一种新的攻击方法威胁到几乎所有VPN应用

一种新的攻击方法威胁到几乎所有VPN应用最近，一组研究人员提出了一个称为TunnelVision的新攻击技术，这种技术可以让大多数VPN应用无法正常加密网络流量。这种攻击方式通过操纵网络中的DHCP服务器，使得VPN流量绕过原本的加密隧道，直接经过攻击者的服务器。这个问题自2002年以来就存在，有可能已经被发现并被利用过。目前，仅Android操作系统的VPN应用可以完全防御这种攻击，而其他操作系统则没有完全的解决办法。关注频道@ZaiHuaTG频道投稿@ZaiHuabot

负责无线通信技术标准的官方机构蓝牙协会（Bluetooth SIG）日前承认存在一个严重的蓝牙安全漏洞，该漏洞将使攻击者更容易与

负责无线通信技术标准的官方机构蓝牙协会（BluetoothSIG）日前承认存在一个严重的蓝牙安全漏洞，该漏洞将使攻击者更容易与你的设备强行配对。蓝牙连接的工作原理是两台设备都必须同意连接。一个发送请求，另一个必须接受它，并通过交换公共密钥来验证设备的身份，并为连接生成加密密钥，确保连接是安全的。蓝牙安全漏洞意味着攻击者可能会干扰加密设置，迫使加密密钥更短，这样就很容易地尝试所有可能的加密密钥来建立连接。研究人员发现，攻击设备有可能干扰用于两个设备之间的BR/EDR连接上设置加密的过程，从而减少使用的加密密钥的长度。此外，由于并非所有蓝牙规范都给定了明确的加密密钥的最小长度，一些安全程度较低的蓝牙产品就更容易受到攻击。攻击者可成功地将加密密钥设置为更短的长度，然从而轻易地破解密钥，操控目标手机或操纵流量。蓝牙协会在蓝牙规范中要求相关厂商更新他们的蓝牙设备，以确保加密密钥至少有7个八位元。由于欺骗连接可用的窗口时间很短，所以只要保证密钥长度达到规范标准，基本足以防范此类攻击。苹果在其设备的最新更新中已经实现了这一点，确保你的系统已经更新到最新的公共版本即可免受这种形式的攻击。

广泛使用的 VPN 都容易受到 Tunnel Crack 攻击

广泛使用的VPN都容易受到TunnelCrack攻击纽约大学和荷语鲁汶天主教大学的研究团队发表报告指，许多广泛使用的VPN都容易受到一种名为TunnelCrack的攻击，而这些攻击不受使用的VPN协议的限制，且攻击成本低廉，使得任何具有适当网路访问权限的人都有可能执行。即使用户在使用额外的加密层来保护流量，如HTTPS，骇客仍然可以轻易入侵使用者正在访问的网站，从而构成严重的隐私风险。TunnelCrack攻击有两种手段，分别是LocalNet攻击和ServerIP攻击，它们利用路由表来泄漏VPN通道内的往来数据，将原本应该在VPN通道内的数据以明文方式传送到通道之外。这些攻击可以操纵受害者的路由表，将流量从受保护的VPN中导引出来，使黑客能够读取和拦截流量。专家建议用户可以禁用本地网络访问或确保访问的网站使用HTTPS协议，以增加数据的安全性。尽管一些供应商已经修复了这些漏洞，但仍有许多VPN服务尚未进行更新。因此，使用者应确认所使用的VPN是否受到影响，并采取适当的措施来保护自己的资料和隐私。视频演示：检查VPN客户端是否受影响：论文：更多信息：思科报告：——（慢讯）

Horizen：Horizen EON 不受常用开源库的安全漏洞影响

Horizen：HorizenEON不受常用开源库的安全漏洞影响Horizen在X平台表示，我们从thirdweb获悉，一个常用的开源库中存在一个安全漏洞，该漏洞影响了Web3领域的各种智能合约，包括Thirdweb的一些预构建智能合约。HorizenEON平台本身不受此漏洞的影响，并且保持正常运行和安全。如果您在太平洋标准时间2023年11月22日晚上7点之前使用Thirdweb的预构建合约，请按照Thirdweb发布的说明进行操作，以减轻潜在的攻击。

研究人员发现针对 VPN 应用的高危攻击方法

研究人员发现针对VPN应用的高危攻击方法研究人员设计了一种针对几乎所有虚拟私人网络应用的攻击，迫使应用在加密隧道之外发送和接收部分或全部流量。研究人员将攻击命名为“TunnelVision”。研究人员认为，当连接到这种恶意网络时，所有VPN应用都会受到影响，除非用户的VPN在Linux或安卓上运行，否则无法防止此类攻击。攻击技术可能早在2002年就已存在，而且可能已在野利用。这种攻击通过操纵为试图连接到本地网络的设备分配IP地址的DHCP服务器来实现。称为Option121的设置允许DHCP服务器覆盖默认的路由规则，将VPN流量通过启动加密隧道的本地IP地址发送。通过使用Option121将VPN流量路由到DHCP服务器，攻击将数据转发到DHCP服务器本身。安卓是唯一完全使VPN应用免受攻击的操作系统，因为它没有实现Option121。——

【密码管理平台LastPass披露一起安全事件，建议主密码未遵循默认值的用户更改密码】

【密码管理平台LastPass披露一起安全事件，建议主密码未遵循默认值的用户更改密码】2022年12月25日04点42分老不正经报道，在线密码管理平台LastPass披露称，未经授权的一方获得了对第三方云存储服务的访问权限，LastPass使用该服务存储其生产数据的存档备份。根据LastPass调查，一个未知的攻击者利用LastPas之前在2022年8月披露的事件中获得的信息访问了一个基于云的存储环境，一些消息来源代码和技术信息从开发环境中被盗，并被用于攻击另一名员工，获取用于访问和解密基于云的存储服务中的某些存储凭证和密钥。LastPass确定，一旦获得云存储访问密钥和双存储容器解密密钥，攻击者就会从备份中复制信息，其中包含基本客户账户信息和相关元数据，包括公司名称、最终用户名称、账单地址、客户访问LastPass服务时使用的电子邮件地址、电话号码和IP地址。LastPass称自2018年以来，其要求主密码至少12个字符，可极大地降低暴力猜测密码的能力。如果用户的主密码不遵循上述默认值，LastPass建议用户考虑通过更改存储的网站密码来最大限度地降低风险。