【安全头条】Screencastify插件存在安全隐患可能导致真人出镜

1、Screencastify插件

存在安全隐患

可能导致真人出镜

Chrome扩展Screencastify存在严重安全隐患，可让黑客接管摄像头权限并录制视频，目前已进行修复。

修复后问题其实并未完全解决，该插件仍存在被内部人员利用接管进行监控的风险。目前插件安装量超过千万，因为一千万是统计上限，所以安装量只高不低，此举相当于把千万人的隐私视频置于Screencastify内部人员和合作机构的眼下，危害极大。

安全研究员向Screencastify反馈了问题，但还未收到回复。[点击“阅读原文”查看详情]

2、美国参议院认为

报告流程阻碍

对抗勒索软件

美国参议院国土安全和政府事务委员会主席加里彼得斯发布报告，执法和监管机构缺乏对勒索软件信息获取能力，无法有效对抗。

他认为，联邦政府应改进攻击和赎金支付报告机制，为政府提供更多数据和信息，来对抗勒索软件这种严重威胁。而目前，这种报告被分散到了各个不同的联邦机构中，就算全部收集起来，也仅占实际规模的一小部分，这造成了勒索软件事故频发。不仅如此，他还认为解决这个问题最重要的是，要确保加密货币仍旧在美国操纵下，这样就可以解决赎金支付问题，帮助受害者迅速恢复。[点击“阅读原文”查看详情]

3、微软报告称

信用卡盗刷越来越隐秘

微软安全研究员观察到信用卡盗刷相比以往更加隐秘，将成为安全防御的一大难点。

信用卡盗刷中的代码混淆如今已是家常便饭，黑客更是研究出了图像注入脚本、伪装成流行Web App等逃避检测的骚操作。安全研究员就以此为例进行了解释，黑客会将恶意PHP代码（执行b64编码JS脚本）注入图像文件中，接着用PHP将图像包含入网站。脚本会识别付款页面，提供虚假表单，窃取信用卡信息。为逃避检测，还将自己伪装成Google Analytics等跟踪工具，甚至连行为和参数都抄来了，额外加入反调试机制，给分析带来了很多麻烦。安全研究员最后提醒，设置限额，改用电子支付才是正道。[点击“阅读原文”查看详情]

4、Duckduckgo与

微软达成协议

允许使用微软跟踪器

Duckduckgo与微软在联合搜索内容合同中达成一致，Duckduckgo将允许使用微软第三方网站跟踪器。

Duckduckgo以隐私保护知名，宣称搜索时不会暴露内容和行为，也不会建立用户数据库进行个性化广告推送。尽管如此，和微软达成合作的当下，微软广告仍会出于会计目的记录IP地址等信息，但宣称与广告无关。安全研究员对大多数跟踪器进行了测试，目前Duckduckgo仅允许微软跟踪器收集数据，其他跟踪器均会被阻止，此事在社区引起轩然大波，公众开始质疑Duckduckgo与微软协议的安全性。Duckduckgo近日对社区的质疑进行了回复，表示他们正尝试从协议中去除这一限制，并且保证会保护用户信息安全，微软对此不予置评。[点击“阅读原文”查看详情]

5、CISA漏洞利用

目录补充41条包括

移动端漏洞

网络安全和基础设施安全局（CISA）继续向漏洞利用目录中补充了41个漏洞，最早的漏洞是16年发现的，最近的则是上周更新的Cisco IOS XR漏洞。

此次重点关注的是CVE-2022-20821即刚刚提到的Cisco IOS XR漏洞和CVE-2021-1048及CVE-2021-0920两个Android漏洞，CISA要求联邦机构在6月13日前全部修复完毕。其他38个漏洞，都是现今被黑客积极利用的漏洞，涉及到微软、苹果、谷歌等多家公司多个产品，这些漏洞要求须在6月14日前修复。[点击“阅读原文”查看详情]