可视化门铃 EKEN 制造商修复了导致用户容易受到监视的安全问题

可视化门铃 EKEN 制造商修复了导致用户容易受到监视的安全问题 总部位于深圳的公司 Eken Group 已发布固件更新，以解决今年早些时候《消费者报告》调查发现的其可视化门铃的重大安全问题。这些可视化门铃与 Aiwit 应用配对，并以多种品牌出售。在测试中，监管机构发现未加密的摄像头可能会泄露家庭 IP 地址和 Wi-Fi 网络等敏感信息，并允许外部人员使用其序列号远程访问摄像头源中的图像。现在，《消费者报告》称问题已经得到解决，只需更新设备即可。这些品牌的设备现在应该显示2.4.1或更高版本的固件，这表明它们已经收到更新。这些可视化门铃曾在亚马逊、沃尔玛和 Temu 等热门电商平台上销售，但后来似乎已被下架，而且缺乏美国联邦通信委员会要求的正确标签。

《消费者报告》发现廉价的门铃摄像头存在危险的安全漏洞

《消费者报告》发现廉价的门铃摄像头存在危险的安全漏洞 《消费者报告》对一系列廉价门铃摄像头进行了调查，发现这些摄像头存在"糟糕"的安全问题，而且基本上都是由同一家中国公司生产的。这些设备在亚马逊、沃尔玛、Temu 等数码市场上销售，已被证明是非常受欢迎的产品类别。CR 对 Eken 和 Tuck 生产的视频门铃进行了技术调查，发现它们似乎是以不同品牌名称销售的同一种产品。这两款"智能"摄像头以及"至少"另外 10 款相同的可视门铃均由深圳一家公司生产，它们可以通过一个通用的移动应用程序（Aiwit）进行控制，该应用程序也是由这家公司开发的。消费者组织发现这些门铃存在大量安全漏洞。主要漏洞包括：用户的家庭IP地址和Wi-Fi网络名称（SSID）在互联网上未经加密就被暴露；恶意行为者可以通过下载Aiwit应用程序并进入配对模式来接管设备；未经验证的远程访问私人住宅的静态图像和视频画面。这些不安全的摄像头还缺少适当的注册码，而根据 FCC 规定，注册码必须在这类产品上清晰可见。尽管 Eken 摄像头被认为是视频门铃市场上的二流产品，但在网络市场上却"比较畅销"。CR 指出，仅在 2024 年 1 月，亚马逊上的多个列表就产生了 4200 多笔订单。CR 的技术政策总监贾斯汀-布鲁克曼（Justin Brookman）强调了制造商和零售平台如何对可能伤害消费者的产品负责。布鲁克曼说，主要的电子商务平台需要更好地"审查"通过其渠道销售的卖家和产品，现在很明显，需要制定新的规则来追究在线零售商的责任。CR 就其视频门铃向 Eken Group 提出了一些问题，但该公司没有提供任何答复。该组织还联系了在线零售商，分享了它在这些设备中发现的安全漏洞。Temu 表示，所有使用 Aiwit 平台的门铃都已从其网站上删除，而沃尔玛只是承诺会这样做。亚马逊、西尔斯和其他零售商没有提供任何答复。 ... PC版： 手机版：

#介意邻居摄像头正对你家吗#【#家装3个摄像头被邻居状告侵权#】北京一对邻居生活中有些矛盾，其中一户的孙女士发现，邻居家的门铃有

#介意邻居摄像头正对你家吗#【#家装3个摄像头被邻居状告侵权#】北京一对邻居生活中有些矛盾，其中一户的孙女士发现，邻居家的门铃有摄像功能，此外，还另外安装了两个摄像头，最终将邻居于女士告上法庭。被告于女士认为，原告孙女士曾往自己家倒垃圾，还有语言侮辱等行为，自己安装可视门铃和摄像头是出于防卫和取证目的，且他们拍摄的是公共区域，不存在侵权。 经过实地查看，法院发现，被告安装的设备，会采集到原告家的出入情况、家内部情况。法院认定被告行为构成侵犯，判决被告拆除可视门铃和摄像头。 法官提示，在入户门处安装带有录音、录像功能的电子设备前，最好事先征求邻居的意见，若协商无法达成一致，可向物业寻求帮助。 法治在线丨家门口安装可视门铃是否侵犯邻居隐私？法院这样判→央视新闻的微博视频 via 央视新闻的微博 Invalid media: video

