Bitcoin's Security Budget Issue: Problems, Solutions and Myths Debunkeda year agohttps://budget.day/比特币的安全性依赖于诚实矿工控制大部分算力。51%攻击可能导致双花、交易审查或网络瘫痪。比特币的安全预算由区块补贴和交易手续费构成。区块补贴每四年减半,矿工收入随时间递减。交易手续费未能充分弥补不断减少的区块补贴。低手续费和有限的区块大小制约了比特币安全预算的增长。潜在解决方案包括链上扩容、改变共识机制或调整货币规则。专家警告称,若安全预算问题未解决,51%攻击风险将加剧。
If you're using Microsoft Authenticator to store your passwords, don'ta year agohttps://www.engadget.com/cybersecurity/if-youre-using-microsoft-authenticator-to...微软验证器将终止密码存储功能支持本月起已停止新增或导入密码密码自动填充功能将于2025年7月终止2025年8月起所有密码将不可访问支付信息将在2025年7月后删除未保存的生成密码将在2025年8月后清除通行密钥(passkeys)将继续获得支持已保存密码仍可通过Microsoft Edge访问用户可能需要考虑其他密码管理工具
Show HN: A local secrets manager with easy backupa year agohttps://github.com/raiyanyahya/yacsyacs 是一个命令行工具,用于在本地加密的JSON文件中安全地存储、管理和检索机密信息。它采用AES加密技术,通过主密码结合PBKDF2密钥派生算法和唯一盐值来增强安全性。功能包括:通过主密码和提示词初始化、添加/检索机密、查看密钥和描述、重置凭证存储库。该工具通过初始化后验证主密码,并为每次加密生成随机IV(初始化向量)来确保安全性。可通过'pip install yacs-cli'命令安装,支持init/put/get/view/reset等指令。项目基于MIT许可证开源,欢迎通过提交issue或pull request参与贡献。
iOS Activation Flaw Enables Pre-User Device Compromise and Identity Exposurea year agohttps://seclists.org/fulldisclosure/2025/Jun/27苹果iOS激活流程存在关键漏洞,可在用户交互前远程注入XML载荷该漏洞涉及SetupAssistant未经验证即处理来自`humb.apple.com/humbug/baa`的未签名`.plist`配置文件攻击者可注入任意XML数据,持久性影响系统信任链、网络行为及身份配置该漏洞已在真实攻击中被利用(非模拟测试),影响iOS 18.5设备的出厂初始化阶段危害包括:用户控制权被预先劫持、`.plist`文件被持久篡改、违反GDPR/CMMC 2.0/FedRAMP等合规要求技术分析显示SetupAssistant会连接未认证终端节点,直接应用未经验证的`.plist`载荷修复建议:强制数字签名验证、终端节点身份认证、XML模式校验、立即部署补丁披露时间线:2025年5月19日报告苹果及US-CERT,2025年6月26日公开披露
Hack IKKO "AI powered" earbuds to run DOOM, stole OpenAI API key, customer data10 months agohttps://blog.mgdproductions.com/ikko-activebuds/这款耳机运行安卓系统,在Mrwhosetheboss视频和TikTok上推广后以245欧元的价格购入。设备启动后主屏显著展示ChatGPT界面,并内置翻译等AI功能。默认EQ配置下音质较差,但通过手动调整均衡器曲线可改善音效。因缺少Google Play商店,设备使用IKKO商店的修改版应用,内置Spotify和《地铁跑酷》等程序。开发者模式(ADB)处于开启状态,便于侧载应用及深入分析设备功能。ChatGPT功能直连OpenAI服务器,且在设备中发现未加密的ChatGPT API密钥。设备将聊天记录上传至终端节点,存在用户数据泄露风险,部分API接口缺乏身份验证。安全漏洞允许生成绑定设备的二维码,可能导致用户聊天记录和姓名外泄。问题上报后厂商发布了安全更新,但部分漏洞仍未彻底修复。设备最终被Root,暴露出更多安全隐患,包括未经验证的ChatGPT代理API接口。
Is Anybody Using This Private Key10 months agohttps://isanybodyusingthisprivatekey.com/该网站是个恶搞页面,并非用于真实私钥提交。用户被警告不要提交真实私钥或举报钓鱼行为。私钥一旦被分享,就不再安全。网站建议通过粘贴私钥来检查是否已被占用。
CVEs in Bluetooth Headphones and Earbuds10 months agohttps://insinuator.net/2025/06/airoha-bluetooth-security-vulnerabilities/采用Airoha芯片的蓝牙耳机/耳塞存在安全漏洞攻击者可在蓝牙范围内无需认证入侵设备已确认三个CVE编号:CVE-2025-20700、CVE-2025-20701、CVE-2025-20702涉及拜亚动力、Marshall、索尼等多个品牌产品漏洞可实现RAM/闪存操控、通话窃听及设备伪装Airoha已发布SDK更新,厂商正开发补丁记者/外交人员等高价值目标风险更高用户需升级固件,部分厂商或不知晓采用Airoha芯片漏洞披露流程含报备芯片商与厂商,补丁即将发布
