ISHACK AI BOT

创新型中小企业 创新型中小企业指具有较高专业化水平、较强创新能力和发展潜力的企业，是优质中小企业梯度培育中的一环，是优质中小企业的基础力量，也是后期成长为“专精特新企业”的重要先决条件。 近日，北京市经济和信息化局公示了2023年度12月份北京市创新型中小企业名单。名单中，园区企业中环网安科技有限公司、北京技德系统技术有限公司上榜！ 上榜企业简介 中环网安科技有限公司注册资金5000万，公司聚集了中国节能环保和网络安全行业的开拓者和一批高素质的技术专家，积极引进和转化世界先进的实践经验和技术成果。 公司凭借雄厚的技术资源以及可持续发展专业背景，与相关行业主管部门紧密合作，构建了等保咨询服务、渗透测试服务、漏洞扫描服务、安全加固服务、网站监测服务、安全巡检服务、安全应急服务、风险评估服务、工业互联网评测服务、认证体系服务、培训教育服务等业务板块。在2023年，公司被公安部第三研究所授权为“北京市铁路交通行业技术服务站”。 北京技德系统技术有限公司是一家致力于推动“多端融合、多屏协同”的移动生产力解决方案厂商。公司具备国产跨平台操作系统“技德系统”（JideOS）、跨平台兼容层技术（JStack）、人工智能能力支撑技术（JAl+）以及真笔迹还原手写应用“云记”（Jnotes）等核心产品和技术，可为操作系统厂商、整机终端厂商、行业应用厂商、集成商提供技术解决方案。 技德研发的操作系统解决方案具备跨芯片平台和应用兼容能力，同时可以满足多种场景下融合体验，适用于党、政、教育、金融、交通、能源、医疗、航空、无人驾驶等多个信创行业和新兴领域。 关于国家网络安全产业园区(通州园) 国家网络安全产业园区（通州园）是由工业和信息化部与北京市人民政府合作共同建设的国家级网络安全产业园区，是北京城市副中心科技产业发展的主阵地和推进网络强国建设的重要平台。 一直以来，园区充分发挥产业及政策优势，通过成立企业服务团队、举办行业活动、政策宣讲、申报指导、携手高校合作等多元化服务，不断加强技术人才培养，大力培育“专精特新”产业集群，促进企业创新发展。目前，园区累计引进企业228家，其中已有3家国家级专精特新“小巨人”企业，3家北京市专精特新“小巨人”企业，18家北京市“专精特新”中小企业，13家北京市“创新型”中小企业，35家“国家高新技术企业”，企业培育效果显著。 未来，园区将不断优化企业服务，加强产业链条的培育与建设，引导企业提高自主创新能力与核心竞争力，促进科技成果转化，为园区及副中心高质量发展注入更多新动能。 文章来源：网络安全产业园区 通州园

随着工作中聊天机器人的广泛使用，使员工无意中就会共享敏感数据，人为因素对数据安全的影响变得愈加严重。值得注意的是，亚马逊、苹果和 Spotify 等大公司正在采取措施来防止数据泄露。 目前没有看到 2023 年个人对隐私保险的需求出现任何激增。然而，保险公司已经将数据泄露风险纳入个人网络保险保单中，该市场预计到 2025 年将出现显著增长。下面，将介绍一些2024年在线隐私的重要发展。 私有数据的概念将拓展 虽然网络攻击中私人数据的传统理解主要包括个人信息和身份信息，但照片、视频和语音数据却不一定是这个概念的一部分。到 2024 年，这将有所改观。制作语音伪造品诈骗者越来越多地利用生物识别数据进行欺诈，加强保护此类信息的紧迫性越来越高。 基于这种不断变化的形势，欧盟正在密切制定立法框架，专门针对面部处理技术以加强数据保护。 支持人工智能的可穿戴设备可能会引发关于隐私的新辩论 大多数人已经接受了口袋里一直存在的跟踪设备（智能手机）和家中的跟踪设备（例如带有智能助手的扬声器）。然而，智能眼镜等可穿戴设备，尤其是配备摄像头的设备，往往会引起更多质疑。例如，关于带有摄像头的智能眼镜对隐私的影响引起了激烈的争论。 随着人工智能发展的快速步伐，一些公司，例如Rabbit和Humane，一直在努力将这些功能引入可穿戴设备。“ AI pin”等设备的含义之一是指有一个摄像头始终盯着您的脸，并且有一个麦克风可能正在监听您的命令。虽然这与智能手机相比并没有很大的差距，但这些设备的明显特征可能会严重影响到周围的人，尤其是那些关心自己隐私的人。 2024 年或将对 AR 和 VR 的发展制定新的隐私标准 当苹果推出一款新产品时，通常会吸引公众对该产品和类似产品的关注。随着Apple Vision Pro的推出以及AR/VR日益融入日常生活，其隐私问题成为人们关注的焦点。政府和监管机构一般会通过收紧针对 AR/VR 设备的隐私法规来应对。鉴于这些技术的沉浸式性质，可能会重点关注保护用户数据、确保安全交互并解决潜在风险，例如未经授权的数据访问或滥用。AR/VR 生态系统内的透明度和问责制也可能是焦点。 人们将减少对泄露密码的担忧 当密码泄露时，它可能会以不同的形式出现：从大多数运行不佳的网站上的明文到强加盐的加密哈希值。在最坏的情况下，泄漏的密码可以恢复到其原始形式（例如，如果它们被不正确地散列）并用于访问属于同一用户的其他帐户（在称为凭证填充的攻击中）。 这些攻击可能会导致严重后果：例如，基因数据泄露是撞库的结果。但是，目前认为包含密码的数据泄露其重要性和危害将会下降。 第一个原因是双因素身份验证的日益普及，其中通过短信发送或在特殊身份验证器应用程序（例如卡巴斯基密码管理器）中生成的附加代码用于确认用户登录。第二个原因是使用密码进行身份验证的情况将继续下降。现在，一些服务（尤其是谷歌）已经通过密钥进行无密码身份验证。其他服务正在放弃密码，转而采用生物识别身份验证。 通过助理机器人的兴起促进隐私保护 随着利用自然语言处理 (NLP) 的助理机器人在各个领域的不断普及，出现了利用这些技术来保护用户隐私的绝佳机会。想象一下，未来机器人助手在保护个人数据方面发挥着关键作用，特别是在呼叫交互中。例如，复杂的机器人助手可以无缝处理用户的呼叫，以确保敏感信息（例如用户的语音）受到保护。这种主动措施可以威慑潜在的欺诈者。而作为呼叫者和用户之间中介的机器人已经存在。 我们期望在不久的将来，见证这些先进的机器人集成到通信系统中。这种演变不仅增强了用户隐私，还体现了人们采用技术来应对数字环境中，新出现的威胁的一种积极主动的态度。然而，值得注意的是，采用新的、复杂的助理机器人很可能也会被发现新的漏洞。

往期回顾： 2024.1.29—2024.2.4安全动态周回顾 2024.1.22—2024.1.28安全动态周回顾 2024.1.15—2024.1.21安全动态周回顾 2024.1.8—2024.1.14安全动态周回顾

