iOS和macOS曝关键漏洞,可能绕过TCC框架
2024年12月16日,苹果的iOS和macOS系统被曝出一个严重漏洞(CVE-2024-44131),该漏洞可能绕过透明度、同意和控制(TCC)框架,导致敏感信息未经授权被访问。TCC框架是苹果设备的核心安全功能,负责用户对应用程序访问敏感数据的授权。
漏洞位于文件提供组件中,具体表现为恶意应用可在后台通过符号链接劫持文件移动或复制操作,从而访问包括健康数据、GPS位置、麦克风、摄像头等敏感信息。该攻击能够绕过TCC框架,且在过程中不会触发任何提示,极大地削弱了设备的安全性。
该漏洞被Jamf Threat Labs发现并报告,指出攻击者通过利用文件管理组件fileproviderd的高权限,能够在不被用户察觉的情况下,将数据上传到远程服务器。尽管苹果已经在iOS 18、iPadOS 18和macOS Sequoia 15中通过增强符号链接验证修复了此问题,但漏洞的严重性引发了对系统访问控制和用户隐私的广泛关注。
此外,苹果还发布了其他安全更新,修复了WebKit、音频逻辑漏洞等问题,并加强了Safari浏览器的隐私保护,防止网站通过私人中继获取原始IP地址。
2024年12月16日,苹果的iOS和macOS系统被曝出一个严重漏洞(CVE-2024-44131),该漏洞可能绕过透明度、同意和控制(TCC)框架,导致敏感信息未经授权被访问。TCC框架是苹果设备的核心安全功能,负责用户对应用程序访问敏感数据的授权。
漏洞位于文件提供组件中,具体表现为恶意应用可在后台通过符号链接劫持文件移动或复制操作,从而访问包括健康数据、GPS位置、麦克风、摄像头等敏感信息。该攻击能够绕过TCC框架,且在过程中不会触发任何提示,极大地削弱了设备的安全性。
该漏洞被Jamf Threat Labs发现并报告,指出攻击者通过利用文件管理组件fileproviderd的高权限,能够在不被用户察觉的情况下,将数据上传到远程服务器。尽管苹果已经在iOS 18、iPadOS 18和macOS Sequoia 15中通过增强符号链接验证修复了此问题,但漏洞的严重性引发了对系统访问控制和用户隐私的广泛关注。
此外,苹果还发布了其他安全更新,修复了WebKit、音频逻辑漏洞等问题,并加强了Safari浏览器的隐私保护,防止网站通过私人中继获取原始IP地址。
支付宝“碰一碰”NFC支付曝安全漏洞,风险利用可能性低
2025年1月5日,OneKey安全实验室披露,支付宝“碰一碰”NFC支付设备部分芯片存在漏洞,可能被攻击者篡改内容,将支付链接替换为钓鱼地址,导致资金被转移。该漏洞利用需物理接触设备并未被商家察觉,实际风险较低。
支付宝已于2024年12月更新新设备以修复漏洞,但旧设备因无法在线更新仍存隐患。专家建议商家及时更换至新版设备,并警惕支付异常情况以保障安全。
2025年1月5日,OneKey安全实验室披露,支付宝“碰一碰”NFC支付设备部分芯片存在漏洞,可能被攻击者篡改内容,将支付链接替换为钓鱼地址,导致资金被转移。该漏洞利用需物理接触设备并未被商家察觉,实际风险较低。
支付宝已于2024年12月更新新设备以修复漏洞,但旧设备因无法在线更新仍存隐患。专家建议商家及时更换至新版设备,并警惕支付异常情况以保障安全。
BitLocker再曝漏洞,微软计划2026年彻底修复
研究人员在混沌通信大会上展示了一种新的攻击方法,可绕过Windows 11的BitLocker硬盘加密机制,直接解密硬盘数据。该漏洞利用了安全启动机制的降级攻击,被称为“bitpixie”。虽然微软曾于2022年修复相关问题,但由于UEFI存储限制,现阶段只能缓解漏洞。
微软计划在2026年全面更新安全启动凭证,并推动主板厂商升级固件以彻底解决问题。专家建议企业加强物理安全管理,禁用网络启动功能,避免设备被不法分子利用。家庭用户因无需担心物理接触风险,威胁较小。
研究人员在混沌通信大会上展示了一种新的攻击方法,可绕过Windows 11的BitLocker硬盘加密机制,直接解密硬盘数据。该漏洞利用了安全启动机制的降级攻击,被称为“bitpixie”。虽然微软曾于2022年修复相关问题,但由于UEFI存储限制,现阶段只能缓解漏洞。
微软计划在2026年全面更新安全启动凭证,并推动主板厂商升级固件以彻底解决问题。专家建议企业加强物理安全管理,禁用网络启动功能,避免设备被不法分子利用。家庭用户因无需担心物理接触风险,威胁较小。
抱歉各位 由于最近事情有点多 所以之前做的项目一直拖到了现在 刚刚把基础功能差不多完善了 里面还有一些小功能没做完 大概明天后天可以解决 一会先把测试版发出来 大家可以用备用机测试一下 因为现在身边没有能测试的安卓手机 模拟器没法进行完整的测试 然后如果有任何问题可以在帖子下面留言反馈给我
隐私中国 Dark Web Inform
app-release.apk
需要adb指令 给予应用设备所有者权限 指令如下:
adb shell dpm set-device-owner com.example.privacyassistant/.MyDeviceAdminReceiver
adb shell dpm set-device-owner com.example.privacyassistant/.MyDeviceAdminReceiver
iPhone“不跟踪”功能形同虚设,用户隐私仍遭泄露
2月4日,研究员蒂姆披露了iPhone隐私保护漏洞,指出苹果的“不跟踪”功能无法有效阻止应用程序收集用户数据。实验发现,尽管启用该功能,应用仍能发送设备坐标、电池状态等敏感信息至第三方,如Unity和Facebook,即便用户未安装Meta应用。
更严重的是,广告数据交易平台仍可将用户的广告标识符与个人信息(姓名、电话、地址等)关联,并在市场上出售,价格高达5万美元。分析认为,应用程序通过设备ID等替代标识符绕过苹果限制,隐私泄露难以避免。
专家建议用户采取禁用定位、使用虚拟GPS、DNS过滤等措施以提升隐私保护,但开发商已掌握绕过防护机制的手段,使彻底杜绝数据追踪几乎不可能。
参考链接 [1] [2]
2月4日,研究员蒂姆披露了iPhone隐私保护漏洞,指出苹果的“不跟踪”功能无法有效阻止应用程序收集用户数据。实验发现,尽管启用该功能,应用仍能发送设备坐标、电池状态等敏感信息至第三方,如Unity和Facebook,即便用户未安装Meta应用。
更严重的是,广告数据交易平台仍可将用户的广告标识符与个人信息(姓名、电话、地址等)关联,并在市场上出售,价格高达5万美元。分析认为,应用程序通过设备ID等替代标识符绕过苹果限制,隐私泄露难以避免。
专家建议用户采取禁用定位、使用虚拟GPS、DNS过滤等措施以提升隐私保护,但开发商已掌握绕过防护机制的手段,使彻底杜绝数据追踪几乎不可能。
参考链接 [1] [2]
SecurityLab.ru
За вами следят 200 раз в секунду: вся правда о приватности в iPhone
Запретить слежку нельзя собирать данные. Где Apple поставит запятую?
DeepSeek AI数据库泄露,超百万条日志与密钥曝光
近日,中国人工智能初创公司 DeepSeek AI 发生数据泄露事件,其 ClickHouse数据库 被公开暴露在互联网上,可能导致攻击者获取敏感数据。安全研究员 Gal Nagli 发现,该数据库允许未经授权的访问,攻击者可执行SQL查询并访问后端数据。
此次泄露涉及 超过100万条日志流,其中包含 聊天记录、API密钥、后端细节及操作元数据,潜在风险极大。云安全公司 Wiz 透露,DeepSeek AI的数据库托管在 oauth2callback.deepseek[.]com:9000 和 dev.deepseek[.]com:9000,并未采取身份验证保护,攻击者可直接控制数据库并提升权限。
目前,DeepSeek AI已修复该安全漏洞,但尚不清楚是否已有恶意行为者获取或滥用数据。安全专家提醒企业加强数据库访问控制,避免敏感信息暴露。
近日,中国人工智能初创公司 DeepSeek AI 发生数据泄露事件,其 ClickHouse数据库 被公开暴露在互联网上,可能导致攻击者获取敏感数据。安全研究员 Gal Nagli 发现,该数据库允许未经授权的访问,攻击者可执行SQL查询并访问后端数据。
此次泄露涉及 超过100万条日志流,其中包含 聊天记录、API密钥、后端细节及操作元数据,潜在风险极大。云安全公司 Wiz 透露,DeepSeek AI的数据库托管在 oauth2callback.deepseek[.]com:9000 和 dev.deepseek[.]com:9000,并未采取身份验证保护,攻击者可直接控制数据库并提升权限。
目前,DeepSeek AI已修复该安全漏洞,但尚不清楚是否已有恶意行为者获取或滥用数据。安全专家提醒企业加强数据库访问控制,避免敏感信息暴露。
网件多款路由器曝高危漏洞,官方已发布新版固件修复
网件(Netgear)近日发布安全公告,披露 多款路由器存在高危漏洞,攻击者可 绕过身份验证并远程执行任意代码,且 无需用户交互。目前,网件已推出新版固件修复漏洞,建议用户立即升级。
受影响路由器及修复固件版本:
• XR1000(1.0.0.74)
• XR1000v2(1.1.0.22)
• XR500(2.3.2.134)
• WAX206(1.0.5.3)
• WAX220(1.0.5.3)
• WAX214v2(1.0.2.5)
网件未透露漏洞具体技术细节,仅披露其 内部编号为PSV-2023-0039(远程代码执行)和PSV-2021-0117(身份验证绕过),目前尚未提供CVE编号。
建议:
使用上述路由器的用户应 立即前往网件官网或路由器控制台更新固件,以防止潜在攻击风险。对于已停止支持的设备,用户应联系网件客服确认是否受影响。
