安全新聞：密碼應用程序登陸 iPhone、家庭路由器受到攻擊等等

在這裡，您可以找到有關最新黑客、詐騙、新聞、Apple 安全補丁以及您可以採取哪些措施的每月簡報。

在本綜述中：

使用 iOS 18 鎖定您的 iPhone（並防止一個缺陷）
無害的社交媒體還是外國選舉干預？如何判斷
硬件密鑰仍然是您最強大的數字防禦嗎？
犯罪分子和政府可以入侵您的路由器：如何驅逐他們
這應該引起您的關注
本月安全失敗
Apple 的安全更新

黑客、詐騙、麻煩 + 該怎麼辦

使用 iOS 18 鎖定您的 iPhone（並防止一個缺陷）

9 月 16 日發布的 iOS 18 為 iPhone 帶來了新的安全相關功能，包括用於管理登錄和憑據的新密碼應用程序、鎖定和隱藏應用程序的功能、名為 Tap to Pay 的新安全支付工具，一切都很棒！但它還提供了一種在 FaceTime 通話期間控制他人 iPhone 的方法，這是騙子手中的危險工具。以下是如何利用新的安全功能並防範新的漏洞。

如何使用新密碼應用程序保護您的密碼

如果您完全投資於 Apple 生態系統，您可能已經使用 Safari 生成並保存強密碼來保護您的帳戶。在 iOS 18 中，此功能被捆綁到一個名為“密碼”的時尚新應用程序中，您可以在其中找到存儲憑據和保護在線生活所需的一切。這是我們的文章。

如何在 iOS 18 中鎖定和隱藏應用程序

有時您需要將 iPhone 交給其他人，當您這樣做時，您希望知道他們無法訪問您的私人應用程序和數據，從而讓您高枕無憂。 iOS 18 引入了一種將 iPhone 上的應用程序隱藏在應用程序庫中的特殊隱藏文件夾中的方法，以及一種鎖定應用程序的方法，以便它們在打開之前需要進行額外的身份驗證檢查（通常是 Face ID 或 Touch ID）。這是蘋果公司的文章如何隱藏和鎖定 iPhone 上的應用程序。

如何使用 Tap to Pay 匯款

有一種新的私密方式可以通過數字方式向附近的 iPhone 匯款，而無需交換電子郵件地址。要匯款，請打開“錢包”應用程序並點擊“Apple Cash”。然後點擊發送或請求。從那裡，選擇點擊現金。然後選擇要發送的金額並點擊下一步。它會要求你進行身份驗證（與在商店中使用 Apple Pay 時的方式相同），然後你的手機將進入配對狀態，你可以將其與另一部 iPhone（必須運行 iOS 18）進行點擊，錢就會轉移到該手機上。

自 iOS 17 起，您可以在 FaceTime 通話期間共享 iPhone 屏幕。 iOS 18 更進一步，允許 FaceTime 通話的參與者請求控制對方的 iPhone。這顯示了該設備屏幕的視圖，遠程參與者可以移動應用程序、打開應用程序以及幫助診斷或修復問題。某些功能在遠程訪問期間會被鎖定，因此您的 Apple ID 通常應該是安全的。但是，必須小心，只能與您信任的真正技術支持幫助者共享 iPhone 的控制權！技術支持詐騙仍然很常見，當您在谷歌上搜索“幫助我的 iPhone”時，最熱門的搜索結果仍然很可能是騙局。

如果您想與可信聯繫人嘗試遠程控制功能，請按以下步驟操作：向另一部 iPhone 發起 FaceTime 通話。然後打開視頻屏幕，然後點擊頂部的共享。您可以選擇共享您的屏幕，或要求其他參與者共享他們的屏幕。選擇請求共享。他們將收到請求共享權限的提示。共享開始後，點擊顯示共享屏幕的窗口，使其全屏顯示。要啟動遠程控制，請查看右下角並點擊手形圖標。共享者可以隨時通過點擊 FaceTime 中的“屏幕共享”圖標或結束通話來結束遠程會話。如果您與正在做您不喜歡的事情的人共享屏幕，只需結束 FaceTime 通話，或點擊屏幕頂部的“共享”圖標即可。遠程控制時，您的 iPhone 不會顯示您的密碼屏幕，也不會允許遠程參與者輸入密碼或生物識別信息。

無害的社交媒體還是外國選舉干預？如何判斷

隨著美國大選在即，俄羅斯和中國帶頭試圖利用社交媒體宣傳散佈混亂並影響選舉結果。這些努力很普遍，但許多例子（比如我下面列出的例子）已經被揭露，這些例子可以幫助我們識別這些跡象。

