研究人员发现 VSCode 插件商店包含大量恶意程序

研究人员发现 VSCode 插件商店包含大量恶意程序 研究人员对 VSCode Marketplace 的研究发现了数千个恶意扩展程序，安装量达数百万次。包括以下情况： • 1,283 个带有已知恶意代码 (2.29 亿次安装)。 • 8,161 个使用硬编码 IP 地址进行通信。 • 1,452 个运行未知可执行文件。 • 2,304 个使用其他发布者的 Github repo，表明它们是山寨版。 微软在 VSCode Marketplace 上缺乏严格的控制和代码审查机制，这使得威胁行为者可以肆无忌惮地滥用该平台，而且随着该平台的使用越来越多，情况会越来越糟。研究人员检测到的所有恶意扩展都已负责任地报告给微软进行删除。截至发稿时，绝大多数扩展仍可通过 VSCode Marketplace 下载。

数百万人受到 Google Play 上假冒 Telegram 应用中隐藏的间谍软件感染

数百万人受到 Google Play 上假冒 Telegram 应用中隐藏的间谍软件感染 卡巴斯基在 Google Play 商店中发现了伪装成 Telegram 修改版的间谍软件，这些软件旨在从受感染的 Android 设备中获取敏感信息。这些应用程序具有恶意功能，可以捕获姓名、用户 ID、联系人、电话号码和聊天消息并将其泄露到攻击者控制的服务器上。 这些应用程序在被谷歌下架之前已经被下载了数百万次。这些非官方 Telegram 应用属于主要针对特定区域（中国）用户的间谍软件。他们的代码与原始 Telegram 代码仅略有不同，以实现顺利通过 Google Play 的安全检查。 卡巴斯基警告称，官方应用商店也不能保证应用的安全性，所以请谨慎使用第三方修改版，即使它们是通过 Google Play 分发的。卡巴斯基已向谷歌报告了这一威胁。截至 9 月 11 日，谷歌已从 Google Play 商店中删除了卡巴斯基所通报的所有间谍应用。 详情请看：

数百万客户记录在线泄露后 AT&T 重置账户密码

数百万客户记录在线泄露后 AT&T 重置账户密码 本月早些时候，包含 AT&T 客户记录的大量数据被泄露到网上后，目前，AT&T已经重置了数百万客户的账户密码。一位分析了泄露数据的安全研究人员表示，加密的账户密码很容易破译。AT&T 在周六提供的一份声明中表示：“AT&T 已在内部和外部网络安全专家的支持下启动了一项强有力的调查。根据我们的初步分析，该数据集似乎来自 2019 年或更早，影响了约 760 万当前 AT&T 账户持有人和约 6540 万前账户持有人。”声明称：“没有证据表明未经授权访问其系统导致数据集泄露。”

研究人员开发了一种新技术，可以模拟关闭或重新启动 iPhone，防止恶意软件被删除，并允许黑客秘密监听麦克风、以及通过实时网络连

研究人员开发了一种新技术，可以模拟关闭或重新启动 iPhone，防止恶意软件被删除，并允许黑客秘密监听麦克风、以及通过实时网络连接接收敏感数据。 从历史上看，当恶意软件感染 iOS 设备时，只需重新启动设备即可将其删除，从而从内存中清除恶意软件。 然而，这种新的技术可以做到允许恶意软件实现持久性，因为设备从未真正关闭。 由于这种被研究人员称为 “NoReboot” 的攻击并没有利用 iOS 中的任何缺陷，而是使用了人类级别的欺骗手段，因此 Apple 无法修复它。 ▶ #iOS #Hacking #Security

