美国国土安全部 (DHS) 相信俄罗斯、伊朗和以色列是利用电信网络安全漏洞监视美国境内居民的主要国家，它们的行为包括跟踪居民的物理位置、拦截电话和短信。跟踪物理位置利用的是 SS7 协议。七号信令系统（SS7，Signaling System Number 7）是路由协议，允许手机用户在外国旅行时从一个运营商无缝连接到另一个运营商。它缺乏安全验证，容易被利用去实时定位用户。安全研究人员很早就报告了 SS7 的漏洞。

微软上个月开始向部分使用 Copilot+ PC 的用户开放预览其受争议的 Windows Recall 功能。Recall 通过每隔数秒进行一次屏幕截图，在本地创造可搜索数字记忆。该功能引发了隐私和安全方面的争议，微软因为争议而推迟了 Recall 的发布。修改后的 Recall 会尝试自动模糊密码和信用卡号等敏感数据。然而测试显示，Recall 仍然会记录下信用卡号和社会安全号码。它的过滤敏感信息功能只对少数电商网站有效，它对电脑屏幕上显示的敏感信息的鉴别能力非常低，可以肯定其屏幕截图会记录下用户的敏感信息。

curl 项目维护者 Daniel Stenberg 宣布了修复了一个有 25 年历史的 Bug：刚刚修复的漏洞 CVE-2024-11053 是在 9039 天前引入到代码中的，而此前年代最久的 Bug CVE-2022-35252 从引入到修复的时间是 8729 天。curl 项目至今报告了 161 个 CVE，漏洞从引入到修复的中位时间是 2583 天，略大于七年。维护者表示，CVE-2024-11053 是一个逻辑错误，编程语言从 C 迁移到 Rust 并不能避免此类错误。不过他表示，curl 所有漏洞中有四成与内存安全相关，五成的高危漏洞源于内存安全。

周三 Black Hat Europe 会议上，安全公司 Lookout 的研究人员披露了警方用于从 Android 设备收集信息的间谍软件 EagleMsgSpy。该间谍软件至少从 2017 年就开始使用，Lookout 获得了间谍软件的多个版本。EagleMsgSpy 能从设备上获取通话记录、联系人、GPS 坐标、书签以及来自 Telegram 和 WhatsApp 等第三方应用的消息。它还能启动屏幕录制并捕获音频。EagleMsgSpy 被形容是一款手机司法监听产品，由武汉中软通证信息技术有限公司开发。

如果能物理接触硬件，那么硬件的安全性通常就无法保障了。然而在云计算时代，客户的敏感数据都储存在未知地点的云端，由未知身份的服务器管理员维护。如何防止能物理接触设备的人窃取敏感数据？芯片供应商的回应是加入保护措施，确保在服务器被物理篡改或感染恶意软件的情况下敏感数据不会被窃取。本周二，一个国际研究小组公布了针对 AMD SEV 的 BadRAM 攻击。AMD 的 Secure Encrypted Virtualization (SEV)被用于加密虚拟机内存并将其隔离以保障云计算的隐私和信任。研究人员报告，利用不到 10 美元的设备，他们可以篡改 DRAM 模块上的嵌入式 SPD 芯片，绕过 SEV 保护，包括最新版本的 SEV-SNP。AMD 已经释出了补丁，补丁没有影响性能，只是增加了启动时间。

随着基于大模型的 AI 系统的流行，越来越多的人使用它们去寻找 bug 和报告 bug。但众所周知大模型有“幻觉”，也就是会胡说八道，它们产生的结果通常似是而非，需要人花时间去进行判断。如果一名开源维护者收到了大量 AI 产生的 bug 报告，那么他们宝贵的时间就被浪费在鉴别 bug 报告的有效性上。Python 软件基金会安全研究员 Seth Larson 呼吁不要使用 AI 报告 Bug，认为低质量的报告应该被视为是恶意的。Curl 维护者 Daniel Stenberg 称低质量的 AI 报告给维护者带来了不必要的负担。Larson 认为开源社区应尽早采取行动，建议 bug 报告者在未经人工验证的情况下不要提交报告。

移动安全公司 iVerify 在今年 5 月发布了一个工具，可用于扫描手机是否感染了以色列公司 NSO Group 开发的间谍软件 Pegasus。2,500 名用户扫描设备后发现了 7 起 Pegasus 感染事件。这意味着 Pegasus 的传播范围比以前认为的更为广泛。因为被感染的人是普通用户而不是特定目标。大部分感染都不是发生在近期，其中一次是 2023 年底的 iOS 16.6，另一次发生在 2022 年 11 月的 iOS 15，另外五次发生在 2021 年和 2022 年的 iOS 14 和 15 上。Pegasus 发动的是零点击攻击，感染设备不需要用户互动。

