对多家中国公司的拼音键盘应用程序分析发现可能向网络窃听者泄露击键内容的漏洞

对多家中国公司的拼音键盘应用程序分析发现可能向网络窃听者泄露击键内容的漏洞 我们（公民实验室）分析了常见云端拼音输入法的安全性，包含百度、荣耀、华为、讯飞、OPPO、三星、腾讯等九家厂商，并分析了它们发送用户输入内容到云端的过程是否含有安全缺陷。分析结果指出，九家厂商中，有八家输入法软件包含严重漏洞，使我们得以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。综合本研究和我们先前研究中发现的搜狗输入法漏洞，我们估计至多有十亿用户受到这些漏洞影响。基于下述原因，我们认为用户输入的内容可能已经遭到大规模收集： ·这些漏洞影响了广泛的用户群体 ·用户在键盘中输入的信息极为敏感 ·发现这些漏洞不需要高深技术 ·五眼联盟过去曾利用中国应用程序中类似的漏洞施行监控 在我们测试的九家厂商的应用程序中，仅有华为的产品未发现任何上传用户输入内容至云端相关的安全问题，其余每一家厂商都至少有一个应用程序含有漏洞，使得被动型网络攻击者得以监看用户输入的完整内容。 （）

即便加密的消息应用程序也存在窃听问题

即便加密的消息应用程序也存在窃听问题 2019年初，FaceTime 群组通话中的一个漏洞让攻击者可以激活正在通话的iPhone的麦克风，甚至是摄像头，并在接收者做任何事之前进入窃听状态。其影响如此之大，以至于苹果完全切断了对群组通话功能的访问，直到该公司能够发布一个修复方案。这个漏洞 以及它完全不需要受害者点击的事实 吸引了娜塔莉·希尔瓦诺维奇。 谷歌 “零点项目” 的研究员希尔瓦诺维奇说：“你可以找到一个影响很大的漏洞，你可以在没有任何互动的情况下导致一个电话被接听，这个想法很令人惊讶。我开始努力寻找其他应用程序中的这些漏洞。最后我发现了一堆这种东西。” 希尔瓦诺维奇多年来一直在研究 “无交互” 漏洞，即 不需要目标点击恶意链接、下载附件、在错误的地方输入密码或以任何方式参与其中的骇客攻击。随着有针对性的移动监控在世界各地的爆发，这些攻击的意义越来越大。 近期于拉斯维加斯举行的黑帽安全会议上，希尔瓦诺维奇介绍了她对无处不在的通信应用程序（如 Signal、Google Duo 和 Facebook Messenger）以及流行的国际平台 JioChat 和 Viettel Mocha 的远程窃听漏洞的发现。 所有这些漏洞都已被修补，希尔瓦诺维奇说，在她披露这些漏洞后的几天或几周内，开发者对修复这些漏洞反应非常积极。但是，在主流服务中发现的这类漏洞的数量之多，强调了这些缺陷是多么的普遍，以及开发人员需要认真对待。 希尔瓦诺维奇说：“当我听说那个群组 FaceTime 的漏洞时，我以为这是一个独特的漏洞不会再发生了，但事实证明并非如此 ……这是我们以前不知道的事，但现在重要的是，制作通信应用程序的人要意识到这一点。你正在向你的用户做出承诺，你不会在任何时候突然开始传输他们的音频或视频，你有责任确保你的应用程序不辜负这一点”。 希尔瓦诺维奇发现的漏洞提供了各种各样的窃听选项：Facebook Messenger 的漏洞可能允许攻击者监听目标设备的音频；Viettel Mocha 和 JioChat 的漏洞都有可能对音频和视频进行高级访问；Signal 的漏洞只暴露了音频；而 Google Duo 漏洞提供了视频访问，虽然只有几秒钟的时间。在这段时间内，攻击者仍然可以录制一些画面或抓取屏幕截图。 希尔瓦诺维奇考察的应用程序都是在开源项目 WebRTC 的实时通信工具上建立其大部分音频和视频通话基础设施的。一些无交互的通话漏洞源于开发者似乎误解了 WebRTC 的功能，或者实施得不好。但希尔瓦诺维奇说，其他的缺陷来自于与何时和如何设置呼叫有关的每项服务的具体设计决定。 当有人在基于互联网的通信应用上给你打电话时，系统可以立即开始在你们的设备之间建立连接，这个过程被称为establishment，所以当你点击接受时，通话可以立即开始。另一种选择是，应用程序稍等一下，等待看你是否接受呼叫，然后在知道你的偏好后花几秒钟建立通信渠道。 后者在私下里更容易实现，因为可能出错的地方更少；只有在你肯定的同意之后才会建立连接。不过，大多数主流服务采取的是另一条路线，提前设置通信渠道，甚至开始发送音频和视频流等数据，以便在呼叫的接收者接听时提供近乎即时的连接。 做这些准备工作本质上并没有引入漏洞，而且可以以保护隐私的方式进行。但它确实创造了更多犯错的机会。关键是要设计一个经过审查的系统，让它按照预期的方式工作。 希尔瓦诺维奇说：“在视频会议方面，开发商有一些重大保证。例如，你不会在任何时候突然开始传输视频。或者静音按钮真的有用吗？很多这些错误发生的原因是，设计这些系统的人没有考虑他们在音频和视频的实际传输时间方面做出的承诺，也没有验证这些承诺是否被遵守”。 希尔瓦诺维奇补充说，类似的漏洞很可能在主流通信应用程序中仍未被发现。例如，她只研究了一对一的通话，而iOS群组 FaceTime 的漏洞表明，群组通话可能有自己的缺陷。她强调，虽然简短的音频或视频片段在所有情况下都不一定是攻击者的金矿，但无交互的攻击往往值得尝试，因为它们看起来无害且难以被追踪。 希尔瓦诺维奇说，“我发现无交互的漏洞是最有趣的一类漏洞，因为它们对攻击者来说非常有用，因为用户不需要做任何事就会中招”。

