HackerNews 编译，转载请注明出处： 零日计划（Zero Day Initiative）宣布在2025年10月爱尔兰Pwn2Own黑客大赛中设立100万美元专项奖金，悬赏能演示WhatsApp零点击漏洞利用的安全研究人员。该奖金针对无需用户交互即可在WhatsApp上实现远程代码执行的高危漏洞。该通讯平台全球用户超30亿，漏洞潜在影响范围极大。 本届赛事由Meta、群晖科技（Synology）与威联通（QNAP）联合赞助，定于10月21日至24日在爱尔兰科克举行。零日计划在声明中明确表示：“Meta对本届赛事联合赞助充满期待，特别设立100万美元奖金激励零点击漏洞利用演示。同时设立次级奖项覆盖其他WhatsApp漏洞利用形式，详情请查阅‘消息应用’类别规则。去年此类挑战无人尝试，希望今年翻倍的奖金能激发参与热情。” 1、八大攻击目标类别： 移动设备（含三星Galaxy S25、谷歌Pixel 9、苹果iPhone 16旗舰机型） 消息应用（WhatsApp为重点目标） 家用网络设备 智能家居设备 打印机 网络存储系统（NAS） 监控设备 可穿戴技术（含Meta雷朋智能眼镜及Quest 3/3S头显） 2、攻击向量扩展： 移动设备类别新增USB端口攻击路径，要求参赛者通过物理连接突破锁屏手机；同时保留Wi-Fi、蓝牙、近场通信（NFC）等传统无线协议攻击方式。 参赛顺序通过随机抽签决定，注册截止时间为10月16日爱尔兰标准时间下午5时。 漏洞披露机制 参赛者演示的漏洞将在赛事结束后移交厂商，90天内未修复的漏洞由零日计划公开披露。2024年爱尔兰Pwn2Own大赛曾为70余个零日漏洞颁发107.8万美元奖金，越南Viettel安全团队因攻破QNAP存储设备、Lexmark打印机等目标获得20.5万美元奖金。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 热门通讯平台WhatsApp推出全新人工智能功能“消息摘要”，该功能利用其自主研发的Meta AI技术为未读聊天消息提供智能摘要服务。该功能目前正面向美国地区用户以英语版本推行，计划于年内扩展至其他语言及地区。 WhatsApp在公告中表示：“该功能通过Meta AI对聊天中未读消息进行私密快速摘要，让用户在仔细阅读前即可掌握消息概要。”摘要功能为可选服务且默认关闭。这家Meta旗下平台同时指出，用户可启用”高级聊天隐私”设置，自主选择共享哪些聊天内容用于AI功能开发。 该功能的核心支撑是今年四月推出的“私有处理”技术。该技术通过Oblivious HTTP(OHTTP)协议在用户设备与可信执行环境(TEE)间建立安全应用会话，在云端机密虚拟机(CVM)的安全环境中处理AI请求。 公司重申该技术能确保任何第三方(包括Meta和WhatsApp自身)均无法查看原始消息内容即可生成摘要。“聊天中其他成员也无法获悉您使用了摘要功能，”声明强调，“这意味着您的隐私时刻受到保护。” 此功能上线之际，美国众议院以安全风险为由将WhatsApp列入政府配发设备的禁用应用清单。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国众议院正式禁止国会工作人员在政府配发设备上使用WhatsApp，理由是该应用存在安全风险。Axios率先报道了这一决定。 据众议院首席行政官（CAO）声明，此举源于对该应用安全性的担忧。CAO在备忘录中指出：“网络安全办公室认定WhatsApp对用户构成高风险，因其数据保护机制缺乏透明度、存储数据未加密，且使用过程存在潜在安全隐患。”因此，工作人员不得在政府配发的任何设备（包括手机、电脑及网页版）上安装该应用。 WhatsApp母公司Meta对此提出反驳，强调该平台默认采用端到端加密，其安全级别“高于CAO批准名单中的多数应用”。Meta传播总监安迪·斯通在社交平台X上回应：“我们以最强烈措辞反对众议院首席行政官的定性。我们知道议员及工作人员长期使用WhatsApp，期待众议院能像参议院那样正式批准其使用。” CAO推荐工作人员使用Microsoft Teams、亚马逊Wickr、Signal、苹果iMessage及FaceTime作为合规替代品。