万万没想到,这年头 GPU 还能泄露密码了。主流 6 家公司的产品都中招,从英伟达英特尔 AMD,到高通苹果 ARM,手机电脑都没跑。并且不是在处理 AI、大数据任务的时候泄露,而是在处理图形任务渲染网页的时候。新攻击方法称为像素窃取(pixel stealing),由得克萨斯大学奥斯汀分校等研究团队提出。研究将出现在 2024 年的第 45 届 IEEE 安全和隐私研讨会上,不过现在论文和代码都已经开源了。压缩数据的锅研究人员开发的概念验证攻击称为 GPU.zip。方法是在恶意网站嵌入一个 iframe 标签,获取被嵌入网站的内容如用户名、密码的图像和其他敏感数据。
发布时间:
2023-09-27 22:37 |
阅读:165188 | 评论:0 |
标签:
漏洞 密码 苹果
安全研究员认为,苹果和谷歌最近披露旗下产品零日漏洞缺乏关键信息,可能隐藏了一个上游开源库libwebp的漏洞,将使下游的数百万应用面临“巨大的盲点”,处于攻击危险之中。
有消息称:苹果和谷歌最近披露了自身产品中被积极利用的关键零日漏洞,但是他们披露信息并不完整,造成了“巨大的盲点”,导致全球范围内其他开发者提供的大量应用程序未能得到修补。
两周前,苹果报告称,威胁行为者正在积极利用iOS中的一个关键漏洞,以便安装世界上已知的最先进的恶意软件之一“飞马”(Pegasus)间谍软件。
发表于 安全研究员认为,苹果和谷歌最近披露旗下产品零日漏洞缺乏关键信息,可能隐藏了一个上游开源库libwebp的漏洞,将使下游的数百万应用面临“巨大的盲点”,处于攻击危险之中。9月26日消息,研究人员日前表示,苹果和谷歌最近披露了自身产品中被积极利用的关键零日漏洞,但是他们披露信息并不完整,造成了“巨大的盲点”,导致全球范围内其他开发者提供的大量应用程序未能得到修补。两周前,苹果报告称,威胁行为者正在积极利用iOS中的一个关键漏洞,以便安装世界上已知的最先进的恶意软件之一“飞马”(Pegasus)间谍软件。
发布时间:
2023-09-27 17:01 |
阅读:169598 | 评论:0 |
标签:
漏洞 腾讯 苹果 qq
IT之家 9 月 22 日消息,苹果今日向 Apple Watch 用户推送了 watchOS 10.0.1 更新(内部版本号:21R360),本次更新距离上次发布隔了 8 天。需要注意的是,因苹果各区域节点服务器配置缓存问题,可能有些地方探测到升级更新的时间略有延迟,一般半小时内,不会太久。IT之家查询苹果官方发布的更新日志,watchOS 10.0.1 主要修复了两个安全漏洞,Apple Watch Series 4 及后续手表都受到影响、其中一个漏洞允许本地攻击者提升权限;而另一个漏洞可以让恶意软件绕过签名验证,苹果均表示已经有证据表明有攻击者利用这两个漏洞,向用户发起攻击。
发布时间:
2023-09-22 08:05 |
阅读:206716 | 评论:0 |
标签:
漏洞 安全 苹果
IT之家 9 月 22 日消息,苹果公司今天发布 iOS / iPadOS 17.0.1 更新之外,还推出了 iOS / iPadOS 16.7 更新(内部版本号 20H19),官方介绍为:“本更新提供了重要的错误修复和安全性更新,建议所有用户安装”。IT之家查询苹果官方支持文档,发现本次更新重点修复了以下三个漏洞:CVE-2023-41992:本地攻击者可以提升其权限。CVE-2023-41991: 恶意软件可以绕过签名验证。CVE-2023-41993:处理 Web 内容中存在漏洞,导致可以执行任意代码。
IT之家 9 月 19 日消息,苹果公司去年发布的 iOS 16 系统中,支持通过 Face ID 自动锁定隐藏相册;而在 iOS 17 系统中,苹果将这项功能扩展到 Safari 浏览器中的“无痕浏览”(Private Browsing)。IT之家在此附上“无痕浏览”介绍如下:“当你使用“无痕浏览”功能时,系统不会存储你的浏览详细信息,也不会将你访问的网站与你的其他设备共享。Safari 浏览器不会记住你访问过的页面、你的搜索历史记录,或你的“自动填充”信息。
