Bitsight Identifies Security Cameras Accessible on the Interneta year agohttps://www.bitsight.com/blog/bitsight-identifies-thousands-of-compromised-secur...Bitsight TRACE发现超过4万台安全摄像头在无密码或保护措施的情况下暴露于互联网并实时直播美国和日本暴露摄像头数量最多,其中美国约1.4万台居首仅需网页浏览器和正确IP地址即可访问这些摄像头,使其极易成为恶意攻击者的目标暗网论坛上存在关于这些暴露摄像头的访问权限讨论与交易,表明已被主动利用暴露的摄像头包括住宅、办公室、工厂及公共交通监控画面,严重威胁隐私与安全安全建议包括修改默认密码、禁用远程访问、更新固件企业应通过防火墙和VPN限制访问,并监控异常活动
Weaponized Google OAuth Triggers Malicious WebSocketa year agohttps://cside.dev/blog/weaponized-google-oauth-triggers-malicious-websocket针对Magento电商平台的精妙客户端攻击手段被成功解析该攻击利用看似合法的谷歌OAuth链接投递并执行恶意JavaScript代码脚本会动态建立与攻击者控制域名的WebSocket连接载荷仅在检测到结账页面或自动化浏览器时触发执行攻击成功绕过了CSP内容安全策略和DNS过滤等常规防护措施该技术将OAuth诱导与条件触发的实时控制相结合c/side安全产品通过预执行脚本分析成功识别并拦截了此次攻击
Eavesdropping on laptop, smart speaker microphones demonstrateda year agohttps://news.ufl.edu/2025/06/microphone-eavesdropping/研究人员发现,笔记本电脑和智能音箱中的麦克风会发射可被拦截的无线电信号,无需篡改设备即可实现窃听。这种攻击方式利用成本仅100美元的简易FM收音机接收器和天线,就能捕捉麦克风无意泄漏的无线电信号。数字MEMS麦克风(常见于笔记本电脑等设备)会泄漏含音频数据的无线电信号,这些信号甚至能穿透墙壁。即使用户未主动使用麦克风,只要被Spotify、YouTube或Google Drive等应用启用,仍可能持续接收和传输信号。笔记本电脑因其内部长导线充当天线放大泄漏信号,成为窃听效果最显著的设备。OpenAI和微软等公司的机器学习工具能对截获信号进行降噪处理,并将其转录为可关键词搜索的文本。简单的设计改动(如调整麦克风位置或修改音频处理协议)即可有效降低该漏洞风险。研究团队已向制造商提交发现,但尚不确定企业是否会采纳相关修复建议。
SmartAttack: Air-Gap Attack via Smartwatchesa year agohttps://arxiv.org/abs/2506.08866v1气隙系统安全性极高,但仍易受超声波数据窃取攻击。智能手表作为超声波隐蔽通信的攻击载体尚未被充分研究。SmartAttack利用智能手表麦克风捕获18-22kHz超声波信号。该研究评估了不同场景及智能手表特性对攻击可行性的影响。研究提出了针对智能手表安全风险的防御策略。
DNS4EU, an EU-based DNS resolution servicea year agohttps://www.helpnetsecurity.com/2025/06/09/eu-launches-eu-based-privacy-focused-...DNS4EU是欧盟主导的域名解析服务,旨在增强数字主权该服务将域名转换为IP地址,为谷歌或Cloudflare等服务提供注重隐私的替代方案由欧盟共同出资并获ENISA支持,计划2025年后转为商业化运营模式由10个欧盟国家的网络安全公司、计算机应急响应小组及学术机构组成的联盟开发为用户提供拦截恶意网站、不当内容和广告的选项利用全欧计算机应急响应小组的威胁情报提升区域网络安全为政府、公共机构和电信运营商提供专项服务以降低基础设施成本强调隐私保护和自愿使用原则,并非用于内容审查
How much EU is in DNS4EU?a year agohttps://techlog.jenslink.net/posts/dns4eu/DNS4EU是由欧盟网络安全局(ENISA)支持的安全DNS服务,旨在增强欧盟公民的数字主权与网络安全。初步DNS查询显示DNS4EU的域名服务器托管于欧洲公司Cloudns,所有IP地址均位于欧盟境内。网站www.joindns4.eu通过美国公司Cloudflare提供服务,使欧盟与非欧盟服务比变为1:1。DNS4EU的邮件服务由另一家美国公司谷歌处理,欧盟与非欧盟服务比调整为1:2。DNS4EU的解析器注册于欧盟公司,但BGP路由显示流量经英国(非欧盟)的AS60068传输,最终服务比降至1:3。针对DNS4EU的冗余性和抗DDoS能力提出质疑,建议应通过欧盟供应商实现任播和多宿主架构。