WhatsApp成为继TikTok、OpenAI ChatGPT及DeepSeek之后，众议院最新封禁的应用。 值得补充的是，上周Meta曾宣布将在WhatsApp引入广告，但承诺“绝不牺牲用户隐私”。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WhatsApp于周三宣布，将介入苹果公司与英国政府之间的法律诉讼案，该案争议焦点在于iPhone制造商是否应被迫保留对其用户iCloud账户内容的访问权限，以满足法律搜查令要求。此案源于今年四月英国调查权力法庭（该国唯一可审理特定国家安全案件的法院）的裁决，该裁决确认苹果正就一项秘密法律命令起诉英国政府。 WhatsApp负责人威尔·卡思卡特声明，已“申请介入本案，以保护全球用户的隐私”。他批评道：“自由民主国家本应为其公民提供最佳安全保障，但英国却通过秘密命令背道而驰。此案可能树立危险先例，助长各国破坏保护私人通信的加密技术。”卡思卡特强调：“WhatsApp将挑战任何试图削弱服务加密机制的法律或政府要求，并继续捍卫人们在线私人对话的权利”。 据广泛报道，英国政府此前向苹果发出“技术能力通知”（TCN），要求其停止部署“高级数据保护”功能。这项可选功能将使iCloud存储内容实现端到端加密，导致苹果即使收到合法搜查令也无法向当局提供数据访问权限。英国政府依政策既不证实也不否认具体法律要求的存在。苹果随后于二月关闭了对英国用户的该功能，但未说明具体原因。 虽然法律未禁止报道TCN存在，但通知对象被要求不得披露内容，违者可能面临刑事诉讼（尽管对该法律解释存在争议）。《华盛顿邮报》一月曝光该TCN时，曾将其描述为“允许英国当局获取全球苹果用户云端数据的后门”，但依据法规，TCN实际功能与此不符。尽管存在潜在误读，英国政府未回应外界对其法律通知隐私影响的担忧。 专家（包括英国情报界内部人士）主张，政府访问加密通讯平台的尝试应更透明。学者认为英国内政部持续“不承认也不否认”的态度既不可持续也不合理。四月法庭裁决后，政府发言人首度回应舆论质疑：“技术能力通知本身不直接提供数据访问权限，仍需配合针对性搜查令和授权。其目的仅是确保现有权力可有效行使，纯粹是为打击严重犯罪追捕罪犯，不影响对言论自由的承诺。” 英国政府此前指责苹果部署高级数据保护功能属“单方面行动”，将“阻碍恐怖主义和严重虐童案件调查，严重危及公共安全”。调查权力法庭目前尚未公布本案后续审理时间表。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 警方称，马来西亚内政部长的WhatsApp账号遭黑客入侵并被用于向联系人发送恶意链接。 当局在周五的新闻发布会上表示，攻击者据称使用虚拟专用网络（VPN）入侵了Datuk Seri Saifuddin Nasution Ismail的账号，目前尚无受害者报告经济损失。警方未详细说明入侵手法。 负责监管执法、移民和审查事务的内政部已确认该事件，并敦促公众勿回应任何自称来自部长的信息或电话，尤其是涉及财务或个人要求的通讯。 此次数据泄露事件正在调查中，执法部门正全力追踪黑客位置。 手机钓鱼诈骗在马来西亚日益猖獗。当地媒体报道称，诈骗分子常冒充警察、银行职员或法院代表实施犯罪。 近期WhatsApp事件与此前针对其他高级官员的攻击如出一辙： 2025年3月：诈骗分子劫持议长乔哈里·阿卜杜勒的WhatsApp账号，诱骗其联系人汇款； 2022年：黑客入侵前总理伊斯梅尔·萨布里的Telegram和Signal账号； 2015年：黑客控制马来西亚皇家警察的Twitter和Facebook账号，发布支持伊斯兰国组织的信息。 Nasution Ismail因账号被黑事件遭遇网络批评与嘲讽。当地媒体指出，鉴于该国最高安全官员竟遭黑客成功攻击，民众对马来西亚网络安全措施的有效性提出质疑。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周二，联邦陪审团裁定，NSO集团需向Meta旗下的WhatsApp支付约1.68亿美元的赔偿金。此前四个月，一名联邦法官判定这家以色列公司违反美国法律，通过WhatsApp服务器部署Pegasus间谍软件，对全球超过1400名个人实施攻击。 