消除隐患 保证安全

据可靠消息，中共邪党公安部持续破坏法轮功名誉及修炼群体的战略部署从来未停止过；其对大陆和海外之间的数据监控以及特务渗透的行为，更从来没放松过。

这个时期，中共对法轮功的迫害超过历史上任何时期，它是在利用整个中国的经济实力，裹挟绑架中国人，全民全力迫害法轮功，毁灭众生。它们所采用的卑劣手段不仅残忍极端，而且更加阴险狡诈。大法弟子无论在任何环境，要理智清醒，分清正邪，安全是大事，不要一谈安全就找借口避重就轻。

进入2025年的正邪交战，大陆公安正在彻查用海外电话注册的、中共能审查的软件的人，特别是用海外真实电话与虚拟号注册微信、快手、腾讯、抖音之类的账号的人。目前每个城市都查出不少，多的好几百人，都视为与海外联系的“反共势力”，这些人的个人的隐私信息已经被中共全部掌握，具体怎么处理在等待上级来令。

数据涉及民主反共人士，也包括海外对大陆讲真相的隐蔽项目，特别提醒！凡是暴露个人IP和隐私的环节，目前都处在危险之中。

来源：明慧网

Google漏洞允许攻击者通过油管ID获取Gmail地址
安全研究人员近日发现Google存在两个漏洞，攻击者可通过YouTube ID获取用户的Gmail地址。研究人员通过Google的People API发现，YouTube的屏蔽功能依赖于一个模糊的“Gaia”ID，而该ID可通过Pixel Recorder的网页版暴露用户邮箱。在实验中，研究人员利用Python脚本绕过分享通知，成功获取目标邮箱。Google已修复相关漏洞。

Google Play和App Store中发现有窃取加密钱包的恶意软件
卡巴斯基最新报告，名为“SparkCat”的新型恶意软件已成功潜入苹果App Store和谷歌Play商店。 这是首次在苹果官方应用商店发现利用OCR技术窃取用户截图的软件。SparkCat 恶意软件伪装成食品配送应用（如ComeCome）和AI聊天应用，诱骗用户授予照片库访问权限，随后利用OCR技术扫描照片，搜索包含加密货币钱包恢复短语的图像。一旦匹配，这些图片就被发送至攻击者服务器，导致用户加密资产被盗。

黑客在 HuggingFace 上传恶意 AI 模型以攻击开发者
网络安全研究人员发现，黑客通过在 HuggingFace 上传包含恶意代码的 AI 模型，成功绕过了平台的安全检测，企图对开发者展开攻击。这些恶意模型通过非传统的 7z 压缩格式存储，利用硬编码 IP 地址和 shell 收集开发者的设备信息。HuggingFace 的安全工具 Picklescan未能识别这些攻击，在此提醒开发者在下载模型时提高警惕，选择可信来源的模型。

推特同意支付1000万美元和解川普诉讼
马斯克旗下的 X 公司已同意支付约 1000 万美元，以了结川普对该公司及其前首席执行官提起的诉讼。这将使 X 公司成为第二个与川普达成和解的社交媒体。川普与其他原告于2021年对当时的推特及其首席执行官杰克·多尔西提起诉讼。马斯克于2022年11月解封了特朗普的推特账号。

川普的AI视频在 TikTok 上大量传播观看
​使用人工智能生成的川普和马斯克声音的视频在 TikTok 上获得了大量观看，约有二十多个账户专门发布 AI生成的川普和马斯克发表的励志言论的音频，这些账户的四百个视频已经获得了超过七亿次观看。其中许多视频都有成千上万条评论，同意或重复视频主旨，只有少数评论者指出这些声音是 AI 生成的。

希捷数据中心硬盘出现大量“矿盘”假货
德国 Heise 对以新品形式出售的二手希捷数据中心级硬盘进行了调查。根据报告，这些希捷数据中心硬盘的内部记录被篡改，许多硬盘之前使用了 15,000 到 50,000 小时却显示为未使用，这些二手硬盘来自中国，很可能来自加密货币矿场。欺诈性销售最早于1月报告，全球范围内已出现 200 多起受影响硬盘的报告。希捷否认参与其中并展开调查，已提供了一种工具来确定硬盘是全新的还是二手的。