Emulating an iPhone in QEMU (Part 2)a year agohttps://eshard.com/posts/emulating-ios-14-with-qemu-part2协作平台中的动态攻击工作流管理可执行攻击与技术目录的专业模块实验室设备管理的基础设施集成密码算法评估的侧信道攻击技术采用激光/电磁/毛刺技术的故障注入攻击用于IC行为观测的光电发射分析专家级硬件分析的评估实验室现代芯片内置用例的入门套件含实操模块的网络安全培训协作平台中的静态/动态/压力测试x86/x64与ARM二进制文件的动态分析漏洞识别与利用的渗透测试安全缺口检测的漏洞研究有害软件检测的代码审计与验证全面数据调查的数字取证二进制代码分析的软件评估教练指导的实操型网络安全培训服务行业:半导体、汽车、安全实验室、政府机构、学术界、国防、医疗、能源QEMU中iOS模拟的调试技术跳过iOS设置数据迁移阶段的补丁方案SEP与基带模拟问题处理用户空间与内核同步调试VNC输入的多点触控支持实现通过反向网络共享实现联网支持在模拟iOS中安装默认及第三方应用未来目标包括进一步改进iOS模拟
A Dark Adtech Empire Fed by Fake CAPTCHAsa year agohttps://krebsonsecurity.com/2025/06/inside-a-dark-adtech-empire-fed-by-fake-capt...克里姆林宫支持的虚假信息活动利用恶意广告技术绕过社交媒体审核。亲俄虚假信息网络'替身'(Doppelganger)通过域名伪装手段,利用克隆网站散布假新闻。该网络与恶意流量分发系统VexTrio共享基础设施,后者涉及钓鱼软件和恶意软件传播。可疑的联盟营销服务LosPollos和TacoLoco通过被黑的WordPress网站将流量导向VexTrio。这两家服务商与由Guilio Vitorrio Leonardo Cerutti运营的Adspro集团存在关联。VexTrio和TacoLoco使用欺骗性验证码诱导用户启用推送通知以实施诈骗。2024年近40%的遭入侵网站通过LosPollos智能链接将访问者重定向至VexTrio。在被Qurium和Infoblox曝光后,Adspro集团更名为Aimed Global。DollyWay恶意软件从VexTrio转移至Help TDS,暴露出与其他俄罗斯流量分发系统的关联。Infoblox警告称俄罗斯有组织犯罪集团控制着传播信息窃取程序和诈骗的恶意广告技术。建议用户谨慎授权网页通知,并通过浏览器设置完全屏蔽此类请求。
EM Eavesdropping Attack on Digital Microphones Using Pulse Density Modulationa year agohttps://www.usenix.org/conference/usenixsecurity25/presentation/onishi提出一种新型电磁(EM)侧信道攻击方法,用于对电子设备进行声学窃听针对采用脉冲密度调制(PDM)的现代数字微机电系统(MEMS)麦克风该攻击通过FM解调技术,使用标准无线电接收器即可在不接触设备的情况下还原原始音频实际测试表明:在2米距离穿透25厘米混凝土墙的情况下,数字语音识别准确率最高可达94.2%使用语音转文本API还原哈佛句子数据集时,最大转录错误率为14%仅需廉价隐蔽的铜箔天线即可实施攻击现有防御措施(如重采样)效果有限,提出基于时钟随机化的新型硬件防御方案
Meta AI searches made public – but do all its users realisea year agohttps://www.bbc.com/news/articles/c0573lj172joMeta AI的搜索功能在用户不知情下被公开,可能暴露敏感查询内容部分用户的提问和结果被发布在公开动态中,可追溯至其社交媒体账号示例包括对衣着暴露角色的请求、考试答案以及个人性别相关问题Meta声明聊天默认私密,但用户可选择公开分享帖子分享前会出现警告提示,但不确定用户是否完全理解后果公开的'发现'动态可通过用户名和头像将搜索关联至用户其他社交账号用户可在账户设置中选择将搜索设为私密网络安全专家Rachel Tobac指出用户预期与现实间的差异构成安全隐患