Google 威胁分析小组 (TAG) 在 2023 年发现的用于监视全球设备的0 day漏洞中，80% 都是商业间谍软件供应商 (CSV) 所为。他们跟踪了40 家商业间谍软件供应商， 发现过去 10 年间影响其产品的 72 个已知的野外0 day漏洞中有 35 个可归因于间谍软件供应商。 “这是一个下限估计，因为它只反映了已知的 0 day 漏洞。在考虑了 CSV 使用的尚未检测到的漏洞之后，针对 Google 产品的 CSV 开发的 0 day 漏洞的实际数量几乎肯定会更高。”谷歌相关人员表示。 这些间谍软件供应商根据客户（包括政府和私人组织）的指示，利用0 day漏洞来攻击记者、公众人物和政治人物。 Google 报告中突出显示的一些值得注意的 CSV 包括： ·Cy4Gate和RCS Lab：意大利公司，以 Android 和 iOS 的“Epeius”和“Hermit”间谍软件而闻名。前者于2022年收购后者，但独立运营。 ·Intellexa：自 2019 年起由 Tal Dilian 领导的间谍软件公司联盟。它结合了 Cytrox 的“Predator”间谍软件和 WiSpear 的 WiFi 拦截工具等技术，提供集成的间谍解决方案。 ·Negg Group：意大利 CSV，成立于 2013 年。它以“Skygofree”恶意软件和“VBiss”间谍软件而闻名，通过漏洞利用链针对移动设备。 ·NSO 集团：以 Pegasus 间谍软件和其他复杂间谍工具而闻名的以色列公司。尽管涉及法律问题，但它仍在继续运营。 ·Variston：西班牙 CSV，提供量身定制的安全解决方案。它与其他供应商合作进行0 day漏洞利用，并与 Heliconia 框架相关联，在阿联酋进行扩展。 这些供应商以数百万美元的价格出售使用其产品的许可证，允许客户使用未记录的一键或零点击漏洞来感染 Android 或 iOS 设备。 谷歌表示，CSV 在寻找 0 day 漏洞方面非常积极，在 2019 年至 2023 年间开发了至少 33 个针对未知漏洞的漏洞利用程序。 在Google详细报告的附录中，可以找到11个CSV使用的74个0 day的列表。其中，大多数是影响 Google Chrome (24) 和 Android (20) 的0 day漏洞，其次是 Apple iOS (16) 和 Windows (6)。 当白帽研究人员发现并修复被利用的漏洞时，CSV 通常会遭受重大的运营和财务损失，因为他们很难重建有效的替代感染途径。 谷歌表示：“每次谷歌和其他安全研究人员发现并披露新的错误，都会给 CSV 带来阻力并降低开发周期。” “当我们发现并修补漏洞利用链中使用的漏洞时，它不仅可以保护用户，还可以阻止 CSV 履行与客户的协议，阻止他们获得报酬，并增加他们继续运营的成本。” 谷歌呼吁需对间谍软件行业采取更多行动，包括政府之间加强合作、引入严格的指导方针来管理监控技术的使用，以及与托管不合规供应商的国家进行外交努力。 Google 通过安全浏览、Gmail 安全、高级保护计划 (APP) 和 Google Play Protect 等解决方案，以及通过与技术社区公开共享威胁信息等举措，积极应对间谍软件威胁。

Microsoft 正在调查打开 .ICS 日历文件时触发 Outlook 安全警报的问题。 受此问题影响的Microsoft 365 用户在双击本地保存的 ICS 文件时，会看到对话框警告说“Microsoft Office 已发现潜在的安全问题”以及“此位置可能不安全”等提醒。 微软在本地支持文档中解释说：“打开 .ICS 文件时不会出现此情况，这个问题将在未来的更新中解决。” 该公司还透露，在部署修补CVE-2023-35636 Microsoft Outlook信息泄露漏洞的安全更新后，将显示安全警告。 如果不修补，攻击者可能会利用该安全漏洞来诱骗未修补 Outlook 安装的用户，打开恶意制作的文件，以窃取 NTLM 哈希值（他们的混淆 Windows 凭据）。攻击者可以使用它们来验证受感染用户的身份、访问敏感数据或在网络上横向传播。 可用的解决方法 在解决方案出台之前，以注册表项的形式为受影响的用户提供了一个临时修复程序，该注册表项将禁用安全通知。 但是，部署此解决方法后，用户将停止接收所有潜在危险文件类型的安全提示，而不仅仅是 ICS 日历。 受此已知问题影响的用户必须将值为“1”的新 DWORD 密钥添加到： HKEY_CURRENT_USER\software\policies\microsoft\office\16.0\common\security（组策略注册表路径） Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Security（OCT 注册表路径） 受影响的客户还可以按照“启用或禁用 Office 程序中的超链接警告消息”支持文档中提供的分步说明来禁用该对话框。 本月早些时候，微软修复了另一个已知的 Outlook 问题，该问题导致桌面和移动电子邮件客户端在使用 Outlook.com 帐户时无法连接。 去年12 月，该公司还解决了另外两个错误，其中一个错误导致拥有大量文件夹的用户在发送电子邮件时出现问题，还有一个错误导致 Outlook 桌面客户端在从 Outlook.com 帐户发送电子邮件时崩溃。

Microsoft 近期发生了连接中断，该中断影响其 Teams 通信平台的用户，并导致连接、登录、消息接收等出现问题。 Microsoft 官方帐户发布了有关 Microsoft 365服务更新的信息：“我们发现了一个影响 Teams 服务部分的网络问题，我们正在执行故障转移来进行修复。更多信息可以在管理中心的 TM710344 下找到。” 据受影响的客户反映，登录和服务器连接出现问题，桌面和移动 Teams 应用程序在加载屏幕上冻结以及消息传递都出现了问题。以及聊天历史记录不可用、图像不再显示在聊天中、在加入 Teams 会议后留在等候室等情况。 在受影响的系统上，客户会看到“我们遇到服务器错误。某些功能现在可能无法运行，但您可以继续使用该应用程序”错误。 根据 Microsoft 365 管理中心的 TM710344 事件报告， 他们承认此次中断影响了北美、欧洲、中东和非洲地区的客户。 中断会影响执行冷启动的用户，他们可能无法登录团队并会看到“哎呀”页面，还会导致用户尝试登录其帐户并解锁设备时看到丢失的消息。 受影响的客户遇到的其他情况可能会导致： ·用户可能无法在频道和聊天中加载消息 ·用户无法查看或下载其媒体（图像、视频、音频、通话录音、代码片段） ·某些消息的发送可能会出现延迟 ·通话录音可能需要更长的时间才会出现在用户的 OneDrive for Business 和 SharePoint Online 中 ·机器人可能无法下载附件 ·发送和接收已读回执通知可能会延迟 目前，微软表示已经完成了欧洲、中东和非洲地区的故障转移，服务遥测显示出一些改善。北美和南美地区的故障转移正在进行中，并将继续进行监控。

