廉价门铃摄像头制造商修复了导致用户容易受到监视的安全问题
据报道,Eken Group 发布了固件更新,以解决其廉价门铃摄像头的重大安全问题,这些问题是由 消费者报告 今年早些时候进行的调查。 这些相机与 Aiwit 应用程序配对,并以多种品牌出售,包括 Eken、Tuck、Fishbot、Rakeblue、Andoe、Gemee 和 Luckwolf。 在其测试过程中, 看门狗发现 认为 未加密的摄像头可能会泄露敏感信息 例如家庭 IP 地址和 Wi-Fi 网络,并允许外部各方使用序列号访问摄像机源中的图像。 现在, 消费者报告 说问题已经解决——只需确保更新你的设备即可。 这些品牌的设备现在应该反映 2.4.1 或更高版本的固件,这表明它们已收到更新。 消费者报告 说它自己的样本会自动获得更新,但考虑到风险(也就是说,如果你还没有扔掉相机),仔细检查你的设置也没什么坏处。 该出版物表示,已确认该更新修复了安全问题。 艾肯还告诉 消费者报告 其被评为“请勿购买”标签的两款门铃摄像头——Eken 智能视频门铃和 Tuck Sharkpop 门铃摄像头——已停产。 这些门铃摄像头在亚马逊、沃尔玛和 Temu 等热门电子商务平台上销售,但后来似乎已被下架,也缺乏 FCC 要求的适当标签。 该公司告诉 消费者报告 它将把这些 ID 添加到未来的新产品中。 经过更新测试后, 消费者报告 已从其记分卡上删除了警告标签。 2024-04-27 21:07:05 1714259559
前国家安全局黑客和前苹果研究员创办初创公司以保护苹果设备
两位资深安全专家正在创办一家初创公司,旨在帮助其他网络安全产品制造商提高保护苹果设备的能力。 他们的初创公司叫做 双优这个名字取自其联合创始人 Patrick Wardle 的名字首字母,Patrick Wardle 于 2006 年至 2008 年间在美国国家安全局工作。随后,Wardle 担任了多年的攻击性安全研究员,之后转而独立研究 Apple macOS 防御安全。 自 2015 年以来,Wardle 在他的领导下开发了免费开源的 macOS 安全工具 Objective-See基金会,它还组织了以苹果为中心的 海边目标会议。 他的联合创始人是米哈伊尔·索森金 (Mikhail Sosonkin),在 2019 年至 2021 年间在苹果公司工作之前,他曾多年担任攻击性网络安全研究员。沃德尔自称是“实验室里的疯狂科学家”,他表示索森金是他的“正确合作伙伴”。需要使他的想法成为现实。 “迈克可能不会自我吹嘘,但他是一位令人难以置信的软件工程师,”沃德尔说。 DoubleYou 背后的想法是,与 Windows 相比,适用于 macOS 和 iPhone 的优秀安全产品仍然很少。 这是一个问题,因为 Mac 正在成为世界各地公司更受欢迎的选择,这意味着恶意黑客也越来越多地针对 Apple 电脑。 Wardle 和 Sosonkin 表示,有才华的 macOS 和 iOS 安全研究人员并不多,这意味着公司正在努力开发自己的产品。 沃德尔和索森金的想法是借鉴专门攻击系统的黑客的策略,并将其应用于防御。 一些进攻性网络安全公司提供模块化产品,能够提供完整的漏洞利用链,或者只是其中的一个组成部分。 […]
ISC2 调查显示薪酬差距和包容性团队的好处
只有 17% 的受访者 ISC2 网络安全劳动力研究 是女性,这表明工作场所在该行业招聘和留住女性方面持续存在困难。 今年的报告也显示了积极的趋势,年轻女性找到了进入网络安全职业的道路。 ISC2 详细介绍了女性在劳动力中的状况,以及如何吸引和留住多元化人才的建议。 ISC2 在 2023 年 4 月至 5 月期间对北美、欧洲、亚洲、拉丁美洲、中东和非洲的 14,865 名网络安全从业者进行了调查。Forrester Research, Inc. 与 ISC2 合作收集数据。 