垃圾偽裝

社交媒體分析公司 Graphika 在 Twitter 上發現了 15 個虛假賬戶，在 TikTok 上發現了 1 個虛假賬戶，所有這些賬戶均來自中國，旨在圍繞美國大選散佈異議和不和。該策略是創建假角色，假裝是不滿的美國選民，他們在社交媒體上發布有關熱點話題的分裂言論。他們似乎主要專注於製造不和和不信任，而不是提升特定政黨的地位。這些帳戶可以通過過於簡單的發帖歷史、社交媒體個人資料的差異以及個人資料圖片和帖子中大量使用庫存照片來識別。他們往往會發表一些憤世嫉俗的言論，但其中卻帶有明顯的愛國主義色彩。有關更多詳細信息，請參閱格拉菲卡的報告。

不知情的影響者

美國執法部門與加拿大和英國的執法部門一起指責俄羅斯通訊社 RT（前身為“今日俄羅斯”）與俄羅斯情報部門勾結，在世界各地開展秘密影響行動。 RT 的負責人自豪地承認這是真的，公開聲明：“……你認為我從中央情報局得到命令怎麼樣？如果我領導一家由國家資助的俄羅斯官方媒體，我還能從哪裡得到命令？”

RT 操作的揭露在許多報告，並包括影響美國大選的努力。如果公開發布旨在影響選舉的歪曲新聞甚至虛假信息，則不會違法，但未披露與外國間諜特工的關係則是犯罪行為。此類行動的一個例子是《今日俄羅斯》記者 Kostiantyn Kalashnikov 和 Elena Afanasyeva 的努力，據稱他們向田納西州一家媒體機構付費，CNN 已確定為 Tenet Media，到聘請 YouTube 影響者製作表達對美國選舉過程憤世嫉俗的觀點的視頻。特尼特媒體沒有向有影響力的人或公眾透露這些視頻是由外國代理人資助的。

一點歷史

僱用 YouTube 影響者的策略可能很新穎，但利用宣傳來削弱敵對國家的想法與國家本身一樣古老。 Politico 寫了一篇精彩的文章，詳細介紹了俄羅斯多年來影響美國選舉的一些歷史努力，值得回顧。從這段歷史中，我們注意到，外國勢力可能會出於多種原因表達對一個美國政黨的偏好，而不是另一個，但這些理由都不應被視為必然反映該政黨的候選人或該政黨本身。

他們的目標和注意事項

生活在一個通訊豐富的世界中，不幸的是，需要識別我們日常生活中的外國影響力運作。值得慶幸的是，Graphika 在 Twitter 上發現的網絡並不是很有效：大多數用戶已經習慣了大量淺薄的帳戶，並產生了健康的懷疑態度。仍然值得記住的是，那些激進的賬戶散佈不滿和憤世嫉俗的報導可能不真實選舉干預可能是捏造的，社交媒體上的憤怒誘餌可能比僅僅為了獲得點擊更加陰險。無論您支持哪個政黨，您都希望確保您所閱讀或觀看的有關選舉的內容是真實的，這樣您就可以做出不受外國影響的選擇。

硬件密鑰仍然是您最強大的數字防禦嗎？

YubiKey 是小型 USB 設備，可用作在線帳戶的物理密鑰，長期以來一直被視為數字安全的黃金標準。九月，安全研究人員發現了一種方法使用專用硬件複製固件版本早於 5.7 的任何 Yubikey，這可能允許攻擊者訪問帳戶。

壞消息是，臨時訪問您的硬件安全密鑰的人可能能夠複製它。好消息是，實現這一目標的方法需要價值超過 10,000 美元的專用硬件。但壞消息是，他們沒有理由花費金錢複製您的密鑰，因為他們只能竊取它（或者用不起作用的相似產品替換它，這樣他們就有足夠的時間在您注意到之前使用它）。

好消息是，這就是按鍵的工作原理。幾十年來，人們都可以在五金店複製前門鑰匙，而且我們仍然在使用它們。這裡真的沒有什麼可擔心的：保管好您的鑰匙並將備份鑰匙放在安全的地方。如果其中一個停止工作，請立即將其從您的帳戶中刪除。 YubiKeys 仍然是保護在線帳戶的黃金標準。

如果您想檢查您的 YubiKey 運行哪個固件，您可以下載Yubico 驗證器應用程序檢查您的密鑰。固件編號將顯示在密鑰的標題描述中，如下所示：F/W：然後是版本號。

犯罪分子和政府可以破解您的路由器：如何驅逐他們

據報導，俄羅斯黑客組織 Pawn Storm 在 2024 年 1 月 26 日之前能夠訪問美國的無線家庭路由器趨勢科技。他們通過利用犯罪黑客使用的 Moobot 惡意軟件中的漏洞來做到這一點，該惡意軟件已經安裝在大型家庭路由器網絡上。換句話說，俄羅斯間諜只是利用了一個已經滲透到人們家庭路由器中的犯罪黑客組織。一月份，FBI 及其國際合作夥伴擊落了 Pawn Storm 運營的殭屍網絡，該殭屍網絡可能與 APT 28 和俄羅斯情報總局 (GRU) 有關。