诉讼指控亚马逊通过手机秘密追踪消费者
消费者起诉，指控这家零售巨头通过手机秘密追踪他们的行踪，并出售收集的数据。亚马逊通过向数以万计的应用开发者提供名为“亚马逊广告SDK”的代码并将其嵌入到他们的应用中，从而获得了对消费者手机的“后门访问权限”，这使得亚马逊能够收集大量有关消费者生活、工作、购物和访问地点的带有时间戳的地理位置数据，从而泄露敏感信息。起诉书称：“亚马逊在消费者不知情和未同意的情况下，有效地采集了消费者的指纹并关联了大量的个人信息。”

涉嫌宣扬共产主义 大马查封一家中餐馆 经理被捕

马来西亚允许中国公民免签入境后，赴马国旅游的中国人越来越多，但需要了解的是，如果在马来西亚宣传共产主义，或者随意打出中共血旗，可能会因触犯马国法律，遭到逮捕。.....

详情

CSDN等多个网站被挂马 疑似CDN供应链攻击
奇安信威胁情报中心在日常监控中观察到恶意域名的访问量从9月初陡增，持续到9月底，有一些奇怪的js，之后是一段时间的潜伏期，直到10月底开始爆发。攻击行为涉及分析受害设备IP并针对特定行业实施精准攻击，诱导用户执行伪装成更新程序的Payload，从而传播木马和后门程序。基于奇安信全球鹰测绘数据，国内大量网站正文页面中包含该恶意域名，其中包含政府、互联网、媒体等网站。所涉及的域名均挂有 CDN，对应IP也都为 CDN 节点，推测 CDN 厂商疑似被污染。

Firefox 将删除「禁止跟踪」功能
Firefox 浏览器将删除「禁止跟踪 (DNT)」设置，此更改将在版本 135 及更高版本中生效。FireFox认为DNT功能已无法有效保护隐私，许多网站直接忽略DNT信号，因此更建议使用GPC功能。相比DNT，GPC能提高透明度和控制感，用户可以控制公司可以或不可以使用那些信息，从而减少数据滥用的情况。

Web应用防火墙漏洞BreakingWAF危及众多公司
网络安全研究团队Zafran发现Web应用防火墙(WAF)服务配置中存在名为“BreakingWAF”的安全漏洞，该漏洞影响Akamai、Cloudflare、Fastly和Imperva等主流WAF提供商，使拒绝服务攻击、勒索软件攻击，甚至完全入侵应用程序成为可能。近40%的财富100强和20%的财富1000强公司受此影响。

Cloudflare 2024 年度互联网回顾
2024年全球互联网流量增长17.2%。谷歌仍是最受欢迎的互联网服务。Starlink全球流量增长3.3倍。iOS设备占全球移动设备流量近三分之一。HTTP/3使用率达20.5%，恶意邮件平均占比4.3%。Log4j漏洞仍是持续威胁，攻击目标转向博彩/游戏行业。路由安全性和IPv6采用率持续提升。

https://telegra.ph/100-12-13-5

团圆的日子近了
亲人在翘首盼望
迷途的羔羊
是否已在路上
保持善良才不会迷失方向

也不要独自游荡
保护好自己不容易
黑夜里容易上当受伤
荒野有狼
主人手中才有枪

不论世事如何纷扰变化，有些东西是不变不动的。就像人性中的善良、渴望光明与自由、感恩与爱。也许善良会被扭曲、被蒙蔽、被掩盖与埋没，也可以被唤醒与加强。

祝福一路陪伴的朋友中秋快乐！?❤️
让我们继续保持善良、学会保护好自己，一起越过黑暗的阻挡、迎接光明的到来。

Android 应用程序现在可以强制通过 Google Play 下载以阻止侧载
Android 应用程序开发者现在可以使用 Google Play Integrity API 来阻止用户侧载应用程序。这种方法可以帮助开发者确保应用程序的安全性和完整性，防止用户安装未经授权或篡改的应用程序版本。Play Integrity API 可以检查应用程序是否在真实的 Android 设备上运行，是否被篡改，是否在不安全的软件环境中运行，以及是否启用了 Google Play Protect 等。

脸书承认抓取澳洲用户数据来训练人工智能
在澳大利亚政府对人工智能采用情况的调查中，Meta 的全球隐私总监梅琳达·克莱博被问及她的公司是否一直在收集澳大利亚人的数据来训练其生成式人工智能技术。克莱博最初否认了这一说法，但她最终承认 Meta 会抓取自 2007 年以来所有脸书和 IG 帖子中的所有照片和文字，除非用户将帖子设置为私密。此外，她承认该公司并没有像欧盟用户那样为澳大利亚用户提供退出选项。克莱博说，欧盟存在退出选项，“是为了回应一个非常具体的法律框架”。