网件(Netgear)近日发布安全公告,披露 多款路由器存在高危漏洞,攻击者可 绕过身份验证并远程执行任意代码,且 无需用户交互。目前,网件已推出新版固件修复漏洞,建议用户立即升级。
受影响路由器及修复固件版本:
• XR1000(1.0.0.74)
• XR1000v2(1.1.0.22)
• XR500(2.3.2.134)
• WAX206(1.0.5.3)
• WAX220(1.0.5.3)
• WAX214v2(1.0.2.5)
网件未透露漏洞具体技术细节,仅披露其 内部编号为PSV-2023-0039(远程代码执行)和PSV-2021-0117(身份验证绕过),目前尚未提供CVE编号。
建议:
使用上述路由器的用户应 立即前往网件官网或路由器控制台更新固件,以防止潜在攻击风险。对于已停止支持的设备,用户应联系网件客服确认是否受影响。
卡巴斯基发现大量应用内含恶意SDK,窃取加密货币钱包信息
2025年2月5日 —— 卡巴斯基实验室近日发布安全报告,揭示 Google Play 和 Apple App Store 上多款应用内含恶意SDK “SparkCat”,该SDK可窃取 加密货币钱包助记词和恢复密钥,进而盗取用户资产。这是首次在 iOS 平台 发现利用 OCR 光学识别 技术窃取加密钱包信息的恶意应用。
恶意应用影响范围广泛
• 受影响的 Android 应用下载量超过 24.2 万次。
• iOS 应用下载量未知,但同样面临风险。
• 黑客主要针对 中文、日文、韩文、拉丁文 用户,攻击范围可能覆盖全球。
恶意SDK的攻击方式
1. 用户安装受感染应用后,应用会扫描屏幕上的加密钱包助记词或恢复密钥。
2. 通过 OCR 技术识别并提取关键信息。
3. 通过黑客控制的服务器将数据发送出去(C2 服务器域名仿冒 阿里云 aliyung[.]com / aliyung[.]org)。
4. 攻击者利用窃取的数据恢复用户钱包并 清空资产。
部分受感染应用名单
Android 应用
• com.crownplay.vanity.address
• com.atvnewsonline.app
• com.bintiger.mall.android
• com.websea.exchange
• org.safew.messenger
• org.safew.messenger.store
• com.tonghui.paybank
• com.bs.feifubao
• com.sapp.chatai
• com.sapp.starcoin
iOS 应用
• im.pop.app.iOS.Messenger
• com.hkatv.ios
• com.atvnewsonline.app
• io.zorixchange
• com.yykc.vpnjsq
• com.llyy.au
• com.star.har91vnlive
• com.jhgj.jinhulalaab
• com.qingwa.qingwa888lalaaa
• com.blockchain.uttool
• com.wukongwaimai.client
• com.unicornsoft.unicornhttpsforios
• staffs.mil.CoinPark
• com.lc.btdj
• com.baijia.waimai
• com.ctc.jirepaidui
• com.ai.gbet
• app.nicegram
• com.blockchain.ogiut
• com.blockchain.98ut
• com.dream.towncn
• com.mjb.Hardwood.Test
• njiujiu.vpntest
• com.qqt.jykj
• com.ai.sport
• com.feidu.pay
• app.ikun277.test
• com.usdtone.usdtoneApp2
• com.cgapp2.wallet0
• com.bbydqb
• com.yz.Byteswap.native
• jiujiu.vpntest
• com.wetink.chat
• com.websea.exchange
• com.customize.authenticator
• im.token.app
• com.mjb.WorldMiner.new
• com.kh-super.ios.superapp
• com.thedgptai.event
• com.yz.Eternal.new
• xyz.starohm.chat
• com.crownplay.luckyaddress1
应对措施
1. 检查设备 是否安装了受感染应用,若发现请 立即卸载。
2. 更换钱包 并将资产转移到 全新钱包,避免被盗。
3. 启用安全防护,使用 2FA(双因素认证) 和 硬件钱包 保护资金。
