蓝牙身份验证漏洞可让黑客控制 Apple、Android 和 Linux 设备

蓝牙身份验证漏洞可让黑客控制 Apple、Android 和 Linux 设备 无人机技术公司 SkySafe 的软件工程师表示,存在多年的蓝牙身份验证绕过漏洞允许不法分子连接到 Apple、Android 和 Linux 设备并注入击键来运行任意命令。 马克·纽林 (Marc Newlin) 发现了该漏洞并将其报告给了公司,他表示,该漏洞编号为 CVE-2023-45866,不需要任何特殊硬件即可利用,并且可以使用常规蓝牙适配器从 Linux 机器上对 Apple、Google、Canonical 和蓝牙 SIG 发起攻击。 该攻击允许附近的入侵者在受害者的设备上注入击键并执行恶意操作,只要他们不需要密码或生物识别身份验证。 在周三发布的 中,bug 猎人这样描述了该安全漏洞:“这些漏洞的工作原理是欺骗蓝牙主机状态机在未经用户确认的情况下与假键盘配对。蓝牙规范中定义了底层的未经身份验证的配对机制,并且特定于实现的错误将其暴露给攻击者。”

相关推荐

封面图片

威联通敦促用户尽快更新,其 NAS 产品存在漏洞:可绕过身份验证等

威联通敦促用户尽快更新,其 NAS 产品存在漏洞:可绕过身份验证等 :不正确的验证机制允许未经授权的用户通过网络(远程)破坏系统的安全性。 :此漏洞可让通过身份验证的用户通过网络在系统上执行任意命令,可能导致未经授权的系统访问或控制。 :此漏洞可让通过身份验证的管理员通过网络注入恶意 SQL 代码,从而破坏数据库的完整性并篡改其内容。
封面图片

重要: 部分应用内置的支付宝支付组件可能有身份验证漏洞,存在盗刷风险

重要: 部分应用内置的支付宝支付组件可能有身份验证漏洞,存在盗刷风险 原理: 部分应用内置支付宝支付组件,可在用户无支付宝 App 环境下快捷付款,但该组件存在可被抓包劫持的问题,攻击者可通过流量抓包捕获验证码请求,并篡改短信获取手机号码实现验证码登录,但支付仍然需要支付密码才能成功支付 漏洞级别:重要[需要用户注意] 漏洞利用难度: 一般[攻击者需要持有目标多项信息,但信息获取难度较低,虽然支付宝存在安全风控防护,但仍然存在被批量风险] 注意: 由于国内隐私问题,大量公民个人信息泄露,攻击者非常容易凑齐大量公民的手机号码,户主名称以及身份证号码,加上用户习惯性的将自己生日或某账号等设置为自己的六位数支付密码,攻击者非常容易实现批量碰撞盗刷 由于支付组件会缓存用户登录信息方便快捷付款。所以登录状态可能会出现被长时间缓存至攻击者设备内,但每次付款仍然需要输入支付密码,但更改支付密码并不能将所有设备踢出支付状态。 攻击者在获取登录状态过后,可持续性的查看账号内的金额,绑定卡片等一系列私密信息 处置建议: 更改自己支付宝支付密码,尽量不要使其与自己身份产生关联,采用随机六位数字,避免使用生日等重要日期,开启支付宝通知权限,及时获取支付消息,确保每一笔支付由本人支付 注意: 由于支付宝存在安全支付风控措施,所以攻击者只能尝试进行小额支付,用户需注意自己账户是否出现密集的小额扣款及未知小额扣款
封面图片

推特可能很快会添加身份验证以“防止冒充”

推特可能很快会添加身份验证以“防止冒充” 推特似乎正在开发新的身份验证功能,几个月前,猖獗的冒名顶替行为使该公司的付费验证计划暂时脱轨。根据应用程序研究员 Nima Owji 分享的屏幕截图,该平台目前正在开发一项额外的验证功能,要求用户上传政府颁发的身份证件副本并拍摄自拍照。 Owji 经常发现推特中未发布的功能,本月早些时候,他首次在马斯克的个人资料中发现了“身份验证”徽章。现在,他发现了一条应用内消息,详细说明了它的工作原理,这表明它可能距离正式发布越来越近了。“通过提供政府颁发的身份证件来验证您的帐户”,“这通常需要大约 5 分钟。” 它解释说,用户需要提供身份证件照片和自拍照。 推特似乎正与第三方“身份智能”公司 Au10tix 合作开发该功能。推特将保留“包括生物识别数据在内的身份证图像长达 30 天”,并将这些信息用于“安全和保安目的,包括防止冒名顶替。”
封面图片

谷歌身份验证器现在可以将 2FA 代码同步到云端

谷歌身份验证器现在可以将 2FA 代码同步到云端 Google Authenticator刚刚获得更新,对于经常使用该服务登录应用程序和网站的人来说应该会更有用。 从今天开始,Google Authenticator 现在会将其生成的任何一次性双因素身份验证 (2FA) 代码同步到用户的 Google 帐户。以前,一次性身份验证器代码存储在本地的单个设备上,这意味着丢失该设备通常意味着无法登录使用身份验证器的 2FA 设置的任何服务。 要利用新的同步功能,只需更新 Authenticator 应用程序即可。如果您在 Google 身份验证器中登录了 Google 帐户,您的代码将自动备份并在您使用的任何新设备上恢复。即使您没有登录 Google 帐户,您也可以按照此支持页面上的步骤手动将代码传输到另一台设备。 警告:由于此前谷歌身份验证器更新会造成验证代码无法被正确验证,此次更新是否解决了这个问题编辑未进行确认,请谨慎更新。
封面图片

SEC 称X账户曾关闭多重身份验证6个月,被盗是因为黑客使用了“SIM卡交换”攻击

SEC 称X账户曾关闭多重身份验证6个月,被盗是因为黑客使用了“SIM卡交换”攻击 Tips:SIM 卡交换攻击是透过冒用身份向电信运营商提出申请,将被害者的电话号码从对方的SIM卡转移至攻击者的一种诈骗攻击手段。 你们要不要先管管SIM卡冒领的问题?
封面图片

谷歌正在改变设置双重身份验证的方式

谷歌正在改变设置双重身份验证的方式 谷歌公司正在简化设置双重身份验证 (2FA) 的流程。现在,您不需要先输入电话号码来启用 2FA,而是可以直接为您的账户添加“第二步验证方式”,例如身份验证器应用或硬件安全密钥来进行设置。这应该使启用 2FA 更安全,因为可避免使用不太安全的短信验证。您可以选择通过 Google Authenticator 等应用输入基于时间的一次性验证码,或者按照步骤链接硬件安全密钥。谷歌正在推出这一更改。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人