That 'unsubscribe' button may be a scama year agohttps://www.popsci.com/technology/email-unsubscribe-scam/网络诈骗分子不仅使用深度伪造和AI生成图像等复杂手段,更常通过钓鱼邮件和虚假退订链接等简单方式行骗虽然正规群发邮件通常包含退订选项,但专家警告点击这些链接可能导向恶意网站——DNSFilter数据显示每644个退订链接中就可能有1个存在风险诈骗者通过虚假退订链接验证有效邮箱或窃取登录凭证,但需注意正规企业绝不会在退订流程中索要密码由邮件服务商维护的List-unsubscribe标头系统提供了更安全的解决方案,允许用户在邮件客户端内一键退订其他防护措施包括:将邮件标记为垃圾邮件、使用临时邮箱账户、或启用苹果「隐藏邮件地址」及谷歌浏览器/火狐浏览器的同类隐私功能
Cybersecurity takes a big hit in new Trump executive ordera year agohttps://arstechnica.com/security/2025/06/cybersecurity-take-a-big-hit-in-new-tru...网络安全从业者对白宫近期一项取消关键安全要求的行政命令表示担忧。该命令于6月6日发布,撤销了拜登总统任期内实施的数项网络安全指令,部分指令在其任期结束前刚刚生效。特朗普政府声称拜登的政策为网络安全引入了'存在争议且分散注意力的条款'。被取消或放宽的措施包括:抗量子加密技术采用、安全软件开发框架(SSDF)、防钓鱼登录标准、BGP安全工具及数字身份推广计划。拜登的网络安全政策主要基于现实威胁制定,例如2020年SolarWinds供应链攻击事件。SolarWinds攻击事件中,俄罗斯黑客入侵了广泛使用的云服务,导致包括联邦机构在内的18,000多家客户受影响。
Iranian Crypto Exchange Nobitex Hacked for over $82M by Suspected Israeli Groupa year agohttps://www.coindesk.com/markets/2025/06/18/iranian-crypto-exchange-nobitex-hack...伊朗加密货币交易所Nobitex遭以色列关联组织Gonjeshke Darande入侵,损失近8200万美元黑客威胁将公开Nobitex内部数据及源代码,剩余资产面临风险Nobitex确认遭受攻击但未核实被盗金额Gonjeshke Darande宣称Nobitex参与伊朗恐怖融资网络,协助规避制裁此次攻击系该组织对伊朗国有Sepah银行发起网络攻击后的又一行动被盗资金流向多个加密货币的挑衅性定制地址Nobitex因潜在源代码泄露及财务损失陷入信誉危机伊朗与以色列紧张局势因网络攻击与物理冲突持续升级
Hackers steal and destroy millions from Iran's largest crypto exchangea year agohttps://techcrunch.com/2025/06/18/hackers-steal-and-destroy-millions-from-irans-...伊朗最大加密货币交易所Nobitex遭黑客攻击,热钱包资金被洗劫一空监测发现Nobitex基础设施和热钱包遭未授权访问,公司已启动调查黑客窃取至少9000万美元资产,并将资金转入不可访问的钱包实施'销毁'Nobitex拥有超1000万用户,目前所有服务处于瘫痪状态亲以色列黑客组织'掠食麻雀'宣称对此负责,指控该平台涉嫌资助恐怖主义及逃避制裁该组织还承认对伊朗Sepah银行实施网络攻击,导致ATM系统瘫痪系列网络攻击正值以色列与伊朗军事对峙升级之际伊朗媒体报道以色列已对伊发动网络战,重点打击数字基础设施
Address bar shows hp.com. Browser displays scammers' malicious text anywaya year agohttps://arstechnica.com/security/2025/06/tech-support-scammers-inject-malicious-...技术支持诈骗者通过谷歌广告将虚假电话号码注入官方网站。诈骗者利用URL中的附加参数注入虚假号码,无需更改主机名。该骗局针对苹果、PayPal、Netflix等大型网站的用户。Malwarebytes已识别该骗局,并向用户发出此类威胁警报。虚假号码可能欺骗用户,尤其是视力障碍或认知能力下降的人群。诈骗者冒充公司代表窃取个人或财务信息。目前谷歌广告是该骗局的主要传播途径。预防措施包括避免点击谷歌广告,转而点击自然搜索结果。
