💡互联网/数码/App/羊毛/相机/数字指南

📨商务联系:@appdo_bot

📰独立网站:appdo.xyz

🧑🏻‍💻博客 song.al

📷浮生东京 @LifeJapan
#互联网观察 #网络安全 #加密货币

⚠️中国ESP32 芯片导致了数亿台加密货币钱包存在致命漏洞

近日,网络安全公司Crypto Deep Tech披露,广泛应用于比特币硬件钱包(如Blockstream Jade)的中国ESP32芯片被发现存在严重安全漏洞(CVE-2025-27840),引发全球加密货币圈巨大震动。该芯片不仅用于比特币钱包,还广泛分布于物联网设备中,受影响设备数量以十亿计。

漏洞核心在于ESP32芯片的随机数生成器熵值严重不足,黑客可通过暴力破解方式推测或窃取钱包私钥。此外,芯片的模块更新机制也存在安全隐患,攻击者可远程伪造交易签名,甚至注入恶意代码,直接威胁用户数字资产安全。

安全专家已在真实环境下成功利用该漏洞破解了一个持有10枚比特币的钱包,充分证明风险的现实性和危害性。研究团队警告,黑客甚至有可能发动大规模攻击,针对个人、企业甚至国家级目标,造成难以估量的损失。

本文参考来源:https://t.me/appdopic/1470

⚠️请使用ESP32 芯片的用户注意潜在风险

全球已有数十亿搭载 ESP32 的设备面临潜在风险,包括加密货币钱包、IoT网关及企业内部控制系统。不过,由于ESP32的开源生态,一般存在问题的都是自制硬件钱包项目,这些项目通常基于Blockstream Jade的固件进行二次开发。因此市场常见的知名钱包用户无需过分担心。

请各位用户尽快自查手中的钱包是否采用了ESP32 芯片,并转移其内部资产。

频道 @AppDoDo 官推 @APPDOTG
#互联网观察 #网络安全 #Telegram

Telegram钓鱼升级:冒充熟人发送伪造的视频会议链接

近期有多位日常工作、生活频繁使用Telegram 的的用户反馈被伪造的视频会议链接钓鱼。钓鱼攻击者会高仿熟人的Telegram账号,邀请你进行某种目的的ZOOM会议,并向你发送含有ZOOM 的伪造邀请链接。一旦你信任并使用电脑点击链接,就会被引导下载带有恶意软件的“新版本”,从而盗取你电脑上的加密资产、钱包以及其它重要凭证。

值得注意的是,攻击者发送的ZOOM 链接并非官方链接,只是带ZOOM 单词的网页链接。此外还有用户反馈,如果使用手机点击,就会提示该会议不支持移动端,要求用户使用电脑端进行参会。

预防建议

虽然此类钓鱼时间基本都是发生在把Telegram 日常使用并且从事WEB3 相关的事业的用户身上,但普通用户也应该提防。在收到任何Telelgram联系消息务必冷静核实对方账号信息真实(特别是名人/KOL/基金合伙人/媒体记者等身份,容易获取信任而经常被冒充或盗号),不要随意点击对方发送的链接和文件,切记不要下载运行未知脚本。

在点链接之前,看下域名是否正确就可以阻断80%的钓鱼链接。

频道 @AppDoDo 官推 @APPDOTG
#互联网观察 #网络安全

KDDI携手SpaceX启动卫星直连通信服务,今日起日本全国免费使用

2023年8月30日,日本电信运营商KDDI宣布与美国Space Exploration Technologies Corp.(简称SpaceX)达成全新业务合作,正式推进“Starlink卫星与au智能手机直接通信服务”的提供计划。

自2025年4月10日起,基于SpaceX最新的低轨道Starlink卫星系统,日本KDDI正式上线该项“智能手机直连卫星通信服务”。在不覆盖au 5G/4G LTE的区域,只要天空可视,通过结合SpaceX开发的最新Starlink低轨卫星与KDDI的au通信网络,手机将自动切换为“卫星模式”,实现短信收发等基本通信功能。

本服务将打破传统5G或4G LTE难以覆盖的限制,有望将au网络扩展至包括偏远山间、离岛等区域,实现“只要看得见天空,就能通信”的全新使用体验。

目前阶段,该服务在日本全域(包括临海)均可免费使用,为用户提供更加安心、可靠的联络方式。

频道 @AppDoDo 官推 @APPDOTG
#互联网观察 #网络安全

Lucid利用 iMessage 和 RCS 短信钓鱼攻击了 88 个国家的 169 个目标

近日,一款名为“Lucid”的高级钓鱼即服务(Phishing-as-a-Service, PhaaS)平台被曝光。这一平台由中国黑客组织“XinXin集团”(又称“黑科技”)开发,已在全球范围内对169个实体展开攻击,涉及88个国家。

👉主要特点与攻击手段

Lucid通过苹果iMessage和安卓RCS发送伪装信息,以绕过传统短信垃圾过滤机制,从而大幅提高钓鱼信息的送达率和成功率。其订阅式服务允许网络犯罪分子轻松开展大规模钓鱼活动,主要目标是窃取信用卡信息和个人身份数据。

该平台还具备高度定制化功能,可生成品牌伪造网站,并采用先进的反侦测技术,例如IP屏蔽、用户代理过滤以及单次使用的限时链接,以延长钓鱼网站的存活时间。

👉幕后黑手与生态系统

Lucid由代号为“LARVA-242”的核心开发者领导,其所属的XinXin集团还运营其他类似平台,如Darcula和Lighthouse。这些平台共享模板、目标池及技术策略,形成了一个复杂且互联的地下经济体系。

官方新闻稿

https://thehackernews.com/2025/04/lucid-phaas-hits-169-targets-in-88.html

频道 @AppDoDo 官推 @APPDOTG
 
 
Back to Top