴露风险。 该漏洞于2025年1月7日被发现，研究团队于1月15日通报涉事企业，并于2月11日提交计算机应急响应组。截至目前，Fitsia Holdings Limited尚未就事件作出公开回应。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现iOS游戏《Cats Tower: The Cat Game!》存在数据泄露，该应用使近45万用户面临被黑客追踪、劫持Facebook账户甚至武器化其后端系统的风险。Cybernews团队确认，这款由App Store显示开发商为Rhino Games（隐私政策链接指向亚美尼亚移动游戏公司Next Epic LLC）的游戏，因Firebase配置错误导致以下信息暴露：用户名称、IP地址、Facebook用户ID及访问令牌以及硬编码密钥。 泄露的IP地址虽非精确GPS坐标，但结合其他公开或泄露数据仍可定位用户居住地。尤其危险的是229组Facebook访问令牌，攻击者可借此侵入账户发布加密货币诈骗或向好友发送钓鱼链接。研究人员多次联系相关公司均未获回应。 调查期间，暴露的Firebase实例持续泄露超45万用户的IP与用户名，由于Firebase作为临时数据库会定期与永久后端同步，当前可见数据可能只是冰山一角。技术娴熟的黑客可部署实时爬虫监控数据库，将单次泄露转为持续性监控行动。 更严重的是，该应用代码库中散布着本应对开发团队保密的敏感密钥，包括：客户端ID、反向客户端ID、安卓客户端ID、API密钥、项目ID、存储桶、谷歌应用ID、数据库URL、GAD应用标识符。 这些密钥属于iOS应用中最常泄露的前十类敏感信息。网络安全专家警告，将API密钥等凭证硬编码至发布版应用的行为存在极大风险，攻击者可借此逆向工程整个后端系统，滥用服务收集更多用户数据、伪造请求甚至通过应用基础设施直接发送垃圾信息。 此次泄露事件是Cybernews对App Store中15.6万款iOS应用（约占总量8%）调查的典型案例。研究发现71%的受检应用至少泄露一项密钥，平均每款应用暴露5.2项敏感信息。例如多款热门约会应用泄露的硬编码凭证可访问存有近150万用户照片的云存储桶（含已删除图片、违规内容及私密消息图片）；某家庭位置追踪应用实时泄露GPS坐标；某防骚扰应用泄露拦截号码、关键词及含真实姓名/邮件的客服工单。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

根据 Lookout 最近发布的一份报告，随着网络犯罪团伙转变策略，在攻击的早期阶段将移动设备作为攻击目标，移动威胁继续以惊人的速度增长。 该报告重点分析了以企业为重点的凭证窃取和网络钓鱼尝试的季度环比增长 17%、恶意应用程序检测的季度环比增长 32%，以及 iOS 设备比 Android 设备更容易受到网络钓鱼攻击的趋势。 与中国和俄罗斯 APT 有关的新型移动监控工具 在一系列新发现的威胁中，研究人员披露了由中国和俄罗斯的高级持续威胁（APT）组织（包括 Gamaredon 等）开发的一系列移动监控软件工具。 在企业移动设备上检测到的恶意应用程序超过 106,000 个，从特洛伊木马恶意软件到复杂的间谍软件，种类繁多。 在全球范围内，移动网络钓鱼和恶意网页内容已成为商业电子邮件泄露 (BEC)、MFA 绕过攻击、高管假冒和漏洞利用的代名词。这些攻击通常成本低、回报高，因此已成为现代杀伤链的首选初始步骤。 这种威胁矢量的最新演变是使用高管假冒攻击，这种攻击利用个人的资历和低级员工与生俱来的乐于助人的愿望来提高成功率。攻击者通过制造高度紧急的情况，并利用高管和员工之间的不熟悉，说服员工共享敏感数据、访问钓鱼网页或给他们汇款。 iOS 比 Android 更受企业欢迎，因此 Lookout 观察到，在 2024 年第三季度的网络钓鱼攻击中，威胁行为者针对 iOS 的攻击频率（18.4%）高于 Android（11.4%）。最常见的设备配置错误包括过时的操作系统、过时的安卓安全补丁级（ASPL）、无设备锁和无加密。 攻击者瞄准移动设备入侵企业云系统 最重要的移动恶意软件系列仍然主要倾向于安卓监控软件。 Lookout 用户遇到的最常见的十大移动浏览器漏洞都会影响基于 Chromium 的浏览器。攻击者特别瞄准这些漏洞，希望用户尚未更新到已打补丁的版本。 除浏览器漏洞外，最常见的五个移动应用程序漏洞涉及社交媒体、消息和身份验证应用程序以及应用程序商店。 随着高级恶意软件的商品化、民族国家移动恶意软件能力的发展以及对以移动为重点的社交工程的严重依赖，当今的企业必须将高级移动威胁防御作为其安全战略的一部分。威胁行为者越来越多地以移动设备为目标，窃取凭证并渗透到企业云中，这种途径被称为 “现代杀伤链”。 “随着网络威胁的不断发展，我们看到越来越多的攻击以移动设备为目标，将其作为进入存放敏感数据的企业云应用程序的门户。”Lookout端点副总裁David Richardson表示：“这一趋势凸显了对先进MTD解决方案的迫切需求，这些解决方案不仅能保护设备，还能保护它们所连接的敏感数据和系统。” 《Lookout移动威胁态势报告》的数据来源于Lookout安全云的人工智能驱动移动数据集，该数据集包含超过2.2亿台设备、3.6亿个应用程序和数十亿个网页项目。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303050 封面来源于网络，如有侵权请联系删除