WhatsApp于2019年首次对NSO集团提起诉讼，指控其利用Pegasus针对记者、人权活动家和政治异见人士。 审判期间公布的法庭文件显示，此次行动中，456名墨西哥人被攻击，其次是印度的100名受害者、巴林的82人、摩洛哥的69人和巴基斯坦的58人。总计有来自51个不同国家的个人受到影响。 这些攻击利用了当时WhatsApp语音通话功能的一个零日漏洞（CVE-2019-3568，CVSS评分：9.8），触发了间谍软件的部署。 2024年12月发布的一项裁决中，美国地区法官Phyllis J. Hamilton指出，在2019年5月的相关时间段内，Pegasus通过WhatsApp位于加利福尼亚的服务器发送了43次。 Meta旗下WhatsApp的负责人Will Cathcart在X上表示：“我们对间谍软件开发商NSO的案件在2024年12月创造了历史，当时法院裁定他们违反了美国的联邦和州法律。” “今天陪审团对NSO的惩罚性裁决是对间谍软件行业的一个重要威慑，防止他们对美国公司和全球用户进行非法行为。” Cathcart补充说，公司的下一步是申请法院命令，防止NSO再次攻击WhatsApp，并表示将向致力于保护人们免受此类攻击的数字权利组织捐款。 除了1.67254亿美元的惩罚性赔偿外，陪审团还裁定NSO集团必须向WhatsApp支付444719美元的补偿性赔偿，以补偿WhatsApp工程师为阻止攻击途径所做的重大努力。 这一裁决是隐私倡导者和人权组织的重大胜利，他们曾多次指责NSO集团将其强大的监控软件授权给客户，以监视民间社会成员。 尽管NSO集团试图通过声称其无法了解客户如何使用Pegasus来逃避责任，但汉密尔顿法官指出，它不能一方面声称其意图是帮助客户打击恐怖主义和儿童剥削，另一方面又声称与客户如何使用该技术无关，除了提供建议和支持。 Meta表示：“NSO被迫承认，它每年花费数千万美元开发恶意软件安装方法，包括通过即时通讯、浏览器和操作系统，而且其间谍软件至今仍能够入侵iOS或Android设备。” 在与Courthouse News和POLITICO分享的声明中，NSO集团表示，其技术在防止严重犯罪和恐怖主义方面发挥着关键作用，并且打算寻求适当的法律补救措施。该公司因从事“恶意网络活动”于2021年被美国政府制裁。 苹果公司曾对NSO集团提起类似的诉讼，但在2024年9月撤销了该诉讼，理由是继续进行可能会泄露其安全计划的敏感细节。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： WhatsApp推出了一项名为“高级聊天隐私（Advanced Chat Privacy）”的新功能，旨在保护私聊和群组对话中交换的敏感信息。该隐私选项可在点击聊天名称后启用，用于阻止他人保存媒体文件和导出聊天内容。 WhatsApp表示：“今天我们推出了最新的隐私层‘高级聊天隐私’。这项在聊天和群组中均可使用的新设置，能在您需要更高隐私时防止他人将WhatsApp内的内容外传。启用该设置后，您可阻止他人导出聊天记录、自动下载媒体至手机，以及将消息用于人工智能（AI）功能。这将使聊天中的每位成员更确信无人能将对话内容带出聊天。” 该公司补充称这是该功能的第一个版本，正在向所有已更新至最新版本WhatsApp的用户推送。WhatsApp还在为该功能开发更多防护措施以增强其效果。但需注意，即使启用“高级聊天隐私”，仍存在通过截屏（如果未禁用截图功能）等方式提取敏感媒体和信息的可能。 这项新功能是WhatsApp七年前启动的通信安全强化计划的一部分——当时该公司首次引入端到端加密。五年后（2021年10月），WhatsApp开始向iOS和Android设备推送端到端加密的聊天备份功能。同年12月，通过为所有新聊天添加默认“阅后即焚”消息支持进一步扩展隐私控制。 近期更新包括：使用密码或指纹锁定聊天、通过“秘密代码”隐藏锁定聊天、允许Android和iOS用户在通话时通过WhatsApp服务器代理隐藏地理位置。自2024年10月起，WhatsApp还开始加密联系人数据库以实现隐私同步，确保联系人列表与账户绑定（而非设备），便于设备更换时的管理。 Meta在2020年初宣布，来自180多个国家的超过20亿用户正在使用WhatsApp视频通话和即时通讯平台。