平均而言,女性约占网络安全领域的四分之一 ISC2 估计,网络安全领域工作人员中有 20% 至 25% 是女性,预计到 2031 年这一数字将上升至 35%。 当谈到团队组成时(图A),平均而言,23% 的安全团队包括女性。 值得注意的是,女性表示她们的团队中有更多女性:30% 的女性表示她们的团队中还有其他女性,而男性的这一比例为 22%。 ISC2 表示,这表明女性倾向于与团队中的其他女性一起在组织中工作。 图A 基于 ISC2 调查的网络安全团队组成。 图片:ISC2 云服务、汽车和建筑行业的团队中女性比例最高 (28%),但这一数字并不比团队中女性比例最低的行业(即军事和公用事业行业)高出多少。 20%。 网络安全薪资显示性别差异 男性网络安全薪资略高于女性(图B),美国男性平均收入为 148,035 美元,女性平均收入为 141,066 美元,全球男性平均收入为 […]
OpenAI 的 GPT-4 可以自主利用 87% 的一日漏洞
OpenAI 的 GPT-4 大语言模型可以在无需人工干预的情况下利用现实世界的漏洞, 新研究 伊利诺伊大学厄巴纳-香槟分校的研究人员发现。 其他开源模型,包括 GPT-3.5 和漏洞扫描器,无法做到这一点。 大型语言模型代理(基于 LLM 的先进系统,可以通过工具、推理、自我反思等采取行动)在 GPT-4 上运行,成功利用了国家研究所提供的 87% 的“一日”漏洞标准和技术描述。 一日漏洞是指那些已被公开披露但尚未修补的漏洞,因此仍然容易被利用。 研究人员在 arXiv 预印本中写道:“随着法学硕士变得越来越强大,法学硕士代理人的能力也越来越强。” 他们还推测,其他模型的相对失败是因为它们“在工具使用方面比 GPT-4 差得多”。 研究结果表明,GPT-4 具有自动检测和利用扫描仪可能忽略的一日漏洞的“新兴能力”。 UIUC 助理教授兼研究作者 Daniel Kang 希望他的研究成果能够用于防守环境; 然而,他意识到这种能力可能为网络犯罪分子提供一种新兴的攻击模式。 他在一封电子邮件中告诉 TechRepublic,“我怀疑,当 LLM 成本下降时,这会降低利用一日漏洞的障碍。 以前,这是一个手动过程。 如果法学硕士变得足够便宜,这个过程可能会变得更加自动化。” GPT-4 在自主检测和利用漏洞方面有多成功? GPT-4可以自主利用一日漏洞 GPT-4 代理能够自主利用 Web 和非 Web 一日漏洞,甚至是在模型知识截止日期 2023 年 11 月 26 日之后在常见漏洞和暴露数据库中发布的漏洞,展示了其令人印象深刻的功能。 请参阅:GPT-4 备忘单:GPT-4 是什么以及它有什么功能? […]
危险的病毒越来越频繁地威胁 Android。 每六次袭击背后都有它
安德烈德已经连续第二年跻身捷克共和国最广泛的网络威胁之列,同时在该国发起一波又一波的攻击。 近一个月,查出数量创去年年中以来最高,占比达17.52%。 与此同时,其他威胁的份额仅达到百分比单位。 去年7月,其在其他威胁中的检测份额达到13.69%,8月仅为11.41%。 在这两个月里,他的病毒统计数据甚至排名第二。 然而,9月份,该不速之客的比例飙升至17.35%,仍低于今年3月份。 特斯拉特工正在衰落,但仍然是传播最广泛的病毒 安全 尽管10月份占比下降至15.98%,但11月份检测数量再次上升至16.29%。 12月份跌至13.47%,这表明Andreed再次陷入下滑。 但防病毒公司 Eset 安全专家的新数据清楚地表明,这个不速之客正在再次获得力量。 1 月份,检测数量跃升至 14.77%,2 月份为 15.26%,3 月份为前面提到的 17.52%。 人们让他自己进入设备 “Andreed 广告软件长期以来一直位居我们定期统计数据的首位,这一事实首先表明攻击者仍在付费,也就是说,捷克共和国的用户仍在下载它,”该公司负责人 Martin Jirkal 表示。 Eset 布拉格分公司的分析团队。 他表示,人们应该小心他们下载到智能手机和平板电脑上的应用程序。 “就 Andreed 广告软件而言,攻击者反复试图引诱我们进入免费游戏,而我们通常会在第三方商店和在线存储中遇到这些游戏,”安全专家表示。 “然而,今天在官方商店和分发点之外下载实际上总是会保证我们除了游戏或各种工具之外还会下载恶意代码,”吉尔卡尔指出。 被低估的广告软件 Andreed属于广告软件类型的恶意代码。 因此,攻击者不会试图通过它窃取任何敏感数据,而是在受攻击的计算机上显示过多的广告,然后从中获利。 广告软件攻击不像勒索病毒或类似阴险的恶意代码那样具有破坏性,但它们仍然会使手机和平板电脑的使用变得非常不愉快。 这位安全专家补充道:“广告软件作为一种网络风险,会显示大量攻击性弹出窗口,对设备的性能和耐用性产生负面影响,并最终向用户显示指向危险网站的链接。” 。 如何保护手机和平板电脑? 网络威胁也越来越多地影响智能手机和平板电脑等移动设备。 很少有人关心这些设备的安全性。 这就是黑客越来越频繁地攻击移动设备的原因。 因此,使用防病毒程序和其他安全工具不仅保护 PC,还保护平板电脑和智能手机非常重要。 特殊计划可以防止此类不速之客。 例如,除了经典的防病毒软件之外,这些应用程序还只专注于间谍软件和搜索特洛伊木马。 手机或平板电脑上一次只能安装一个此类安全程序。 磁盘上的两个防病毒软件可能会造成一些不好的后果。 然而,仅防病毒并不能保证安全。 更新也非常重要,因为操作系统和各种程序中的错误经常被计算机黑客用来将不速之客偷偷带入设备。 “垃圾枪”勒索软件让专家感到恐惧。 他可以攻击任何人 安全 1714056543 […]
流行的手机追踪应用 iSharing 中的安全漏洞暴露了用户的精确位置
上周当 一位安全研究人员表示,他可以轻松地从广泛使用的手机跟踪应用程序的数百万用户中的任何一个获得精确位置,我们必须亲自查看。 温哥华不列颠哥伦比亚大学计算机科学和经济学专业的学生 Eric Daigle 在对位置跟踪应用程序安全性进行调查的过程中发现了跟踪应用程序 iSharing 中的漏洞。 iSharing 是最受欢迎的位置跟踪应用程序之一,迄今为止拥有超过 3500 万用户。 戴格尔表示,这些错误允许任何使用该应用程序的人访问其他人的坐标,即使用户没有主动与其他人共享他们的位置数据。 这些错误还暴露了用户的姓名、个人资料照片以及用于登录该应用程序的电子邮件地址和电话号码。 这些错误意味着 iSharing 的服务器无法正确检查应用程序用户是否只能访问他们的位置数据或与他们共享的其他人的位置数据。 位置跟踪应用程序(包括隐秘的“跟踪软件”应用程序)历史上曾发生过安全事故,存在泄露或暴露用户精确位置的风险。 在这种情况下,戴格尔只花了几秒钟就找到了这位记者的位置,距离只有几英尺。 使用安装了 iSharing 应用程序和新用户帐户的 Android 手机,我们询问研究人员是否可以利用这些错误获取我们的精确位置。 “曼哈顿百老汇 770 号?” 戴格尔做出了回应,并提供了 > 纽约办公室的精确坐标,手机从那里可以查出其位置。 安全研究人员从 iSharing 的服务器中提取了我们的精确位置数据,即使该应用程序没有与其他任何人共享我们的位置。 图片来源: >(截图) Daigle 大约两周前与 iSharing 分享了该漏洞的详细信息,但没有收到任何回复。 就在那时,戴格尔请求 > 帮助联系应用程序制造商。 iSharing 在 4 月 20 日至 21 日的周末或之后不久修复了这些错误。 iSharing 联合创始人 Yongjae Chuh 在一封电子邮件中告诉 […]
甲骨文正在将其全球总部迁至纳什维尔