安全研究人员涉嫌利用苹果内部销售系统窃取数百万美元

安全研究人员涉嫌利用苹果内部销售系统窃取数百万美元 虽然法庭记录中没有明确指出苹果公司的名字，但一家未具名的"A 公司"位于加利福尼亚州库比蒂诺，显然就是苹果公司。法庭提到，其中一名罪犯使用礼品卡"在 A 公司的App Store 购买 Final Cut Pro"，而苹果公司是唯一一家销售该软件的公司。2019 年，Frazee 和他的同伙使用密码重置工具访问了一个属于未具名"B 公司"的员工账户，该公司为苹果公司提供客户支持。通过该账户，Frazee 获得了更多的员工凭证，并访问了 B 公司的 VPN 服务器。Frazee 从那里进入了苹果公司的系统，为苹果产品下了欺诈性订单。他使用了苹果公司的"工具箱"程序，该程序可用于在订单下达后对订单进行编辑，他将订单价值改为零，在订单中添加产品，并延长了AppleCare合同。他在 2019 年 1 月至 3 月期间滥用了苹果公司的程序。起诉书还说，被告远程控制位于印度和哥斯达黎加的电脑是骗局的一部分。起诉书还说，骗局本身涉及将订单货币价值改为零、在现有订单中无偿添加产品（如手机和笔记本电脑）以及延长现有服务合同。其中包括将与其中一名被告及其家人有关的客户服务合同延长两年而不付款。苹果公司在1 月份的一份支持文件中感谢弗雷泽发现了macOS Sonoma 中的几个漏洞，而这份文件是在他被捕不到两周后发布的。"我们要感谢诺亚-罗斯金-弗拉泽和 J.实验室）的协助，"苹果在提到一个 Wi-Fi 漏洞时这样写道。Frazee 被控犯有电信诈骗、邮件诈骗、共谋电信诈骗和邮件诈骗、共谋计算机诈骗和滥用以及故意损坏受保护计算机罪。他将被要求没收所有赃物，如果罪名成立，他可能被判处 20 年以上监禁。 ... PC版： 手机版：

研究人员制造出寿命比以前长数百万倍的时间晶体

研究人员制造出寿命比以前长数百万倍的时间晶体 研究人员成功延长了时间晶体的寿命，证实了弗兰克-威尔切克（Frank Wilczek）提出的一个理论概念。这标志着量子物理学向前迈出了重要一步。多特蒙德工业大学的一个研究小组最近成功地制造出了一种非常耐用的时间晶体，它的寿命比以前的实验所显示的要长几百万倍。通过这一研究，他们证实了诺贝尔奖获得者弗兰克-威尔切克（Frank Wilczek）大约在十年前提出的一个极其有趣的现象，而这一现象已经出现在科幻电影中。 这项研究成果现已发表在《自然-物理》杂志上。空间晶体，是原子在大长度尺度上的周期性排列。这种排列赋予了晶体迷人的外观，就像宝石一样具有光滑的切面。物理学通常把空间和时间放在同一层面上处理，例如在狭义相对论中，麻省理工学院（MIT）物理学家、诺贝尔物理学奖获得者弗兰克-威尔切克（Frank Wilczek）在2012年提出了一个假设：除了空间中的晶体，时间中也一定存在晶体。他说，要做到这一点，它们的一个物理特性必须在时间上自发地开始发生周期性变化，即使系统没有经历相应的周期性干扰。看似火焰的是对新时间晶体的测量：每个点都对应一个实验值，从而得出时间晶体核自旋极化周期性动态的不同视图。图片来源：Alex Greilich/多特蒙德大学这种时间晶体是否可能存在，几年来一直是科学界争论不休的话题，但很快就出现在电影院里：例如，在漫威影业出品的电影《复仇者联盟：终局之战》（2019）中，时间晶体就扮演了核心角色。从 2017 年起，科学家们开始在少数场合成功展示了潜在的时间晶体。Alex Greilich 博士在多特蒙德工业大学物理系凝聚态物质研究中心工作。资料来源：多特蒙德工业大学然而，与威尔切克最初的想法不同的是，这些系统受到具有特定周期性的时间激发，但随后又以两倍长的周期发生反应。2022 年，在玻色-爱因斯坦凝聚态中才展示了一种晶体，虽然激发与时间无关，即恒定不变，但它在时间上表现出周期性。不过，这种晶体的寿命只有几毫秒。亚历克斯-格雷利希博士领导的多特蒙德工业大学物理学家现已设计出一种由砷化镓铟制成的特殊晶体，在这种晶体中，核自旋充当了时间晶体的储存器。晶体在持续光照下，通过与电子自旋的相互作用形成核自旋极化。正是这种核自旋极化自发地产生了振荡，相当于时间晶体。目前的实验结果表明，这种晶体的寿命至少为 40 分钟，比迄今为止证明的寿命长 1000 万倍，而且有可能存活得更长。通过系统地改变实验条件，可以在很大范围内改变晶体的周期。然而，也有可能进入晶体"熔化"的区域，即失去周期性的区域。这些区域也很有趣，因为这时会表现出混沌行为，这种行为可以维持很长时间。这是科学家们第一次能够利用理论工具来分析这类系统的混沌行为。编译来源：ScitechDaily ... PC版： 手机版：