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta 警告 Windows 用户更新 WhatsApp 消息应用至最新版本，以修复一个可让攻击者在设备上执行恶意代码的漏洞。 该漏洞被描述为一个欺骗问题，追踪编号为 CVE-2025-30401，攻击者可通过向潜在目标发送带有篡改文件类型的恶意文件来利用此安全漏洞。 Meta 表示，该漏洞影响了所有 WhatsApp 版本，并已通过发布 WhatsApp 2.2450.6 修复。 “在 WhatsApp for Windows 版本 2.2450.6 之前，附件会根据其 MIME 类型显示，但选择文件打开处理程序是基于附件的文件名扩展名，”WhatsApp 在周二的公告中解释道。“恶意构造的不匹配可能导致收件人在 WhatsApp 内手动打开附件时，意外执行任意代码而非查看附件。” Meta 表示，一位外部研究人员通过 Meta Bug Bounty 提交发现了该漏洞。该公司尚未分享 CVE-2025-30401 是否在野外被利用的信息。 2024 年 7 月，WhatsApp 解决了一个类似的问题，即当收件人在安装了 Python 的 Windows 设备上打开时，Python 和 PHP 附件可在无警告的情况下执行。 常被间谍软件攻击的目标 最近，在多伦多大学公民实验室的安全研究人员报告后，WhatsApp 还修复了一个被利用来安装 Paragon Graphite 间谍软件的零点击、零日安全漏洞。 该公司表示，去年年底已解决了攻击向量，“无需客户端修复”，并在“审查了 MITRE 发布的 CVE 指南和自身的内部政策后”决定不分配 CVE 编号。 1 月 31 日，在服务器端缓解了安全问题后，WhatsApp 通知了来自 20 多个国家的约 90 名 Android 用户，包括意大利记者和活动家，他们成为了使用零点击漏洞的 Paragon 间谍软件攻击的目标。 去年 12 月，美国联邦法官裁定，以色列间谍软件制造商 NSO Group 利用 WhatsApp 零日漏洞在至少 1,400 台设备上部署了 Pegasus 间谍软件，从而违反了美国的黑客法律。 法院文件显示，NSO 据称利用多个零日漏洞通过 WhatsApp 漏洞部署 Pegasus 间谍软件，其开发人员还逆向工程了 WhatsApp 的代码，以创建发送恶意消息的工具，从而安装间谍软件，违反了联邦和州法律。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据公民实验室（The Citizen Lab）的一份新报告称，澳大利亚、加拿大、塞浦路斯、丹麦、以色列和新加坡政府很可能是以色列公司 Paragon Solutions 开发的间谍软件的客户。 Paragon 由 Ehud Barak 和 Ehud Schneorson 于 2019 年创立，该公司开发了一种名为 Graphite 的监控工具，能够从设备上的即时通讯应用中收集敏感数据。 公民实验室表示，通过梳理与该间谍软件相关的服务器基础设施，已将上述六国政府识别为“疑似 Paragon 部署”对象。 这一发现距离 Meta 旗下的 WhatsApp 声明其通知约 90 名记者和民间社会组织成员（称其为 Graphite 攻击目标）还不到两个月。这些攻击已于 2024 年 12 月被阻断。 这些攻击的目标人群遍布 20 多个国家，包括欧洲的比利时、希腊、拉脱维亚、立陶宛、奥地利、塞浦路斯、捷克共和国、丹麦、德国、荷兰、葡萄牙、西班牙和瑞典等国。 当时，一位 WhatsApp 发言人对《黑客新闻》表示：“这是最新例证，说明为何间谍软件公司必须为其非法行为负责。WhatsApp 将继续保护人们私下交流的能力。” 在这些攻击中，目标对象被添加到 WhatsApp 群组中，随后收到一份 PDF 文档。该文档会被自动解析，触发现已修复的零日漏洞，从而加载 Graphite 间谍软件。最终阶段是突破安卓沙盒，入侵目标设备上的其他应用。 对被入侵的安卓设备的进一步调查发现了一种名为 BIGPRETZEL 的取证痕迹，据信该痕迹可用于唯一识别 Paragon 的 Graphite 间谍软件感染。 