Screencastify插件存在安全隐患可能导致真人出镜

第288期

你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

1、Screencastify插件存在安全隐患可能导致真人出镜

Chrome扩展Screencastify存在严重安全隐患,可让黑客接管摄像头权限并录制视频,目前已进行修复。

修复后问题其实并未完全解决,该插件仍存在被内部人员利用接管进行监控的风险。目前插件安装量超过千万,因为一千万是统计上限,所以安装量只高不低,此举相当于把千万人的隐私视频置于Screencastify内部人员和合作机构的眼下,危害极大。

安全研究员向Screencastify反馈了问题,但还未收到回复。[阅读原文]

 

2、美国参议院认为报告流程阻碍对抗勒索软件

美国参议院国土安全和政府事务委员会主席加里彼得斯发布报告,执法和监管机构缺乏对勒索软件信息获取能力,无法有效对抗。

他认为,联邦政府应改进攻击和赎金支付报告机制,为政府提供更多数据和信息,来对抗勒索软件这种严重威胁。而目前,这种报告被分散到了各个不同的联邦机构中,就算全部收集起来,也仅占实际规模的一小部分,这造成了勒索软件事故频发。不仅如此,他还认为解决这个问题最重要的是,要确保加密货币仍旧在美国操纵下,这样就可以解决赎金支付问题,帮助受害者迅速恢复。[阅读原文]

 

3、微软报告称信用卡盗刷越来越隐秘

微软安全研究员观察到信用卡盗刷相比以往更加隐秘,将成为安全防御的一大难点。

信用卡盗刷中的代码混淆如今已是家常便饭,黑客更是研究出了图像注入脚本、伪装成流行Web App等逃避检测的骚操作。安全研究员就以此为例进行了解释,黑客会将恶意PHP代码(执行b64编码JS脚本)注入图像文件中,接着用PHP将图像包含入网站。脚本会识别付款页面,提供虚假表单,窃取信用卡信息。为逃避检测,还将自己伪装成Google Analytics等跟踪工具,甚至连行为和参数都抄来了,额外加入反调试机制,给分析带来了很多麻烦。安全研究员最后提醒,设置限额,改用电子支付才是正道。[阅读原文]

 

4、Duckduckgo与微软达成协议允许使用微软跟踪器

Duckduckgo与微软在联合搜索内容合同中达成一致,Duckduckgo将允许使用微软第三方网站跟踪器。

Duckduckgo以隐私保护知名,宣称搜索时不会暴露内容和行为,也不会建立用户数据库进行个性化广告推送。尽管如此,和微软达成合作的当下,微软广告仍会出于会计目的记录IP地址等信息,但宣称与广告无关。安全研究员对大多数跟踪器进行了测试,目前Duckduckgo仅允许微软跟踪器收集数据,其他跟踪器均会被阻止,此事在社区引起轩然大波,公众开始质疑Duckduckgo与微软协议的安全性。Duckduckgo近日对社区的质疑进行了回复,表示他们正尝试从协议中去除这一限制,并且保证会保护用户信息安全,微软对此不予置评。[阅读原文]

 

5、CISA漏洞利用目录补充41条包括移动端漏洞

网络安全和基础设施安全局(CISA)继续向漏洞利用目录中补充了41个漏洞,最早的漏洞是16年发现的,最近的则是上周更新的Cisco IOS XR漏洞。

此次重点关注的是CVE-2022-20821即刚刚提到的Cisco IOS XR漏洞和CVE-2021-1048及CVE-2021-0920两个Android漏洞,CISA要求联邦机构在6月13日前全部修复完毕。其他38个漏洞,都是现今被黑客积极利用的漏洞,涉及到微软、苹果、谷歌等多家公司多个产品,这些漏洞要求须在6月14日前修复。[阅读原文]

(完)