South Korea police say 120k home cameras hacked for 'sexploitation' footage6 months agohttps://www.bbc.com/news/articles/cj01q6p7ndlo韩国逮捕四名黑客,入侵超12万台网络摄像头。非法拍摄内容被用于境外网站制作性剥削视频。遭入侵设备包括私人住宅、练歌房、普拉提工作室及妇科诊所内的摄像头。嫌疑人各自作案,其中一人入侵6.3万台,另一人入侵7万台。视频以虚拟资产形式出售,获利数千万韩元。警方正封禁涉事视频分发网站,并与国际机构展开合作。另有三名购买观看非法内容的嫌疑人被捕。当局正在通知受害者,协助删除内容并修改密码。官方建议民众定期更换摄像头密码防范入侵。
India tells smartphone makers to put state-run cyber safety app on new devices6 months agohttps://www.bbc.com/news/articles/cedxyvx74p4o印度要求所有新智能手机预装Sanchar Saathi网络安全应用手机制造商需在90天内完成合规,确保该应用功能无法被禁用或限制该应用可验证设备真伪并举报电信资源滥用行为隐私担忧浮现:应用能访问通话、短信、日志、照片、文件及摄像头批评者指其侵犯隐私权,称这是政府强制的监控软件印度通信部长辩称应用属自愿安装且可删除,与不可禁用条款矛盾Sanchar Saathi具备追踪丢失手机及识别克隆IMEI号码功能厂商需在120天内提交合规报告,未售出设备也需更新系统专家担忧应用权限过广可能导致数据收集风险苹果公司或以政策为由拒绝预装第三方/政府应用
India orders phone makers to preload devices with state-owned cyber safety app6 months agohttps://www.theguardian.com/technology/2025/dec/01/india-phone-sanchar-saathi-ap...印度电信部要求智能手机制造商在新设备上预装不可删除的Sanchar Saathi应用该指令影响苹果、三星、Vivo、Oppo和小米等主要品牌,要求90天内完成合规该应用旨在通过封锁被盗手机和防止IMEI号码重复使用来打击网络犯罪隐私倡导者批评这一举措,将其比作俄罗斯强制预装政府支持应用的做法自1月推出以来,Sanchar Saathi已协助找回超过70万部丢失手机苹果可能抵制强制预装要求,因其政策禁止在新设备上安装第三方应用该应用支持用户封锁被盗手机并识别欺诈性移动连接超500万次下载已促成封锁370万部被盗手机及终止3000万条欺诈性通信连接
Hackers breach texting service used by New York state, sending many scam texts6 months agohttps://www.nbcnews.com/tech/security/text-scam-phone-sms-hack-message-fake-tran...黑客劫持了群发短信服务,向纽约州订阅用户、天主教慈善机构及政治组织团体发送诈骗短信。被入侵的Mobile Commons公司为政府及机构提供符合联邦规范的批量短信服务。此次入侵通过鱼叉式网络钓鱼攻击实现,黑客在四小时后才被发现并终止未授权访问。诈骗短信提及虚假交易,诱导收件人拨打现已停用的888号码。Mobile Commons认为客户及订阅者数据未被窃取,但经济损失尚不明确。约18.8万名纽约州订阅用户收到诈骗短信,某电信公司报告拦截超7万条欺诈信息。美国短代码注册处警告称,黑客试图接管账户发送非法短信的行为有所增加。纽约州信息技术服务办公室与天主教救济服务会均证实未授权发送这些诈骗信息。
AI Autonomously Finds 7 FFmpeg Vulnerabilities6 months agohttps://zeropath.com/blog/autonomously-finding-7-ffmpeg-vulnerabilities-with-ai-...ZeroPath的AI辅助SAST技术在FFmpeg协议处理器、解析器、过滤器和Android粘合代码中识别出七项内存安全缺陷这些漏洞包括缓冲区溢出、差一错误、整数溢出和无效释放问题,均源于代码中的逻辑缺陷传统静态分析工具和模糊测试未能发现这些问题,因其隐蔽性强且需要跨函数契约推理ZeroPath的AI静态分析通过符号执行、单元推理和契约推断技术,以数学方式证明违规输入的存在来检测漏洞所有已发现漏洞均获得FFmpeg官方团队修复该技术博客强调AI在发现传统工具易忽略的复杂安全问题方面具有重要价值