4. 谨慎下载应用,尽量选择官方渠道,并关注应用权限。
此次恶意SDK事件表明,即便是官方应用商店,也难以完全杜绝恶意软件的潜伏。用户应提高警惕,谨慎管理加密资产。
参考链接 [1]
2025年2月5日 —— 卡巴斯基实验室近日发布安全报告,揭示 Google Play 和 Apple App Store 上多款应用内含恶意SDK “SparkCat”,该SDK可窃取 加密货币钱包助记词和恢复密钥,进而盗取用户资产。这是首次在 iOS 平台 发现利用 OCR 光学识别 技术窃取加密钱包信息的恶意应用。
恶意应用影响范围广泛
• 受影响的 Android 应用下载量超过 24.2 万次。
• iOS 应用下载量未知,但同样面临风险。
• 黑客主要针对 中文、日文、韩文、拉丁文 用户,攻击范围可能覆盖全球。
恶意SDK的攻击方式
1. 用户安装受感染应用后,应用会扫描屏幕上的加密钱包助记词或恢复密钥。
2. 通过 OCR 技术识别并提取关键信息。
3. 通过黑客控制的服务器将数据发送出去(C2 服务器域名仿冒 阿里云 aliyung[.]com / aliyung[.]org)。
4. 攻击者利用窃取的数据恢复用户钱包并 清空资产。
部分受感染应用名单
Android 应用
• com.crownplay.vanity.address
• com.atvnewsonline.app
• com.bintiger.mall.android
• com.websea.exchange
• org.safew.messenger
• org.safew.messenger.store
• com.tonghui.paybank
• com.bs.feifubao
• com.sapp.chatai
• com.sapp.starcoin
iOS 应用
• im.pop.app.iOS.Messenger
• com.hkatv.ios
• com.atvnewsonline.app
• io.zorixchange
• com.yykc.vpnjsq
• com.llyy.au
• com.star.har91vnlive
• com.jhgj.jinhulalaab
• com.qingwa.qingwa888lalaaa
• com.blockchain.uttool
• com.wukongwaimai.client
• com.unicornsoft.unicornhttpsforios
• staffs.mil.CoinPark
• com.lc.btdj
• com.baijia.waimai
• com.ctc.jirepaidui
• com.ai.gbet
• app.nicegram
• com.blockchain.ogiut
• com.blockchain.98ut
• com.dream.towncn
• com.mjb.Hardwood.Test
• njiujiu.vpntest
• com.qqt.jykj
• com.ai.sport
• com.feidu.pay
• app.ikun277.test
• com.usdtone.usdtoneApp2
• com.cgapp2.wallet0
• com.bbydqb
• com.yz.Byteswap.native
• jiujiu.vpntest
• com.wetink.chat
• com.websea.exchange
• com.customize.authenticator
• im.token.app
• com.mjb.WorldMiner.new
• com.kh-super.ios.superapp
• com.thedgptai.event
• com.yz.Eternal.new
• xyz.starohm.chat
• com.crownplay.luckyaddress1
应对措施
1. 检查设备 是否安装了受感染应用,若发现请 立即卸载。
2. 更换钱包 并将资产转移到 全新钱包,避免被盗。
3. 启用安全防护,使用 2FA(双因素认证) 和 硬件钱包 保护资金。
4. 谨慎下载应用,尽量选择官方渠道,并关注应用权限。
此次恶意SDK事件表明,即便是官方应用商店,也难以完全杜绝恶意软件的潜伏。用户应提高警惕,谨慎管理加密资产。
参考链接 [1]
隐私中国 Dark Web Inform
卡巴斯基发现大量应用内含恶意SDK,窃取加密货币钱包信息 2025年2月5日 —— 卡巴斯基实验室近日发布安全报告,揭示 Google Play 和 Apple App Store 上多款应用内含恶意SDK “SparkCat”,该SDK可窃取 加密货币钱包助记词和恢复密钥,进而盗取用户资产。这是首次在 iOS 平台 发现利用 OCR 光学识别 技术窃取加密钱包信息的恶意应用。 恶意应用影响范围广泛 • 受影响的 Android 应用下载量超过 24.2 万次。 • iOS 应用下载量未知,但同样面临风险。…