AnyDesk 是一种远程访问解决方案，允许用户通过互联网远程访问计算机，企业一般使用它来提供远程支持或访问托管服务器，威胁组织通常使用它来持续访问受破坏的设备和网络。其拥有 170,000 名客户，包括 7-11、康卡斯特、三星、麻省理工学院、英伟达、西门子等。 最近，AnyDesk遭受了网络攻击，源代码和私有代码签名密钥在攻击期间被盗。黑客得以访问公司的生产系统。 AnyDesk 遭遇攻击 AnyDesk 表示，他们在检测到生产服务器异常后首次了解到此次攻击。 在进行安全审计后，他们确定自己的系统受到了损害，并在网络安全公司的帮助下启动了响应计划。 AnyDesk 证实勒索软件并未参与其中，除了表示他们的服务器遭到破坏之外，没有透露太多有关此次攻击的信息，也没有透露有关攻击期间数据是否被盗的详细信息。 作为回应的一部分，AnyDesk 表示他们已吊销与安全相关的证书，并根据需要修复或更换系统，向客户保证 AnyDesk 可以安全使用，并且没有证据表明最终用户设备会受到该事件的影响。 AnyDesk 在一份公开声明中表示：“我们确认情况已得到控制，使用 AnyDesk 是安全的。请确保您使用的是最新版本，并带有新的代码签名证书。” 虽然该公司表示没有身份验证令牌被盗，但出于谨慎考虑，AnyDesk 正在撤销其门户网站的所有密码，并建议更改在其他网站上使用的密码。 该公司已经开始替换被盗的代码签名证书，他们正在 1 月 29 日发布的 AnyDesk 8.0.8 版本中使用新证书。 该软件的早期版本，较旧的可执行文件以“philandro Software GmbH”的名称进行签名，序列号为 0dbf152deaf0b981a8a938d53f769db8。新版本现已在“AnyDesk Software GmbH”下签名，序列号为0a8177fcd8936a91b5e0eddf995b0ba5，如下所示： 已签名的 AnyDesk 8.0.6（左）与 AnyDesk 8.0.8（右） 证书通常不会失效，除非它们受到损害，例如在攻击中被盗或公开暴露。 虽然 AnyDesk 没有透露泄露发生的时间，但 Born 报告称，AnyDesk 从 1 月 29 日开始经历了四天的宕机，在此期间该公司无法登录 AnyDesk 客户端。 AnyDesk 状态消息页面上写道：“my.anydesk II 目前正在进行维护，预计维护时间将持续 48 小时或更短时间。 ” 目前，访问权限已恢复，允许用户登录自己的帐户，但 AnyDesk 没有在状态更新中表明任何维护原因。 但AnyDesk已证实，本次维护与网络安全事件有关。 此外，虽然 AnyDesk 表示密码并未在攻击中被盗，但威胁组织确实获得了生产系统的访问权限，因此强烈建议所有 AnyDesk 用户更改密码，切换到新版本的软件，因为旧的代码签名证书很快就会被撤销。

2024年1月31日，荷兰数据保护当局（AP）宣布其于2023年12月11日发布的决定，对Uber Technologies Inc.和Uber B.V.（统称Uber）违反《通用数据保护条例》（GDPR）处以1000万欧元的罚款。 决定背景 AP强调它在法国收到超过170名司机的投诉后展开了调查，这些投诉是通过Ligue des droits de l'homme et du citoyen（LDH）作为中介提交给法国数据保护当局（CNIL）的，司机的投诉涉及对其数据的访问。随后，因为Uber的欧洲总部位于荷兰，CNIL将投诉转发给AP。 荷兰数据保护当局的调查结果 荷兰数据保护当局发现司机用于请求访问其数据的数字表单并不容易访问，需要经过太多步骤，并且无法直观地引导到请求表单。AP认为由于与司机的大多数互动是通过Uber应用程序进行的，司机应该能够通过应用程序行使其数据主体权利。据此，AP认此Uber违反了GDPR第12条第2款关于访问权的规定。 AP还认为作为数据主体向司机提供的信息不符合GDPR第12条第1款的可理解性要求，因为提供的信息不是用简明扼要的语言表述的。其中，Uber应用程序的指导信息仅提供英语，而不是法语。尽管法国司机必须通过英语考试，但AP认为参考瑞典监督当局（IMY）关于Spotify的决定，Uber未采取足够措施确保数据主体理解可用的信息，从而违反了GDPR第12条第1款。 AP还指出关于司机数据保留的问题，没有在隐私条款和条件中具体说明优步保留司机个人数据的时间，因此AP认定Uber违反了GDPR第13条第2款（a）、第15条第1款（a）和第15条第1款（d）的规定。Uber的隐私政策还未说明个人数据传输发生在欧洲经济区以外的哪些国家，以及采取了哪些措施来解决这个问题。而且，Uber只提供了一般性条款，而没有提供明确的信息，未能让数据主体有机会确定他们可以获得哪些保障。因此，Uber被认定违反了GDPR第13条第1款（f）的规定。 最后，AP指出Uber的隐私政策未提及数据可移植权，"接收数据 "一词的使用与数据可携带权无关，因为它也可能涉及到访问权。因此，Uber被认定违反了GDPR第13条第2款（b）的规定。 鉴于上述违规行为，AP认为对Uber处以1000万欧元的罚款是合适的。

近期，代号为“Synergia”的国际执法行动关闭了 1300 多个用于勒索软件、网络钓鱼和恶意软件活动的命令和控制服务器。 命令和控制服务器 (C2) 是由威胁分子操作的设备，用于控制攻击中使用的恶意软件并收集从受感染设备发送的信息。 这些服务器允许威胁分子推送额外的有效负载或命令，以在受感染的设备上执行，使它们成为许多攻击中不可或缺的架构。 对于某些恶意软件而言，使用命令和控制服务器脱机可以防止进一步的恶意活动，因为威胁分子无法从受感染的设备发送或接收数据。 Synergia 行动在 2023 年 9 月至 11 月期间识别并关闭了指挥和控制服务器，来自 55 个国家的 60 个执法机构参与了该行动。通过此次行动，警方发现了 1300 个与勒索软件、恶意软件和网络钓鱼活动相关的 C2 服务器 IP 地址。 国际刑警组织表示，行动期间发现的大约 70% 的指挥与控制 (C2) 服务器已被关闭，这对网络犯罪分子造成了重大影响。 这些服务器大部分位于欧洲，同时在新加坡也发现了大量服务器。在非洲，大多数活动发生在南苏丹和津巴布韦，而在美洲，恶意软件操作在玻利维亚被发现并拆除。 国际刑警组织网络犯罪助理主任贝尔纳多·皮洛表示：“此次行动的结果是通过多个国家和合作伙伴的集体努力取得的，表明了我们对保护数字空间的坚定承诺。” 网络情报公司 Group-IB 参与了这次行动，为调查提供了关键数据，该公司报告称，此次行动发现了 1900 多个与勒索软件、银行木马和恶意软件操作相关的 IP 地址。 Group-IB 表示，其余 30% 尚未下线的服务器目前正在接受调查，以了解其在网络犯罪活动中的作用。 摧毁 C2 服务器是破坏网络犯罪活动的重要一步，因为它们是僵尸网络操作、数据泄露、有效负载获取、攻击协调、远程命令执行等的关键组成部分。 此外，扣押服务器通常可以帮助收集情报，这些情报对于持续调查特定网络犯罪活动至关重要。

往期回顾： 2024.1.22—2024.1.28安全动态周回顾 2024.1.15—2024.1.21安全动态周回顾 2024.1.8—2024.1.14安全动态周回顾