16B Apple, Facebook, Google and Other Passwords Leakeda year agohttps://www.forbes.com/sites/daveywinder/2025/06/18/16-billion-apple-facebook-go...研究人员确认了有史以来最大的数据泄露事件,涉及160亿条登录凭证被曝光。此次泄露被认为是多个信息窃取恶意软件共同作用的结果,包含大量未公开的新鲜数据。遭泄露的凭证涵盖社交媒体、VPN服务、开发者门户和供应商账户等主要平台。该数据泄漏事件将导致网络钓鱼攻击和账户劫持风险大幅上升。专家建议采用高强度唯一密码、启用多因素认证,并逐步过渡到通行密钥验证方式。安全人员强烈建议用户立即修改密码,并使用密码管理器提升账户安全等级。
16B Apple, Facebook, Google and Other Passwords Leakeda year agohttps://www.forbes.com/sites/daveywinder/2025/06/19/16-billion-apple-facebook-go...研究人员确认了有史以来最大规模的数据泄露事件,涉及160亿条登录凭证遭曝光。泄露数据包含社交媒体、VPN服务、开发者平台及主要供应商账户的密码信息。信息窃取恶意软件被认为是这起大规模密码泄露事件的幕后黑手。谷歌和FBI正倡导采用更强大的安全措施(如通行密钥)并警惕网络钓鱼攻击。被盗密码正在暗网出售,这凸显了改进密码管理的紧迫性。Keeper Security首席执行官强调无意识数据暴露的风险及密码管理器的重要性。各组织被敦促采用零信任安全模型以降低风险。网络安全是共同责任,个人应使用高强度密码并启用多因素认证。
16B Passwords Leakeda year agohttps://www.forbes.com/sites/daveywinder/2025/06/20/16-billion-apple-facebook-go...研究人员确认了有史以来最大的数据泄露事件,160亿条登录凭证遭曝光。泄露数据包含社交媒体、VPN服务、开发者平台及大型供应商账户的密码信息。网络安全专家警告,这些凭证可能被用于钓鱼攻击和账户劫持。专家建议改用通行密钥替代传统密码以提升安全性。推荐使用密码管理工具和暗网监控服务来降低风险。企业应采用零信任安全模型保护敏感数据。用户安全教育与多因素认证被强调为关键防护措施。Facebook、Apple和Google用户可查阅通行密钥切换指南。预计通行密钥将在三年内成为互联网安全新标准。
Malware-Laced GitHub Repos Found Masquerading as Developer Toolsa year agohttps://klarrio.com/klarrio-discovers-large-scale-malware-network-on-github/Klarrio在GitHub上发现了一个大规模恶意软件网络。首席技术官Bruno De Bus揭露了2,400个被恶意软件感染的代码库及15,000个虚假账户用于刷高评分。恶意攻击者克隆热门代码库,植入恶意软件后利用虚假账户给予高评分。部分变种使用AI重写文件,制造社区活跃的假象。恶意软件有效载荷通过特定URL模式获取,建议用户屏蔽相关地址。Klarrio已加强开源项目引入流程,新增多项安全防护措施。受感染代码库和虚假账户完整清单已共享至GitHub及security@golang.org。
Defending the Internet: how Cloudflare blocked a monumental 7.3 Tbps DDoS attacka year agohttps://blog.cloudflare.com/defending-the-internet-how-cloudflare-blocked-a-monu...2025年5月中旬,Cloudflare成功拦截了史上最大规模的DDoS攻击,峰值达7.3Tbps。该攻击针对一家使用Cloudflare Magic Transit服务的托管提供商。攻击在短短45秒内发送了37.4TB数据,相当于连续播放7,480小时高清视频的流量。此次攻击采用多向量混合模式,其中99.996%为UDP洪水攻击,其余为各类反射攻击。攻击源横跨161个国家的5,433个自治系统,涉及122,145个IP地址,其中近半数流量来自巴西和越南。Cloudflare通过全球任播网络、自主检测系统及基于eBPF和dosd的实时指纹技术成功缓解攻击。该公司免费提供DDoS僵尸网络威胁情报订阅服务,帮助运营商识别并阻断恶意IP。整个防御过程完全由系统自主完成,无需人工干预,展现了其先进的DDoS防护能力。