Please open Telegram to view this post
VIEW IN TELEGRAM
隐私中国 Dark Web Inform
卡巴斯基发现大量应用内含恶意SDK,窃取加密货币钱包信息 2025年2月5日 —— 卡巴斯基实验室近日发布安全报告,揭示 Google Play 和 Apple App Store 上多款应用内含恶意SDK “SparkCat”,该SDK可窃取 加密货币钱包助记词和恢复密钥,进而盗取用户资产。这是首次在 iOS 平台 发现利用 OCR 光学识别 技术窃取加密钱包信息的恶意应用。 恶意应用影响范围广泛 • 受影响的 Android 应用下载量超过 24.2 万次。 • iOS 应用下载量未知,但同样面临风险。…
有人说要原文。下面提供给大家,感兴趣的可以看看,里面写的分析很详细。
https://securelist.ru/sparkcat-stealer-in-app-store-and-google-play/111638/
https://securelist.ru/sparkcat-stealer-in-app-store-and-google-play/111638/
DeepSeek遭大规模网络攻击 幕后黑手曝光
近日,中国AI大模型DeepSeek遭遇持续大规模网络攻击,导致服务器频繁宕机,用户体验受到严重影响。攻击主要涉及DDoS(分布式拒绝服务)攻击、HTTP代理攻击及僵尸网络协同作战,背后黑客组织逐步浮出水面。
攻击时间线
• 1月27日:DeepSeek宣布因大规模恶意攻击暂停新用户注册。
• 1月28日:安全公司Wiz.io发现DeepSeek的ClickHouse数据库发生数据泄露,暴露API密钥、聊天记录及后端信息。
• 1月29日:《环球时报》披露,自1月初以来,DeepSeek一直遭受DDoS攻击,攻击源主要来自美国IP,并伴随HTTP代理攻击和暴力破解尝试。
• 1月30日:网络安全研究机构XLab确认,Mirai僵尸网络的变种“HailBot”和“RapperBot”是此次攻击的幕后黑手,两者通过控制数万个感染设备协同发动DDoS攻击。
幕后黑手与攻击手法
1. HailBot僵尸网络
• 基于Mirai源码开发,具备DDoS攻击能力。
• 通过CVE-2017-17215漏洞传播,利用TCP/UDP协议发动攻击。
• 具备弱口令扫描能力,可通过Telnet和SSH爆破入侵设备。
2. RapperBot僵尸网络
• 通过SSH暴力破解和Telnet弱口令攻击扩散,专门针对物联网(IoT)设备。
• 具备持久化能力,可长期控制受感染设备,并利用其发动DDoS攻击。
黑产利用DeepSeek牟利
除了网络攻击,DeepSeek也成为黑产目标,黑客利用其知名度进行诈骗和恶意软件传播:
• 假冒官方网站:部分不法分子创建虚假DeepSeek官网,传播带有恶意软件的伪装安装包。
• 加密货币诈骗:黑客伪造DeepSeek相关代币,诱导用户投资,骗取资金。
• 虚假投资骗局:声称出售DeepSeek“IPO前股票”,吸引投资者上当受骗。
DeepSeek官方回应与安全建议
DeepSeek官方已发布声明,提醒用户警惕仿冒账号和恶意链接。目前,DeepSeek在官方社交平台(微信公众号、X/Twitter、小红书)上发布安全通知,建议用户:
• 避免访问非官方渠道的DeepSeek网站,防范恶意软件下载。
• 使用安全DNS、广告拦截器,防止恶意跳转。
• 提高警惕,避免参与DeepSeek相关的加密货币投资,防止资金损失。
此次事件显示,人工智能行业正成为黑客重点攻击目标,未来需加强网络安全防护,以应对更复杂的攻击手段。
近日,中国AI大模型DeepSeek遭遇持续大规模网络攻击,导致服务器频繁宕机,用户体验受到严重影响。攻击主要涉及DDoS(分布式拒绝服务)攻击、HTTP代理攻击及僵尸网络协同作战,背后黑客组织逐步浮出水面。
攻击时间线
• 1月27日:DeepSeek宣布因大规模恶意攻击暂停新用户注册。
• 1月28日:安全公司Wiz.io发现DeepSeek的ClickHouse数据库发生数据泄露,暴露API密钥、聊天记录及后端信息。
• 1月29日:《环球时报》披露,自1月初以来,DeepSeek一直遭受DDoS攻击,攻击源主要来自美国IP,并伴随HTTP代理攻击和暴力破解尝试。
• 1月30日:网络安全研究机构XLab确认,Mirai僵尸网络的变种“HailBot”和“RapperBot”是此次攻击的幕后黑手,两者通过控制数万个感染设备协同发动DDoS攻击。
幕后黑手与攻击手法
1. HailBot僵尸网络
• 基于Mirai源码开发,具备DDoS攻击能力。
• 通过CVE-2017-17215漏洞传播,利用TCP/UDP协议发动攻击。
