标签 零日漏洞 下的文章

俄罗斯零日卖家出价 2000 万美元购买安卓和 iPhone 漏洞

一家名为“零点行动”的公司的业务是收购并销售零日漏洞(即受影响的开发者不知道的软件缺陷)。它现在提出将向研究人员支付 2000 万美元,用于购买黑客工具,使其客户能够黑进 iPhone 和安卓设备。之前他们的悬赏费用是 20 万美元,现在提供的悬赏可能是暂时的,反映了市场的特殊时期,以及黑客入侵 iOS 和安卓的难度。

消息来源:Tech Crunch
老王点评:都这么值钱了吗?那说明一定有值得这个价钱的目标存在。

谷歌播客将关闭

谷歌宣布其播客服务将在 2024 年关闭,成为最新一个被搜索巨人杀死的产品,而 YouTube Music 将加入播客功能。用户在谷歌播客上订阅的播客将能通过工具迁移到 YouTube Music。而 YouTube Music 将支持通过 RSS 订阅源添加播客,包括未托管在 YouTube 上的播客节目。

消息来源:Youtube
老王点评:其实谷歌一开始建立了很多很好、很受技术人群喜爱和依赖的服务,但是奈何这些技术人群没有什么经济价值,于是就一个个关闭了。

人工智能生成的 “潜意识信息” 正在疯传

最近一项名为 “ 控制网 ControlNet ” 人工智能技术开始流行,人们用它创建能让用户产生视错觉的图片。这项技术本质是让用户通过指定额外的输入来控制生成的图像,用户可以在其他图像中创建图像或文字。比如我们之前 介绍 过,用它来创建嵌入在图画中的二维码,以及棋盘式的图画。一些用户认为这是一种 “隐性信息”,可用于以微妙的视觉提示形式植入建议,比如在电影海报的轮廓中出现麦当劳的 “M” 标志。

消息来源:VICE
老王点评:这种技术再发展下去,你看到图片其实会暗示你另外一些信息,人类被愚弄而不自知。

回音

  • 昨天我们 说到 了苹果并未真的考虑过在其产品中替换谷歌搜索引擎,现在,微软必应高管 表示,苹果利用必应报价作为对谷歌的“谈判筹码”。

修复一个零日漏洞要多久,有时候需要一年

之前我们 报道 过,安全研究人员发现了第一个可以绕过安全启动保护的真实世界的恶意软件,它被称之为 BlackLotus,允许在你的电脑开始加载 Windows 及其许多安全保护之前执行恶意代码。微软本周发布了一个补丁,以修复该漏洞。但是这个补丁安装后至少几个月内会被默认禁用。部分原因是它最终会使当前的 Windows 启动介质无法启动,该修复需要对 Windows 启动管理器进行修改,一旦启用就无法逆转。此外,一旦启用修复程序,你的电脑将不再能够从不包括修复程序的旧的可启动介质上启动。由于不想让任何用户的系统突然无法启动,微软准备用一年的时间来分几个阶段来完成修复。

消息来源:Ars Technica
老王点评:这或许是最复杂的修复方案了,我想微软在想出解决这个漏洞的解决方案时都已经麻了。

数百万安卓设备出厂预装了恶意固件

趋势科技的研究人员在亚洲黑帽会议上警告说,全球数以百万计的安卓设备在出厂前就已经预先感染了恶意固件,他们证实至少涉及到 10 家供应商。这些硬件主要是廉价的安卓移动设备,尽管智能手表、电视和其他东西也被卷入其中。由于固件分销商之间的竞争变得如此激烈,以至于最终供应商无法为其产品收费。但当然没有免费的东西,固件开始带有一些恶意插件。这些恶意软件会将设备变成代理,用来窃取和出售短信,接管社交媒体和在线消息账户,并通过广告和点击欺诈作为赚钱的机会。

消息来源:The Register
老王点评:在这里,并不能用“免费或便宜的东西要付出其它的代价”的理由来开脱,因为这是在用户并不知情的情况下进行的违法行为。

微软希望 Firefox 将必应作为其默认搜索引擎

Firefox 与谷歌的合同将于今年到期,届时 Mozilla 可以续约或转用其他搜索引擎。微软非常希望能在 Firefox 中取代谷歌的位置。虽然这并不能保证它真的有助于提高必应的使用率。毕竟,不想使用必应的 Firefox 用户可以直接转到其他搜索引擎,雅虎几年前就发现了这一点,但微软认为这种交易有潜力。此外,苹果的 Safari 浏览器是苹果设备上的主要网络浏览器,它与谷歌的合同将于明年到期。或许微软也该考虑一下。

消息来源:Android Police
老王点评:不过我觉得微软与其花钱在浏览器的默认搜索引擎上,不如花钱让必应的人工智能更好一些。

谷歌正式推出“切换到安卓”应用

据消息,传闻已久的针对 iOS 用户的“切换到安卓”应用开始在苹果应用商店面向公众逐步推出。该应用帮助用户将重要数据,如联系人、日历、照片和视频等从 iPhone 迁移到新的安卓设备。除了移动数据,该应用还提供了关于传输过程的其他说明,比如如何取消 iMessage 的注册,以便在新的安卓设备上继续收到短信。

老王点评:虽然看起来像是互相抢用户,但是其实这对于用户来说可以打破供应商锁定。

谷歌在 2021 年发现 58 个已被黑客利用的零日漏洞

据消息,谷歌 Project Zero 团队发布公告称,去年创历史记录地发现了 58 个零日漏洞。自 2014 年成立以来,Project Zero 检测和披露的零日漏洞的最高数量出现在 2015 年,共有 28 个。这可能代表着网络攻击数量上升,但 Project Zero 表示,更可能是因为他们改进了对零日漏洞的检测和报告。因此,尽管检测到的零日漏洞大幅增加,你的在线安全似乎并不比前几年更危险,至少在涉及零日漏洞时是这样。

老王点评:希望是检测技术的提高,而不是恶意攻击者更猖獗。

WebAssembly 2.0 工作草案发布

据消息,W3C 公布了 WebAssembly 2.0 公共工作草案。WebAssembly 是 W3C 的标准,是一种用于网络和其他地方的可执行程序的可移植二进制代码格式。本次草案带来了 WebAssembly 2.0 的核心规范、JavaScript 接口和 Web API 的公共工作草案。

老王点评:我觉得 WebAssembly 叫好不叫座,我似乎从未在哪个网站见过它。