家居监控摄像头厂商Wyze称摄像头漏洞让1.3万名客户短暂看到其他人的家庭画面

家居监控摄像头厂商Wyze称摄像头漏洞让1.3万名客户短暂看到其他人的家庭画面 总部位于美国华盛顿州西雅图市的智能家用安防摄像头厂商 Wyze 因“第三方缓存客户端库”问题导致13,000万人看到了其他人的摄像头画面。官方在电子邮件中表示，Wyze 设备在当地时间上周周五凌晨中断了几个小时。“第三方缓存客户端库”因设备同时重新恢复上线而出现了前所未有的负载状况。由于需求增加，它混淆了设备ID和用户ID映射，并将一些数据连接到了错误的账户。

为什么不要用联网的摄像头？Wyze 摄像头出现别人家的画面。

为什么不要用联网的摄像头？Wyze 摄像头出现别人家的画面。 Wyze 日前出现安全问题，一些用户看到了别人家的画面，所幸只是缩略图而不是视频。 这里于是又要提起不要使用连接公网的摄像头，你可以考虑将摄像头连接到 NAS 或者几十块买个二手硬盘录像机。 喜欢直播性爱满足暴露快感的情侣有福了

为什么不要用联网的摄像头？Wyze摄像头出现别人家的视频画面

为什么不要用联网的摄像头？Wyze摄像头出现别人家的视频画面 Wyze 也知道这个漏洞，但既没有发布公告说明，也没有召回产品，甚至都没有发布补丁去修复，之后 v1 摄像头被停售，但仍然有大量用户在使用该摄像头。新的安全问题：上周 Wyze 摄像头再次出现问题，部分用户报告自己摄像头控制台里看到其他摄像头的画面，主要是一些运动检测的预览图。稍微好些的是，这些只是预览图，没有权限的用户无法查看大图和视频，进而避免了一些其他的隐私泄露问题。对此 Wyze 称由于他们使用的 AWS 服务出现临时性中断导致了问题，临时性中断导致数据损坏，于是部分运动检测预览图被发送给其他用户查看。这个问题 Wyze 花了挺长时间才解决，甚至完全关闭了事件选项卡，即禁止用户查看运动检测事件，避免看到其他人的画面。所以，不要使用联网的摄像头：对于家庭周围或家庭内部安装摄像头，现在也算是比较流行的做法，但基于安全考虑，用户不应该使用那些联网的摄像头，这里指的是画面数据直接上传到摄像头开发商那的。使用摄像头开发商提供的公有云配合 App 查看视频画面确实非常方便，但代价就是你的视频都在开发商那里，他们承诺的各种加密实际上在出现问题时基本没什么用。那有没有解决办法呢？有的，目前多数摄像头都支持 OVIF 等开放摄像头协议，如果你有 NAS 之类的设备，可以将摄像头接入 NAS，摄像头本身并未连接到公网。如果没有 NAS 也很简单，买个二手的硬盘录像机几十元即可搞定，自己装个硬盘录制视频也行，摄像头提供的运动检测等功能也都可以用。如果想要在公网查看那还可以做穿透或映射，尽管这样也连接到公网，但整个数据都只保存在你自己的硬盘里。 ... PC版： 手机版：