黑客通过隐藏恶意脚本的 DNS 记录向 macOS 用户传递信息窃取恶意软件，该活动似乎针对 macOS Ventura 及更高版本的用户，并依赖重新打包为包含木马的 PKG 文件的破解应用程序。 攻击详情 研究人员发现分析了感染链的各个阶段。受害者按照安装说明将其放入 /Applications/ 文件夹后下载并执行。其实，这是打开了一个伪造的激活器窗口，要求输入管理员密码。 激活器窗口和密码提示 获得许可后，恶意软件会通过“AuthorizationExecuteWithPrivileges”函数运行“工具”可执行文件 (Mach-O)，然后检查系统上是否有 Python 3，如果不存在则安装它，使该过程看起来像“应用程序修补”。 接下来，恶意软件会联系其命令和控制 (C2) 服务器（位于一个名为“ apple-health[.]org ”的欺骗性站点），以获取可在受攻击设备上运行任意命令的 base64 编码的 Python 脚本。 研究人员发现，攻击者使用了一种有趣的方法来通过正确的 URL 联系 C2 服务器：选取两个硬编码列表的单词和五个字母的随机序列作为三级域名。通过此 URL，样本向 DNS 服务器发出请求，试图获取该域的 TXT 记录” 通过使用这种方法，攻击者能够将其活动隐藏在流量中，并从 DNS 服务器下载伪装成 TXT 记录的 Python 脚本有效负载，并会显示为正常请求。 来自 DNS 服务器的回复包含三个 TXT 记录，每个记录都是包含 Python 脚本的 AES 加密消息的 Base64 编码片段。 Python 脚本负载隐藏在加密消息中 此初始 Python 脚本充当另一个 Python 脚本的下载程序，该脚本提供后门访问、收集和传输有关受感染系统的信息，例如操作系统版本、目录列表、已安装的应用程序、CPU 类型和外部 IP 地址。 “工具”可执行文件还会修改“/Library/LaunchAgents/launched. 研究人员指出，在检查过程中，C2 返回了后门脚本的升级版本，持续开发，但没有观察到命令执行。 下载的脚本还包含两个函数，用于检查受感染系统是否存在 Bitcoin Core 和 Exodus 钱包；如果找到，它会将它们替换为从“apple-analyzer[.]com”下载的后门副本。 获取系带钱包应用程序 系带钱包包含将助记词、密码、名称和余额发送到攻击者的 C2 服务器的代码。 从受害者那里窃取的数据 当钱包应用程序意外，提示重新输入钱包详细信息时，就会面临钱包被掏空的风险。 研究人员表示，用于此次活动的破解应用程序（在他们的报告中作为妥协指标）“是威胁分子访问用户计算机的最简单方法之一”。 尽管使用破解的应用程序欺骗用户来传播恶意软件，是一种常见的攻击途径，但相关分析的活动表明，攻击者可以巧妙地想出新的方法来传播有效负载，例如将其隐藏在域 TXT 记录中的DNS 服务器内。

许多 iOS 应用程序正在利用推送通知触发的后台进程，来收集有关用户数据，从而允许创建用于跟踪的指纹配置文件。 发现这种做法的移动研究人员 Mysk 表示，这些应用程序绕过了苹果的后台应用程序活动限制，并对 iPhone 用户构成隐私风险。 “应用程序不应根据收集的数据秘密构建用户配置文件，并且不得尝试、促进或鼓励其他人识别匿名用户或根据从 Apple 提供的 API 收集数据。” 苹果应用商店审查指南的一部分写道。 在分析了 iOS 后台进程在接收或清除哪些数据后，研究人员发现许多有一定用户群的应用程序涉及其中。 唤醒并收集数据 Apple 设计 iOS 时不允许应用程序在后台运行，以防止资源消耗并提高安全性。当不使用应用程序时，它们会被暂停并最终终止，因此它们无法监视或干扰前台活动。 不过，在 iOS 10 中，苹果推出了一个新系统，允许应用程序在后台悄悄启动，以便设备显示新的推送通知之前对其进行处理。 该系统允许接收推送通知的应用程序解密传入有效负载，并从其服务器下载附加内容在将其提供给用户之前对其进行丰富。此过程完成后，应用程序将再次终止。 通过测试，研究人员发现许多应用程序滥用此功能。根据应用程序的不同，包括系统正常运行时间、区域设置、键盘语言、可用内存、电池状态、存储使用情况、设备型号和显示屏亮度。 LinkedIn 在推送通知到达期间的网络数据交换 研究人员认为，这些数据可用于指纹识别/用户分析，从而实现持久跟踪，而这在 iOS 中是严格禁止的。 “我们的测试表明，这种做法比我们预期的更常见。许多应用程序在被通知触发后发送设备信息的频率令人震惊，”Mysk解释道。 Mysk 创建了一个视频，显示了Facebook、LinkedIn 等接收推送通知期间的网络流量交换。这些应用程序被发现使用 Google Analytics、Firebase 或他们自己的专有系统等服务，将各种设备数据发送到他们的服务器。 有人就其应用程序检索用户数据的问题联系了 Microsoft、Apple和 LinkedIn，但未立即得到回复。 缓解措施 苹果将通过加强对设备信号 API 的使用限制来填补这一空白，并防止进一步滥用推送通知唤醒。 从 2024 年春季开始，应用程序将被要求准确声明为什么它们需要使用可被滥用于指纹识别的 API。这些 API 用于检索有关设备的信息，例如磁盘空间、系统启动时间、文件时间戳、活动键盘和用户默认值。 如果应用程序没有正确声明它们对这些 API 的使用用途，Apple App Store 将会拒绝它们使用。 在此之前，想要取消这种指纹识别的 iPhone 用户应该完全禁用推送通知，但禁用推送通知并不能完全防止滥用。