苹果于7月10日发布了新一轮快速安全响应 (RSR) 更新，以解决在攻击中利用的一个新零日漏洞。 苹果在iOS和macOS的更新公告中引用了一位匿名安全专家对该漏洞（CVE-2023-37450）的描述，表示“苹果已获悉有关此漏洞可能已被积极利用的报告”。苹果在更新公告中也表示这是一个重要修复，建议所有用户进行安装。 此次漏洞发现于苹果开发的WebKit 浏览器引擎中，允许攻击者通过钓鱼方式诱导受害者打开包含恶意内容的网页，在目标设备上获得任意代码执行。需要更新的系统软件版本包括了macOS 13.4.1、iOS 16.5.1、iPadOS 16.5.1以及Safari 16.5.2。 今年的第十个零日漏洞 自 2023 年初以来，Apple 已修复了 10 个被广泛利用来攻击 iPhone、Mac 或 iPad 的零日漏洞。 6月初，苹果修复了三个零日漏洞（CVE-2023-32434、CVE-2023-32435 和 CVE-2023-32439），这些漏洞可通过 iMessage 零点击漏洞在 iPhone 上部署 Triangulation 间谍软件。 5 月，苹果修复了由国际特赦组织和 Google 威胁分析小组报告的3个零日漏洞（CVE-2023-32409、CVE-2023-28204 和 CVE-2023-32373），这些漏洞可能用于安装雇佣兵间谍软件。 4月，苹果修复了两个能够被用作 Android、iOS 和 Chrome 零日和 N日漏洞利用链一部分的两个零日漏洞（CVE-2023-28206 和 CVE-2023-28205）。 2月，苹果修复了另一个WebKit 零日漏洞(CVE-2023-23529)，该漏洞能够在易受攻击的 iPhone、iPad 和 Mac 上执行任意代码。     转自Freebuf，原文链接:https://www.freebuf.com/news/371623.html 封面来源于网络，如有侵权请联系删除

苹果官方表示每天审核超过 10 万款新应用和应用更新申请，而严苛的审查制度让其只有 60% 可以通过上架。即便如此，App Store 依然充斥着大量欺诈类应用，为这些应用的开发者带来大量收入的同时，由于 30% 的佣金让苹果也分得其中一杯羹。 欺诈类应用并不是新鲜事物，Google 和苹果尚未开发出有效的手段来遏制它们的发展。根据最新的预估统计数据，近些年通过欺诈类应用开发者从受害者身上夺取了超过 4 亿美元的资金。 有别于恶意软件，欺诈类应用并不会接管你的设备也不会窃取你的信息，这也是为何它们能够上架应用商城的重要原因。而且这些应用通常会提供一些实用的功能，从而让这些恶意应用看起比较正规。 大部分欺诈类应用通常提供一个非常短的试用期，之后用户需要循环支付费用，并且随着时间的推移支付的金额也会越来越高。这种伎俩之所以能够生效，主要是因为两个原因，要么是用户忘记取消自动续订，要么就是认为只要卸载应用就会取消自动续订的功能。 根据 VPNCheck 最新报告，在安全公司 Avast 发现并报告之后，不少于 84 款欺诈 iOS 应用依然在运行。根据 SensorTower 提供的最新统计数据，这些欺诈应用每年都产生超过 1 亿美元的收入。 这意味着超过一半出名的欺诈应用依然处于活跃状态，甚至有时候会出现在付费应用排行榜上。上月，720 万人下载了一款欺诈应用，仅仅数周就带来了超过 800 万美元的收入。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1293971.htm 封面来源于网络，如有侵权请联系删除