下次入住飯店時,您可能會想嘗試使用門鎖。一群安全研究人員本週披露了一系列影響全球 300 萬個飯店房間鎖的安全漏洞。儘管該公司正在努力解決該問題,但其許多鎖仍然容易受到專有入侵技術的攻擊。
蘋果公司經歷了艱難的一周。除了安全研究人員發現該公司硬體中關鍵的、幾乎無法修補的漏洞(更多內容見下文)外,美國司法部和16 名總檢察長表示,該公司的行為已針對這家科技巨頭提起反壟斷訴訟。它的業務。屬於非法反競爭行為。該訴訟的部分內容強調了蘋果所謂的「靈活」隱私和安全決策方法,特別是 iMessage 的端對端加密,但蘋果拒絕向 Android 用戶提供這種加密。
說到隱私,最近對 cookie 彈出通知的更改揭示了每個網站與多少家公司共享其資料。 《連線》對前 10,000 個最受歡迎的網站進行的分析發現,有些網站與 1,500 多個第三方共享資料。同時,雇主評論網站 Glassdoor 先前允許人們匿名評論公司,現在已開始鼓勵人們使用真實姓名。
那不是全部。我們每週都會彙整一些我們自己沒有詳細介紹的安全和隱私新聞。點擊標題即可閱讀全文。並在外面保持安全。
最新研究表明,Apple 的 M 系列晶片存在一個缺陷,攻擊者可能會利用該缺陷欺騙處理器,洩露 Mac 上秘密的端對端加密金鑰。該漏洞由一組研究人員開發,名為 GoFetch,並利用了 M 系列晶片中所謂的資料記憶體相關預取器 (DMP)。電腦記憶體中儲存的資料都有一個位址,DMP 透過預測接下來可能存取的資料的位址來優化電腦操作。然後,DMP 放置一個“指標”,用於在機器的記憶體快取中定位資料位址。攻擊者可以透過所謂的旁道攻擊來存取這些快取。 DMP 中的缺陷可能會導致 DMP 被欺騙將資料添加到快取中,從而可能暴露加密金鑰。
Apple 的 M1、M2 和 M3 晶片中存在此缺陷,但基本上無法修復,因為它存在於晶片本身中。加密貨幣開發人員可以創建一些緩解技術來降低漏洞利用的有效性,但正如零日的Kim Zetter 所寫,「用戶的底線是:我們能做些什麼來解決這個問題?」我的意思是,沒有任何緩解技術。 ”
在本週發給美國各地州長的一封信中,環保署和白宮官員警告說,伊朗和中國駭客可能會攻擊「美國各地的供水和廢水處理系統」。 這封信由美國環保局長邁克爾·雷根和白宮國家安全顧問傑克·沙利文發送,目標是與伊朗伊斯蘭革命衛隊和中國政府支持的博爾特颱風組織有關的駭客。駭客組織已經攻擊了飲用水系統和其他關鍵設施。基礎設施。信中稱,未來的攻擊「可能會破壞清潔、安全飲用水的關鍵生命線,並給受影響社區帶來巨大成本」。
俄羅斯駭客似乎使用了 Wiper 惡意軟體的新版本來攻擊烏克蘭的多家網路和行動服務供應商。該惡意軟體被安全公司SentinelOne 的研究人員稱為AcidPour,是AcidRain 惡意軟體的更新版本,該惡意軟體於2022 年2 月癱瘓了Viasat 衛星系統,並對烏克蘭的軍事通訊產生了重大影響。可能性很高。 根據 SentinelOne 的 AcidPour 分析,該惡意軟體可以「更有效地停用嵌入式設備,包括網路、物聯網、大規模儲存 (RAID),以及可能運行 Linux x86 發行版的 ICS 設備。」據說它具有擴充功能。研究人員告訴 CyberScoop,AcidPour 可用於實施更廣泛的攻擊。
Bolt Typhoon 並不是唯一一個造成大規模破壞的與中國有關的駭客組織。安全公司趨勢科技的研究人員發現了一個名為 Earth Krahang 的組織針對 48 個國家的 116 個組織發起的駭客活動。其中,Earth Krahang 成功滲透了 70 個組織,其中包括 48 個政府機構。據趨勢科技稱,駭客透過易受攻擊的網路連接伺服器和魚叉式網路釣魚攻擊獲得存取權限。然後,他們利用對目標系統的存取權限進行間諜活動並接管受害者的基礎設施以進行進一步的攻擊。 自2022 年初以來一直在監視Earth Krahan 的趨勢科技還發現了該組織與中國黑客僱傭公司I-Soon 之間的“潛在聯繫”,該公司最近因內部文件神秘洩露而被曝光。他說他做到了。