Skip to main content

share

share
share

  1. Nothing 公司的消息应用被发现是安全灾难

    2023-11-21 16:22 by 光环:新斯巴达

    一加联合创始人裴宇(Carl Pei)创办的手机公司 Nothing 上周发布了它的消息应用 Nothing Chats,该消息应用源自 Sunbird app,它立即被发现存在严重安全问题,不到 24 小时就被迫从 Google 应用商店 Play Store 下架。Nothing Chats 的卖点是允许用户使用苹果的账号和密码在 Android 上登陆 iMessage——这听起来就不像是好事,声称支持端对端加密,结果被发现明文储存信息,身份验证令牌通过 HTTP 发送,意味着中间人可以拦截并读取你的消息。Text.com 的调查发现,当用户收到一条消息或一则附件,在客户端请求确认前它们在服务端是未加密的。它还发布了一个概念验证应用能从服务器上提取出号称端对端加密的信息。

    https://arstechnica.com/?p=1985461

    #安全

  5. Google Chrome 将在 2024 年禁用 Manifest V2 扩展

    2023-11-17 15:31 by 龙牙

    Google Chrome 官方博客宣布将从 2024 年 6 月起在 Chrome Dev、Canary 和 Beta 中自动禁用 Manifest V2 扩展。Chrome Web Store 也不再允许安装 Manifest V2 扩展。它鼓励开发者更新扩展迁移到 Manifest V3。Manifest V3 扩展系统受争议之处是它限制了 WebRequest API 的功能,用 declarativeNetRequest 替代了 WebRequest。广告屏蔽扩展如 uBlock Origin 会受到影响,因为它们使用 WebRequest 在广告下载前屏蔽其请求。禁用 Manifest V2 扩展意味着 uBlock Origin 会在明年年中被禁用。开发者已经释出了使用 Manifest V3 的精简版本uBO Lite,其功能弱于原版。原版未来只能在 Firefox 等浏览器上使用。

    https://developer.chrome.com/blog/resuming-the-transition-to-mv3/


    #Google

  6. Nothing Phone (2) 正在推出自己的 iMessage 应用

    Nothing 公司正准备在 Nothing Phone (2) 手机上推出“Nothing Chats”应用,该应用可以与苹果 iMessage 用户聊天。除了 iMessage 之外,Nothing Chats 还将支持 RCS 消息传递。

    Nothing Chats 由 Sunbird 提供支持。Sunbird 是一款非官方的 iMessage 安卓客户端,在谷歌 Play 商店上的下载量已超过 10,000 次。

    Nothing 首席执行官 Carl Pei 表示,该应用将支持个人聊天、群组消息、媒体文件共享、语音和显示输入状态等功能,未来还将推出“消息反应”和“回复”等功能。该应用预计将于 11 月 17 日推出。

    —— 9to5google

  9. Mozilla 推出首个大模型 Fakespot Chat

    2023-11-10 17:32 by 梦海

    Mozilla 今年初收购了一家利用 AI 和机器学习识别虚假商品评论的创业公司 Fakespot,现在它推出了自己的首个大模型 Fakespot Chat,帮助用户评估商品。用户向 Fakespot Chat 询问他们正在考虑的商品,AI 会利用机器学习根据商品评论进行排序,分辨真伪,回答用户的问题。Mozilla 称保存会话主要是为了改善体验,但用户无需注册或泄露个人信息。用户可通过安装扩展或黏贴商品网址的形式使用该工具。

    https://www.fakespot.com/activate-fakespot-chat
    https://techcrunch.com/2023/11/08/fakespot-chat-mozillas-first-llm-lets-online-shoppers-research-products-via-an-ai-chatbot/

    #Mozilla

  10. Python 混淆包被发现隐藏了秘密后门

    2023-11-13 22:11 by 记忆

    安全公司 Checkmarx 报告了针对 Python 开发者的供应链攻击,攻击者发布了 8 个用于混淆代码的 Python 软件包,其中植入了具有高度侵入性的后门。这些软件包共被下载了 2348 次。以第八个混淆包 pyobfgood 为例,一旦安装,攻击者基本上可以完全控制受害者的电脑,能窃取主机信息、窃取 Chrome 保存的密码、设置键盘记录器、下载文件、屏幕截图和录屏录音、通过增加 CPU 占用等方法关闭电脑或导致蓝屏死机、加密文件、执行任何指令,等等。软件包的下载绝大部分来自美国(62%)、其次是中国(12%)和俄罗斯(6%)。

    https://arstechnica.com/security/2023/11/developers-targeted-with-malware-that-monitors-their-every-move/
    https://checkmarx.com/blog/python-obfuscation-traps/

    #安全

  11. 闪迪固态硬盘故障是设计和制造缺陷导致的

    2023-11-13 15:59 by 侦图机

    数据恢复公司 Attingo 的报告称,闪迪 Extreme Pro 系列固态硬盘故障是设计和制造缺陷导致的。今年五月,闪迪 Extreme Portable 4TB 用户报告硬盘里储存的数据被抹掉。西部数据承诺将释出固件更新修复问题。然而问题并没有解决。随后 2TB 和 3TB 型号也发生相同问题。西数没有再次承诺释出固件更新。硬件本身的问题可能是闪迪对此保持沉默的原因。这起事故已经导致了集体诉讼。Attingo 指出,固态硬盘使用的零部件对电路板而言太大而导致了弱连接和易断裂,使用的焊接材料容易起泡和破裂。新版的 Extreme Pro 系列固态硬盘已经使用了额外的环氧树脂保护大的组件,这意味着西数可能知道问题出在硬件上。然而较新型号仍然有问题。

    https://www.tomshardware.com/news/sandisk-extreme-pro-failures-are-due-to-design-flaw

