研究人员终于破解了名为Fast16的破坏性恶意软件,该软件早于Stuxnet,可能曾被用于针对伊朗核计划。Fast16诞生于2005年,极有可能由美国或其盟友部署。
Meta正面临美国消费者联盟的诉讼,指控其在Facebook和Instagram上存在诈骗广告,并涉嫌误导消费者,声称公司在打击这些诈骗广告方面做出了努力。美国一项允许联邦调查局在无需搜查令的情况下监控美国人通讯的监控项目即将续期,但立法者在下一步行动上陷入僵局。新提出的法案旨在回应日益增长的立法者担忧,但内容缺乏实质性。
此外,WIRED深入调查了备受关注的注重隐私与安全的移动操作系统GrapheneOS背后的多年纷争。我们还关注了中国如何监视美国花样滑冰运动员Alysa Liu及其父亲的奇异故事。
每周,我们都会汇总未能深入报道的安全与隐私新闻。点击标题即可阅读全文。请大家保持警惕,保护自身安全。
Discord用户未经授权访问Anthropic的Mythos AI工具
Anthropic的Mythos Preview AI模型被誉为极具威胁性的安全漏洞检测工具,其能力强大到开发者不得不严格限制其发布。然而,一群Discord上的业余侦探通过相对简单的侦查手段——无需AI黑客技术——成功获得了这一备受追捧的数字宝藏:Mythos本身。
尽管Anthropic努力控制Mythos Preview的使用权限,一群Discord用户通过分析AI训练初创公司Mercor近期的数据泄露事件,结合对Anthropic其他模型格式的了解,推测出Mythos模型的在线位置(据推测是一个网址),从而获得了访问权限。据彭博社报道,这些用户还利用了他们在为Anthropic承包商工作的权限,访问了其他Anthropic模型。幸运的是,据报道,这些用户仅用Mythos构建了简单网站,以避免被Anthropic发现,而非进行恶意攻击。
监控公司利用电信漏洞进行间谍活动
长期以来,安全研究人员警告称,电话网络间连接和呼叫、短信路由协议Signaling System 7(SS7)存在被滥用的风险,可能被用于秘密监控。本周,数字权利组织Citizen Lab披露,至少两家营利性监控公司利用这些漏洞或下一代电信协议中的类似漏洞,监视真实目标。Citizen Lab发现,这两家公司充当了非法电话运营商,利用对三家小型电信公司的访问权限——以色列运营商019Mobile、英国移动运营商Tango Mobile以及位于英吉利海峡泽西岛的Airtel Jersey——追踪目标手机位置。研究人员称被监控者为“高调人物”,但未透露具体公司和目标身份。研究人员警告,这两家公司可能并非孤例,全球电信协议的漏洞仍是手机监控的现实威胁。
两名东南亚诈骗窝点管理者被控
美国司法部本周宣布对两名中国男子提起指控,指控他们涉嫌管理缅甸的诈骗窝点,并试图在柬埔寨开设第二个窝点。江文杰和黄兴山今年早些时候因移民问题在泰国被捕,现面临指控,称他们运营庞大的诈骗网络,利用虚假工作机会诱骗受害者,随后强迫他们进行包括美国人在内的数百万美元加密货币诈骗。司法部还冻结了该诈骗网络约7亿美元资金,并查封了用于诱骗和奴役受害者的Telegram频道。声明称黄兴山亲自参与对工人的体罚,江文杰曾监督盗取一名美国受害者300万美元。
50万英国健康记录在阿里巴巴被出售
英国政府和非营利组织UK Biobank本周披露,三家科研机构在阿里巴巴平台上出售英国公民的健康信息。过去二十年间,超过50万人向UK Biobank共享了包括医学影像、基因信息和医疗记录在内的健康数据,供全球科学家进行医学研究。该慈善机构称此次数据泄露违反了三家机构签署的合同,其中一批数据疑似涵盖了全部50万研究对象。具体出售的数据类型未详,但相关账户已被暂停,广告也被下架。
苹果修复允许FBI获取Signal推送通知的漏洞
本月早些时候,404 Media报道FBI能够从被告的iPhone获取Signal消息的副本,因为Signal消息内容(本应加密)被保存在iOS推送通知数据库中。即使Signal应用被删除,消息副本仍可访问,该漏洞影响所有发送推送通知的应用。
本周,苹果发布iOS和iPadOS安全更新修复该漏洞。更新说明称“标记为删除的通知可能意外保留在设备上”,并改进了数据脱敏处理。尽管漏洞已修复,用户仍应调整设备通知显示设置。Signal用户可在应用设置中将通知显示改为仅显示名称或不显示内容。这提醒我们,尽管Signal等应用采用端到端加密,但如果他人能物理访问并解锁设备,仍有可能访问设备上的所有内容。
