全球动态

1. 网络安全机构预测深度伪造将成为2025年主要欺诈手段

全球网络安全机构派拓网络发布的亚太地区网络安全预测显示，2025年，深度伪造将被更加频繁地单独使用或加入到更大规模的攻击中。 【阅读原文】

2. 存在隐私不合规行为，懂球圈等 16 款 App 被国家计算机病毒应急处理中心通报

国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App 违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求，近期通过互联网监测发现 16 款移动应用存在隐私不合规行为。 【阅读原文】

3. 央视曝光“克隆网站”：最低 20 元即可克隆一个山寨网页

在1月12日播出的《财经调查》节目中，央视曝光了“克隆网站”形式的诈骗黑幕。在不同电商平台上，存在着克隆、山寨各类官网的店铺，价格从几十元到几千元不等。 【阅读原文】

4. 研究人员成功入侵苹果新型USB-C控制器

安全研究人员成功入侵了自iPhone 15 和 iPhone 15 Pro引入的苹果ACE3 USB-C控制器，引发了对设备安全性和潜在漏洞的质疑。 【外刊-阅读原文】

5. 美国指控与勒索软件团伙有关联的密码混合器运营商

美国司法部起诉了受制裁的 Blender.io 和 Sinbad.io 加密货币混合器服务的三名运营商，这些服务被勒索软件团伙和朝鲜黑客用来清洗赎金和被窃取密货币。 【外刊-阅读原文】

6. 微软起诉一组织非法入侵其 AI 服务，绕过安全防护生成有害内容

微软公司已对一组织提起法律诉讼，指控其故意开发并使用工具绕过微软云 AI 产品的安全防护措施，非法访问并生成有害内容。 【阅读原文】

安全事件

1. IBM watsonx.ai 漏洞允许攻击者在 Web UI 中嵌入任意 JavaScript 代码

IBM 披露了其 watsonx.ai 平台中的一个重大漏洞，该漏洞可能会使用户面临跨站点脚本 （XSS） 攻击。该漏洞被确定为 CVE-2024-49785，会影响 Cloud Pak for Data 上的 IBM watsonx.ai 和独立的 IBM watsonx.ai 安装。 【外刊-阅读原文】

2. Google Project Zero 研究人员发现针对三星设备的零点击漏洞

网络安全研究人员详细介绍了一个现已修补的安全漏洞，该漏洞会影响三星智能手机上的 Monkey's Audio （APE） 解码器，该漏洞可能导致代码执行。 【外刊-阅读原文】

3. 网络钓鱼文本诱骗苹果iMessage 用户禁用保护措施

网络犯罪分子正在利用一种技巧来关闭 Apple iMessage 对文本的内置网络钓鱼保护，并诱骗用户重新启用已禁用的网络钓鱼链接。 【外刊-阅读原文】

4. 新型Web3 攻击利用交易模拟窃取加密货币

威胁行为者正在采用一种称为“交易模拟欺骗”的新策略来窃取加密货币，其中一次攻击成功窃取了 143.45 个以太坊，价值约 46万美元。 【外刊-阅读原文】

5. 黑客利用 YouTube 绕过防病毒检测传播恶意软件

安全研究人员发现了一个复杂的活动，威胁行为者正在劫持 YouTube 频道，并使用它们来传播伪装成破解软件和游戏作弊的信息窃取恶意软件。 【外刊-阅读原文】

6. 1 亿 macOS 用户面临风险，绕过 Apple XProtect 的新型Banshee 恶意软件攻击

研究人员分析了 Banshee macOS Stealer 样本的新版本，通过多个假装提供破解软件的网络钓鱼存储库分发，采用了独特的字符串加密技术，能阻碍Apple XProtect的即时检测。【外刊-阅读原文】

优质文章

1. Java反序列化绕WAF tricks及一个GUI工具

收集了一些Java语言反序列化绕WAF的一些技巧，以及介绍其原理。这里只针对通用的JAVA Trick进行总结，如Shiro。【阅读原文】

2. 网络安全市场的“冬天”还长

行业凛冬，不言而喻。安全行业的发展之道在哪？ 【阅读原文】

3. 特朗普2.0时代网络空间作战力量建设动向分析

分析特朗普2.0时代网络空间作战力量建设的布局动向与趋势，对于理解其外交和安全政策走向，以及预测未来网络空间安全态势具有重要意义。 【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。