India scraps order to pre-install state-run cyber safety app on smartphones5 months agohttps://www.bbc.com/news/articles/clydg2re4d1o印度已撤销要求智能手机制造商在新手机上预装政府运营的Sanchar Saathi应用程序的命令,此举源于公众强烈反对。这款旨在验证手机真伪的应用程序引发了网络安全专家及苹果、三星等制造商的隐私监控担忧。政府最初以该应用日益普及(下载量达1400万次,每日收到2000份欺诈报告)作为强制安装的理由。智能手机厂商以缺乏事先协商和潜在隐私侵权为由抵制该指令。印度通信部长保证该程序不会用于监控,但数字权益组织表示在正式法律文件公布前将保持谨慎态度。
Reverse engineering a $1B Legal AI tool exposed 100k+ confidential files5 months agohttps://alexschapiro.com/security/vulnerability/2025/12/02/filevine-api-100k发现价值十亿美元的法律AI工具Filevine存在重大安全漏洞,导致超过10万份机密文件暴露。通过未加密的子域名(margolis.filevine.com)发现可利用暴露的Box API令牌非法访问敏感数据。已向Filevine平台负责任的披露该漏洞,对方迅速修复问题并保持专业沟通。强调在缺乏数据安全措施的情况下仓促采用AI技术的风险,尤其涉及敏感法律文件时。
Cellebrite to Acquire Corellium5 months agohttps://www.corellium.com/blog/cellebrite-to-acquire-corelliumCellebrite宣布以1.7亿美元现金收购Corellium的协议,根据业绩里程碑可能额外支付3000万美元。此次收购旨在为iOS、安卓、汽车系统和基于Arm架构的物联网设备等智能设备设立数字调查与安全新标准。收购效益包括:加速移动漏洞识别、实现虚拟设备交互、提升开发安全运维效率,以及支持Arm原生移动渗透测试。Corellium的技术将强化Cellebrite数字调查平台,并扩大其在公共和私营部门的覆盖范围。Corellium创始人兼首席技术官Chris Wade将加入Cellebrite任CTO,重点推动设备取证与非篡改式探查技术。该交易预计于2025年夏季完成,尚待美国外国投资委员会批准。Cellebrite即将完成CEO人选遴选,拟于2025年8月中旬公布任命。Arm高级副总裁强调Corellium虚拟化解决方案对保障普及型Arm计算平台安全的重要意义。
Flock cameras are also computers – and perfectly hackable5 months agohttps://neuburger.substack.com/p/flock-camera-vulnerability-its-worseFlock Safety摄像头存在严重漏洞,仅需单次按键即可获得完全控制权该摄像头可被入侵以重定向视频流、托管恶意软件并窃取Wi-Fi凭证被篡改的监控录像可能引发法律采信问题并滋生敲诈勒索行为监控行为导致民众幸福感下降、心理健康问题及社交关系受损研究表明监控会抑制自主视觉处理能力并削弱社会环境的信任度尽管存在隐私担忧,西方社会正日益接受普遍监控作为常态与其宣传效果相反,Flock摄像头实际上未能有效降低犯罪率政府官员与执法部门仍在持续推广监控技术本文呼吁民众通过联系地方官员等行动抵制监控系统的扩张
SMS phishers pivot to points, taxes, fake retailers5 months agohttps://krebsonsecurity.com/2025/12/sms-phishers-pivot-to-points-taxes-fake-reta...中国境内的钓鱼团伙正在推广新型钓鱼工具包,用于创建虚假电商网站窃取支付卡数据。诈骗短信内容已升级,包含未认领的退税、移动积分奖励等诱饵。已有数千个钓鱼域名被部署,主要针对T-Mobile和AT&T用户。受害者被诱导提供一次性验证码,使诈骗分子能将银行卡绑定至移动钱包。虚假电商店铺更难识别,可持续运营数月不被关闭。通过smishreport.com等平台举报钓鱼信息有助于快速识别并关停诈骗。节假日期间短信钓鱼激增,包裹重新投递骗局尤为猖獗。消费者应核查陌生商家资质,避免点击可疑链接。注意核对运费、退货政策及月度账单,防范隐藏收费和欺诈行为。