    #硬件

  14. Discord 将切换到临时文件链接以阻止恶意软件传播

    社交平台 Discord 将在今年年底前为所有用户切换为临时文件链接,以阻止攻击者使用其 CDN 托管和推送恶意软件。

    Discord 表示:“Discord 正在改进其附件 CDN URL 的方法,以便为用户创造更安全的体验”,“对于在 Discord 客户端中共享内容的 Discord 用户没有影响。客户端中的任何链接都将自动刷新”。但是,在 Discord 之外共享的链接将在 24 小时后失效。

    “Discord 开发者可能会看到的影响很小,我们正在与社区密切合作进行过渡。这些变化将于今年晚些时候推出,我们将在未来几周内与开发者分享更多信息。”

    —— Bleeping Computer

  15. Stelo 公司发的停止一切服务的公告,值得一读 https://blog.stelolabs.com/sunsetting-stelo/

    Stelo 公司是做钱包安全服务相关的业务,具体来说,他们总结失败的原因有三点

    1. 交易安全数据方面不存在网络效应,他们以为有(越多攻击事件和越多人用,他们检测出越多的攻击事件,将会吸引更多的人来使用他们的产品。)

    2. 很多用户都直接使用多个钱包,而不是一个。这个好理解,用户如果核心的钱包就那么一两个根本不交互,只是用来转账,那么其实对安全扫描等功能没有什么需求,有威胁直接换一个就好了。

    3. 最后一条最血淋淋,他们认为 Crypto 会有大规模的用户使用,然后事实上并没有。

  16. 20-25 分钟锻炼可减轻久坐的死亡风险

    2023-11-02 22:21 by 微光城市

    发表在《英国运动医学杂志》上的一项研究表明,每天进行 20-25 分钟的体育活动可抵消久坐不动的生活方式带来的死亡风险。该研究还表明,无论每天坐着的时间长短,每天高强度的体育锻炼与较低的风险有关。研究人员分析了近 1.2 万人的数据,他们被跟踪了至少两年。结果显示,有 594 3人每天坐着的时间少于 10.5 小时,6042 人的久坐时间超过 10.5 小时。平均 5 年的时间里,805 人死亡,357 人每天坐着少于 10.5 小时,448 人每天坐着超过 10.5 小时。对活动追踪器数据的分析显示,与每天 8 小时的久坐时间相比,每天久坐 12 小时以上的人死亡风险增加了 38%——但仅限于那些每天中等到剧烈运动时间少于 22 分钟的人。

    https://www.ebiotrade.com/newsf/2023-11/20231102065811621.htm
    https://bjsm.bmj.com/content/57/22/1457

    #医学

  17. 研究称手机使用频率与精子质量相关

    2023-11-02 17:22 by 美丽之星

    一项研究发现,手机使用频率与精子质量相关。相关性并不意味着因果性。精液质量是由精子浓度、精子总数、精子活力和精子形态等参数的评估决定的。根据 WHO 确定的数值,如果精子浓度低于每毫升1500万,男性很可能需要一年多的时间才能怀上孩子。如果精子浓度低于每毫升 4000 万个,怀孕的几率就会降低。众多研究表明,精液质量过去 50 年里出现了下降。精子数量从平均每毫升 9900 万个下降到每毫升 4700 万个。这一现象被认为是环境因素(内分泌干扰物、杀虫剂、辐射)和生活习惯(饮食、酒精、压力、吸烟)共同作用的结果。那么手机是否也是因素之一?瑞士研究人员发现,每周使用手机不超过一次的男性的精子浓度中位数(5650 万/毫升)明显高于每天使用手机超过 20 次的男性(4450 万/毫升)。这一差异对应于频繁使用者(每天 100 - 20 次)的精子浓度比很少使用者(每天少于1次)降低了 21%。

    https://linkinghub.elsevier.com/retrieve/pii/S0015028223018757
    https://www.ebiotrade.com/newsf/2023-11/20231101153918920.htm

    #移动

  18. Clash for Windows 删除其 Github 仓库托管的 Release 包,开发者表示停止更新

    Clash for Windows 是由开发者 Fndroid 编写,基于规则的跨平台代理软件,目前支持的平台有 Windows、Linux、MacOS。

    几分钟前,开发者 Fndroid 删除了该项目仓库托管的 Releases 包,随后删除整个仓库,由于 Clash for Windows 并不开源,所以该 Github 仓库为其应用分发所用。

    开发者在其官方 Telegram 频道表示:

    停止更新了,江湖再见吧😅

    —— 项目地址

  19. 阿里云推出“通义灵码”AI 编程工具,支持 VS Code、JetBrains 等主流 IDE

    阿里云目前推出了一款 AI 编程工具“通义灵码”,号称基于自家通义大模型打造,点击此处访问项目官网。

    “通义灵码”兼容 Visual Studio Code、JetBrains IDEs 等主流 IDE;支持 Java、Python、Go、C / C++、JavaScript、TypeScript、PHP、Ruby、Rust、Scala 等主流编程语言。

    在功能方面,“通义灵码”支持行 / 函数级实时续写、自然语言生成代码、单元测试生成、代码注释生成、代码解释等功能。

    官方声称,“通义灵码”基于海量研发文档、产品文档、通用研发知识、阿里云的云服务文档和 SDK / OpenAPI 文档等进行问答训练,可为用户答疑解惑,帮助解决研发问题。

    —— IT之家项目官网