【安全頭條】Screencastify插件存在安全隱患可能導致真人出鏡

1、Screencastify插件

存在安全隱患

可能導致真人出鏡

Chrome擴展Screencastify存在嚴重安全隱患，可讓黑客接管攝像頭權限并錄制視頻，目前已進行修復。

修復后問題其實并未完全解決，該插件仍存在被內部人員利用接管進行監控的風險。目前插件安裝量超過千萬，因為一千萬是統計上限，所以安裝量只高不低，此舉相當于把千萬人的隱私視頻置于Screencastify內部人員和合作機構的眼下，危害極大。

安全研究員向Screencastify反饋了問題，但還未收到回復。[點擊“閱讀原文”查看詳情]

2、美國參議院認為

報告流程阻礙

對抗勒索軟件

美國參議院國土安全和政府事務委員會主席加里彼得斯發布報告，執法和監管機構缺乏對勒索軟件信息獲取能力，無法有效對抗。

他認為，聯邦政府應改進攻擊和贖金支付報告機制，為政府提供更多數據和信息，來對抗勒索軟件這種嚴重威脅。而目前，這種報告被分散到了各個不同的聯邦機構中，就算全部收集起來，也僅占實際規模的一小部分，這造成了勒索軟件事故頻發。不僅如此，他還認為解決這個問題最重要的是，要確保加密貨幣仍舊在美國操縱下，這樣就可以解決贖金支付問題，幫助受害者迅速恢復。[點擊“閱讀原文”查看詳情]

3、微軟報告稱

信用卡盜刷越來越隱秘

微軟安全研究員觀察到信用卡盜刷相比以往更加隱秘，將成為安全防御的一大難點。

信用卡盜刷中的代碼混淆如今已是家常便飯，黑客更是研究出了圖像注入腳本、偽裝成流行Web App等逃避檢測的騷操作。安全研究員就以此為例進行了解釋，黑客會將惡意PHP代碼（執行b64編碼JS腳本）注入圖像文件中，接著用PHP將圖像包含入網站。腳本會識別付款頁面，提供虛假表單，竊取信用卡信息。為逃避檢測，還將自己偽裝成Google Analytics等跟蹤工具，甚至連行為和參數都抄來了，額外加入反調試機制，給分析帶來了很多麻煩。安全研究員最后提醒，設置限額，改用電子支付才是正道。[點擊“閱讀原文”查看詳情]

4、Duckduckgo與

微軟達成協議

允許使用微軟跟蹤器

Duckduckgo與微軟在聯合搜索內容合同中達成一致，Duckduckgo將允許使用微軟第三方網站跟蹤器。

Duckduckgo以隱私保護知名，宣稱搜索時不會暴露內容和行為，也不會建立用戶數據庫進行個性化廣告推送。盡管如此，和微軟達成合作的當下，微軟廣告仍會出于會計目的記錄IP地址等信息，但宣稱與廣告無關。安全研究員對大多數跟蹤器進行了測試，目前Duckduckgo僅允許微軟跟蹤器收集數據，其他跟蹤器均會被阻止，此事在社區引起軒然大波，公眾開始質疑Duckduckgo與微軟協議的安全性。Duckduckgo近日對社區的質疑進行了回復，表示他們正嘗試從協議中去除這一限制，并且保證會保護用戶信息安全，微軟對此不予置評。[點擊“閱讀原文”查看詳情]

5、CISA漏洞利用

目錄補充41條包括

移動端漏洞

網絡安全和基礎設施安全局（CISA）繼續向漏洞利用目錄中補充了41個漏洞，最早的漏洞是16年發現的，最近的則是上周更新的Cisco IOS XR漏洞。

此次重點關注的是CVE-2022-20821即剛剛提到的Cisco IOS XR漏洞和CVE-2021-1048及CVE-2021-0920兩個Android漏洞，CISA要求聯邦機構在6月13日前全部修復完畢。其他38個漏洞，都是現今被黑客積極利用的漏洞，涉及到微軟、蘋果、谷歌等多家公司多個產品，這些漏洞要求須在6月14日前修復。[點擊“閱讀原文”查看詳情]