为落实《数据安全法》、《个人信息保护法》、《未成年人保护法》、《未成年人网络保护条例》等法律法规中关于儿童个人信息和权益保护的相关要求，积极保护儿童个人信息、保障儿童网络权益，中国电子技术标准化研究院联合爱加密等企业共同编写的T/CCIA 003—2022《儿童智能手表个人信息和权益保护指南》（简称为《指南》），并于2023年12月31日正式发布。 该指南提供了儿童智能手表在个人信息处理和权利保障、儿童个人信息安全、默认隐私和保护、监护人控制、操作系统和应用程序安全、网络信息内容安全、新技术新应用安全方面的建议。适用于儿童智能手表制造者及相关应用程序提供者在开发与运营过程中强化个人信息和权益保护机制，也可为检查、评估等活动，以及监护人选用、使用产品提供参考。爱加密网络安全专家韩云，拥有20余年网络安全行业经验，是《指南》的起草人之一，《指南》发布后，爱加密小编对韩云老师进行了专访，以下为访谈实录节选。 1.《指南》出台的背景是什么？央视曾曝光儿童智能手表被入侵后会出现泄露行踪、谈话等严重侵犯个人隐私的情况。此外江苏省消保委发布的《儿童智能手表消费调查报告》显示，32.89%的消费者希望针对儿童智能手表采取措施，提高信息安全性。爱加密作为极具社会责任感的企业，为消除儿童智能手表设备的个人信息安全隐患特联合相应机构共同起草《指南》。 2.《指南》针对儿童手表制造者及相关应用程序提供者主要提出了什么要求？《指南》主要对智能儿童手表制作商及附属企业从概述及7大方面24个关注点提出要求，如下图。 3.我国对儿童个人信息安全是否有特殊要求我国对个人信息安全一直关注和重视，特别是2020年《个人信息安全规范》、《个人信息安全影响评估指南》的发布，近几年持续发酵，2022年《儿童手表》、2023年《个人信息处理中告知和同意的实施指南》都有提及儿童个人信息的安全措施。《指南》中对使用儿童智能手表的人群给出了明确的范围：3周岁以上，14岁周岁及以下儿童，特殊要求是监护人控制功能，任何重要操作均需要监护人同意。 4.《指南》针对儿童个人信息的特殊性，提出了那些特殊规定？特殊要求主要有：监护人控制功能、行踪监控功能、成长陪伴功能、内容引导功能、网络欺凌防范等。 4.1监护人控制功能：主要是控制开关机、定位、信息推送、存储访问、摄像头访问、麦克风访问、传感器访问、NFC访问、应用下载安装、社交、位置共享、购物和支付、远程控制等等，具体有强制的监护人身份验证、使用控制功能前需验证监护人身份等。《指南》成功将该功能从法规落实至标准中进一步细化，可更好的保护未成年人健康成长，避免误下载、使用不良软件，或能降低儿童在监护人不知情的情况下进行大额充值、购物情况的概率，并能通过对具体功能的管控保护未成年人个私信息安全。 4.2行踪监控功能：主要是用于监护人实时追踪儿童位置及相关的功能。 4.3成长陪伴功能：主要是支持监护人代替儿童注册账号的机制、成长陪伴相关的虚拟角色，增加成长幸福感。 4.4内容引导功能：主要危害儿童身心健康内容的网络信息（涉黄、涉恐等）。 4.5网络欺凌防范：主要是设置便利儿童或其监护人保存遭受网络欺凌记录、行使通知权利的功能、渠道，如提供儿童设置屏蔽陌生用户、本人发布信息可见范围等网络欺凌信息防护选项，防范儿童自行关闭一键欺凌防护功能。 《指南》起草并通过多次主要版本的更新，成功让标准拥有上述极为重要的创新性内容，让我十分欣慰，希望能帮助到更多家庭和儿童。 爱加密个人信息安全检测采用人工智能自动化遍历工具，通过大量的应用数据训练，包括但不限于用户高频使用的移动应用、移动端游戏和不同类型应用，不断提升自动化遍历的覆盖能力，为自动化合规检测准确率保驾护航。 其与手动测试相比，可以大幅提高测试效率和质量，可模拟移动应用真实运行场景，快速全自动生成报告。自研自动化遍历方案适配小程序运行方案，实现微信小程序和支付宝小程序在真实手机环境真实用户账号运行做自动化检测，极大提高准确性。 基于独立自研的沙箱系统，可监测APP在运行过程中的高达100+种行为，包括读取文件、写入文件、获取应用进程、读取系统配置等行为。同过行为函数调用栈对行为主体进行分析，过滤APP或SDK行为，针对性排查违规行为主体，定位行为触发的代码位置。 爱加密凭借雄厚的技术实力在个人信息领域不仅参编了《儿童智能手表个人信息和权益保护指南》，更先后参编国家计算机病毒应急处理中心、中国电子标准研究院、中国信息通信研究院等单位牵头计划发布的《终端App个人信息保护》、《移动应用程序（App）个人信息保护合规指南》、《移动互联网应用程序（App）个人信息安全测评规范》、《移动互联网应用SDK个人信息安全评估方法》、《互联网医疗健康移动应用软件（APP）个人信息保护技术要求》等各类国家标准、地方标准、行业标准、团体标准。爱加密致力于通过优质的核心技术，帮助企业、监管机构、测评机构等实现移动应用的合法合规，从行业实践角度着手大力推动我国移动应用个人信息安全保护生态的良好发展。

为营造喜庆祥和的春节网上氛围，中央网信办决定自1月29日起开展为期1个月的“清朗·2024年春节网络环境整治”专项行动。 一、工作目标 坚持以人民为中心的发展思想，聚焦春节期间网民常用的平台环节和服务类型，集中整治人民群众反映强烈的网络生态突出问题，切实净化网络环境，为广大网民营造积极向上、文明健康的春节网上氛围。 二、工作任务 专项行动重点整治以下6方面问题： （一）宣扬猎奇行为、违背公序良俗问题。一是借春节旅游高峰期，发布误导性旅游攻略，诱导网民前往存在安全隐患的“野景点”，违规进入封闭管理区域等。二是进行恶俗和具有自虐、自残倾向的直播PK，自导自演有违公序良俗的离奇剧情视频。三是利用怪异猎奇食材、大量添加刺激性调料等，变相发布暴饮暴食、畸形饮食信息，浪费食品、危害身体健康。 （二）散播网络戾气、煽动群体对立问题。一是借春节晚会、春节档影视作品、明星网红等话题，挑起互撕谩骂、刷分控评行为，煽动对立情绪。二是将春节传统习俗、突发案件事件与地域、职业等特征相关联，污名化特定群体，打负面标签。三是蹭炒春节期间热点话题，通过拼音、谐音、指代词等方式，编造恶俗低俗烂梗，污染网络风气。 （三）炮制虚假信息、恶意营销炒作问题。一是利用年终盘点、返乡见闻等形式编造不实内容，渲染极端情绪。二是炮制传播涉公共政策、社会民生、交通出行等领域谣言信息，扰乱社会秩序。三是虚构夫妻、婆媳、师生等矛盾冲突剧情，无底线博取流量，传递不良价值观。 （四）色情赌博引流、网络诈骗问题。一是借猜数字、比大小等名义或者利用棋牌类小游戏变相从事网络赌博。二是利用二维码、水印图片、特殊字符等形式，发布涉色情、赌博等违法信息。三是通过“春节集福”“红包补贴”“集赞抢票”等名义实施网络诈骗，利用“假期兼职”等活动诱骗网民刷单。四是以过年回家租男（女）友、旅游搭子等名义，为线下违法活动引流。 （五）鼓吹炫富拜金、无底线追星问题。一是以春节风俗之名刻意展示炫富斗富、铺张浪费等导向不良内容，通过网贷营销信息传播攀比享乐等不良价值观。二是无底线炒作明星绯闻八卦，变相设立明星艺人个人榜单和任务指标，诱导非理性应援打榜。三是打着改命转运、破除太岁的旗号，鼓吹炒作封建迷信陋习，提供网上算命占卜付费服务。 （六）危害未成年人身心健康问题。一是利用“网红儿童”违规牟利、攻击恶搞，侵害未成年人合法权益。二是以手办文具、动漫二创等方式发布低俗擦边内容，对未成年人造成不良影响。三是突破青少年模式关于时间、内容等方面的限制要求，向未成年人特别是农村留守儿童变相提供诱导沉迷的产品功能。 三、工作要求 （一）扎实部署推进。各地网信部门要结合属地实际，细化专项行动实施方案，明确目标任务和具体措施，深入开展清理整治，推动专项行动取得实效。 （二）明确工作重点。各地网信部门和网站平台要加大对重点环节巡查力度，确保首页首屏、热搜榜单、热门话题、热点推荐、PUSH弹窗、信息流、评论等环节版块生态良好。 （三）压实平台责任。督促重点网站平台成立工作专班，加强春节期间值班值守，深入排查问题漏洞，切实加强内容审核管理，狠抓工作任务落实。 （四）强化通报曝光。严肃查处一批违法违规网站平台、账号以及相关MCN机构，查办一批典型案例，认真总结专项行动工作成效，适时进行宣传曝光。 文章来源：中国网信网