Cloudflare Is Down5 months agohttps://cloudflare.com/Cloudflare为构建现代应用程序和交付AI计划提供开发者平台通过全球云网络驱动的统一平台提供60多种云服务通过WAF防火墙、DDoS防护和机器人防御等功能增强安全性通过智能体框架和编排工具支持AI开发每日拦截2340亿次网络威胁,保护全球20%的网站业务覆盖125个国家/地区的330多个城市,包括中国大陆提供流量智能分析以提升网站性能和可靠性支持无服务器应用部署和S3兼容对象存储提供个性化产品推荐和专业专家支持
How I discovered a hidden microphone on a Chinese NanoKVM5 months agohttps://telefoncek.si/2025/02/2025-02-10-hidden-microphone-on-nanokvm/NanoKVM是中国公司矽速科技(Sipeed)开发的紧凑型经济KVM切换器,可通过网页浏览器远程控制计算机/服务器。该设备配备HDMI、USB-C和以太网接口,能模拟键盘鼠标等USB设备,且无需在目标电脑安装软件。安全问题包括默认密码、硬编码加密密钥、依赖中国DNS服务器,以及与矽速科技中国服务器的通信。研究人员发现设备内置隐藏麦克风,可录制高清音频,并预装音频录制及传输工具。设备预装tcpdump、aircrack等黑客工具,引发额外安全隐患。尽管存在问题,其开源特性支持安装自定义软件,社区正移植Ubuntu Linux以提升安全性。此次发现揭示了设备隐藏功能的普遍隐患,苹果和谷歌等公司此前也有侵犯隐私的案例被曝光。
The Wired Guide to Digital Opsec for Teens5 months agohttps://www.wired.com/story/digital-opsec-for-teens/青少年经常参与高调的数字攻击。数字隐私和安全对每个人都至关重要,无论其网络活动频率如何。操作安全(opsec)的核心在于平衡数字数据的保密性与可用性。操作安全不是偏执,而是防范账户被盗或数据泄露等灾难。隔离网络身份对防止人肉搜索和维护隐私至关重要。为重要账户设置高强度唯一密码,并启用双重验证。避免在不同平台重复使用用户名和密码。谨慎选择VPN,免费VPN可能窃取你的数据。使用注重隐私的浏览器和搜索引擎以减少追踪。定期检查数据泄露情况并审查社交媒体的公开设置。对关键数据进行离线备份,并用强密码加密存储。
10 Years of Let's Encrypt5 months agohttps://letsencrypt.org/2025/12/09/10-yearsLet's Encrypt于2015年9月14日颁发了首张公开受信任的证书,标志着其发展历程的起点。截至2025年,Let's Encrypt已成为全球最大的证书颁发机构,每日签发数百万张证书,保护近十亿个网站。由Let's Encrypt创建并标准化的ACME协议已被广泛集成到服务器生态系统中。Let's Encrypt的自动化与可扩展性愿景取得成功,证书签发量从2016年的100万张增长至2025年的每日1000万张。该组织显著提升了全球HTTPS加密普及率,从不足30%增至约80%,增强了网络安全。关键里程碑包括:首张证书颁发(2015年)、第100万张证书(2016年)和第10亿张证书(2020年)。推出的重要功能包括:国际化域名支持(2016年)、通配符证书(2018年)以及短期/IP地址证书(2025年)。为应对数据量增长,基础设施进行了升级,如数据库服务器增强和更快的以太网支持。Let's Encrypt曾获2022年列夫琴奖和2019年奥莱利开源奖等奖项。Mozilla、电子前哨基金会(EFF)、思科、Akamai和IdenTrust等初始赞助方对Let's Encrypt的启动与成功至关重要。
Exploiting silent delivery receipts to monitor users on instant messengers6 months agohttps://arxiv.org/abs/2411.11194移动即时通讯应用在全球拥有超过30亿用户,已成为个人和职业沟通的重要工具。通讯应用中的送达与已读回执可能对用户隐私构成重大风险。精心构造的消息可触发静默送达回执,使攻击者能在用户不知情时实施监控。攻击者可借此获取用户在线状态、活动状态(屏幕开启/关闭)、活跃设备数量等隐私信息。该技术还能推断用户设备的操作系统,并发动资源耗尽攻击(如电量或流量消耗)。WhatsApp和Signal等主流通讯软件均存在漏洞,攻击者仅需知道电话号码即可锁定目标。研究论文呼吁通过设计变更来解决这些隐私与安全问题。