此外，证据还表明，2024 年 6 月，意大利难民在利比亚组织的一名创始人所使用的 iPhone 可能遭到 Paragon 感染。苹果公司随后通过发布 iOS 18 解决了这一攻击途径。 苹果公司在一份声明中表示：“此类雇佣间谍软件攻击极为复杂，开发成本高达数百万美元，使用寿命通常较短，且专门针对特定个体，因其身份或行为而成为攻击目标。” “在检测到相关攻击后，我们的安全团队迅速开发并在 iOS 18 初始版本中部署了修复程序，以保护 iPhone 用户，并向可能被单独针对的用户发送苹果威胁通知，以告知并协助他们。”     消息来源：TheHackerNews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯黑客组织Star Blizzard已被关联到一起新的钓鱼攻击活动，该活动瞄准受害者的WhatsApp账户，这标志着其可能为了逃避检测而改变了长期以来的作案手法。 微软威胁情报团队在与The Hacker News分享的一份报告中称：Star Blizzard的目标通常与政府或外交部门（包括现任和前任官员）、国防政策或涉及俄罗斯的国际关系研究人员，以及与俄乌战争相关的对乌克兰援助方有关。 Star Blizzard（原名SEABORGIUM）是一个与俄罗斯有关联的威胁活动集群，以凭证收集活动而闻名。该组织自2012年至少就已开始活跃，还曾被追踪为Blue Callisto、BlueCharlie（或TAG-53）、Calisto（或Callisto的另一种拼写）、COLDRIVER、Dancing Salome、Gossamer Bear、Iron Frontier、TA446和UNC4057等别名。 此前观察到的攻击链涉及向感兴趣的目标发送钓鱼邮件，通常来自Proton账户，邮件附件中包含恶意链接，这些链接会重定向到由Evilginx支持的页面，该页面能够通过中间人（AiTM）攻击收集凭证和二次验证（2FA）代码。 Star Blizzard还被关联到使用HubSpot和MailerLite等电子邮件营销平台来隐藏真实的电子邮件发件人地址，并避免在电子邮件消息中包含由黑客控制的域名基础设施。 去年年底，微软和美国司法部（DoJ）宣布查封了180多个域名，这些域名被该威胁组织用于在2023年1月至2024年8月期间瞄准记者、智库和非政府组织（NGO）。 这家科技巨头评估认为，对其活动的公开披露可能促使黑客团队通过攻击WhatsApp账户来改变策略。也就是说，该活动似乎规模有限，并在2024年11月底结束。 微软威胁情报战略总监Sherrod DeGrippo告诉The Hacker News：“目标主要属于政府和外交部门，包括现任和前任官员。” “此外，目标还包括涉及国防政策的人员、专注于俄罗斯的国际关系研究人员以及与俄乌战争相关的对乌克兰援助方。” 这一切始于一封自称来自美国政府官员的钓鱼邮件，以赋予其合法性，并增加受害者与其互动的可能性。 邮件中包含一个快速响应（QR）码，敦促收件人加入一个所谓的WhatsApp群组，讨论“最新的非政府组织支持乌克兰NGO的倡议”。然而，该代码是故意损坏的，以触发受害者的回复。 如果邮件收件人回复，Star Blizzard会发送第二条消息，要求他们点击一个t[.]ly缩短的链接加入WhatsApp群组，并为此带来的不便表示歉意。 微软解释道：“点击此链接后，目标会被重定向到一个网页，要求他们扫描二维码加入群组。然而，这个二维码实际上被WhatsApp用于将账户连接到链接的设备或WhatsApp网页版。” 如果目标按照网站（“aerofluidthermo[.]org”）上的指示操作，这种方法将允许威胁组织未经授权地访问其WhatsApp消息，甚至通过浏览器插件将数据外泄。 建议属于Star Blizzard目标行业的个人在处理包含外部链接的邮件时保持警惕。 该活动“标志着Star Blizzard长期以来的TTP（战术、技术和程序）的一次中断，并凸显出该威胁组织在持续进行钓鱼攻击以获取敏感信息方面的坚韧不拔，即使其行动多次遭到破坏也是如此”。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文