黑客疑似通过社交工程或钓鱼攻击窃取了 solana-web3.js 开源库维护者的账号，在代码中加入了后门，窃取了价值 15.5 万美元的加密货币。solana-web3.js 被应用用于与 Solana 区块链交互。当应用整合了 solana-web3.js v1.95.6 和 v1.95.7 之后，后门会收集私钥和钱包地址。这些后门版本是在周二 3:20 pm UTC 到 8:25 pm UTC 的五小时内提供下载的。对黑客钱包地址的跟踪显示，共有 674.8 SOL 被盗，SOL 是 Solana 的货币单位，这些加密货币价值约 15.5 万美元。原开发商督促 Solana 应用开发者尽快升级到 v1.95.8。

巴西的一家政府 CA 机构 ICP-Brasil 被发现签发了 google.com 的证书。Google 和 Mozilla 早已拒绝信任该 CA，而软件巨人是唯一信任该 CA 的主流浏览器开发商，这意味着通过 Edge 或其它微软应用访问 google.com 的流量能被第三方拦截，但 Chrome 和 Firefox 不会。ICP-Brasil 的问题早在 2021 年就被报告并在 2022 年讨论之后被拒绝信任，但微软仍然决定信任它。

Linux 安全工程师 Andrey Konovalov 在本月举行的 POC 2024 安全会议上介绍了如何秘密关闭 ThinkPad 摄像头 LED 指示灯的方法。他开发的概念验证程序通过重刷 ThinkPad X230 摄像头的固件去关闭 LED 指示灯，在用户不知情下悄悄摄录像。今天大部分笔记本电脑都提供了摄像头盖子，可以在不使用时盖住摄像头。他的 Lights Out 源代码发布在 GitHub 上。

安全公司 ESET 的研究人员报告了第一个杀不死的 Linux UEFI Bootkit。该恶意程序被攻击者命名为 Bootkitty，相比 Windows 平台上的类似恶意程序，Bootkitty 相对简陋，关键底层功能不完善，主要感染 Ubuntu，感染其它 Linux 发行版的手段缺乏。安全研究人员猜测它可能是一个概念验证版本，尚未观察到实际感染证据。Bootkit 是一种感染固件的恶意程序，此类恶意程序无法通过格式化硬盘等常规方法杀死。最新发现意味着 UEFI Bootkit 不再只针对 Windows 操作系统。

美国联邦贸易委员会（FTC）的调查发现，89% 的智能设备制造商没有披露软件支持期限。调查主要针对 IoT 智能设备，没有包含笔记本电脑、PC、平板电脑和汽车。对 184 种联网设备——包括助听器、安全摄像头和门锁等——的调查发现，其中 161 种产品没有在网站上提供多长时间软件更新的信息。消费者保护局局长 Samuel Levine 表示：如果智能产品不再提供消费者想使用的功能，他们将面临巨大损失。FTC 警告制造商未能为售价超过 15 美元的保修产品提供软件更新信息可能违反了 Magnuson Moss Warranty Act。它还警告，如果企业虚假陈述其产品可用性期限，则可能违反 FTC Act。

微软最近通过 Windows Store 发布了墙纸应用 Bing Wallpaper，用 Bing 的每日图片更换用户的桌面背景。研究了该墙纸应用的开发者报告它含有类似恶意程序的功能。它会自动安装 Bing Visual Search，解密保存在其它浏览器的 cookie 代码，地理位置 Web API，它还会尝试将 Edge 设置为默认系统浏览器。如果默认浏览器不是 Edge，它会在稍后打开默认浏览器，要求启用之前安装的 Microsoft Bing Search for Chrome 扩展。

上个月《华尔街日报》报道称中国黑客入侵了美国的电信基础设施，本周《华盛顿邮报》和《纽约时报》公布了更多信息。黑客组织被称为 Salt Typhoon，他们能利用美国执法机构在电信基础设施中设置的后门去监听电话和阅读短信。黑客无法监听加密的内容，意味着支持端对端加密的应用如 Signal 和苹果的 iMessage 可能不受影响，但苹果设备和 Android 设备之间的短消息使用的端到端加密方式不同，可能容易被 Salt Typhoon 拦截。