最近多个社交媒体账户遭到入侵，这起攻击事件中攻击者使用了名为加密货币窃取软件（crypto-drainer）的恶意软件家族，它们常常通过加密货币窃取软件即服务（DaaS）平台进行。最近受到攻击的受害者包括证券交易委员会 （SEC）和Mandiant。 尽管加密货币窃取软件和加密货币窃取软件即服务至少自2021年以来就开始存在，但几乎没有受到安全研究人员的太大关注。本文侧重介绍加密货币窃取软件和DaaS，以帮助大家进一步认识这类威胁及其造成的影响。 DaaS和加密货币窃取软件简介 加密货币窃取软件是一种恶意工具或脚本，专门用于将加密货币从受害者的钱包转移或重定向到攻击者控制的钱包。针对MetaMask的加密货币窃取软件首次出现在2021年前后，当时它们在地下论坛和市场上公开兜售。 图1. 2021年有关Metamask加密货币窃取软件服务的帖子 然而，加密货币窃取软件及类似的攻击可能以多种形式存在。 恶意的智能合约可能含有触发未经授权转移加密货币的隐藏功能，其他形式的加密货币窃取软件可能利用NFT或基于代币的触发器来生成虚假资源，进而为隐蔽性、未经授权地转移加密货币提供便利。 加密货币窃取软件常常通过DaaS模式加以提供，DaaS供应商向网络犯罪分子提供软件和支持，并从被盗资金中分成。 现代DaaS通常提供的服务包括如下： 1. 成套的加密货币窃取脚本 2. 可以定制的智能合约 3. 网络钓鱼工具和社会工程服务 4. 高级OPSEC或安全和匿名服务 4. 集成辅助和混合/混淆 5. 持续的更新、维护和技术支持 比如说，成套或随时可用的加密货币窃取脚本用于方便从目标钱包中自动窃取加密货币。它们做得易于理解和部署，几乎不需要具备相关知识。 图2. 在Telegram和Discord上兜售的NFT窃取软件的文档和设置指南 被盗的加密货币在DaaS用户和DaaS运营团伙之间分配。视提供的服务而定，运营团伙通常拿到5%至25%的分成。 账户接管出现攻击威胁 如果威胁组织成功地接管社交媒体账户，并利用这些账户向广大受众推送恶意内容，加密货币窃取攻击会给他们带来巨大利润，就像Mandiant和SEC最近遭遇的那样，这些恶意内容在受众看来似乎是安全的。 图3 据报道，去年12月下旬，加密货币窃取软件使用1万多个网络钓鱼网站从63000人手中窃取了5900万美元。 这些攻击通常以蛮力密码攻击开始。这需要系统性地尝试所有可能的密码，直至找到正确的密码，缺少双因子身份验证（2FA）或多因子身份验证（MFA）的账户特别容易受到这种攻击。 一旦攻击者获得了账户的访问权限，就能够将网络钓鱼链接分发到托管加密货币窃取软件的网站。比如说，他们可能会从提供免费NFT或其他奖励的账户向访问网站并签名交易的人发布内容。不知情的受害者以为收到有价值的东西，早早准备好了连接钱包，殊不知这个网站含有会将其钱包洗劫一空的窃取软件脚本。 攻击者使用X、Telegram和Discord等平台传播网络钓鱼链接，利用中招的可靠账户的信誉度和影响力攻击更多的受害者。 攻击剖析：CLINKSINK窃取软件 在Mandiant事件中，攻击者使用一种名为CLINKSINK的恶意软件，这个经过混淆处理的JavaScript窃取软件用以加密货币主题诱饵的网络钓鱼链接使受害者上钩。这些诱饵常常伪装成合法的加密货币资源，包括BONK、DappRadar和Phantom。 图4. 图片来源Mandiant 受害者上当后连接钱包以便接收“空投”——将代币或货币分发到其他钱包地址，作为一种奖励或推广。然后他们被要求签名“交易”以完成转移。这对加密货币窃贼来说是至关重要的一步，因为它涉及到受害者使用他们的私钥在区块链网络上验证自己。如果用户完成了这一步，随后可以继续获取加密货币，将受害者钱包中的资产转移到他们自己的钱包中。 Mandiant表示，它在最近的CLINKSINK活动中发现了42个独特的钱包地址用来接收被盗资金。许多不同的DaaS服务使用CLINKSINK恶意软件，目前尚不清楚哪个DaaS对与Mandiant有关的特定事件负责。 加密货币窃取软件日益猖獗 自2023年以来，加密货币窃取软件变得越来越猖獗，许多如今在地下市场做广告。Mandiant确定Chick窃取软件和Rainbow窃取软件是使用CLINKSINK的两种DaaS服务。然而，也有人怀疑CLINKSINK源代码可能已泄露，已被多个威胁组织所使用。另外两种公然大肆销售的DaaS服务是Angel窃取软件和Rugging的多链窃取软件。 Angel窃取软件是在2023年8月前后出现的DaaS，它提供的工具和服务由GhostSec等臭名昭著的威胁组织大打广告。除了抽成20%外，运营团伙还要求DaaS用户缴纳5000美元至10000美元的初始押金。 图5. Angel窃取软件v8.2 Rugging的多链窃取软件是另一种声称支持20种不同加密货币平台的服务。运营团伙试图通过低价来吸引DaaS用户，从DaaS用户的收益中提成5%-10%。 防止窃取软件攻击 虽然加密货币窃取软件的主要目的是窃取个人的加密货币资产，但我们应该保持警惕，因为它们的社交媒体账户可能成为攻击链的一部分。 为了对付来自加密货币窃取软件的攻击威胁，确保为所有社交媒体账户启用2FA或MFA非常重要。建议加密货币用户对NFT、“空投”及其他加密货币广告也要保持警惕。用户还应该考虑采用基于硬件的钱包来增强安全性。 结语 就像之前的勒索软件即服务（RaaS）一样，窃取软件即服务具有低技能、低风险、高回报的特点，为不怀好意的人提供了轻松进入犯罪生态系统的途径。就安全方面而言，我们应该像对待其他企业服务那样谨慎对待社交媒体账户的凭据和访问权限。

近1100万台暴露在互联网上的SSH服务器容易受到Terrapin攻击，从而威胁到某些SSH连接的完整性。 Terrapin攻击主要针对SSH协议，影响着客户端和服务器。它在握手过程中操纵序列号，以损害SSH通道的完整性，特别是在使用ChaCha20-Poly1305或带有Encrypt-then-MAC的CBC等特定加密模式时。 因此，威胁分子可以降级用于用户身份验证的公钥算法，并禁用OpenSSH 9.5中针对击键计时攻击的防御。 Terrapin攻击的一个显著要求是威胁分子需要处于中间对手 (AitM) 位置来拦截和修改握手交换。值得注意的是，他们经常会破坏利益网络，并等待合适的时机进行攻击。 安全威胁监控平台Shadowserver最近的一份报告显示，公共网络上有近1100万台SSH服务器（由唯一的 IP 地址标识），极容易受到Terrapin攻击，约占 Shadoserver监控的IPv4和IPv6空间中所有扫描样本的52%。 大多数易受攻击的系统位于美国、德国、俄罗斯、新加坡和日本等国家。 Shadowserver报告的意义在于强调Terrapin攻击可以产生广泛的影响。虽然并非所有1100万个实例都面临着会立即受到攻击的风险，但这表明威胁分子有大量的数据可以选择。