• 具备弱口令扫描能力,可通过Telnet和SSH爆破入侵设备。
2. RapperBot僵尸网络
• 通过SSH暴力破解和Telnet弱口令攻击扩散,专门针对物联网(IoT)设备。
• 具备持久化能力,可长期控制受感染设备,并利用其发动DDoS攻击。
黑产利用DeepSeek牟利
除了网络攻击,DeepSeek也成为黑产目标,黑客利用其知名度进行诈骗和恶意软件传播:
• 假冒官方网站:部分不法分子创建虚假DeepSeek官网,传播带有恶意软件的伪装安装包。
• 加密货币诈骗:黑客伪造DeepSeek相关代币,诱导用户投资,骗取资金。
• 虚假投资骗局:声称出售DeepSeek“IPO前股票”,吸引投资者上当受骗。
DeepSeek官方回应与安全建议
DeepSeek官方已发布声明,提醒用户警惕仿冒账号和恶意链接。目前,DeepSeek在官方社交平台(微信公众号、X/Twitter、小红书)上发布安全通知,建议用户:
• 避免访问非官方渠道的DeepSeek网站,防范恶意软件下载。
• 使用安全DNS、广告拦截器,防止恶意跳转。
• 提高警惕,避免参与DeepSeek相关的加密货币投资,防止资金损失。
此次事件显示,人工智能行业正成为黑客重点攻击目标,未来需加强网络安全防护,以应对更复杂的攻击手段。
英国政府被曝要求苹果提供iCloud加密后门
据《华盛顿邮报》2025年2月7日报道,英国政府依据《调查权力法》(IPA)向苹果公司发出“技术能力通知”(TCN),要求其为iCloud加密数据提供后门,允许当局访问全球用户上传的文件。
苹果此前推出的“高级数据保护”功能,使iCloud备份具备端到端加密(E2EE),遭到英美执法机构反对。英国政府称,该措施妨碍打击犯罪,需要科技公司配合提供访问权限。苹果未对此置评,但长期以来坚决反对设置后门,认为此举将威胁用户隐私和数据安全。
此事引发国际关注,美国政府已介入了解,科技行业普遍反对政府干预,谷歌和Meta均表示不会提供类似后门。如果英国成功施压,其他国家可能效仿,全球科技公司的加密策略或将受到挑战。
参考链接 [1]
据《华盛顿邮报》2025年2月7日报道,英国政府依据《调查权力法》(IPA)向苹果公司发出“技术能力通知”(TCN),要求其为iCloud加密数据提供后门,允许当局访问全球用户上传的文件。
苹果此前推出的“高级数据保护”功能,使iCloud备份具备端到端加密(E2EE),遭到英美执法机构反对。英国政府称,该措施妨碍打击犯罪,需要科技公司配合提供访问权限。苹果未对此置评,但长期以来坚决反对设置后门,认为此举将威胁用户隐私和数据安全。
此事引发国际关注,美国政府已介入了解,科技行业普遍反对政府干预,谷歌和Meta均表示不会提供类似后门。如果英国成功施压,其他国家可能效仿,全球科技公司的加密策略或将受到挑战。
参考链接 [1]
TechCrunch
UK government demands Apple backdoor to encrypted cloud data: Report | TechCrunch
Apple is likely to stop providing its encrypted cloud service to U.K. users
DeepSeek大模型核心提示词被泄露,研究人员成功绕过安全限制
2025年2月8日消息,国外研究人员成功越狱DeepSeek V3,获取了其核心系统提示词。这一指令集控制着AI的行为模式、内容限制及任务处理方式。DeepSeek官方已修复漏洞,但研究人员担忧类似手法可能影响其他AI模型,因此未公开详细技术细节。
研究显示,DeepSeek的系统提示词包含严格的内容审核和安全限制,强调中立性、用户安全和数据隐私。相比之下,OpenAI的GPT-4o对敏感内容的处理更加开放,允许更深入的批判性讨论。DeepSeek的内部指令还预定义了11类任务主题,包括创意写作、技术查询、语言处理、历史科学等。
此次事件再次凸显大模型安全挑战,研究人员警告,绕过AI安全限制的技术正在不断进化,可能被滥用于恶意攻击或信息操控。科技公司需持续强化安全措施,以防止模型被误导或用于非法用途。
由于提示词过长所以放在评论区了
2025年2月8日消息,国外研究人员成功越狱DeepSeek V3,获取了其核心系统提示词。这一指令集控制着AI的行为模式、内容限制及任务处理方式。DeepSeek官方已修复漏洞,但研究人员担忧类似手法可能影响其他AI模型,因此未公开详细技术细节。
研究显示,DeepSeek的系统提示词包含严格的内容审核和安全限制,强调中立性、用户安全和数据隐私。相比之下,OpenAI的GPT-4o对敏感内容的处理更加开放,允许更深入的批判性讨论。DeepSeek的内部指令还预定义了11类任务主题,包括创意写作、技术查询、语言处理、历史科学等。
此次事件再次凸显大模型安全挑战,研究人员警告,绕过AI安全限制的技术正在不断进化,可能被滥用于恶意攻击或信息操控。科技公司需持续强化安全措施,以防止模型被误导或用于非法用途。