发布时间:
2023-09-19 08:05 |
阅读:253892 | 评论:0 |
标签:
iOS ios 安全 认证 苹果
一种名为MetaStealer的新信息窃取恶意软件已经将目标对准了苹果macOS系统,成为继Stealer、Pureland、Atomic Stealer和Realst之后,专注于该操作系统的盗取家族中的最新成员。 一种名为MetaStealer的新信息窃取恶意软件已经将目标对准了苹果macOS系统,成为继Stealer、Pureland、Atomic Stealer和Realst之后,专注于该操作系统的盗取家族中的最新成员。
发布时间:
2023-09-12 20:13 |
阅读:81803 | 评论:0 |
标签:
攻击 mac 恶意软件 苹果
发表于 上周,网络安全研究实验室Citizen Lab在检查一名华盛顿特区国际办事处工作人员的个人设备时,发现了一种正被积极利用的零点击漏洞,该漏洞用于传播NSO Group的知名间谍软件“飞马“(Pegasus)。安全研究员将该利用链称为BLASTPASS,通过该利用链能够入侵苹果公司的最新版本iOS(16.6)的iPhone手机,并且无需受害者的任何交互。Citizen Lab立即向苹果公司披露了其发现,并协助苹果进行调查。
发布时间:
2023-09-11 22:54 |
阅读:229406 | 评论:0 |
标签:
漏洞 入侵 安全 苹果
苹果周四发布了iOS,iPadOS,macOS和watchOS的紧急安全更新,以解决两个零日漏洞,这些漏洞已被利用来提供NSO Group的Pegasus雇佣军间谍软件。 苹果周四发布了iOS,iPadOS,macOS和watchOS的紧急安全更新,以解决两个零日漏洞,这些漏洞已被利用来提供NSO Group的Pegasus雇佣军间谍软件。这些问题描述如下:CVE-2023-41061 -Wallet中的验证问题,在处理恶意构建的附件时可能导致执行任意代码。CVE-2023-41064 -图像I/O组件中的缓冲区溢出问题,在处理恶意构建的图像时可能导致执行任意代码。
加拿大多伦多大学公民实验室的研究人员在检查一部 iPhone 手机时,发现了一个零点击 0day 漏洞正被利用感染以色列公司 NSO Group 的间谍软件 Pegasus。该漏洞利用链被称为 BLASTPASS,能感染运行最新版本 iOS 16.6 的 iPhone 手机,整个过程不需要任何交互。攻击者可通过 iMessage 账号向受害者发送包含有恶意图像的 PassKit 附件去利用该漏洞。苹果已经释出了 iOS 16.6.1 修复漏洞。研究人员表示会在未来公布漏洞利用的更多细节,他们建议 iPhone 用户立即更新。
发布时间:
2023-09-08 19:42 |
阅读:238137 | 评论:0 |
标签:
0day 漏洞 苹果
IT之家 9 月 8 日消息,Citizen Lab 今天发布安全博文,表示苹果今天发布的 iOS 16.6.1 等版本更新中,修复了 2 个安全漏洞,这两个漏洞被 NSO Group 集团用于 Pegasus 监控软件。Citizen Lab 在博文中表示这 2 个漏洞的追踪编号分别为 CVE-2023-41064 和 CVE-2023-41061,攻击者利用上述漏洞制作包含恶意代码的图片,并通过 PassKit 附件分发。IT之家注:Pegasus 是由 NSO Group 开发的监控恶意应用,主要针对记者、政要以及各种活动人士,可以监控窃取相关信息。
IT之家 9 月 8 日消息,苹果今日向 iPhone 用户推送了 iOS 16.6.1 更新(内部版本号:20G81),本次更新距离上次发布隔了 45 天。需要注意的是,因苹果各区域节点服务器配置缓存问题,可能有些地方探测到升级更新的时间略有延迟,一般半小时内,不会太久。IT之家查询苹果支持页面,macOS 13.5.2、iOS 16.6.1、iPadOS 16.6.1 和 watchOS 9.6.2 在功能方面并未引入太大变化,主要修复了一个安全漏洞,苹果表示已经有证据表明已经被黑客利用。根据安全支持页面,攻击者可以制作出执行任意代码的图片,用户点击之后可以执行访问该系统。
