生活圈、钓鱼人等8款存在问题的APP被监管机构公开通报;一键劫持搜索?ChatGPT搜索扩展新功能引发安全担忧 | 牛览

科技   2024-11-04 13:55   北京  

点击蓝字·关注我们 aqniu

新闻速览


•国家网信办发布第八批深度合成服务算法备案信息

•生活圈、钓鱼人等8款存在问题的APP被监管机构公开通报

•一键劫持搜索?ChatGPT搜索扩展新功能引发安全担忧

•一种新型钓鱼工具包肆虐全球,采用多项先进技术规避检测

•"翡翠鲸"攻击暴露Git配置漏洞,数万云服务凭证被盗

•LightSpy恶意监控工具再升级,新增多项破坏性功能

•Synology NAS零点击漏洞曝光,或威胁数百万存储设备安全性

•警惕:LiteSpeed Cache漏洞可让黑客轻松获取WordPress网站管理权限

•慎重应对用户反馈,微软再次推迟Windows Recall功能发布


特别关注


国家网信办发布第八批深度合成服务算法备案信息


根据《互联网信息服务深度合成管理规定》,国家网信办日前发布第八批境内深度合成服务算法备案信息,大树文本生成合成算法等509款算法通过备案,具体信息可通过互联网信息服务算法备案系统(https://beian.cac.gov.cn)进行查询。


《互联网信息服务深度合成管理规定》第十九条明确规定,具有舆论属性或者社会动员能力的深度合成服务提供者,应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照履行备案和变更、注销备案手续。尚未履行备案手续的深度合成服务提供者和技术支持者应尽快申请备案。


原文链接:

https://www.cac.gov.cn/2024-11/01/c_1732152604917193.htm


生活圈、钓鱼人等8款存在问题的APP被监管机构公开通报


依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络产品安全漏洞管理规定》等法律法规,按照工业和信息化部工作部署要求,北京市通信管理局持续开展APP隐私合规和网络数据安全专项整治。


通过抽测发现,近期北京市部分APP存在“违反必要原则收集个人信息”“未明示收集使用个人信息的目的、方式和范围”等侵害用户权益和安全隐患类问题。截至目前,尚有8款APP未整改或整改不到位,现予以公开通报。

原文链接:

https://mp.weixin.qq.com/s/6vYRpvFR7qTAgI-Q2Y1k6g


网络攻击


一键劫持搜索?ChatGPT搜索扩展新功能引发安全担忧


OpenAI日前宣布将推出新的AI搜索产品"ChatGPT搜索",声称该功能可以为用户提供实时的对话式搜索答案。但这一举动却引发了网络安全专家的质疑。该扩展的主要功能是将Chrome的地址栏搜索默认设置为通过ChatGPT搜索进行,这一特性让它看起来更像是一个典型的搜索劫持工具。


网络安全研究员Tal Be'ery指出,这个扩展的功能过于简单,仅仅是修改了Chrome地址栏的搜索设置,使其使用ChatGPT搜索。这种行为与Chrome网上应用店中常见的搜索劫持工具极为相似。


尽管OpenAI公司正在大力推广这款扩展,但安全专家提醒用户,任何Chrome扩展都存在潜在风险。虽然目前这款扩展看似无害,但开发者未来可能会引入涉及隐私的新功能。同时,其实际价值并不高,用户完全可以通过创建快捷方式来实现相同功能。而且,过多的Chrome扩展还会增加浏览器资源占用,甚至导致冲突,因此建议用户尽量减少安装不必要的扩展。


原文链接:

https://www.bleepingcomputer.com/news/security/openais-new-chatgpt-search-chrome-extension-feels-like-a-search-hijacker/


一种新型钓鱼工具包肆虐全球,采用多项先进技术规避检测


近日,网络安全公司Netcraft披露了一种名为"Xiu Gou"(修狗)的新型钓鱼工具包。自2024年9月以来,该工具包已在美国、英国、西班牙、澳大利亚和日本等国家展开大规模网络钓鱼攻击。这个独特的钓鱼工具包以其卡通狗狗吉祥物为特色,已创建超过2000个钓鱼网站,主要针对公共部门、邮政服务、数字服务和银行业的个人用户。


Xiu Gou工具包采用了多项先进技术,使其难以被检测。它使用Vue.js前端和Golang后端,这与传统的基于PHP的钓鱼工具包有显著区别。为了躲避监测,攻击者还利用了Cloudflare的反机器人服务和域名混淆技术,将钓鱼网站部署在包含诈骗相关关键词的".top"等域名上。