研究人员公布Windows 10/11主题文件漏洞 下载后无需交互即可窃取信息

研究人员公布Windows 10/11主题文件漏洞 下载后无需交互即可窃取信息 这个漏洞的编号是 CVE-2024-21320，漏洞原因是 Windows 资源管理器会预加载主题文件的缩略图，进而自动连接黑客指定的远程 UNC 路径。如何使用此漏洞展开攻击：根据研究人员的描述，核心问题在于 Windows 主题文件支持部分参数，例如 BrandImage、Wallpaper、VisualStyle 等，这些参数具有连接网络的功能。当攻击者制作特定的主题文件并修改这些参数指向恶意地址时，用户下载主题文件后，Windows 资源管理器会自动预加载主题文件的缩略图，在这个过程中会自动连接攻击者指定的远程 UNC 路径。这种情况下不需要用户打开主题文件，计算机就会在不知不觉中通过 SMB 协议连接并传输 NTLM 凭据。NTLM 凭据是关键：尽管目前没有证据表明攻击者可以利用此漏洞荷载其他恶意软件，但 NTLM 凭据已经是关键问题。例如攻击者可以通过窃取的 NTLM 哈希值，在网上冒充受害者，进而让黑客未经授权访问敏感系统和资源。亦或者使用密码破解软件，以 NTLM 哈希为起点进行暴力破解，从而获得明文密码，这样可以造成更多攻击。当然实际上要利用 NTLM 哈希展开攻击也是有难度的，目前没有证据表明该漏洞已经被黑客利用，这枚漏洞的 CVSS 评分为 6.5 分。微软是如何缓解攻击的：在 2024 年 1 月份的累积更新中，微软已经引入路径验证来对 UNC 进行验证，同时根据系统策略选择是否允许使用 UNC 路径。同时微软还引入了一个新的注册表项 DisableThumbnailOnNetworkFolder 禁止网络缩略图来降低风险。不过根据 Akamai 的调查，仅仅查看特制的主题文件就足以触发漏洞，因此微软的缓解方案不够充分。为此企业应加强预防措施：NTLM 策略控制：Windows 11 用户可以通过组策略调整阻止 SMB 事务与外部实体的 NTLM 身份验证从而加强防御，支持文档。网络分段：对网络进行微分段，创建具有受控流量的明确定义的域，这样可以防止网络内的横向移动，阻止 NTLM 潜在的危害。最终用户教育：培训并提醒用户晶体来自不受信任来源的可疑文件，包括主题等不常见的文件类型。 ... PC版： 手机版：

《消费者报告》发现廉价的门铃摄像头存在危险的安全漏洞

《消费者报告》发现廉价的门铃摄像头存在危险的安全漏洞 《消费者报告》对一系列廉价门铃摄像头进行了调查，发现这些摄像头存在"糟糕"的安全问题，而且基本上都是由同一家中国公司生产的。这些设备在亚马逊、沃尔玛、Temu 等数码市场上销售，已被证明是非常受欢迎的产品类别。CR 对 Eken 和 Tuck 生产的视频门铃进行了技术调查，发现它们似乎是以不同品牌名称销售的同一种产品。这两款"智能"摄像头以及"至少"另外 10 款相同的可视门铃均由深圳一家公司生产，它们可以通过一个通用的移动应用程序（Aiwit）进行控制，该应用程序也是由这家公司开发的。消费者组织发现这些门铃存在大量安全漏洞。主要漏洞包括：用户的家庭IP地址和Wi-Fi网络名称（SSID）在互联网上未经加密就被暴露；恶意行为者可以通过下载Aiwit应用程序并进入配对模式来接管设备；未经验证的远程访问私人住宅的静态图像和视频画面。这些不安全的摄像头还缺少适当的注册码，而根据 FCC 规定，注册码必须在这类产品上清晰可见。尽管 Eken 摄像头被认为是视频门铃市场上的二流产品，但在网络市场上却"比较畅销"。CR 指出，仅在 2024 年 1 月，亚马逊上的多个列表就产生了 4200 多笔订单。CR 的技术政策总监贾斯汀-布鲁克曼（Justin Brookman）强调了制造商和零售平台如何对可能伤害消费者的产品负责。布鲁克曼说，主要的电子商务平台需要更好地"审查"通过其渠道销售的卖家和产品，现在很明显，需要制定新的规则来追究在线零售商的责任。CR 就其视频门铃向 Eken Group 提出了一些问题，但该公司没有提供任何答复。该组织还联系了在线零售商，分享了它在这些设备中发现的安全漏洞。Temu 表示，所有使用 Aiwit 平台的门铃都已从其网站上删除，而沃尔玛只是承诺会这样做。亚马逊、西尔斯和其他零售商没有提供任何答复。 ... PC版： 手机版：

软件SpMp功能：YouTube Music客户端

软件SpMp 软件功能：YouTube Music客户端 支持平台：#Windows #Linux #Android 软件简介：一款YouTube Music客户端，专注于颜色自定义和歌曲元数据的修改。 功能特点： ⏺ 编辑歌曲、艺术家和播放列表的标题 ⏺ 应用自定义颜色主题，可根据当前歌曲缩略图颜色或全局自定义颜色设置。 ⏺ 支持在应用界面和元数据中显示多种语言的歌曲标题 ⏺ 显示来自KuGou和PetitLyrics的同步歌词，提供日文歌词的假名显示。 ⏺ 可将任意歌曲、播放列表、专辑或艺术家置顶显示 软件下载：点击下载 频道 群聊 投稿 商务