发布时间:
2023-09-08 07:26 |
阅读:476271 | 评论:0 |
标签:
漏洞 iOS ios 苹果
苹果公司8月30日正式宣布开始接受2024 年iPhone安全研究设备计划的申请,iOS 安全研究人员可以在 10 月底之前申请安全研究设备 SRD。SRD设备是专门向安全研究人员提供的iPhone14Pro,该设备具有专为安全研究而设计的特殊硬件和软件,以便更容易地发现 iOS 系统的关键漏洞。只要是使用SRD发现的漏洞,苹果方面都会考虑给予一定的安全漏洞赏金。
苹果公司昨天(8月31日)正式宣布开始接受2024 年iPhone安全研究设备计划的申请,iOS 安全研究人员可以在 10 月底之前申请安全研究设备 SRD。
SRD设备是专门向安全研究人员提供的iPhone14Pro,该设备具有专为安全研究而设计的特殊硬件和软件,以便更容易地发现 iOS 系统的关键漏洞。只要是使用SRD发现的漏洞,苹果方面都会考虑给予一定的安全漏洞赏金。
军工保密资格审查认证中心下属公众号“军工安全保密教育培训”发布《苹果手机用户自查TriangleDB间谍软件参考步骤》。一、准备工作一台Windows操作系统电脑(系统版本为Win10及以上),下载安装苹果iTunes工具。二、自查步骤步骤一:连接手机与电脑在电脑上打开iTunes工具,通过数据线连接手机与电脑,并在手机上弹出的窗口中选择“信任”。图1 苹果设备确认是否信任电脑步骤二:备份手机数据在iTunes工具中,右键iPhone设备并选择“备份”,如图2,将手机信息备份到电脑中。
发布时间:
2023-08-31 11:09 |
阅读:414249 | 评论:0 |
标签:
间谍 手机 苹果
IT之家 8 月 31 日消息,苹果公司今天宣布,开始接受 2024 年 iPhone 安全研究设备计划的申请,该计划将向安全研究人员提供专门的苹果设备,以便更容易地发现 iOS 系统的关键漏洞。苹果安全研究计划(SRDP)于 2019 年上线,研究人员已通过该计划发现了 130 个高影响力的安全漏洞。苹果公司表示,研究人员帮助他们实施了“新颖的修补措施”,以保护 iOS 设备。在过去的六个月里,计划参与者获得了 37 个 CVE 信用点,为 XNU 内核、内核扩展和 XPC 服务的改进做出了贡献。参与 SRDP 的研究人员有资格获得苹果安全奖金。
IT之家 8 月 25 日消息,纽约大学法学院下属一家名为“Just Security”的机构近日发布博文,表示英国正拟议修订《调查权力法 2016》(IPA),其中一项要求就是设备制造商在发布重要安全更新之前,需要事先通知英国部门。该媒体以英国地区的 iPhone 用户为例,表示如果苹果发现某个严重安全漏洞,需要发布安全更新修复之前,必须要向该政府机构报备。根据修订的法律,英国政府在收到报备之后,有权利根据监管或者其它目的,要求苹果公司放弃修复该安全漏洞。该机构认为英国本次修订的新规违反了国际人权法(IHRL),干涉其境内和境外在线用户的隐私和安全。
发布时间:
2023-08-25 11:01 |
阅读:106650 | 评论:0 |
标签:
安全 法规 英国 苹果
今日头条非法注册300万个微信号!央视曝光特大黑灰产系列案8月7日、8日、9日中午,中央电视台《今日说法》栏目以《揭秘“黑灰产”》为题,分上、中、下三集对山东淄博周村公安分局破获的特大黑灰产案件侦破过程进行专题报道。犯罪分子批量注册并贩卖微信号,形成产业链。这些微信号多用于电信诈骗等违法犯罪活动。该犯罪团伙共非法注册微信号300余万个,非法获利达1000余万元。警方通过追查嫌疑人注册微信的手机号码来源,打掉一个号商团伙,揪出二十余名省级运营商“内鬼”。他们利用手中的权力,牟取巨额私利,为犯罪团伙提供非法注册的手机号码。