该工具包的技术特点包括:自定义管理面板、使用富通信服务(RCS)代替短信发送钓鱼诱饵、通过Telegram机器人进行数据窃取等。这些特性使得攻击者即使在网站被关闭后仍能继续访问被盗信息。


Netcraft的研究人员还发现了多个与Xiu Gou相关的子域名,表明该工具包的创建者在多个方面开展活动。研究人员通过获取Xiu Gou的教程,观察到诈骗者如何设置Telegram机器人进行数据窃取,工具包中还包含了详细的步骤说明。

 

原文链接:

https://www.infosecurity-magazine.com/news/new-xiugou-phishing-kit-targets-us/


"翡翠鲸"攻击暴露Git配置漏洞,数万云服务凭证被盗


近日,一项代号为"翡翠鲸"(Emeraldwhale)的全球性攻击行动引起了网络安全界的高度关注。Sysdig威胁研究团队(TRT)披露,攻击者利用私有工具组合,针对配置错误的Git服务进行攻击,导致超过1.5个云服务凭证被盗。


据Sysdig TRT报告,此次攻击不仅成功获取了超过1万个私有代码库的访问权限,还将窃取的数据存储在一个与先前受害者相关的亚马逊S3存储桶中。被盗凭证涉及范围广泛,包括云服务提供商(CSPs)和电子邮件平台等多种服务。研究人员指出,这些凭证主要被用于开展钓鱼和垃圾邮件活动,同时在地下市场上也具有相当高的价值,单个账户可能售价数百美元。


攻击者的作案手法颇为精细,其所使用工具集能够自动化扫描、提取和验证被盗令牌的过程,使攻击者能够克隆公共和私有代码库,并在其中搜索额外的凭证。这次行动还包括一个大规模扫描活动,利用如httpx等开源工具,针对数千台服务器上暴露的Git配置文件进行扫描。这凸显了由于Web服务器配置错误而暴露的.git目录所带来的安全风险。


值得注意的是,凭证收集工具如MZR V2和Seyzo-v2在地下市场上十分活跃。这些工具能够自动化IP扫描和凭证提取过程,为垃圾邮件和钓鱼活动提供便利。它们通常与凭证盗窃策略课程捆绑销售,使得网络攻击门槛进一步降低。


原文链接:

https://www.infosecurity-magazine.com/news/emeraldwhale-targets-misconfigured/


LightSpy恶意监控工具再升级,新增多项破坏性功能


近日,ThreatFabric安全研究人员发现,针对iOS设备的监控工具LightSpy已经进行了重大升级,新增了十多个插件,使其总插件数量达到28个,其中许多具有破坏性功能。


研究人员指出,更新后的LightSpy利用Safari远程代码执行漏洞(CVE-2020-9802)进行初始访问。随后,它会触发一个包含越狱和加载器阶段的漏洞利用链,最终在运行iOS 13.3及以下版本的设备上投放恶意软件核心。新版LightSpy不仅保留了原有的照片和截图捕获、录音、文件删除、信息、联系人、通话和浏览历史记录窃取等功能,还新增了多项破坏性功能。这些新功能包括:删除浏览器历史记录、删除媒体文件、删除选定的短信消息、删除特定联系人以及阻止设备启动等。


研究人员表示,这些破坏性功能表明,威胁行为者非常重视从设备上抹去攻击痕迹的能力。对于iOS用户来说,及时更新系统和应用、谨慎对待来源不明的链接和应用变得更加重要。同时,企业和组织也需要加强对移动设备安全的管理,特别是针对可能成为高价值目标的人员。

 

原文链接:

https://www.scworld.com/brief/more-potent-lightspy-malware-for-ios-emerges


漏洞预警


Synology NAS零点击漏洞曝光,或威胁数百万存储设备安全性


近日,荷兰安全研究人员在我国台湾地区厂商Synology生产的网络附加存储(NAS)设备照片应用程序中,发现了一个被归类为"严重"的安全漏洞。这个零点击漏洞可能影响全球数百万个人和企业用户,使攻击者能够在无需用户任何操作的情况下获取设备访问权限。


值得注意的是,即使用户通过Synology的QuickConnect服务远程访问NAS,也无法避免此漏洞的影响。研究人员指出,他们发现多个国家的执法部门、法律事务所、货运和油罐运营商,以及电网、制药和化工行业的维护承包商都在使用这些易受攻击的设备。除了数据盗窃和勒索软件的风险外,被感染的系统还可能被转化为僵尸网络,用于掩盖其他黑客行动。