React2Shell and related RSC vulnerabilities threat brief5 months agohttps://blog.cloudflare.com/react2shell-rsc-vulnerabilities-exploitation-threat-...2025年12月3日披露的Critical React2Shell漏洞(CVE-2025-55182),CVSS评分为10.0。已观察到即时利用行为,亚洲关联威胁组织正进行扫描探测。该漏洞涉及React服务器组件(RSC)Flight协议中的不安全反序列化,可导致远程代码执行。Cloudflare已部署WAF规则拦截攻击尝试,免费及付费用户均可获得防护。同时披露了CVE-2025-55183和CVE-2025-55184漏洞,均与RSC载荷处理相关。威胁分子使用Nuclei、Burp Suite及定制扫描工具进行侦察与利用。攻击重点针对台湾、新疆维吾尔、越南、日本和新西兰等高价值实体。Cloudflare监测到漏洞披露后数日内即出现5.821亿次攻击尝试。载荷分析显示大小差异显著,部分异常载荷高达375MB。Cloudflare多层防护体系包含WAF规则及Workers内置安全机制。
HTTPS certificate industry phasing out less secure domain validation methods5 months agohttps://security.googleblog.com/2025/12/https-certificate-industry-phasing-out.h...安全连接依赖于可信的证书验证流程。Chrome根证书计划与CA/浏览器论坛已针对HTTPS证书颁发机构采用新的安全要求。传统域名控制验证方法即将淘汰,以消除潜在安全漏洞。该弃用计划将分阶段实施,最终于2028年3月完成全面过渡。域名控制验证确保证书仅颁发给合法的域名运营者。现代验证采用'挑战-响应'机制,淘汰电子邮件或电话验证等较弱方法。被淘汰的方法包括依赖电子邮件、电话和反向查询的验证方式。这些变革推动生态系统向自动化、可密码验证的安全方法发展。本次更新旨在通过标准化和现代化验证流程提升互联网安全性。
LastPass fined £1.2M by ICO for data breach5 months agohttps://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2025/12/password-ma...LastPass英国有限公司因2022年数据泄露事件被ICO罚款120万英镑,影响160万英国用户。黑客通过两起涉及员工笔记本电脑和凭证被盗的事件入侵了LastPass的备份数据库。没有证据表明加密的客户密码因LastPass的'零知识'加密系统而被解密。泄露的个人信息包括客户姓名、电子邮件、电话号码和存储的网站URL。ICO敦促企业审查并加强安全措施,以防止类似的数据泄露。可在ICO和国家网络安全中心网站上获取相关建议和指导。
Doxers Posing as Cops Are Tricking Big Tech Firms into Sharing People's Data5 months agohttps://www.wired.com/story/doxers-posing-as-cops-are-tricking-big-tech-firms-in...一个黑客组织冒充执法人员从Charter通信公司获取敏感个人数据该组织声称已成功从苹果、亚马逊等美国大型科技公司提取数据黑客使用虚假传票和紧急数据请求诱骗企业提供信息黑客Exempt分享了成功获取数据的证据,包括伪造文件和录音据称该组织累计完成近500次成功请求,单月获利超1.8万美元黑客利用电子邮件安全漏洞和企业应急响应协议的缺陷他们创建高度仿真的虚假域名和文件来伪装成合法执法请求部分科技公司无意中提供了如何制作这类请求的指南即便是Kodex这样的安全系统也被通过入侵执法账户的方式突破黑客目前正与一名执法人员谈判试图重新获取Kodex系统的访问权
Fraudulent gambling network may be something more nefarious5 months agohttps://arstechnica.com/security/2025/12/fraudulent-gambling-network-may-be-a-na...一个欺诈性赌博团伙已运作14年,疑似受国家支持,专门针对美国和欧洲机构实施攻击。该团伙利用配置不当的WordPress站点和PHP网络应用植入后门,用于托管赌博内容。赌博网站主要面向印尼语用户,钻营该国赌博禁令的空子。攻击者控制的236,433个域名托管于Cloudflare平台,另有1,481个遭劫持子域名分布在AWS、Azure和GitHub上。安全公司Malanta披露该组织规模远超预期,其复杂架构可能服务于针对多行业的国家级黑客活动。其基础设施包含32.8万个域名(23.6万为购买,9万为劫持),年维护成本介于72.5万至1700万美元之间。