Pawn Storm 使用路由器進行暴力破解、網絡釣魚、加密貨幣挖掘等，與最初的犯罪黑客已經在做的事情相同。這種特定的 Moobot 惡意軟件似乎只影響 Ubiquiti EdgeRouter 設備，但是其他類似的惡意軟件也可能影響其他路由器。例如，另一個組織設法使用名為 Ngioweb 的惡意軟件感染 DLink、Netgear 和其他製造商的路由器。在這兩種情況下，路由器都使用默認的管理員用戶名和密碼。

該怎麼做：保護您的路由器免受惡意軟件的侵害

此事件凸顯了更改路由器管理員用戶名和密碼的重要性。如果您的無線路由器使用默認管理員密碼，它最終會被洩露。與往常一樣，請務必使用隨機生成的強密碼來確保您的設備安全。您還需要確保您的路由器安裝了最新的固件。更改 Wi-Fi 路由器管理員密碼和更新固件的方法取決於您擁有的設備，因此請檢查設備的手冊。

此外，偶爾也值得關閉您的 Wi-Fi 路由器，然後再次打開。幸運的是，大多數路由器惡意軟件無法在重新啟動後持續存在，因此一旦關閉並再次打開，您將在一段時間內完全安全，免受 Moobot 等任何惡意軟件的侵害。

這應該引起您的關注

Apple 撤銷對 NSO 集團的訴訟

蘋果公司認為，在以色列政府因類似訴訟和其他原因介入之後，其對因破壞 iPhone 而臭名昭著的僱傭黑客公司的訴訟毫無意義。更多報導記錄。

福特想竊聽你的談話

福特已經申請了一項技術專利，該技術可以竊聽駕駛員的信息以定制個性化廣告。更多報導記錄。

巴西禁止 X（以前的 Twitter）

在埃隆·馬斯克與巴西最高法院發生爭執後，前身為 Twitter 的社交媒體平台已在巴西被禁止。閱讀更多內容英國廣播公司。

不要下載此“OCC”應用程序彈出窗口

iOS 18 用戶報告稱，各個新聞網站上出現了一個神秘的彈出窗口，詢問“你想下載“occ”嗎？”如果您看到此內容，請點擊 x 將其關閉。不要從網站上的彈出窗口下載應用程序。閱讀更多內容代頓海灘新聞雜誌

黑客找到了繞過機場安檢的方法

安全研究人員發現飛行員和空乘人員用於預先篩選安檢點的軟件存在漏洞，並且能夠自行打印預先認證的通行證以通過安檢。閱讀更多內容研究人員自己的網站。

自 2021 年以來，參與生豬屠宰的詐騙公司已處理 490 億美元

區塊鏈分析公司 Chainaanalysis 通過柬埔寨眾所周知的詐騙組合深入研究了加密貨幣的流動情況，並能夠粗略估計該地區市場詐騙的規模有多大。閱讀更多內容記錄。

留意這個 iOS 18 功能

iOS 18 提供了一項稱為屏幕共享的功能，該功能允許遠程用戶請求控制 iPhone（禁用一些敏感細節）。雖然在提供技術支持時非常有幫助，但請注意僅允許來自可信來源的屏幕共享請求。了解屏幕共享的工作原理這裡。

禁用的防病毒軟件卡巴斯基在沒有警告的情況下被替換

如果您是卡巴斯基防病毒軟件的美國客戶，您可能會發現它從您的計算機中丟失，並被另一種防病毒軟件 UltraAV 悄悄取代。別驚慌。 UltraAV 購買了卡巴斯基的客戶群，該公司被禁止在美國運營。閱讀更多內容電腦發出蜂鳴聲。

本月安全失敗

億萬富翁將人工智能普遍監控視為所有犯罪的解決方案

期間公司財務會議據報導，甲骨文聯合創始人拉里·埃里森分享了他對不久的將來的願景，即人工智能將聯合併分析來自交通攝像頭、安全攝像頭和警察隨身攝像頭的視頻流，以創建一個普遍的監控狀態技術藝術。他說：“公民將表現出最好的行為，因為我們不斷記錄和報告正在發生的一切。”

拉里是甲骨文公司的聯合創始人，甲骨文公司是按收入和市場份額計算的第三大軟件公司。他們生產企業管理和雲工具。他們的成功一度使拉里成為世界第二富有的人。因此，聽到這些想法的認真討論是令人擔憂的，特別是因為人工智能監控工具已經在倫敦地鐵和中國使用。這是一個隱私和安全相衝突的空間：是的，我們可以以安全的名義犧牲所有隱私，但是還有什麼需要保護呢？