IT之家 8 月 22 日消息,网络安全专家 Jeff Johnson 于 2022 年 10 月向苹果公司发布报告,表示在 macOS 系统的应用管理(App Management)中发现了安全漏洞,但苹果至今仍未修复上述漏洞,于是今年 8 月披露了漏洞相关细节。Johnson 在近日发布的博文中,详细介绍了该漏洞的工作原理,以及应用程序如何利用该漏洞绕过沙箱,有 6 种方式获得最高权限,在未经用户许可的情况下,修改其它应用程序,并获取相关信息。
发布时间:
2023-08-22 08:04 |
阅读:242822 | 评论:0 |
标签:
漏洞 mac 苹果
近日,网络安全研究人员发现iOS 16存在一种新的漏洞利用后持久化技术,即使受害者的苹果设备处于离线状态,也可以利用该技术悄无声息地访问该设备。Jamf Threat Labs 的研究人员 Hu Ke 和 Nir Avraham 在与 The Hacker News 分享的一份报告中提到:这种方法诱使受害者认为他们设备的飞行模式正常工作,而实际上攻击者在成功利用设备后已经植入了一个虚假的人工飞行模式,该模式会编辑用户界面以显示飞行模式图标,并切断除攻击者应用程序外所有应用程序的互联网连接。
发布时间:
2023-08-21 14:05 |
阅读:415627 | 评论:0 |
标签:
漏洞 iOS ios 苹果
在美国拉斯维加斯举办的Defcon黑客大会上,长期研究Mac安全的专家Patrick Wardle展示了他对苹果macOS后台任务管理机制的漏洞研究成果——其发现的漏洞可以被利用来绕过苹果最近添加的恶意软件监控工具。我们知道,如果某款软件突兀地持久化,则意味着可能存在恶意行为。基于这一点,苹果在2022年10月发布的macOS Ventura中添加了后台任务管理器,用于在“持久化事件”发生时直接向用户和运行在系统上的第三方安全工具发送通知。
近日,纽约大学和鲁汶大学的研究人员发现大多数VPN产品中都存在长达二十多年的多个漏洞,攻击者可利用这些漏洞读取用户流量、窃取用户信息,甚至攻击用户设备。
“我们的攻击所需的计算资源并不昂贵,这意味着任何具有适当网络访问权限的人都可以实施这些攻击,且不受VPN安全协议限制。换而言之,无论VPN使用何种安全协议,所发现的漏洞都可能被滥用。即使是声称使用“军用级加密”或使用自行开发的加密协议的VPN(包括微软和苹果操作系统的内置VPN)也可能受到攻击。”纽约大学的Nian Xu声称:
“即使受害者使用了HTTPS加密,我们的攻击也会泄露用户正在访问哪些网站,这可能会带来重大的隐私风险。
发布时间:
2023-08-16 17:07 |
阅读:227346 | 评论:0 |
标签:
漏洞 HTTPS VPN 苹果
IT之家 8 月 15 日消息,近期在拉斯维加斯举行的 Defcon 黑客大会上,安全研究员帕特里克・沃德尔(Patrick Wardle)展示了 macOS 新漏洞,可以绕过苹果设置的三重防护机制,窃取设备敏感数据。苹果公司设置了三重防护机制,IT之家简要梳理如下:1.阻止恶意软件的启动或执行:App Store 或结合公证的门禁2.阻止恶意软件在客户系统上运行:门禁、公证和 XProtect3.修复已执行的恶意软件:XProtect沃德尔去年向苹果公司报告了可绕过三重防护机制的漏洞,并创建了相关的工具验证了可行性。
发布时间:
2023-08-15 08:04 |
阅读:192962 | 评论:0 |
标签:
漏洞 mac 防护 苹果
Hackernews 编译,转载请注明出处:
根据Guardz的最新报告,网络犯罪分子正持续从专门针对微软Windows用户的攻击转向对macOS用户的攻击。该公司上个月首次注意到这一趋势。
这家网络安全公司表示,他们在7月20日观察到一个名为Rodrigo4的新黑客在暗网的“macOS需求案例研究”横幅下开店。
Guardz说:“该黑客称自己在过去的六个月里,一直在开发macOS信息窃取恶意软件,并愿意将其提供给私人会员。”
今年7月,该公司发现了一种名为ShadowVault的新型恶意软件,目标是macOS系统。长期以来,macOS系统一直被视为比微软更安全的替代品。