由于提示词过长所以放在评论区了
DeepSeek未加密传输用户数据,安全隐患引发全球关注
近日,安全公司NowSecure在审计中发现,DeepSeek iOS应用在未加密的情况下传输用户和设备数据,可能导致信息泄露和攻击风险。研究表明,该应用未启用iOS平台的应用传输安全(ATS),且使用不安全的加密算法(3DES),使数据容易受到拦截和篡改。
此外,DeepSeek的数据流向字节跳动旗下的“火山引擎”服务器,这一发现引发了美国和多个国家政府的进一步安全审查。目前,美国、印度、澳大利亚、意大利、荷兰等国已禁止在政府设备上使用DeepSeek,担忧其数据安全问题。
与此同时,网络犯罪分子正利用DeepSeek的流行趋势发起攻击。XLab报告称,该平台近期遭遇Mirai僵尸网络hailBot和RapperBot的DDoS攻击,同时,黑客正在建立仿冒网站传播恶意软件和诈骗内容。安全专家警告,用户应警惕相关风险,并避免在不安全环境下使用该应用。
近日,安全公司NowSecure在审计中发现,DeepSeek iOS应用在未加密的情况下传输用户和设备数据,可能导致信息泄露和攻击风险。研究表明,该应用未启用iOS平台的应用传输安全(ATS),且使用不安全的加密算法(3DES),使数据容易受到拦截和篡改。
此外,DeepSeek的数据流向字节跳动旗下的“火山引擎”服务器,这一发现引发了美国和多个国家政府的进一步安全审查。目前,美国、印度、澳大利亚、意大利、荷兰等国已禁止在政府设备上使用DeepSeek,担忧其数据安全问题。
与此同时,网络犯罪分子正利用DeepSeek的流行趋势发起攻击。XLab报告称,该平台近期遭遇Mirai僵尸网络hailBot和RapperBot的DDoS攻击,同时,黑客正在建立仿冒网站传播恶意软件和诈骗内容。安全专家警告,用户应警惕相关风险,并避免在不安全环境下使用该应用。
苹果发布 iOS 18.3.1 紧急安全更新,修复物理破解漏洞
2月11日凌晨,苹果推送了 iOS 18.3.1 (22D72) 紧急更新,未经过 Beta 测试即直接发布,表明此次更新涉及重要安全修复。
关键修复内容:
• ProactiveSummarization 框架漏洞:修复了两个 留空的配置文件(BundleldsDenyList.plist 和 SummarizationCategoriesDenyList.plist),可能影响系统数据处理安全性。
• USB 限制模式绕过:修复了 物理破解攻击 可绕过 USB 限制模式的问题,进一步强化设备的物理安全防护。
此次更新 专注于安全性修复,苹果建议所有 iPhone 用户尽快升级,以防止潜在攻击利用这些漏洞进行入侵或数据窃取。
2月11日凌晨,苹果推送了 iOS 18.3.1 (22D72) 紧急更新,未经过 Beta 测试即直接发布,表明此次更新涉及重要安全修复。
关键修复内容:
• ProactiveSummarization 框架漏洞:修复了两个 留空的配置文件(BundleldsDenyList.plist 和 SummarizationCategoriesDenyList.plist),可能影响系统数据处理安全性。
• USB 限制模式绕过:修复了 物理破解攻击 可绕过 USB 限制模式的问题,进一步强化设备的物理安全防护。
此次更新 专注于安全性修复,苹果建议所有 iPhone 用户尽快升级,以防止潜在攻击利用这些漏洞进行入侵或数据窃取。
苹果与阿里合作开发 AI,为中国 iPhone 用户提供本地化智能功能
据 The Information 报道,苹果公司与阿里巴巴达成合作,将共同开发适用于中国市场的人工智能功能,并已向中国网络监管机构提交审批。这标志着苹果在中国的 AI 战略取得新进展。
知情人士透露,苹果自 2023 年起测试多家中国 AI 开发商的模型,并最初选择百度作为主要合作伙伴。然而,由于百度 AI 模型的开发进度未达预期,合作受阻。随后,苹果转而评估腾讯、字节跳动、阿里巴巴和 DeepSeek 的方案。最终,苹果放弃了 DeepSeek,主要原因是该团队缺乏支持大规模商业合作的经验。
苹果此举符合中国严格的数据监管要求,未来 iPhone 在中国市场的 AI 功能或将与全球版本有所不同。目前,苹果与阿里的具体合作细节尚未正式公布。
据 The Information 报道,苹果公司与阿里巴巴达成合作,将共同开发适用于中国市场的人工智能功能,并已向中国网络监管机构提交审批。这标志着苹果在中国的 AI 战略取得新进展。
知情人士透露,苹果自 2023 年起测试多家中国 AI 开发商的模型,并最初选择百度作为主要合作伙伴。然而,由于百度 AI 模型的开发进度未达预期,合作受阻。随后,苹果转而评估腾讯、字节跳动、阿里巴巴和 DeepSeek 的方案。最终,苹果放弃了 DeepSeek,主要原因是该团队缺乏支持大规模商业合作的经验。