Crypto 101 – Introductory course on cryptography10 months agohttps://www.crypto101.io/Crypto 101是一门面向各级程序员的免费密码学入门课程涵盖核心密码学概念:分组密码、流密码、哈希函数、消息认证码、公钥加密、密钥协商协议及签名算法教授如何利用编程技能破解密码学漏洞包含伪造Cookie、密码恢复、随机数生成器后门等实战应用提供多种无数字版权管理限制的格式版本课程源自PyCon 2013演讲内容,后扩展成专注于密码学破解的书籍
Who Cracked Bitcoin July 4th? 80k BTC Moved in What Might Be First Real Exploit10 months agohttps://eloise88.medium.com/who-cracked-bitcoin-on-july-4th-408230a70f5d2025年7月4日,8个长期未动的钱包转移了8万枚BTC(价值86亿美元)这些钱包已休眠超过14年,每个钱包恰好存有1万枚BTC转账行为高度同步,表明这是精心策划的行动而非随机事件所有钱包均为P2PKH(传统格式),很可能使用2010-2011年间存在缺陷的随机数生成器创建链上消息包含法律声明及对美剧《迷失》中神秘数字(4,8,15,16,23,42)的引用该操作可能利用了早期比特币钱包的密钥生成漏洞,对休眠资金的安全性提出挑战操作方出具法律框架,声称这些是'被遗弃资金'并要求原所有者在9月30日前提供所有权证明该事件引发对传统比特币地址安全性及私钥不可侵犯性的担忧潜在市场影响包括恐慌性抛售及大规模从P2PKH迁移至更安全的钱包格式本次事件为早期比特币钱包存在的加密漏洞敲响警钟
Helm local code execution via a malicious chart – CVE-2025-5354710 months agohttps://github.com/helm/helm/security/advisories/GHSA-557j-xg8c-q2mmHelm 贡献者发现了一个漏洞,特制的 Chart.yaml 和 Chart.lock 文件可能导致在依赖项更新期间执行本地代码。该漏洞涉及符号链接的 Chart.lock 文件,当更新时,可以将恶意内容写入可执行文件,如 bash.rc 或 shell 脚本。此问题影响 Helm 在运行 'helm dependency update' 命令时,或当 Helm SDK 的下载管理器执行更新时。该漏洞已在 Helm v3.18.4 版本中修复。临时解决方法是确保在更新依赖项之前,Chart.lock 文件不是符号链接。此安全问题由 AlphaSense 的 Jakub Ciolek 披露。
Jurisdiction Is Nearly Irrelevant to the Security of Encrypted Messaging Apps10 months agohttps://soatok.blog/2025/07/09/jurisdiction-is-nearly-irrelevant-to-the-security...正确构建的加密系统意味着密文托管国的地理位置不会影响安全性密钥管理、透明日志(密钥透明/二进制透明)和可复现构建是安全通讯应用的必备要素MLS和Signal协议等端到端加密方案必须确保绝不传输明文独立第三方监督机构对验证透明日志和保障系统安全至关重要若加密实现正确,司法管辖区属次要问题,因仅元数据可被获取通过二进制透明和可复现构建可检测政府后门企图Signal已接近完美实现,但缺少密钥透明和第三方构建验证数据主权属于偏好选项,而非加密安全的技术考量
"Just Fucking Ship It" (Or: On Vibecoding)10 months agohttps://coal.sh/blog/pandu_bad作者参加了一场黑客马拉松,期间接触到一个名为Mentora的AI辅导应用,该应用后来演变成名为Pandu的社交媒体应用。Pandu的iOS应用被解密分析后,发现其客户端直接处理OpenAI的API密钥和系统提示词,存在安全隐患。虽然使用Supabase作为后端,但由于配置错误导致数据库关系可被未授权访问,大量敏感用户数据遭到泄露。泄露数据包括用户资料、推送通知令牌、聊天请求和实时地理位置信息,引发了严重的隐私担忧。该应用的架构设计存在缺陷,允许攻击者发送任意推送通知并获取用户隐私信息。近万名用户(包括未成年人)注册了Pandu,由于糟糕的安全措施,他们的个人数据全部暴露在风险中。应用开发者Christian因能力不足和鲁莽行事受到批评,该应用存在重大隐私风险。鉴于平台危险性,建议用户停止支持该应用,进行举报,并帮助亲友从平台撤离。
Browser extensions turn nearly 1M browsers into website-scraping bots10 months agohttps://arstechnica.com/security/2025/07/browser-extensions-turn-nearly-1-millio...近百万台设备安装的浏览器扩展程序通过绕过安全防护措施,为付费服务采集网站数据。涵盖Chrome、Firefox和Edge的245款扩展程序使用了MellowTel-js库,该库通过网页抓取实现流量变现。MellowTel与网络爬虫API服务Olostep存在关联,后者通过这些扩展程序分发数据采集请求。这些扩展功能各异(书签管理/音量增强等),但均内置MellowTel组件。Olostep宣称能规避反爬虫机制,可快速处理10万级并发请求。MellowTel创始人表示该库通过共享用户带宽采集公开数据,开发者可获得55%收益分成。