Synology已于10月25日发布了两个安全公告,确认漏洞的存在并发布了补丁。然而,由于Synology的NAS设备不具备自动更新功能,因此,Synology NAS用户应尽快更新系统,以确保设备安全。


原文链接:

https://www.wired.com/story/synology-zero-click-vulnerability/


警惕:LiteSpeed Cache漏洞可让黑客轻松获取WordPress网站管理权限


近日,流行的WordPress插件LiteSpeed Cache修复了一个危险的权限提升漏洞。该漏洞允许未经身份验证的网站访问者获得管理员权限,影响超过600万个WordPress网站的安全。


这个漏洞源于插件“角色模拟”功能中的弱哈希检查。该功能旨在模拟不同用户角色,以帮助爬虫从不同用户级别扫描网站。然而,由于使用的安全哈希值(存储在“litespeed_hash” 和 “litespeed_flash_hash” cookie中)随机性有限,在特定配置下容易被预测。


Patchstack的安全研究员Rafie Muhammad指出,尽管哈希值长达32个字符,攻击者仍可在一百万种可能性中预测或暴力破解。成功利用此漏洞的攻击者可以模拟管理员角色,从而上传和安装任意插件或恶意软件、访问后端数据库、编辑网页等。


LiteSpeed Technologies于10月17日在插件版本6.5.2中发布了修复程序,提高了哈希值的随机性,使暴力破解变得几乎不可行。然而,根据WordPress.org的下载统计,自补丁发布以来,仅有约200万网站进行了升级,这意味着仍有400万网站面临风险。


原文链接:

https://www.bleepingcomputer.com/news/security/litespeed-cache-wordpress-plugin-bug-lets-hackers-get-admin-access/


产业动态


慎重应对用户反馈,微软再次推迟Windows Recall功能发布


微软近日宣布,其备受关注的AI驱动功能Windows Recall将再次推迟发布。此前,微软曾在8月表示该功能将于10月向配备Copilot+的PC的内部测试人员开放,但现在这一计划再次延期。微软表示,由于用户强烈要求加强默认数据隐私和安全保护,Recall功能需要进行进一步测试。


Recall功能旨在每隔几秒钟对活动窗口进行截图,利用设备上的AI模型和神经处理单元(NPU)进行分析,并将收集的数据存储在SQLite数据库中。用户可以使用自然语言搜索这些信息,Recall会检索相关截图。然而,自Recall宣布以来,用户、隐私倡导者和网络安全专家就警告称,该功能可能成为隐私和安全噩梦,因为威胁行为者很可能会滥用它来窃取用户数据。


针对这些负面反馈,微软表示用户需要主动选择启用Recall,并且必须通过Windows Hello确认身份才能使用。同时,Recall可以被移除,会自动过滤敏感内容,并允许用户排除特定应用、网站或隐私浏览会话。

 

原文链接:

https://www.bleepingcomputer.com/news/microsoft/microsoft-delays-windows-recall-again-now-by-december/

 

Fortinet发布基于AI的下一代数据防泄漏解决方案


日前,网络安全巨头厂商Fortinet正式发布了FortiDLP产品,并表示这是一款集数据防泄漏(DLP)和内部风险管理于一体的下一代数据防泄漏解决方案。FortiDLP旨在解决传统DLP解决方案的不足,使安全团队从一开始就能够同时有效缓解内部和外部的数据泄露威胁。


Fortinet首席营销官John Maddison表示:“FortiDLP提供了一个结合人工智能增强检测和内部风险管理的新一代解决方案,以保护敏感信息。通过利用AI驱动的数据保护方案,安全团队可以比传统DLP解决方案更快地预测风险、简化事件响应并缓解威胁。”


据介绍,FortiDLP是一款AI增强的云原生解决方案,提供了全面的数据保护功能。其主要特点包括:影子AI数据保护、首日数据可见性和保护、内部风险防护、SaaS应用数据保护、基于源的数据保护、风险告知用户教育以及AI驱动的指导。这些功能使FortiDLP能够有效监控员工行为、保护云数据、跟踪数据流出,并通过定制化的策略提醒来教育用户。


原文链接:

https://www.sdxcentral.com/articles/stringerai-announcements/fortinet-launches-fortidlp-for-enhanced-data-protection/2024/10/


合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com



安全牛
发现、挖掘与推荐、传播优秀的安全技术、产品,提升安全领域在全行业的价值,了解机构与企业的安全需求,一家真正懂安全的专业咨询机构,我们是安全牛!
 最新文章