北京冬奥应用程序涉网络风险

北京冬奥应用程序涉网络风险 有可能被骇客入侵、泄露私隐、被监控 中国当局严防疫情，故要求所有运动员、官员、工作人员及记者，均须安装应用程式「冬奥通」(My 2022) ，用作追踪健康状况。惟加拿大多伦多大学警告，应用程式中没有为资料加密，或导致选手、记者及官员等使用者被骇客入侵、泄露隐私甚至成为监控对象。 美国国家队已建议运动员，使用抛弃式手机，以防范个人资料安全问题。 #北京冬奥 #冬奥通 #网络安全 #泄露私隐 #骇客入侵 #humanrights #uyghurs #genocide #olympics #解放西藏 #CCPvirus #NeverTrustCCP #chinaliedpeopledied #新疆 #ConcentrationCamp #集中营 #evilCCP #SayNotToChina #光复香港 报导: #自由亚洲粤语 @rfacantonese

苹果公司起诉泄露iPhone日志应用程序的前员工

苹果公司起诉泄露iPhone日志应用程序的前员工 奥德于 2016 年大学毕业后不久加入苹果公司，担任 iOS 软件工程师。申诉书称，他的工作是优化电池性能，因此"掌握了苹果公司数十个最敏感项目的信息"。诉讼称，在五年时间里，奥德使用苹果公司配发的工作 iPhone 泄露了有关苹果公司半打以上产品和政策的信息，包括当时尚未发布的 Journal 应用和 Vision Pro 耳机、产品开发政策、合规策略、员工人数等。例如，2023 年 4 月，苹果公司称奥德在一次电话中向《华尔街日报》的一名记者泄露了 iPhone 日志应用程序的最终功能列表。同月，《华尔街日报》的亚伦-蒂利（Aaron Tilley）发表了一篇题为"苹果公司计划推出 iPhone 日记应用，扩大健康计划"的报道。据说，奥德使用加密信息应用程序 Signal 向同一记者发送了"1400 多条"信息，奥德称该记者为"Homeboy"。他还被指控向The Information 网站的另一名记者发送了"超过 10000 条短信"，据称他还"穿越整个大陆"去见她。其他泄露的信息涉及 Vision Pro 和其他硬件：另一个例子是，奥德于 2020 年 10 月在苹果公司发放的工作 iPhone 上截图显示，他向一名非苹果公司员工披露了苹果公司在空间计算领域的产品开发情况。尽管苹果公司的开发工作是保密的，不为公众所知，但奥德还是披露了这一信息。在随后的几个月中，他披露了更多苹果公司的机密信息，包括有关未公布产品的信息和硬件信息。苹果公司认为奥德的行为是"广泛和有目的的"，据称奥德承认他泄露信息是为了"扼杀"他有异议的产品和功能。该公司称，他的不法披露导致至少有五篇新闻报道讨论了该公司的机密和专有信息。苹果公司称，这些公开披露妨碍了其最新产品"带来惊喜和愉悦"的能力。苹果公司说，它在 2023 年底得知奥德的不当披露行为，并于同年 12 月因奥德涉嫌不当行为将其解雇。在 2023 年 11 月的一次采访中，苹果公司称奥德否认向任何人泄露机密信息。然而，在那次采访中，苹果公司声称奥德去了洗手间，并删除了他工作 iPhone 上的"大量证据"，包括他用来与"Homeboy"通信的 Signal 应用程序。在 2023 年 12 月的一次后续访谈中，苹果公司称奥德承认了他的一些错误披露，但声称他只提供了"仅限于他未能销毁的信息的狭义承认"。苹果公司曾试图庭外解决此事，但它表示奥德并不合作：苹果公司不会轻易对其前雇员提起诉讼。然而，由于奥德故意销毁证据，苹果公司无法知道他向谁披露了什么以及何时披露的。在提起诉讼之前，苹果公司与奥德先生进行了接触，希望能够解决此事。一个多月前，苹果公司联系了奥德先生，以了解他泄密的全部内容，并要求他全力配合，在不提起诉讼的情况下解决此事。但奥德先生并未承诺合作。据称，奥德还拒绝剥离作为其补偿方案一部分而获得的限制性苹果股票。苹果公司表示，奥德对公司构成"持续威胁"，因为他"长期以来在未经授权的情况下故意向第三方披露大量信息，与其他科技公司的个人和记者保持关系，并试图掩盖自己的不当行为"。苹果正在寻求补偿性和惩罚性赔偿，赔偿金额将在庭审中确定，苹果还在寻求其他法律补救措施。申诉全文可在此 PDF 文件中查看。 ... PC版： 手机版：