苹果公司宣布,从今年秋开始,开发者提交的App若需要调用某些API,需要在提交之前给出详细的调用理由,以确保开发人员不会滥用 API 进行用户的指纹识别。
苹果表示,有一小部分 API 可能被滥用,通过指纹识别收集有关用户设备的数据,这是我们的开发者计划许可协议所禁止的。
该项措施旨在保证应用程序遵守“必要原因使用API”的规定,开发人员必须选择一个或多个与其应用程序的 API 使用情况准确一致的调用理由,且仅限于在所选定的范围内调用API。目前苹果已经将Apple Developer 网站上的将部分 API 标记为“Required Reason APIs”(需提供调用理由的API)。
苹果周一为其旗舰 iOS、macOS 和 iPadOS 平台推出了以安全为主题的重大更新,并警告称至少其中一个已修补的漏洞已被利用。 这家库比蒂诺设备制造商宣布了针对 iOS 和 macOS 中关键代码执行缺陷的补丁,其中包括俄罗斯反恶意软件供应商卡巴斯基记录的漏洞利用链中使用的内核错误。据 Apple 称,该内核缺陷 (CVE-2023-38606) 会影响 iOS、iPadOS 和 macOS 驱动的设备,并且已在 iOS 15.7.1 之前发布的 iOS 版本中被积极利用。“应用程序可能能够修改敏感的内核状态。
发布时间:
2023-07-28 07:44 |
阅读:145344 | 评论:0 |
标签:
攻击 苹果
Hackernews 编译,转载请注明出处:
据网络安全公司Sophos报道,苹果公司已将为新设备发布的紧急补丁通知扩展到其所有平台。
该公司的Naked Security研究团队表示,这家科技巨头现在已推出了全面升级,“为公司支持的每个支持的操作系统版本提供了全新的版本号。
苹果公司警告称,它宁愿停止在英国提供iMessage和FaceTime服务,也不愿屈服于政府的压力,以回应旨在扩大国家情报机构数字监控能力的新提议。对2016年《调查权力法》(IPA)进行的立法修改后,将使加密保护无效。具体来说,《网络安全法案》要求公司安装技术,扫描加密消息应用程序和其他服务中的儿童性剥削、性虐待材料以及恐怖主义内容。它还要求消息服务在发布安全功能之前与内政部明确这些功能,并在需要时立即采取行动禁用这些功能,而不通知公众。虽然这一事实并没有明确要求取消端到端的加密,但事实上,这相当于削弱了这种功能,因为提供服务的公司必须扫描所有消息以标记并删除它们。
发布时间:
2023-07-26 14:04 |
阅读:125609 | 评论:0 |
标签:
英国 苹果
Hackernews 编译,转载请注明出处:
随着使用macOS的人数不断增加,黑客利用苹果操作系统漏洞的想法也在增加。
macOS面临哪些威胁?
macOS的粉丝们有一个普遍的误解,认为苹果设备不受黑客攻击和恶意软件感染。然而,用户最近面临着越来越多的危险。善于创新的攻击者专门将Mac系统作为目标,使用如“Geacon”Cobalt Strike的工具进行攻击。该工具使他们能够执行恶意操作,例如数据盗窃、特权提升和远程设备控制等,将Mac用户的安全和隐私置于严重风险之中。
今年早些时候,研究人员还发现了MacStealer恶意软件。
苹果公司发布了安全更新,修复针对 iPhone、Mac 和 iPad 的零日漏洞。苹果公司在一份公告中描述了一个 WebKit 漏洞,该漏洞被标记为 CVE-2023-37450,已在本月初的新一轮快速安全响应 (RSR) 更新中得到解决。本次修补的另一个零日漏洞是一个新的内核漏洞,被追标记为 CVE-2023-38606,该漏洞主要针对运行旧版的 iOS 设备。苹果公司表示:我们注意到有报告称,该漏洞可能已在 iOS 15.7.1 之前发布的 iOS 版本中被主动利用。攻击者可以在未打补丁的设备上利用它来修改敏感的内核状态。目前苹果公司已通过改进检查和状态管理修复了这两个漏洞。
发布时间:
2023-07-26 11:09 |
阅读:181940 | 评论:0 |
标签:
漏洞 安全 苹果