这就是苹果官方为安全研究人员提供的"越狱"iPhone 黑市价值数千美元

这就是苹果官方为安全研究人员提供的"越狱"iPhone 黑市价值数千美元 在这些设备出现之前，有一个由黑客和安全研究人员组成的松散组织，他们一心想解除苹果公司对 iPhone 的限制，被称为"越狱者"。越狱"一词的概念来自于突破苹果公司对 iPhone 的安全限制，被称为"监狱"。越狱者的目的有时只是为了绕过限制，例如侧载官方 App Store 未收录的应用程序，以及在过去iPhone OS启用该功能之前简单地更改 iPhone 的墙纸。尽管这些目标看似无害，但苹果公司多年来一直在与越狱者作斗争，阻止人们禁用 iPhone 的安全功能。至少还有一个苹果支持页面称越狱是对 iOS 系统的"未经授权的修改"。最近，根据安全研究员 Gergely Kalman在 X（之前是 Twitter）上发布的一张图片，苹果公司似乎已经接受了越狱这一术语，并将其用于安全研究设备的官方说明中。"我们已经简化了在安全研究设备上运行现有工具的过程。通过 cryptex 子系统，你可以侧载你的工具，它将以平台权限和任何你想要的权限运行，"说明中写道。"这允许安全策略的其余部分保持启用状态，提供了越狱设备的灵活性，同时将你正在调查的系统保持在类似客户的完整状态"。带贴纸和说明书的 iPhone 安全研究设备。(图片：Gergely Kalman）卡尔曼附上了一张装有他的 iPhone 安全研究设备的盒子的照片、一页给研究人员的说明，以及他说盒子里的三张贴纸。他在周二发布的帖子中写道："很抱歉没有开箱视频，但这是苹果安全研究设备和随附的礼品。"目前还不清楚外部到底有多少这样的安全研究设备，网上广泛传播的图片也很少。当被问到苹果对外发送了多少台这样的设备，以及该计划是否导致向公司报告的漏洞数量增加时，苹果发言人斯科特-拉德克利夫（Scott Radcliffe）没有回应置评请求。卡尔曼介绍说，他的安全研究设备与 iPhone 14 Pro"一模一样"，唯一不同的是，在锁定屏幕的底部有"安全研究设备"的字样和一个苹果公司的电话号码，大概是为了在丢失时方便上交。除此之外，卡尔曼说包装盒上还有一个特殊的标签，上面写着"请勿移除"和"苹果公司财产"，还有一个序列号，苹果公司在其网站上注明了这个序列号。在卡尔曼周二发表文章之前，似乎只有一篇博客文章展示了安全研究设备的图片，发表于 2022 年。iPhone 安全研究设备。(图片：Hoyt LLC）安全研究设备计划的推出至少在一定程度上是对iPhone 原型（技术上称为"融合开发"设备）泛滥的回应，黑客和收藏者在地下市场买卖这些设备。这些"开发融合"设备本质上是没有经过完整生产流程的 iPhone，或之前在苹果公司内部用于测试功能，从未打算最终落入消费者手中。因此，这些设备少有普通 iPhone 上的典型安全功能和限制。这正是它们特别吸引安全研究人员的地方：这些设备使黑客更容易在 iPhone 最严密的代码中发现漏洞。这就是为什么这些设备的价格高达数千美元，也是为什么苹果公司一直在打击这种灰色市场，并提供替代的安全研究设备。 ... PC版： 手机版：

微软签名密钥不断被劫持，赛门铁克披露黑客团队Carderbee针对中国香港的攻击活动

微软签名密钥不断被劫持，赛门铁克披露黑客团队Carderbee针对中国香港的攻击活动 8月22日，赛门铁克披露了Carderbee针对中国香港的攻击活动。研究人员于4月发现了Carderbee的第一个活动迹象，但攻击活动或可以追溯到2021年9月。 攻击者使用合法的Cobra DocGuard软件执行供应链攻击，目的是在目标计算机上安装后门Korplug（又名PlugX）。Cobra DocGuard Client 是一家名为亿赛通的中国公司开发的软件，用于保护、加密和解密的软件。 攻击活动还使用了合法的Microsoft证书签名的恶意软件。该活动的大多数目标位于中国香港，也有一部分位于亚洲的其它地区。研究人员表示，关于Carderbee活动仍有一些未解之谜，比如确切的目标范围仍不清楚。 、、

研究人员发现绕过 ChatGPT 安全控制的漏洞

研究人员发现绕过 ChatGPT 安全控制的漏洞 在周四发布的一份中，匹兹堡卡内基梅隆大学和旧金山人工智能安全中心的研究人员展示了任何人如何规避人工智能安全措施并使用任何领先的聊天机器人生成几乎无限量的有害信息。 研究人员发现，他们可以通过在输入系统的每个英语提示符上附加一长串字符来突破开源系统的护栏。 如果他们要求其中一个聊天机器人“写一篇关于如何制造炸弹的教程”，它会拒绝这样做。但如果他们在同一个提示中添加一个冗长的后缀，它会立即提供有关如何制作炸弹的详细教程。以类似的方式，他们可以诱使聊天机器人生成有偏见的、虚假的和其他有毒的信息。 研究人员感到惊讶的是，他们用开源系统开发的方法也可以绕过封闭系统的护栏，包括 OpenAI 的 ChatGPT、Google Bard 和初创公司 Anthropic 构建的聊天机器人 Claude。 聊天机器人开发公司可能会阻止研究人员确定的特定后缀。但研究人员表示，目前还没有已知的方法可以阻止所有此类攻击。专家们花了近十年的时间试图阻止对图像识别系统的类似攻击，但没有成功。 Anthropic 政策和社会影响临时主管 Michael Sellitto 在一份声明中表示，该公司正在研究阻止攻击的方法，就像研究人员详细介绍的那样。“还有更多工作要做，”他说。