安全公司 ESET 的研究人员发现了针对 Linux 的新后门 WolfsBane，与 APT 组织 Gelsemium aka “狼毒草”有关联。WolfsBane 被认为是 Gelsemium 使用的 Windows 后门 Gelsevirine 的 Linux 变种，Gelsemium 组织此前主要对东亚和中东的实体发动攻击。研究人员还发现了另一个 Linux 后门 FireWood，Gelsemium 此前使用过一个与之有关联的后门 Project Wood。

Ubuntu Linux 默认使用的 needrestart 工具发现了 5 个本地提权漏洞，该漏洞是在 2014 年 4 月释出的 needrestart v0.8 中引入的，刚刚释出的 v3.8 修复了漏洞。漏洞允许本地访问的攻击者将权限提升到 root。五个漏洞分别编号为 CVE-2024-48990、CVE-2024-48991、CVE-2024-48992、CVE-2024-10224 和 CVE-2024-11003。Needrestart 被用于识别包更新后需要重新启动的服务，确保服务运行最新版本的共享库。

在披露严重远程代码执行(RCE) 漏洞后，友讯（D-Link）建议旧型号 VPN 路由器的用户淘汰和更换其设备。CVE 编号尚未分配，漏洞细节尚未披露，因为公开细节可能会导致漏洞被广泛利用。目前所知的是该漏洞属于缓冲溢出漏洞，会导致未经身份验证的远程代码执行。友讯警告，如果客户继续使用受影响的产品，连接路由器的设备也会面临安全风险。受影响设备包括：DSR-150（2024 年 5 月终止支持)，DSR-150N (同上)，DSR-250(同上)，DSR-250N(同上)，DSR-500N (2015 年 9 月终止支持) 和 DSR-1000N (2015 年 10 月终止支持)。

间谍软件公司如何运营其业务？向客户出售间谍软件之后就置身事外，还是客户提供了监视目标之后由该公司植入恶意程序窃取情报之后交给客户？根据 WhatsApp 诉 NSO Group 案件本周公布的文件，间谍软件的运营完全由该公司而不是其客户完成。Meta 旗下的消息应用 WhatsApp 在 2019 年对以色列公司 NSO Group 提起诉讼，指控它在 2019 年 4 月 29 日到 5 月 10 日之间利用 WhatsApp 服务漏洞帮助客户入侵了至少 1400 名用户的手机。NSO 的客户包括了沙特阿拉伯、迪拜、印度、墨西哥、摩洛哥和卢旺达等国。WhatsApp 控诉的一个核心依据是运营间谍软件的是 NSO 而不是其政府客户。NSO 则坚称它不知道客户的目标，其产品旨在预防严重犯罪和恐怖主义，客户有义务不滥用间谍软件。根据 NSO 员工的证词，客户只需输入目标的电话号码，其余则由系统自动完成。换句话说，间谍软件的运行不是客户操作的。通过设计和持续更新其间谍软件 Pegasus，NSO 独自决定了访问 WhatsApp 服务器窃取目标手机上的信息。

2022 年 4 月，哈萨克斯坦政府暴力镇压全国抗议活动四个月后，网络安全研究人员发现当局在智能手机上部署间谍软件去窃听公民。间谍软件不是由哈萨克斯坦政府开发的，也不是来自以色列，而是来自于意大利公司 RCS Labs。根据 Wikileaks 在 2015 年公开的文件，RCS 与巴基斯坦、智利、蒙古、孟加拉国、缅甸、越南和土库曼斯坦的军方和情报机构打过交道。安全专家称，意大利有六家大型的间谍软件供应商，以及很多小型的相关企业。以色列间谍软件公司如 NSO Group 以开发先进的零点击间谍软件闻名，意大利公司则专注于廉价工具，因此不那么引人注目。因缺乏监管，意大利的间谍软件便宜且使用频率高。意大利记者 Riccardo Coluccini 称，当局最近几年执行了数千次间谍软件行动。

亚马逊证实在第三方供应商发生安全事故后其员工信息遭到泄露。亚马逊表示它以及 AWS 是安全的，没有发生安全事故。亚马逊称它收到通知，其物业管理供应商发生了安全事故，影响亚马逊在内的多个客户，泄露的员工信息与工作相关，如工作电邮地址、办公桌电话号码和建筑位置。敏感信息如社会安全号码或财务信息未受影响。此前有黑客在论坛 BreachForums 发帖称拥有逾 280 万行从亚马逊窃取的数据，这些数据是在去年的 MOVEit Transfer 安全事件期间盗取的。