❗Attention!

🕷️Zero day, Zero click RCE in Telegram Desktop <=4.16.4

Turn off automatic media downloading now! Code execution starts after image/video downloading, automatically

No patch available yet.

Update 1: Originally a warning will popup "exe file can be harmful..", without user confirmation nothing will happen (at least as we know)

iOS 17不再绝对安全，GrayKey设备现可解锁iPhone 15 PIXEL 7 Samsung Galaxy S24等设备

https://www.imore.com/ios/ios-17/law-enforcements-graykey-iphone-unlocking-devices-now-support-ios-17-and-the-iphone-15-for-the-first-time?utm_source=dlvr.it&utm_medium=twitter

iMore

Law enforcement's GrayKey iPhone unlocking devices now support iOS 17 and the iPhone 15 for the first time

Nobody's safe.

苹果芯片被曝安全漏洞：能缓解但需牺牲性能

3月22日消息，据媒体报道，研究人员在最新发表的论文中披露，苹果M系列芯片中存在一个新发现的安全漏洞。

据悉，这个漏洞源于一种名为数据内存依赖预取器（DMP）的硬件优化功能，它通过预测即将访问的内存地址来提高处理器效率。

然而，DMP有时会错误地将密钥等敏感数据内容与内存地址指针混淆，导致攻击者可以通过“解引用”操作泄露信息。

攻击者无法直接获取加密密钥，但可以通过操纵加密算法中的中间数据，使其在特定输入下看起来像是地址，从而利用DMP的这一特性来间接泄露密钥信息。

由于该漏洞深植于Apple Silicon芯片的核心部分，无法通过直接修补芯片来解决。为了减轻这一影响，只能依赖在第三方加密软件中增加防御措施。

然而，苹果在实施任何缓解措施时都需权衡性能与安全性。因为这些措施可能会增加芯片执行操作的工作量，导致M系列芯片在执行加密操作时性能明显下降，特别是在M1和M2系列上表现更为显著。

2023年终回顾•Twitter(X) 2亿用户数据泄露

•国内多家平台用户地址信息泄露

•拼多多通过挖掘漏洞攻击用户手机获取用户隐私

•Android/鸿蒙系统被发现高危漏洞：指纹识别可被暴力破解，iOS不受影响

•搜狗/百度输入法明文上传用户输入内容

•iMessage出现无无交互攻击漏洞
•政府部门上传第三方间谍Telegram客户端

•中国开始要求APP必须备案才可上传下载正常安装及联网

•中国部分退役军人信息在护网期间遭到盗取

•部分地区运营商在光猫内设置反诈模块

•Clash GitHub仓库清空停止更新

•WPS使用用户文档数据训练AI

以上仅是部分事件，并未全部列出

#四川广东重现绿码#

四川公安机关侦破陈某某犯罪团伙侮辱他人案

四川公安机关网安部门工作查明，犯罪嫌疑人陈某某、马某某、陆某某、曾某等人利用黑客手段获取大量公民个人信息，在网上接受他人雇佣后，采取曝光隐私信息、电话短信“轰炸”、冒名填写器官捐赠信息、发送虚假内容举报信、线下邮寄花圈纸钱、制作发布丑化图片等手段对受害人实施网络暴力，逼迫受害人拍摄道歉视频或书写道歉信，造成多名未成年受害人不同程度患上抑郁，甚至产生自杀倾向。目前，陈某某、马某某、陆某某、曾某等人已被公安机关依法采取刑事强制措施，案件正在进一步侦办中。

有没有人知道这个案子的相关信息，例如他们曾经在哪个平台，或者他们在活跃的平台的账户id叫什么，再或者他们是哪个圈子的

河南联通被曝强迫用户更换光猫，后台断网、停账号

近日河南电视台都市频道节目揭露了河南周口联通存在的一种恶劣行为：为了强迫用户更换光猫，联通公司在后台停掉用户的宽带账号，导致用户无法上网，然后让工程师上门“维修”，谎称光猫损坏，需要花 299 元换新。更换完后，联通再在后台恢复用户的网络。

据节目报道，联通公司不仅对老用户进行这种强制更换光猫的行为，还会在给新用户装机的时候，故意使用破旧光猫，也就是之前强迫用户换新留下的，而在过一段时间之后，又会告诉用户使用的是旧光猫无法匹配，必须换新。

反诈路由器加速安排😁****

针对 Mac、iPad 和 iPhone 上 Safari 浏览器的瞬态执行旁路攻击

攻击者可以在用户浏览恶意网页时通过预测执行获取其它网页的敏感信息如密码。iLeakage 利用的是苹果设备使用的 A 和 M 系列 CPU 的旁路漏洞，研究人员利用它成功恢复了 YouTube 观看历史记录和 登录状态下的Gmail 收件箱内容以及密码管理器 LastPass 自动填充的 Instagram 密码。

该漏洞预计影响所有苹果设备，苹果已经实现了缓解措施，但尚未默认启用，目前仅能在 macOS Ventura 13.0 以及更高版本中启用

详细内容:https://ileakage.com