往期回顾： 2024.01.15—2024.01.21安全动态周回顾 2024.01.08—2024.01.14安全动态周回顾

2023 年是教育领域遭受勒索攻击最严重的一年：根据 ThreatDown 最初的研究，该行业的攻击在过去一年中猛增了 70% ，从 2022 年的 129 起事件增加到 2023 年的 265 起。 每月攻击数量的增加进一步凸显了这种激增。2022 年，平均每月发生 11 起攻击，但到 2023 年，这一数字跃升至 21 起，标志着每月攻击数量增加了 91% 。 这些攻击是由多个勒索软件团伙实施的，其中两个勒索软件团伙对 2023 年的大部分攻击 (50%) 负有责任：LockBit 和 Rhysida（Vice Society 的更名品牌）。数据还显示，虽然针对教育的勒索软件攻击是一种全球现象，但美国（占已知攻击的 80%）和英国（占 12%）是 2023 年 1 月至 2023 年 12 月期间遭受攻击最频繁的国家。 威胁形势 2023 年 1 月至 2023 年 12 月期间针对教育行业的黑客组织包括LockBit (60)、Vice Society/Rhysida (44)、CL0P (22)、Medusa (17) 和 Akira (15)。这 5 个团伙总共造成了约 81% 的教育勒索软件攻击。 然而，当我们研究哪些团伙攻击教育机构的频率最高（至少在六个月的不同月份发生攻击）时，数据显示的情况略有不同。 CL0P 和 Royal 等黑客组织往往会集中在一两个月内攻击。 LockBit 和 Vice Society/Rhysida 再次成为针对教育领域最多产的攻击者。但Vice Society 自 2023 年 6 月以来就不再活跃——同月我们见证了 Rhysida 的崛起。 地理分布 当我们按国家对教育部门的攻击进行分析时，可以发现美国首当其冲，据报告发生了169 起袭击事件。 K-12 与高等教育 2023 年所有勒索软件中有 43%针对高等教育，36% 的攻击针对 K-12。 2023 年针对高等教育和 K-12 的一些最引人注目的攻击包括针对西密歇根大学的攻击，该攻击造成了 13 天的服务中断，以及针对明尼阿波利斯学区的攻击，该攻击导致超过 300,000 个文件泄露。 K-12 同比趋势 2022 年至 2023 年间，针对 K-12 的勒索软件攻击增加了92%，2022 年发生 51 起攻击，2023 年总共发生 98 起攻击。 高等教育同比趋势 2022 年至 2023 年间，针对高等教育的勒索软件攻击增加了70%，2022 年发生 68 起攻击，2023 年总共发生 116 起攻击。 展望未来 目前，由于许多教育机构的预算紧张，这迫使他们不得不使用过时的设备。而这样也使得教育机构很容易成为勒索软件团伙的目标。

威胁组织一直不断试图窃取用户密码，为了提高密码安全性，监管部门建议每个帐户都使用更长且唯一的密码，但许多人为了方便仍然坚持多个账号都使用相同的易于猜测的密码。 这样的做法为威胁组织窃取密码提供了可乘之机，好消息是，有一种方法可以同时支持安全性和用户体验。 重新思考传统密码的最佳安全方式 长期以来，用户被要求创建由不同字符类型组成的8个字符的密码。然而，短密码的单词和模式更易于记忆，并且也易于基于模式的攻击来破解。 任意密码更改（例如要求用户每90天更改一次密码）仍然是一些常见的安全措施，以减轻未经授权访问用户帐户的风险。然而，频繁更改密码也会导致密码疲劳，导致用户设置容易被猜到的难忘密码。 鉴于密码攻击的普遍性和日益复杂性，我们更加需要注意其密码安全性。以下措施可以让用户密码安全性更强。 强制使用更长的密码/密码短语 三随机字建议。不要使用众所周知的名称和日期，而是创建由三个不相关单词组成的密码字符串。因为单词之间没有明显的联系，这将使威胁组织难以猜测。 将密码过期与密码长度相关联 保障密码安全性的另一种方法是将密码长度与其到期日相关联，这意味着密码越长，其有效期就越长。使用密码长度来确定到期日期可以防止频繁更改以及无限期使用同一密码的情况出现，这样的方式也可以鼓励人们使用更长的密码。 消除密码泄露 包含被破坏密码的密码拒绝数据库可提供最佳保护。具有泄露密码保护功能的Specops密码设置允许平台阻止使用超过40亿（并且还在不断增加）的已知泄露密码，且系统仅接受安全系数高、难以破解的密码。

Apple 发布了安全更新，以解决今年首个可能针对 iPhone、Mac 和 Apple TV 攻击中所利用的零日漏洞。 修复的零日漏洞被追踪为CVE-2024-23222 [ iOS、macOS、tvOS、Safari ]，是一个 WebKit 混淆漏洞，攻击者可以利用该漏洞在目标设备上获得代码执行。成功利用该漏洞后，威胁分子可以打开恶意网页后在运行易受攻击的 iOS、macOS 和 tvOS 版本的设备上执行任意恶意代码。 苹果公司尚未将这一安全漏洞的发现归因于安全研究人员，也未公布有关这些攻击的进一步细节。 Apple 通过改进 iOS 16.7.5 及更高版本、iPadOS 16.7.5 及更高版本、macOS Monterey 12.7.3 及更高版本以及 tvOS 17.3 及更高版本中的检查来解决 CVE-2024-23222。 受此 WebKit 零日漏洞影响的设备完整列表非常广泛，主要影响较旧和较新的型号，包括： iPhone 8、iPhone 8 Plus、iPhone X、iPad 第 5 代、iPad Pro 9.7 英寸和 iPad Pro 12.9 英寸第 1 代iPhone XS 及更新机型、iPad Pro 12.9 英寸第 2 代及更新机型、iPad Pro 10.5 英寸、iPad Pro 11 英寸第 1 代及更新机型、iPad Air 第 3 代及更新机型、iPad 第 6 代及更新机型以及 iPad mini 第 5 代及更新机型、运行 macOS Monterey 及更高版本的 MacApple TV HD 和 Apple TV 4K（所有型号）。 虽然此零日漏洞可能仅用于有针对性的攻击，但依旧强烈建议用户尽快进行新的安全更新。 Apple还向较旧的 iPhone 和 iPad 型号反向移植了另外两个 WebKit 零日漏洞（CVE-2023-42916 和 CVE-2023-42917）的补丁，这些补丁在 11 月时， 针对较新的设备进行了修补。 去年，该公司总共修复了 20 个被利用的零日漏洞，包括： 11 月出现的两个零日漏洞（CVE-2023-42916 和 CVE-2023-42917） 10月份的两个零日漏洞 （CVE-2023-42824 和 CVE-2023-5217） 9 月出现的五个 零日漏洞（CVE-2023-41061、CVE-2023-41064、CVE-2023-41991、CVE-2023-41992 和 CVE-2023-41993） 7 月份的两个零日漏洞（CVE-2023-37450 和 CVE-2023-38606） 6 月份的三个零日漏洞（CVE-2023-32434、CVE-2023-32435 和 CVE-2023-32439） 5 月份新增三个零日漏洞（CVE-2023-32409、CVE-2023-28204 和 CVE-2023-32373） 4 月份的两个零日漏洞（CVE-2023-28206 和 CVE-2023-28205） 以及2 月份的另一个 WebKit 零日漏洞(CVE-2023-23529)。

