蓝牙身份验证漏洞可让黑客控制 Apple、Android 和 Linux 设备

蓝牙身份验证漏洞可让黑客控制 Apple、Android 和 Linux 设备 无人机技术公司 SkySafe 的软件工程师表示，存在多年的蓝牙身份验证绕过漏洞允许不法分子连接到 Apple、Android 和 Linux 设备并注入击键来运行任意命令。 马克·纽林 (Marc Newlin) 发现了该漏洞并将其报告给了公司，他表示，该漏洞编号为 CVE-2023-45866，不需要任何特殊硬件即可利用，并且可以使用常规蓝牙适配器从 Linux 机器上对 Apple、Google、Canonical 和蓝牙 SIG 发起攻击。 该攻击允许附近的入侵者在受害者的设备上注入击键并执行恶意操作，只要他们不需要密码或生物识别身份验证。 在周三发布的 中，bug 猎人这样描述了该安全漏洞：“这些漏洞的工作原理是欺骗蓝牙主机状态机在未经用户确认的情况下与假键盘配对。蓝牙规范中定义了底层的未经身份验证的配对机制，并且特定于实现的错误将其暴露给攻击者。”

普京禁止匿名：在线服务必须要身份验证、提供 VPN 绕过建议将构成犯罪

普京禁止匿名：在线服务必须要身份验证、提供 VPN 绕过建议将构成犯罪 普京总统签署了法律修正案，这些修正案有可能破坏网络匿名性、压制言论自由并扼杀创新。从今年开始，互联网平台必须通过国家批准的系统验证新用户的身份，然后才能允许访问。VPN 规避建议将构成犯罪，某些 Gmail 的使用将被禁止，未经国家批准的托管公司将被视为非法。 日期为 2023 年 7 月 31 日，并经普京总统本人批准的很快将禁止使用 Gmail 或 Apple 等外国电子邮件系统在俄罗斯互联网平台上注册。 从 12 月开始，法律将要求俄罗斯在线平台在提供服务之前验证新用户的身份。用户可通过政府官方应用（已验证身份绑定号码）授权于第三方平台进行实名验证。网站所有者的另一个选择是通过一个名为 "身份识别和认证统一系统 "的联邦平台对用户进行验证。 尽管上述措施十分严厉，但俄罗斯仍然没有对 VPN 提供商和类似服务实施彻底禁令。相反，出于规避目的而在网上发布相当于如何使用 VPN、Tor 和类似工具的建议的信息将被视为犯罪。 云服务托管公司必须获得国家批准，政府将指定一个实体来组建和维护托管公司登记册。到 2024 年 9 月，国家实体只能使用登记在册的公司提供的 "计算能力"，同时禁止使用外国法人或公民拥有的 "信息系统 "和软件。

重要: 部分应用内置的支付宝支付组件可能有身份验证漏洞，存在盗刷风险

重要: 部分应用内置的支付宝支付组件可能有身份验证漏洞，存在盗刷风险 原理: 部分应用内置支付宝支付组件，可在用户无支付宝 App 环境下快捷付款，但该组件存在可被抓包劫持的问题，攻击者可通过流量抓包捕获验证码请求，并篡改短信获取手机号码实现验证码登录，但支付仍然需要支付密码才能成功支付 漏洞级别:重要［需要用户注意］ 漏洞利用难度: 一般［攻击者需要持有目标多项信息，但信息获取难度较低，虽然支付宝存在安全风控防护，但仍然存在被批量风险］ 注意: 由于国内隐私问题，大量公民个人信息泄露，攻击者非常容易凑齐大量公民的手机号码，户主名称以及身份证号码，加上用户习惯性的将自己生日或某账号等设置为自己的六位数支付密码，攻击者非常容易实现批量碰撞盗刷 由于支付组件会缓存用户登录信息方便快捷付款。所以登录状态可能会出现被长时间缓存至攻击者设备内，但每次付款仍然需要输入支付密码，但更改支付密码并不能将所有设备踢出支付状态。 攻击者在获取登录状态过后，可持续性的查看账号内的金额，绑定卡片等一系列私密信息 处置建议: 更改自己支付宝支付密码，尽量不要使其与自己身份产生关联，采用随机六位数字，避免使用生日等重要日期，开启支付宝通知权限，及时获取支付消息，确保每一笔支付由本人支付 注意: 由于支付宝存在安全支付风控措施，所以攻击者只能尝试进行小额支付，用户需注意自己账户是否出现密集的小额扣款及未知小额扣款

微软了解 Microsoft Teams 的漏洞存在，但并不打算修复它

微软了解 Microsoft Teams 的漏洞存在，但并不打算修复它 据安全公司Vectra称， Microsoft Teams以未加密的明文模式存储身份验证令牌，从而允许攻击者潜在地控制组织内的通信。该漏洞影响了使用微软 Electron 框架构建的 Windows、Mac 和 Linux 桌面应用程序。微软已经意识到了这个问题，但表示没有计划在短期内进行修复，因为漏洞利用还需要网络访问。 根据 Vectra 的说法，具有本地或远程系统访问权限的黑客可以窃取当前在线的任何 Teams 用户的凭据，然后即使在他们离线时也可以冒充他们。他们还可以通过与 Teams 相关的应用程序（例如 Skype 或 Outlook）假装是用户，同时绕过通常需要的多因素身份验证 (MFA)。

谷歌正在改变设置双重身份验证的方式

谷歌正在改变设置双重身份验证的方式 谷歌公司正在简化设置双重身份验证 (2FA) 的流程。现在，您不需要先输入电话号码来启用 2FA，而是可以直接为您的账户添加“第二步验证方式”，例如身份验证器应用或硬件安全密钥来进行设置。这应该使启用 2FA 更安全，因为可避免使用不太安全的短信验证。您可以选择通过 Google Authenticator 等应用输入基于时间的一次性验证码，或者按照步骤链接硬件安全密钥。谷歌正在推出这一更改。

推特可能很快会添加身份验证以“防止冒充”

推特可能很快会添加身份验证以“防止冒充” 推特似乎正在开发新的身份验证功能，几个月前，猖獗的冒名顶替行为使该公司的付费验证计划暂时脱轨。根据应用程序研究员 Nima Owji 分享的屏幕截图，该平台目前正在开发一项额外的验证功能，要求用户上传政府颁发的身份证件副本并拍摄自拍照。 Owji 经常发现推特中未发布的功能，本月早些时候，他首次在马斯克的个人资料中发现了“身份验证”徽章。现在，他发现了一条应用内消息，详细说明了它的工作原理，这表明它可能距离正式发布越来越近了。“通过提供政府颁发的身份证件来验证您的帐户”，“这通常需要大约 5 分钟。” 它解释说，用户需要提供身份证件照片和自拍照。 推特似乎正与第三方“身份智能”公司 Au10tix 合作开发该功能。推特将保留“包括生物识别数据在内的身份证图像长达 30 天”，并将这些信息用于“安全和保安目的，包括防止冒名顶替。”