基因检测公司 23andMe 同意支付三千万美元和解大规模数据泄露诉讼
23andMe 已同意支付3000万美元，以和解一起因数据泄露而影响690多万客户的集体诉讼。该机构将赔偿受影响的客户，并为他们提供三年的安全监控计划。23andMe 去年10月披露了数据泄露事件，12月才确认整体影响：使用 DNA 亲属功能的客户可能通过此次泄露事件泄露了姓名、出生年份和祖先信息等信息。今年1月，客户在旧金山法院提起集体诉讼，指控该公司未能保护他们的隐私。拟议的和解方案需得到法官批准。

苹果修复 Vision Pro 安全漏洞，该漏洞可能会泄露输入的内容
科学家小组发现了 Apple Vision Pro 中的一个安全漏洞：允许他们重建人们输入的内容，包括密码、PIN 和消息。当 Vision Pro 用户使用虚拟 Persona 头像时，研究人员能够通过分析 Persona 的眼球运动或“注视”来判断用户在头显虚拟键盘上输入的内容。研究人员称，人们的目光通常会集中在接下来可能按下的键上，因此，研究人员在五次猜测内能够以92%的准确率识别出人们在消息中输入的字母，对密码的识别准确率为77%。研究人员于四月份向苹果公司披露了此漏洞，苹果七月份在 visionOS 1.3 中解决了此问题。

澳洲将对恶意泄露个人信息行为判七年监禁
根据提交给联邦议会的新立法，恶意在网上发布个人信息的行为将被禁止，最高可判处七年监禁。今年二月，数百名澳大利亚犹太人的私人 WhatsApp 群组信息被公布在网上后，总理安东尼·阿尔巴尼斯承诺将取缔人肉搜索。该法案将对那些出于造成伤害目的而公布姓名、地址和电话号码等私人信息的人判处最高六年监禁。如果某个人或某个群体因种族、宗教、双性人身份、性取向、性别、残疾和国籍而成为攻击目标，攻击者刑期将增加至七年。

新型恶意软件影响全球130万台安卓电视盒子
网络安全公司 Dr.Web 当地时间周四报告了名为 Android.Vo1d 的新型恶意软件，目前已感染了全球近200个国家和地区约130万台安卓电视盒子。恶意软件通过将恶意组件放入系统存储区域为这些设备植入后门，命令和控制服务器可以随时更新这些恶意软件。谷歌代表表示，受感染设备运行的操作系统基于 AOSP，与 Android TV 不同，后者仅限获得许可的设备制造商使用。

“中国周” 美众院将通过数十项对中共强硬法案及后续

本周，联邦众议院将表决数十项针对中共和中国公司的法案。因此，国会众议院网站称本周为“中国周”。“中国周”的大部分法案由共和党主导起草，并获得了两党支持，这些法案将被加速审议，需要三分之二多数票就能通过。通过的法案必须获得参议院批准，然后再送交总统拜登签署，才能成为法律。

已知通过的四项抗共法案分别为：《反制中共无人机法案》（Countering CCP Drones Act），《台湾冲突吓阻法案》（Taiwan Conflict Deterrence Act），《中国货币问责法案》（Chinese Currency Accountability Act of 2023），以及《脱离外国敌对性电池依赖法案》（Decoupling from Foreign Adversarial Battery Dependence Act ）。

《反制中共无人机法案》
把大疆创新纳入联邦通讯委员会黑名单，将禁止该公司的产品在美国通讯基础设施上运作，但不会阻止现有大疆无人机在美国的运作。美国一半以上的无人机是大疆公司生产的。网络安全和基础设施安全局（CISA）和联邦调查局（FBI）最近发布关于中国产无人机的行业网络安全指南，指南显示，使用中国制造的无人机有可能将敏感信息暴露给中（共）国当局，危害美国的国家安全、经济安全以及公众健康和安全。

《台湾冲突吓阻法案》
共和党众议员希尔发言指出，如果中共选择攻打台湾，美国财政部依法将公布北京高官的非法资产，让他们向民众解释，在中国失业率高达17%、民众没有社会安全网保障、并因房地产价格跌落而陷入债务危机之下，他们如何能累积财富。法案不只公开点名、羞辱贪腐官员，并切断他们使用美国金融服务的权利。民主党众议员薛曼表示，如果美国总统依“台湾关系法”，决定对台海情势采取行动，美国金融机构依法将能公开特定官员及其家人在全球的资产，并冻结他们在美国的资产。