威联通敦促用户尽快更新，其 NAS 产品存在漏洞：可绕过身份验证等

威联通敦促用户尽快更新，其 NAS 产品存在漏洞：可绕过身份验证等 ：不正确的验证机制允许未经授权的用户通过网络（远程）破坏系统的安全性。 ：此漏洞可让通过身份验证的用户通过网络在系统上执行任意命令，可能导致未经授权的系统访问或控制。 ：此漏洞可让通过身份验证的管理员通过网络注入恶意 SQL 代码，从而破坏数据库的完整性并篡改其内容。

谷歌身份验证器现在可以将 2FA 代码同步到云端

谷歌身份验证器现在可以将 2FA 代码同步到云端 Google Authenticator刚刚获得更新，对于经常使用该服务登录应用程序和网站的人来说应该会更有用。 从今天开始，Google Authenticator 现在会将其生成的任何一次性双因素身份验证 (2FA) 代码同步到用户的 Google 帐户。以前，一次性身份验证器代码存储在本地的单个设备上，这意味着丢失该设备通常意味着无法登录使用身份验证器的 2FA 设置的任何服务。 要利用新的同步功能，只需更新 Authenticator 应用程序即可。如果您在 Google 身份验证器中登录了 Google 帐户，您的代码将自动备份并在您使用的任何新设备上恢复。即使您没有登录 Google 帐户，您也可以按照此支持页面上的步骤手动将代码传输到另一台设备。 警告：由于此前谷歌身份验证器更新会造成验证代码无法被正确验证，此次更新是否解决了这个问题编辑未进行确认，请谨慎更新。

【Google身份验证器iOS版本新增支持云同步功能】

【Google身份验证器iOS版本新增支持云同步功能】 4月25日消息，Google 身份验证器的 iOS 端应用推出 4.0 版本，新增支持云同步功能，用户可将验证器生成的验证码同步至所有的 Google 账号和设备，即便丢失设备也可随时获取验证码。

重要: 部分应用内置的支付宝支付组件可能有身份验证漏洞，存在盗刷风险

重要: 部分应用内置的支付宝支付组件可能有身份验证漏洞，存在盗刷风险 原理: 部分应用内置支付宝支付组件，可在用户无支付宝 App 环境下快捷付款，但该组件存在可被抓包劫持的问题，攻击者可通过流量抓包捕获验证码请求，并篡改短信获取手机号码实现验证码登录，但支付仍然需要支付密码才能成功支付 漏洞级别:重要［需要用户注意］ 漏洞利用难度: 一般［攻击者需要持有目标多项信息，但信息获取难度较低，虽然支付宝存在安全风控防护，但仍然存在被批量风险］ 注意: 由于国内隐私问题，大量公民个人信息泄露，攻击者非常容易凑齐大量公民的手机号码，户主名称以及身份证号码，加上用户习惯性的将自己生日或某账号等设置为自己的六位数支付密码，攻击者非常容易实现批量碰撞盗刷 由于支付组件会缓存用户登录信息方便快捷付款。所以登录状态可能会出现被长时间缓存至攻击者设备内，但每次付款仍然需要输入支付密码，但更改支付密码并不能将所有设备踢出支付状态。 攻击者在获取登录状态过后，可持续性的查看账号内的金额，绑定卡片等一系列私密信息 处置建议: 更改自己支付宝支付密码，尽量不要使其与自己身份产生关联，采用随机六位数字，避免使用生日等重要日期，开启支付宝通知权限，及时获取支付消息，确保每一笔支付由本人支付 注意: 由于支付宝存在安全支付风控措施，所以攻击者只能尝试进行小额支付，用户需注意自己账户是否出现密集的小额扣款及未知小额扣款

Windows系统现高危漏洞，攻击者可通过Wi-Fi远程入侵设备

Windows系统现高危漏洞，攻击者可通过Wi-Fi远程入侵设备 根据美国国家漏洞数据库公布的信息，该漏洞存在于 Windows 的 Wi-Fi 驱动程序中，属于远程代码执行漏洞。攻击者只需在物理上接近受害者设备，即可通过 Wi-Fi 接管设备，无需与目标计算机建立物理连接。微软已确认，除了物理接近要求外，攻击者不需要任何特殊访问权限或其他特殊条件即可成功利用该漏洞。 该漏洞被编号为，攻击者无需以用户身份进行身份验证，不需要访问受害者计算机上的任何设置或文件，受害者设备用户不需要进行任何交互操作，无需点击链接、加载图像或执行文件。 由于此漏洞的性质，在设备密集的环境中风险尤为显著，例如酒店、贸易展览会等场所，在这些地方，攻击者可在不引起警觉的情况下对大量用户发动攻击。 ，

SEC 称X账户曾关闭多重身份验证6个月，被盗是因为黑客使用了“SIM卡交换”攻击

SEC 称X账户曾关闭多重身份验证6个月，被盗是因为黑客使用了“SIM卡交换”攻击 Tips：SIM 卡交换攻击是透过冒用身份向电信运营商提出申请，将被害者的电话号码从对方的SIM卡转移至攻击者的一种诈骗攻击手段。 你们要不要先管管SIM卡冒领的问题？