蓝牙身份验证漏洞可让黑客控制 Apple、Android 和 Linux 设备

蓝牙身份验证漏洞可让黑客控制 Apple、Android 和 Linux 设备 无人机技术公司 SkySafe 的软件工程师表示，存在多年的蓝牙身份验证绕过漏洞允许不法分子连接到 Apple、Android 和 Linux 设备并注入击键来运行任意命令。 马克·纽林 (Marc Newlin) 发现了该漏洞并将其报告给了公司，他表示，该漏洞编号为 CVE-2023-45866，不需要任何特殊硬件即可利用，并且可以使用常规蓝牙适配器从 Linux 机器上对 Apple、Google、Canonical 和蓝牙 SIG 发起攻击。 该攻击允许附近的入侵者在受害者的设备上注入击键并执行恶意操作，只要他们不需要密码或生物识别身份验证。 在周三发布的 中，bug 猎人这样描述了该安全漏洞：“这些漏洞的工作原理是欺骗蓝牙主机状态机在未经用户确认的情况下与假键盘配对。蓝牙规范中定义了底层的未经身份验证的配对机制，并且特定于实现的错误将其暴露给攻击者。”

普京禁止匿名：在线服务必须要身份验证、提供 VPN 绕过建议将构成犯罪

普京禁止匿名：在线服务必须要身份验证、提供 VPN 绕过建议将构成犯罪 普京总统签署了法律修正案，这些修正案有可能破坏网络匿名性、压制言论自由并扼杀创新。从今年开始，互联网平台必须通过国家批准的系统验证新用户的身份，然后才能允许访问。VPN 规避建议将构成犯罪，某些 Gmail 的使用将被禁止，未经国家批准的托管公司将被视为非法。 日期为 2023 年 7 月 31 日，并经普京总统本人批准的很快将禁止使用 Gmail 或 Apple 等外国电子邮件系统在俄罗斯互联网平台上注册。 从 12 月开始，法律将要求俄罗斯在线平台在提供服务之前验证新用户的身份。用户可通过政府官方应用（已验证身份绑定号码）授权于第三方平台进行实名验证。网站所有者的另一个选择是通过一个名为 "身份识别和认证统一系统 "的联邦平台对用户进行验证。 尽管上述措施十分严厉，但俄罗斯仍然没有对 VPN 提供商和类似服务实施彻底禁令。相反，出于规避目的而在网上发布相当于如何使用 VPN、Tor 和类似工具的建议的信息将被视为犯罪。 云服务托管公司必须获得国家批准，政府将指定一个实体来组建和维护托管公司登记册。到 2024 年 9 月，国家实体只能使用登记在册的公司提供的 "计算能力"，同时禁止使用外国法人或公民拥有的 "信息系统 "和软件。

重要: 部分应用内置的支付宝支付组件可能有身份验证漏洞，存在盗刷风险

重要: 部分应用内置的支付宝支付组件可能有身份验证漏洞，存在盗刷风险 原理: 部分应用内置支付宝支付组件，可在用户无支付宝 App 环境下快捷付款，但该组件存在可被抓包劫持的问题，攻击者可通过流量抓包捕获验证码请求，并篡改短信获取手机号码实现验证码登录，但支付仍然需要支付密码才能成功支付 漏洞级别:重要［需要用户注意］ 漏洞利用难度: 一般［攻击者需要持有目标多项信息，但信息获取难度较低，虽然支付宝存在安全风控防护，但仍然存在被批量风险］ 注意: 由于国内隐私问题，大量公民个人信息泄露，攻击者非常容易凑齐大量公民的手机号码，户主名称以及身份证号码，加上用户习惯性的将自己生日或某账号等设置为自己的六位数支付密码，攻击者非常容易实现批量碰撞盗刷 由于支付组件会缓存用户登录信息方便快捷付款。所以登录状态可能会出现被长时间缓存至攻击者设备内，但每次付款仍然需要输入支付密码，但更改支付密码并不能将所有设备踢出支付状态。 攻击者在获取登录状态过后，可持续性的查看账号内的金额，绑定卡片等一系列私密信息 处置建议: 更改自己支付宝支付密码，尽量不要使其与自己身份产生关联，采用随机六位数字，避免使用生日等重要日期，开启支付宝通知权限，及时获取支付消息，确保每一笔支付由本人支付 注意: 由于支付宝存在安全支付风控措施，所以攻击者只能尝试进行小额支付，用户需注意自己账户是否出现密集的小额扣款及未知小额扣款

【数字身份认证公司Spruce推出身份验证插件，支持使用以太坊账户登录Discourse论坛】

【数字身份认证公司Spruce推出身份验证插件，支持使用以太坊账户登录Discourse论坛】 3月16日消息，数字身份认证公司Spruce宣布推出其首个使用以太坊账户登录Discourse论坛的身份验证插件。该插件开源，支持运行官方版本的自托管Discourse论坛让其用户使用以太坊帐户进行身份验证，包括用以太坊帐户注册Discourse论坛或与现有帐户关联。Spruce将继续探索如何让该插件用于由第一方和第三方托管和管理的论坛。 Spruce是一家开源软件公司，构建了加密工具，帮助用户跨平台管理身份和数据。Spruce于去年9月在以太坊基金会和以太坊域名系统（ENS）联合发起的招标中胜出，将开发通过以太坊账号登录第三方Web应用的技术。

【Google身份验证器iOS版本新增支持云同步功能】

【Google身份验证器iOS版本新增支持云同步功能】 4月25日消息，Google 身份验证器的 iOS 端应用推出 4.0 版本，新增支持云同步功能，用户可将验证器生成的验证码同步至所有的 Google 账号和设备，即便丢失设备也可随时获取验证码。

谷歌正在改变设置双重身份验证的方式

谷歌正在改变设置双重身份验证的方式 谷歌公司正在简化设置双重身份验证 (2FA) 的流程。现在，您不需要先输入电话号码来启用 2FA，而是可以直接为您的账户添加“第二步验证方式”，例如身份验证器应用或硬件安全密钥来进行设置。这应该使启用 2FA 更安全，因为可避免使用不太安全的短信验证。您可以选择通过 Google Authenticator 等应用输入基于时间的一次性验证码，或者按照步骤链接硬件安全密钥。谷歌正在推出这一更改。