北京冬奥组委：“冬奥通”App数据将受到保护

北京冬奥组委：“冬奥通”App数据将受到保护北京冬奥组委技术部部长喻红今天（19日）说，中国为北京冬奥会打造的应用程序“冬奥通”的主要功能是监测人们的健康状况，数据将会受到保护。据路透社报道，喻红在中国驻美国大使馆举办的一次简报会上说，冬奥通应用程序已得到相关应用程序商店的验证，中国将遵循严格的规则来保护数据。另据中国驻加拿大使馆网站发布的新闻稿，中国驻加拿大使馆发言人则称，针对网络安全的担忧完全没有必要，北京冬奥会期间，中国将秉持安全、开放、合作的治网理念，为参会的国内外运动员、媒体人员等提供便捷网络服务。发言人还说，据了解，对于中国提供的开放网络保障服务，各方在使用中均表示满意。加拿大研究人员周二（18日）发布的一份报告称，下个月北京冬奥会所有注册涉奥人员必须使用的一款智能手机“冬奥通”应用程序存在安全缺陷，容易受到隐私泄露和黑客攻击。发布：2022年1月19日10:31AM

【404档案馆】第67期：北京冬奥应用的安全漏洞和敏感词详解

2022年的冬季奥运会，将于2月4日至20日在北京举行。为了应对新冠疫情，中国官方宣布实施 “闭环” 管理，要求所有奥运会参与者都必须在手机安装健康监测应用 “冬奥通” (MY2022 APP) ；国际参会者要在前往中国前14天开始，每天监测健康状况并将其提交到应用程序。然而，加拿大网络监控组织“公民实验室” （Citizen Lab）于1月18日发布了一份报告，称“冬奥通”App存在严重的安全漏洞，可能会使敏感数据遭到拦截。在本期节目中，我们为您梳理这份报告的主要内容，聊聊手机应用“冬奥通”引发的争议。

研究人员为智能家居枢纽中存在的安全漏洞敲响警钟

研究人员为智能家居枢纽中存在的安全漏洞敲响警钟副教授KyuLee解释说，该团队"能够使用机器学习技术来弄清许多活动，甚至不需要解密信息"。更令人担忧的是，ChatterHub可以被用来绕过智能锁等设备。该研究表明，如果研究人员想解锁某些类型的智能锁，他们不必向这些锁发送正确的加密代码。相反，他们可以用信息包不断轰击一些锁，直到它们发生故障，相当于可以"阻止房主锁门"。犯罪分子还可以利用这种技术使设备的电池耗尽，导致其关机和解锁。拥有ChatterHub应用程序的不良行为者甚至不需要靠近你的家就能将其作为目标。从佐治亚大学提供的信息来看，使用该应用程序进行恶意攻击的人似乎也不需要在家里做很多研究。潜在的入侵者不需要知道他们正在迭代的智能集线器的类型，也不需要知道你有哪些其他设备或你的智能家居设置的布局。智能家居攻击会让你暴露在什么地方？智能家居攻击到底会让你暴露多少，完全取决于你的智能家居设置。如果你除了几个通过应用程序控制的智能灯泡外没有其他东西，那么黑客真正能做的也只能是破坏你的照明。同样，一台电视和一个智能音箱可能不会造成很多问题，除了网络犯罪分子会发现你现在正在看的Netflix剧集。真正的问题发生在智能家居功能上，这些功能的存在是为了让你的家更安全，但实际上可能会产生相反的效果。摄像机和婴儿监视器是用来看和听的，那么有权限的黑客可以用它们来监视你的家，收集信息，并计算出你是否在房子里。如果你的智能家居也安装了智能锁，后果可能更加严重。从理论上讲，一个能够进入你的智能家居的黑客可以解开任何装有智能锁的门。当然需要值得指出的是，传统的锁也不是那么安全，正如LockPickingLawyer所证明的。地球上有能力撬开插销和滚轴锁的人可能比有能力入侵智能家居的人多。此外，犯罪分子可以在几秒钟内使用像石头一样简单的工具攻破大多数窗户。智能锁确实有另一个因素。如果黑客不能控制你的智能设备，但可以拦截它们之间的信息，他们可以利用这些信息来确定一个设备是否处于活动状态。这可以用来查看灯是否打开或门是否解锁，并给他们一个机会进入你的家。佐治亚大学副教授KyuLee如何保持你的智能家居安全首先，你应该明白，这是一项大学研究，由一个比你的普通罪犯拥有更多资源的组织进行。据统计，大多数人都不值得付出如此大的努力。这可能会随着人工智能的普及而改变，像量子计算这样的东西对所有数字事物都有可怕的安全影响，但就目前的情况来看，拥有智能家居设备得你更可能是安全的。正如研究人员在研究中所说，ChatterHub强调的问题的解决方案将不得不直接来自智能设备的开发者。随着技术的发展，开发者也将负责抵御其他新出现的威胁。然而，你仍然可以做一些事情来确保你的智能家居尽可能的安全。由于你的智能家居通过你的Wi-Fi网络运行，这是一个理想的开始。确保你的路由器有一个强大的密码，并考虑为你的智能家居使用你的路由器的访客网络，如果它有一个。这里的好处是，如果有人进入访客网络，他们将无法访问路由器的任何其他设置。另一个建议是将你的智能家居限制在你真正需要的设备上。一个较小的设备网络意味着更少的事情会出错。最后，确保你的智能设备是最新的。开发人员通过固件更新来修补错误和漏洞。一些设备如亚马逊Echo会自动下载和应用更新，而其他设备可能需要你通过各自的应用程序安装更新。检查所有关键设备的更新，如智能锁和摄像头，作为你每周家庭工作的一部分。这足以确保你的智能家居尽可能的安全，并确保开发人员对新出现的威胁的反应尽快实施。...PC版：https://www.cnbeta.com.tw/articles/soft/1332937.htm手机版：https://m.cnbeta.com.tw/view/1332937.htm