Oracle 联合创始人兼董事长拉里·埃里森 (Larry Ellison) 于 2017 年 10 月 3 日在旧金山举行的 Oracle OpenWorld 2017 会议上发表讲话。 大卫·保罗·莫里斯 | 大卫·保罗·莫里斯彭博社 | 盖蒂图片社 甲骨文 董事长拉里·埃里森周二表示,该公司正在将其全球总部迁至田纳西州纳什维尔,以更靠近主要的医疗保健中心。 在与前美国参议院多数党领袖比尔·弗里斯特(Bill Frist)的一次广泛谈话中,埃里森表示,甲骨文正在将一个“巨大的园区”搬到纳什维尔,“那里最终将成为我们的全球总部”。 他说纳什维尔是一个成熟的健康中心,也是一个“极好的居住地”,甲骨文员工对此感到兴奋。 “这是我们最关心的行业的中心,即医疗保健行业,”埃里森说。 这一宣布似乎是一时冲动。 “我不应该这么说,”埃里森对代表田纳西州参议院的医疗保健行业资深人士弗里斯特说。 两人在纳什维尔举行的甲骨文健康峰会上的炉边谈话中发表了讲话。 周二盘后交易中,甲骨文股价基本持平。 甲骨文于 2020 年将总部从硅谷迁至德克萨斯州奥斯汀。近年来,该公司一直大力进军医疗保健领域,最引人注目的是以 280 亿美元收购了医疗记录软件巨头 Cerner。 埃里森周二表示,甲骨文在医疗保健领域相对较新,但他认为该公司有“道德义务”来解决该行业面临的问题。 几十年来,纳什维尔一直是医疗保健领域的主要参与者,该市现在拥有充满活力的医疗系统、初创企业和投资公司网络。 HCA Healthcare 是美国最早的营利性医院公司之一,于 1968 年在该市成立,该市作为医疗保健中心的声誉得到了进一步提升。 HCA 帮助吸引了大量医疗保健专业人员来到纳什维尔,其他组织也迅速效仿。 据介绍,甲骨文在该市斥资 12 亿美元开发新园区已历时约三年。 田纳西州。 “我们的人民喜欢这里,我们认为这是我们未来的中心,”埃里森说。 甲骨文没有立即回应 CNBC 的置评请求。 不要错过 CNBC […]
国家安全内部人士对人工智能的危险进行了计算
您长期以来一直非常感兴趣的一种风险是“生物风险”。 什么是 最糟糕的 可能发生的事情? 带我们经历一下。 在从事国家安全工作之前,我最初从事公共卫生工作,主要从事传染病控制——疟疾和结核病。 2002年, 第一个病毒是从头开始合成的 在 Darpa 的一个项目上,对于生物科学和公共卫生界来说,这是一个“糟糕”的时刻,因为他们意识到生物学将成为一门可能被滥用的工程学科。 我与根除天花运动的退伍军人一起工作,他们想,“糟糕,我们只是花了几十年的时间根除一种现在可以从头开始合成的疾病。” 社会上存在很多脆弱性。 新冠疫情就是这一点的证明。 贾森·马西尼 然后我转向生物安全工作,试图弄清楚,我们如何提高生物实验室的安全性,从而减少它们被使用的可能性? 我们如何检测生物武器计划? 不幸的是,在世界上一些地方仍然大量存在。 此外,我们如何才能为社会带来更多安全保障,以便我们在应对人为流行病和自然流行病时更具弹性? 社会中仍然存在很多脆弱性。 新冠疫情就是这一点的证明。 从历史角度来看,这是一种相对温和的病毒,其感染死亡率低于 1%,而有些天然病毒的死亡率远高于 50%。 有些合成病毒的致死率接近 100%,但仍像 SARS-CoV-2 一样具有传播性。 尽管我们知道如何快速设计和制造疫苗,但今天获得批准所需的时间与大约 20 年前一样多。 因此,今天为人群接种疫苗所需的时间与我们的父母甚至祖父母的时间大致相同。 2002 年,当我第一次开始对生物安全感兴趣时,花费了数百万美元来构建脊髓灰质炎病毒,一种非常非常小的病毒。 合成痘病毒(一种非常大的病毒)需要花费近 10 亿美元。 如今,成本已低于 100,000 美元,比同期下降了 10,000 倍。 与此同时,在此期间疫苗的成本实际上增加了两倍。 攻防不对称正在朝着错误的方向发展。 您认为我们在生物风险方面最大的对手是什么? 首先是自然。 天然病毒的进化仍在继续。 未来我们将面临病毒性大流行。 其中一些会比新冠病毒更严重,一些则不会像新冠病毒那么严重,但我们必须对这两种情况都保持弹性。 新冠疫情只让美国经济付出了代价 超过10万亿美元,但我们用于预防下一次大流行的投资可能是 20 亿至 30 亿美元的联邦投资。 […]
UnitedHealth 称 Change 黑客窃取了“相当一部分美国人”的健康数据