无人驾驶汽车和无人驾驶飞机不再是未来概念。截至2023年8月，旧金山两家出租车公司的自动驾驶出租车行驶里程就达到了800万英里，在美国注册的自动驾驶飞行器（无人机）超过了85万架。但公众对无人驾驶的安全性却表示担忧，截至2022年，美国国家公路交通安全管理局（NHTSA）就报告了近400起涉及使用自动控制技术的车祸。 解决这个问题的通常方法（有时名为“耗尽测试”）是指不断测试这些系统，直到它们很安全为止，但是我们永远无法确信这个过程一定会发现所有潜在的缺陷。 目前，Mitra的团队已成功地证明了汽车车道跟踪能力和自动驾驶飞机着陆系统的安全性。他们的策略现在被用于帮助无人机降落在航空母舰上，波音公司计划今年在一架试验飞机上进行测试。 大体上来讲，许多自动驾驶汽车有两个组成部分：感知系统和控制系统。比如说，感知系统可以告诉你，你的车离车道中央有多远，或者飞机朝哪个方向飞去、它相对地平线的角度是多少。该系统可以将来自摄像头及其他感测工具的原始数据，提供给基于神经网络的机器学习算法，算法重新构建车辆外面的环境。 然后，这些评估结果被发送到一个单独的系统：控制模块——它决定执行什么操作。比如说，如果即将碰到障碍物，它会决定是踩刹车还是绕过障碍物。据麻省理工学院的副教授Luca Carlone表示，虽然控制模块依赖成熟的技术，但“它根据感知结果做出决策，无法保证这些结果是正确的。” 为了提供安全保证，Mitra的团队致力于确保车辆感知系统的可靠性。他们先假设，若可以完美地渲染外界环境，就可以保证安全。然后，他们确定了感知系统在重新构建车辆周围环境时带来的误差。 这种策略的关键是量化所涉及的不确定因素，名为误差范围，或者“已知的未知因素”。这番计算来自感知契约（perception contract）。 在软件工程领域，契约是一种承诺，针对计算机程序的给定输入，输出会在指定的范围内。而弄清楚这个范围并非易事。汽车传感器的精度如何？无人机可以承受多大的雾、雨或太阳眩光？但是如果能将车辆保持在指定的不确定范围内，并且这个范围足够准确，就可以确保其安全性。 感知契约为依赖机器学习的不完美系统的安全性提供了一种保证。Carlone表示，该团队最大的贡献在于引入了感知契约这个概念，并提供了构建感知契约的方法。为此，研究团队利用计算机科学分支技术做到这一点，形式验证提供了一种数学方法来确认系统的行为满足一系列要求。 Mitra表示，尽管他们不知道神经网络到底是如何执行其操作的，但研究表明仍有可能从数值上，证明神经网络输出的不确定性在一定范围内。而且，如果真是这样，那么系统将是安全的。他们可以提供一个统计保证，表明某个特定的神经网络是否（以及在多大程度上）在这些范围内。 航空航天公司目前正在测试将无人机降落在航空母舰上时的安全性概率。由于飞行涉及另外的维度，这个问题在某些方面比驾驶汽车来得更复杂。波音公司人工智能首席技术专家Dragos Margineantu表示，无人机在降落时，有两个主要任务：将飞机与跑道对准，并确保跑道上没有障碍物。波音与Sayan的合作就是为这两项任务提供安全保证。Margineantu特别指出，使用Sayan算法的模拟表明，飞机在降落前在对准上确实有所改善。

自2019年以来，针对iPhone设备的Operation Triangulation（三角测量行动）间谍软件攻击就一直利用苹果芯片中未记入文档的功能，绕过基于硬件的安全保护机制。 上述发现结果来自卡巴斯基的分析师，他们在过去一年里一直对复杂的攻击链进行逆向工程分析。 三角测量行动 三角测量行动是一起使用四个零日漏洞针对苹果iPhone设备发动攻击的间谍软件活动。这些漏洞串联起来，共同组成了一个零点击漏洞利用工具，从而允许攻击者提升特权，并远程执行代码。 构成这条高度复杂的漏洞利用工具链的四个漏洞包括如下，它们适用于直至iOS 16.2的所有iOS版本： •CVE-2023-41990：ADJUST TrueType字体指令中的一个漏洞，允许通过恶意iMessage附件远程执行代码。 •CVE-2023-32434：XNU内存映射系统调用中的整数溢出问题，允许攻击者对设备的物理内存进行广泛的读取/写入访问。 •CVE-2023-32435：Safari漏洞利用工具中用于执行外壳代码（shellcode），作为多阶段攻击的一部分。 •CVE-2023-38606：这个漏洞使用硬件MMIO寄存器绕过页面保护层（PPL），从而使基于硬件的安全保护机制形同虚设。 攻击从发送给攻击目标的恶意iMessage附件开始，整条链是零点击，这意味着它不需要用户的交互，也不会生成或留下任何明显的迹象或痕迹。 卡巴斯基在自己的网络中发现了攻击，到目前为止，攻击的来源仍然不清楚，也没有证据证明这些指控属实。 苹果公司在2023年6月21日发布了iOS/iPadOS 16.5.1和iOS/iPadOS 15.7.7，修复了当时确认的两个零日漏洞（CVE-2023-32434和CVE-2023-32435）。 图1. 三角测量行动攻击链（图片来源：卡巴斯基） 高度复杂的攻击 在上述漏洞当中，CVE-2023-38606是卡巴斯基的分析师们最感兴趣的一个漏洞。该漏洞于2023年7月24日随着iOS/iPadOS 16.6的发布而得到解决。 利用该漏洞，攻击者可以绕过苹果芯片上的硬件保护机制。硬件保护机制原本可以防止攻击者在获得对内核内存的读取写入访问权限时全面控制设备，使用另外的CVE-2023-32434漏洞可以实现这番操作。 卡巴斯基在深入分析的技术报告中解释道，CVE-2023-38606针对的目标是苹果A12-A16 Bionic（仿生）处理器中未知的MMIO（内存映射输入/输出）寄存器，可能与该芯片的GPU协处理器有关，这在设备树中并未列出来。 图2.三角测量攻击中的MIMO范围（图片来源：卡巴斯基） 三角测量行动使用这些寄存器来操纵硬件功能，并在攻击期间控制直接内存访问。 卡巴斯基的报告解释道：“攻击者能够将数据写入到某个特定的物理地址，同时绕过基于硬件的内存保护机制，只需将数据、目标地址和数据哈希值写入到固件未使用的芯片的未知硬件寄存器。” 卡巴斯基推测，在最终的消费者版iPhone中加入这项未记入文档的硬件功能要么是一个错误，要么是为了帮助苹果公司的工程师进行调试和测试而存在，苹果通过更新设备树来限制物理地址映射修复了这个缺陷。

往期回顾 2024.1.8—1.14安全动态周回顾