GitHub现在允许研究人员私下向项目维护者报告安全漏洞

GitHub现在允许研究人员私下向项目维护者报告安全漏洞私人漏洞报告首先在GitHubUniverse2022年作为公开测试版提供。从那时起，30000个组织的维护者已经在超过180,000个存储库中启用了该功能。GitHub表示，这种私人报告机制启动以来，已经收到了超过1000份报告。随着GitHub将这一功能晋升为普遍可用，它还增加了几个新功能。第一个改进让维护者可以在其组织中的所有仓库上启用该功能，而不是一次只启用一个仓库。维护者还可以为那些帮助发现问题的人指定一个类型，一些类型包括分析员、发现者、赞助者等等。最后，还有一个新的版本库安全顾问的API，方便与第三方系统的整合，自动提交，和漏洞警报。希望随着这一功能的普及，开源项目会变得更安全一些。...PC版：https://www.cnbeta.com.tw/articles/soft/1355833.htm手机版：https://m.cnbeta.com.tw/view/1355833.htm

研究人员发现绕过 ChatGPT 安全控制的漏洞

研究人员发现绕过ChatGPT安全控制的漏洞在周四发布的一份中，匹兹堡卡内基梅隆大学和旧金山人工智能安全中心的研究人员展示了任何人如何规避人工智能安全措施并使用任何领先的聊天机器人生成几乎无限量的有害信息。研究人员发现，他们可以通过在输入系统的每个英语提示符上附加一长串字符来突破开源系统的护栏。如果他们要求其中一个聊天机器人“写一篇关于如何制造炸弹的教程”，它会拒绝这样做。但如果他们在同一个提示中添加一个冗长的后缀，它会立即提供有关如何制作炸弹的详细教程。以类似的方式，他们可以诱使聊天机器人生成有偏见的、虚假的和其他有毒的信息。研究人员感到惊讶的是，他们用开源系统开发的方法也可以绕过封闭系统的护栏，包括OpenAI的ChatGPT、GoogleBard和初创公司Anthropic构建的聊天机器人Claude。聊天机器人开发公司可能会阻止研究人员确定的特定后缀。但研究人员表示，目前还没有已知的方法可以阻止所有此类攻击。专家们花了近十年的时间试图阻止对图像识别系统的类似攻击，但没有成功。Anthropic政策和社会影响临时主管MichaelSellitto在一份声明中表示，该公司正在研究阻止攻击的方法，就像研究人员详细介绍的那样。“还有更多工作要做，”他说。——

多伦多大学研究员发现，搜狗输入法存在隐私风险与安全漏洞

多伦多大学研究员发现，搜狗输入法存在隐私风险与安全漏洞来自多伦多大学公民实验室的研究人员披露了搜狗输入法的一个加密漏洞，研究员通过对软件的Windows、Android和iOS版本进行分析，发现了搜狗输入法内部的“EncryptWall”加密系统存在令人担忧的漏洞。其中包括CBCpaddingoracle攻击漏洞，这使得网络窃听者能够恢复加密网络传输的明文。研究人员发现搜狗输入法会将用户的输入记录上传至腾讯服务器，上传过程中包含的敏感数据（例如用户按键的数据）的网络传输可以根据漏洞被网络窃听者破译，从而会暴露用户在按键输入时键入的内容。研究员向搜狗开发人员披露了这些漏洞后，搜狗已于2023年7月20日发布了受影响软件的修复版本（Windows版本13.7、Android版本11.26和iOS版本11.25）。——