▎多达十亿用户的云输入法可能已泄露输入内容

#互联网观察▎多达十亿用户的云输入法可能已泄露输入内容来自分析了来自九家供应商（百度、荣耀、华为、科大讯飞、OPPO、三星、腾讯、Vivo和小米）的基于云的拼音键盘应用程序的安全性，并检查了它们传输用户击键的漏洞。分析结果指出，九家厂商中，有八家输入法软件包含严重漏洞，使我们得以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。综合本研究和我们先前研究中发现的搜狗输入法漏洞，我们估计至多有十亿用户受到这些漏洞影响。基于下述原因，我们认为用户输入的内容可能已经遭到大规模收集：这些漏洞影响了广泛的用户群体用户在键盘中输入的信息极为敏感发现这些漏洞不需要高深技术五眼联盟过去曾利用中国应用程序中类似的漏洞施行监控该实验室已向受影响的九家开发商提交这些漏洞，大部分开发商均认真看待问题并予以回应，修补了漏洞，但仍有少数输入法未修补漏洞。▎报告链接中文摘要版：英文全文版：该新闻为慢讯，频道@AppDoDo

多伦多大学研究员发现，搜狗输入法存在隐私风险与安全漏洞

多伦多大学研究员发现，搜狗输入法存在隐私风险与安全漏洞来自多伦多大学公民实验室的研究人员披露了搜狗输入法的一个加密漏洞，研究员通过对软件的Windows、Android和iOS版本进行分析，发现了搜狗输入法内部的“EncryptWall”加密系统存在令人担忧的漏洞。其中包括CBCpaddingoracle攻击漏洞，这使得网络窃听者能够恢复加密网络传输的明文。研究人员发现搜狗输入法会将用户的输入记录上传至腾讯服务器，上传过程中包含的敏感数据（例如用户按键的数据）的网络传输可以根据漏洞被网络窃听者破译，从而会暴露用户在按键输入时键入的内容。研究员向搜狗开发人员披露了这些漏洞后，搜狗已于2023年7月20日发布了受影响软件的修复版本（Windows版本13.7、Android版本11.26和iOS版本11.25）。——

iOS 16.6.1 更新修复严重漏洞    Apple 呼吁所有用户尽快更新

iOS 16.6.1 更新修复严重漏洞    Apple 呼吁所有用户尽快更新今天凌晨，苹果发布了iOS16.6.1版本更新，主要专注于修补两大安全漏洞，而非新增任何功能。苹果建议所有支援iOS16版本的iPhone用户尽快安装此次更新，以确保系统的安全性。 iOS16.6.1版本更新主要针对ImageIO和Wallet两大漏洞进行修复，公民实验室发现，黑客能透过ImageIO漏洞制作恶意图像进行攻击，当使用者打开这些图片时，系统将产生安全漏洞，使黑客可以执行任意代码。 除了修复ImageIO漏洞之外，苹果表示该漏洞会涉及PassKit附件错误，PassKit是一个允许开发人员将ApplePay整合到其应用程序中的框架。除了推出iOS16.6.1版本之外，也同步推出iPadOS16.6.1、watchOS9.6.2、macOS13.5.2更新，以解决相同的安全漏洞。——、

苹果紧急更新修复了用于入侵iPhone和Mac的零漏洞

苹果紧急更新修复了用于入侵iPhone和Mac的零漏洞苹果公司周四发布了安全更新，以解决被攻击者利用来入侵iPhone、iPad和Mac的两个零日漏洞。零日安全漏洞是软件供应商不知道的缺陷，还没有打补丁。在某些情况下，它们也有公开可用的概念验证漏洞，或者可能已被积极利用。在今天发布的安全公告中，苹果公司表示，他们知道有报告称这些问题"可能已经被积极利用了"。这两个缺陷是英特尔图形驱动程序中的越界写入问题（CVE-2022-22674），允许应用程序读取内核内存，以及AppleAVD媒体解码器中的越界读取问题（CVE-2022-22675），将使应用程序以内核权限执行任意代码。这些漏洞由匿名研究人员报告，并由苹果公司在iOS15.4.1、iPadOS15.4.1和macOSMonterey12.3.1中修复，分别改进了输入验证和边界检查。——BleepingComputer

【Safemoon CEO：漏洞已修复且其他LP池未受影响，用户资金安全】

【SafemoonCEO：漏洞已修复且其他LP池未受影响，用户资金安全】2023年03月29日02点48分老不正经报道，DeFi协议Safemoon首席执行官JohnKarony在推特上表示：“此次安全事件受影响的是SFM:BNBLP池，DEX上的其他LP池没有受到影响。我们已经定位了可疑的漏洞，并修复了漏洞，并聘请了区块链取证顾问来确定漏洞的确切性质和程度。我们的DEX是安全的，并保证用户资金是安全的。我们即将进行的任何升级和发布也没有受到影响。”此前今日早些时候消息，DeFi协议SafeMoon遭遇攻击，其流动资金池损失约890万美元。