健康保险巨头 联合健康集团 (UnitedHealth Group) 证实,今年早些时候对其健康科技子公司 Change Healthcare 发起勒索软件攻击,导致美国人的私人医疗数据大量被盗。 联合健康说 在周一的一份声明中 勒索软件团伙获取了包含个人数据和受保护健康信息的文件,据称这些文件可能“覆盖了美国很大一部分人”。 这家健康保险巨头没有透露有多少美国人受到影响,但表示数据审查“可能需要几个月的时间”,然后公司才会开始通知个人他们的信息在网络攻击中被盗。 Change Healthcare 为美国医疗保健行业数十万家医院、药房和医疗机构提供保险和计费流程; 它可以获得大约一半美国人的大量健康信息。 联合健康集团表示,尚未发现有证据表明医生的病历或完整病史已从其系统中泄露。 黑客承认窃取了美国人的健康数据一周后,一个新的黑客组织开始公布部分被盗数据,以期向该公司勒索第二次赎金。 该团伙自称为 RansomHub,在其暗网泄露网站上发布了多个文件,其中包含一系列文件中有关患者的个人信息,其中一些包括与 Change Healthcare 相关的内部文件。 RansomHub 表示,除非 Change Healthcare 支付赎金,否则它将出售被盗的数据。 RansomHub 是第二个向 Change Healthcare 索要赎金的团伙。 据报道,这家健康科技巨头在 3 月份向一个名为 ALPHV 的俄罗斯犯罪团伙支付了 2200 万美元,该犯罪团伙随后消失了,并从其部分赎金中向实施数据盗窃的附属机构进行了勒索。 RansomHub 在其发布的被盗数据的帖子中声称,“我们拥有数据,而不是 ALPHV。” 联合健康在周一的声明中承认公开了部分文件,但没有声称对这些文件拥有所有权。 联合健康集团表示:“这不是正式的违规通知。” 《华尔街日报》周一报道称,ALPHV 的犯罪黑客分支机构侵入了 Change Healthcare 的网络 使用被盗的系统凭据 允许远程访问其网络。 黑客在 Change Healthcare […]
美国政府表示 Chirp Systems 应用程序存在安全漏洞,任何人都可以远程控制智能家居锁
美国数千所出租房屋使用的智能门禁系统存在漏洞,任何人都可以远程控制受影响房屋中的任何锁。 但制造该系统的 Chirp Systems 公司却忽略了修复该缺陷的请求。 美国网络安全机构 CISA 出访 上周向公众发布了安全建议 据称,Chirp 开发的手机应用程序(居民使用这些应用程序代替钥匙进入家中)“不正确地存储”了硬编码凭据,这些凭据可用于远程控制任何与 Chirp 兼容的智能锁。 依赖于存储在源代码中的密码(称为硬编码凭据)的应用程序存在安全风险,因为任何人都可以提取并使用这些凭据来执行模拟应用程序的操作。 在这种情况下,凭证允许任何人通过互联网远程锁定或解锁 Chirp 连接的门锁。 CISA 在其公告中表示,成功利用该漏洞“可能会让攻击者控制并获得对连接到 Chirp 智能家居系统的智能锁的不受限制的物理访问”。 该网络安全机构对该漏洞的严重性评分为 9.1 分(满分 10 分),因为该漏洞的“攻击复杂性较低”并且能够被远程利用。 该网络安全机构表示,Chirp Systems 尚未对 CISA 或发现该漏洞的研究人员做出回应。 安全研究员马特·布朗表示 资深安全记者布莱恩·克雷布斯 他于 2021 年 3 月向 Chirp 通报了该安全问题,但该漏洞仍未修复。 Chirp Systems 是房地产技术领域越来越多的公司之一,这些公司向租赁巨头提供与智能家居技术集成的无钥匙门禁控制。 租赁公司越来越多地迫使租户允许按照租约安装智能家居设备,但当安全问题出现时,谁承担责任或所有权充其量是模糊的。 房地产和租赁巨头卡姆登地产信托公司 (Camden Property Trust) 于 2020 年签署协议,向客户推出与 Chirp 连接的智能锁 超过 50,000 […]