欢迎使用SSL.com安全摘要的XNUMX月版!
28月可能是我们最短的月份,但是通过查看有关数字安全性的所有新兴新闻,您可能不会知道。 我们已经将它们汇总在一个方便的地方以供阅读,因此在过去XNUMX天左右的时间里,赶快获得乐趣吧。
苹果将隐藏来自Google的安全浏览请求
苹果最新的移动操作系统iOS 14.5带有一项新的浏览器功能,可以提醒用户注意危险的网站,并防止将IP地址移交给Google。 Safari功能被称为“欺诈网站警告”,尽管它使用Google安全浏览来识别有害网站,但苹果将通过代理服务器重新路由Google安全浏览请求,以避免IP地址泄露给Google。 饰演Ravie Lakshmanan 的报告 黑客新闻,Apple也将采取其他隐私预防措施,因为他们倾向于以其他方式为用户增加隐私权:
iOS和iPadOS的新变化是苹果最近推出的一系列面向隐私的措施的一部分,其中包括要求应用程序开发人员使用“隐私营养标签”在App Store列表中披露其数据收集做法。
此外,iOS 14.5还将要求应用在使用设备的广告标识符跨其他应用和网站跟踪用户之前,要求应用征求用户的许可,这是名为“应用跟踪透明度”的新框架的一部分。
新的iOS 14.5目前处于beta测试阶段,预计它将在今年春季发布。
在30,000台Mac上发现了用途未知的神秘恶意软件
就像现代间谍电影中的某些东西一样,Red Canary的安全研究人员发现了一种名为“ Silver Sparrow”的新恶意软件。 尽管已经在将近30,000台Mac上发现了它,但是除了检查订单之外,没有人真正知道它的作用。 作为 Ars Technica的 丹·古丁(Dan Goodin)报告:
每小时一次,被感染的Mac会检查控制服务器,以查看是否存在恶意软件应运行的任何新命令或可执行的二进制文件。 但是,到目前为止,研究人员尚未观察到任何被感染的30,000台计算机上任何有效负载的传递,从而使该恶意软件的最终目标未知。 缺少最终的有效负载表明,一旦遇到未知条件,恶意软件可能会立即采取行动。
同样令人好奇的是,该恶意软件带有一种完全删除自身的机制,该功能通常保留给高隐身操作。 但是,到目前为止,还没有迹象表明使用了自毁功能,这引发了为何存在该机制的问题。
除了明显的诡计外,Silver Sparrow也是值得注意的,因为它只是第二个在苹果的新M1芯片上本地运行的恶意软件。 而且,尽管还没有研究人员看到它在起作用, 红金丝雀已确定 它被称为“相当严重的威胁,具有独特的优势,可以在瞬间发出潜在有影响力的有效载荷。”
Mozilla和Apple皱巴巴的看待Chrome 89中的高级硬件功能
谷歌的Chrome 89 beta包含了一些新的硬件交互API,而Mozilla和Apple对此并不满意。 这些API允许开发人员使用设备特定的逻辑与游戏手柄和键盘进行通信,允许Web应用程序读写标签,而WebSerial APO允许Web应用程序与具有串行端口的设备之间直接通信。 如蒂姆·安德森(Tim Anderson)在 注册 报告,Mozilla和Apple认为这很危险:
Mozilla当前的标准立场…表示:“由于许多USB设备的设计目的都不在于通过USB协议处理潜在的恶意互动,并且由于这些设备会对与其连接的计算机产生重大影响,因此我们认为Web上的USB设备范围太广,无法冒着使用户接触到它们的风险,也无法向最终用户正确解释以获得有意义的知情同意。”
此外,由于Google,Mozilla和Apple在这些API的安全性上并不一致,因此,如果只有其中一个(Google)实现它们,则可能会导致Firefox和Safari之类的浏览器出现故障,因为这些浏览器没有这样做。
研究人员暴露出广泛的“依赖混乱”
供应链攻击最近已成为新闻焦点。 (您可能还记得我们以前对以下内容的报道: SolarWinds的 和 的Malwarebytes。)这个月,研究员Alex Birsan向我们展示了一种新的恐怖版本的攻击,该攻击针对使用NPM或RubyGems等程序包管理器的混合了公共和私有依赖关系的开发人员。 比尔桑 详细介绍了Medium上的漏洞。 当然,这有点复杂,但是从本质上讲,他发现攻击者正在寻找内部软件包的名称,这些内部软件包的名称是公司通过github或javascript意外暴露的。 然后,攻击者在公共存储库中创建该软件包的更高版本号,然后等待其目标是否下载并使用了该软件包。
Birsan在他的文章中说,他们已经检测到此漏洞,他在35个以上的组织中将其称为“依赖关系混乱”。 我们建议阅读他的 媒介片 如果您对可能使人容易受到这种类型的攻击的特定命令和工具感兴趣,以及如何减轻依赖混乱的风险。