苹果此举符合中国严格的数据监管要求,未来 iPhone 在中国市场的 AI 功能或将与全球版本有所不同。目前,苹果与阿里的具体合作细节尚未正式公布。
Mars Hydro 物联网数据库泄露:27 亿条用户数据暴露,涉及 Wi-Fi 密码、设备 ID 和 API 凭据
中国物联网设备制造商 Mars Hydro 旗下数据库因安全配置错误,导致全球用户数据泄露,涉及 27 亿条记录,总大小达 1.17TB。安全研究员 Jeremiah Fowler 发现,该数据库 未受密码保护或加密,其中包含 Wi-Fi SSID(网络名称)、密码、设备 ID、IP 地址及 API 详细信息,甚至可用于远程控制设备。
本次数据泄露涉及 LG-LED SOLUTIONS LIMITED,该公司在美国加州注册,并运营 Mars Hydro 和 Spider Farmer 等智能生长灯品牌,设备遍布全球。研究人员指出,错误日志中包含用户设备信息,暴露了 智能手机操作系统、App 版本、授权令牌 等敏感数据。这些数据若被恶意利用,可能会导致 用户网络遭入侵、物联网设备被远程控制,甚至用于更高级的网络攻击,如 中间人攻击(MITM) 或 DDoS 攻击。
在收到安全通知后,Mars Hydro 已在数小时内封锁数据库访问,但未对此次泄露发表公开声明。研究人员向该公司客户支持团队求证,确认 Mars Pro App 属于官方产品,但仍不清楚数据库是由 Mars Hydro 直接运营,还是通过第三方承包商管理。此外,目前尚无法确定数据库暴露的时间以及是否有其他黑客或第三方访问过这些数据。
物联网安全问题日益严峻,此前 Palo Alto Networks 研究显示,57% 的 IoT 设备存在严重漏洞,98% 的数据未加密传输,使其极易成为攻击目标。本次泄露事件再次暴露了物联网产品 缺乏长期安全维护、数据存储管理不当 等问题。专家建议受影响用户:
• 立即更改 Wi-Fi 密码,并避免使用默认设备密码;
• 检查路由器日志,监测是否有异常设备连接;
• 在网络设备上启用 WPA3 加密,提高安全性;
• 定期更新固件,避免使用未受支持的 IoT 设备。
尽管 Mars Hydro 迅速封锁了数据库,但此类泄露事件暴露出的安全隐患仍值得行业警惕。IoT 设备厂商应加强数据加密措施,避免存储敏感信息,并定期进行安全审计,以降低用户数据遭窃取的风险。
另外有意思的是根据 Google Play 和 Apple App Store 上的 Mars Hydro 数据隐私声明,该应用程序不收集用户数据。💀💀💀
参考链接 [1]
中国物联网设备制造商 Mars Hydro 旗下数据库因安全配置错误,导致全球用户数据泄露,涉及 27 亿条记录,总大小达 1.17TB。安全研究员 Jeremiah Fowler 发现,该数据库 未受密码保护或加密,其中包含 Wi-Fi SSID(网络名称)、密码、设备 ID、IP 地址及 API 详细信息,甚至可用于远程控制设备。
本次数据泄露涉及 LG-LED SOLUTIONS LIMITED,该公司在美国加州注册,并运营 Mars Hydro 和 Spider Farmer 等智能生长灯品牌,设备遍布全球。研究人员指出,错误日志中包含用户设备信息,暴露了 智能手机操作系统、App 版本、授权令牌 等敏感数据。这些数据若被恶意利用,可能会导致 用户网络遭入侵、物联网设备被远程控制,甚至用于更高级的网络攻击,如 中间人攻击(MITM) 或 DDoS 攻击。
在收到安全通知后,Mars Hydro 已在数小时内封锁数据库访问,但未对此次泄露发表公开声明。研究人员向该公司客户支持团队求证,确认 Mars Pro App 属于官方产品,但仍不清楚数据库是由 Mars Hydro 直接运营,还是通过第三方承包商管理。此外,目前尚无法确定数据库暴露的时间以及是否有其他黑客或第三方访问过这些数据。
物联网安全问题日益严峻,此前 Palo Alto Networks 研究显示,57% 的 IoT 设备存在严重漏洞,98% 的数据未加密传输,使其极易成为攻击目标。本次泄露事件再次暴露了物联网产品 缺乏长期安全维护、数据存储管理不当 等问题。专家建议受影响用户:
• 立即更改 Wi-Fi 密码,并避免使用默认设备密码;
• 检查路由器日志,监测是否有异常设备连接;
• 在网络设备上启用 WPA3 加密,提高安全性;
• 定期更新固件,避免使用未受支持的 IoT 设备。
尽管 Mars Hydro 迅速封锁了数据库,但此类泄露事件暴露出的安全隐患仍值得行业警惕。IoT 设备厂商应加强数据加密措施,避免存储敏感信息,并定期进行安全审计,以降低用户数据遭窃取的风险。
另外有意思的是根据 Google Play 和 Apple App Store 上的 Mars Hydro 数据隐私声明,该应用程序不收集用户数据。💀💀💀
参考链接 [1]