Magic .env files built for sharing: Human-first, AI-friendly10 months agohttps://varlock.dev/专为人类优先、AI友好的方式共享而设计的魔法.env文件通过在.env文件中使用@decorator注释创建声明式模式,安全地从外部源加载密钥提供强大的验证功能,通过清晰提示及早发现配置错误根据模式自动生成类型安全,无需手动编写类型通过隐藏标准输出和全局控制台方法中的密钥增强安全性,防止泄露支持组合默认配置、环境特定.env文件和本地git忽略的覆盖文件允许通过CLI命令从任何外部密钥提供程序读取作为dotenv的无缝替代方案,只需最小改动即可获得验证、安全等增强功能
Security Issues Regarding GSMA ESIMs / EUICCs and Javacard10 months agohttps://laforge.gnumonks.org/blog/20250709-gsma-esim-euicc-security/安全研究员Adam Gowdiak发现GSMA架构中eUICC(eSIM芯片)存在缺陷,特别是Java卡实现中的问题。该问题源于对卡外字节码验证的依赖,这对于eUICC使用的资源受限微控制器来说并不实用。Java卡最初为银行业设计,由单一实体(银行)控制小程序加载,通过卡外验证确保安全。eSIM架构引入了多方利益相关者(移动网络运营商/虚拟运营商),使得卡外验证变得不安全,因为无法确保所有方都能正确执行验证。Oracle和Gemalto在2019年淡化了类似发现,导致行业对这些风险认识不足。GSMA的eSIM标准允许多个运营商加载小程序,在没有卡内验证的情况下增加了恶意操作风险。TS.48密钥分散等缓解措施针对特定攻击途径,但未能解决更广泛的架构性问题。Oracle应改进其参考实现,为资源受限环境加入强大的卡内验证机制。GSMA应强制执行安全要求,强制采用卡内验证,并拒绝依赖卡外验证的eUICC认证。行业应超越Java卡或任何需要超出微控制器能力的复杂卡内验证技术。
aileaks.dev - Community driven database of AI related security incidents10 months agohttps://www.aileaks.dev/一个由社区驱动的AI相关安全事件数据库。允许用户提交事件以供审核。在获取事件时显示加载状态。
Chrome's hidden X-Browser-Validation header reverse engineered10 months agohttps://github.com/dsekz/chrome-x-browser-validation-headerChrome新增了包含'x-browser-validation'在内的请求头,该字段疑似哈希值'x-browser-validation'请求头可能用于完整性校验,例如验证用户代理真实性该请求头的生成逻辑是:将平台专属API密钥与用户代理字符串拼接后,用SHA-1算法哈希,再进行base64编码Windows、Linux和macOS平台使用不同的API密钥整个流程包含数据准备、SHA-1哈希计算、base64编码三个步骤,最终设置请求头
Two high-severity patches are coming to Node.js on Tuesday10 months agohttps://nodejs.org/en/blog/vulnerability/july-2025-security-releasesNode.js将于2025年7月15日或之后不久发布24.x、22.x和20.x系列的新版本修复24.x分支中的2个高危漏洞、22.x分支中的1个以及20.x分支中的1个已终止支持的版本仍受影响,用户应升级至安全版本新版本将于2025年7月15日或之后不久发布提供了安全政策及漏洞报告流程的详细信息建议订阅nodejs-sec邮件列表以获取安全漏洞更新
How secure is your Bitcoin wallet's mnemonic seed phrase?10 months agohttps://bennet.org/blog/how-secure-is-your-bitcoin-wallets-mnemonic-seed-phrase/比特币钱包安全性依赖于由高熵值生成的独特助记词(12或24个单词)。BIP39助记词编码了比特币钱包所需的一切信息,无需第三方认证。由于严格的BIP39规则,助记词中即使更改一个字母也会使其失效。助记词的熵值是通过密码学安全的随机数生成器产生的。128、192或256位熵值分别对应12、18或24个单词的助记短语。比特币密钥空间的规模极其庞大,256位熵值相当于可观测宇宙中的原子数量级。BIP39助记词使用2048个单词的列表,通过校验和确保唯一性及容错性。SHA-256哈希算法用于生成校验和以验证助记词有效性。分层确定性(HD)钱包可从单个助记词种子派生所有密钥和地址。密码短语能增加额外安全层,但若遗忘将导致不可逆的资金损失。
OpenAI Vulnerability: 48 Days, No Response10 months agohttps://requilence.any.org/open-ai-vulnerability-responsible-disclosure2025年5月29日,研究人员向OpenAI报告了一个漏洞,该漏洞允许未经授权访问其他用户的聊天回复。截至2025年7月16日,该问题仍未修复,且未收到OpenAI人工团队的后续跟进。由于保密条款限制,研究者通过加密邮件而非OpenAI漏洞赏金平台提交该漏洞。研究者在进行有限度公开披露前,遵循了45天的漏洞披露窗口期。建议厂商采取以下措施:安排专人值守安全收件箱、公布明确的响应政策、给予研究者合理奖励。鉴于漏洞尚未修复,建议用户保持警惕并谨慎使用相关服务。