FreeBuf周报 | 盘点美国八大轰动全球的监听事件；三星禁止员工使用生成式AI

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

1. 阿里、TikTok 在列，欧盟指定 19 家超大型在线平台接受额外审查

欧盟委员会根据《数字服务法》(DSA)通过了第一项决定，公布该法第一批受监管的大型企业名单。根据新的内容审核规则，19 个主要的在线平台和搜索引擎将受到额外审查，且需在4个月内向委员会提供风险评估报告。

2. 密码退出历史舞台，谷歌支持 Passkey 登录

谷歌推出一项名为 Passkey 的新功能，用户可以无需密码，使用更安全、更简单、更快速的方式登录其谷歌账号。

3. Meta 重点打击以 ChatGPT为诱饵的恶意软件活动

Meta 表示，它已采取措施从其服务中共享 1000 多个恶意 URL，这些 URL 被发现利用 OpenAI 的 ChatGPT 作为诱饵，自 2023 年 3 月以来传播约 10 个恶意软件系列。

4. 三星电子禁止员工使用ChatGPT等生成式AI

出于安全考虑，三星电子已禁止员工使用ChatGPT、Google Bard和Bing等流行的生成式AI工具，正准备推出内部工具。

5. 谷歌推出网络安全职业证书计划

谷歌增加了一项新的认证计划，旨在根据其现有的谷歌职业证书计划培训新一代网络安全专业人员。谷歌估计目前仅在美国就有超过 750,000 个网络安全职位空缺，同时全球网络攻击率增加了 38%。

1. OpenAI 曝新漏洞，允许新用户“无限试用”

不久前，OpenAI 为了让用户尝试其他开放的人工智能项目，特意为新用户提供了免费的信用积分额度（约7美元）。随后网络安全公司Checkmarx表示，目前发现了一个漏洞，允许用户滥用试用，并在新账户上获得无限的信用积分额度。

2. 知名打印管理软件存漏洞，能绕过所有安全检测

VulnCheck 研究人员最近利用打印管理软件 PaperCut 服务器中的一个严重漏洞，设计了一种新的利用方法，可以绕过所有当前安全检测。

3. 微软Azure API管理服务平台披露三大漏洞，现已修复

近日，微软Azure API管理服务平台披露了三个新的安全漏洞，恶意行为者可以通过这些漏洞直接访问敏感信息或后端服务。

4. 新型安卓恶意软件 "FluHorse "瞄准东亚市场

最近，东亚市场的各个部门都受到了新的电子邮件钓鱼活动的影响，该恶意活动分发了一种以前没有出现过的Android恶意软件，名为FluHorse，基于Flutter软件开发框架。

5. 微星固件密钥遭泄露，上百款产品受影响

网络攻击者泄露了著名硬件厂商微星科技的固件映像签名密钥，这些密钥是区分合法和恶意更新的关键组件。泄露的固件密钥影响了 57 款微星产品，而泄露的 BootGuard 密钥影响了该公司 166 款产品。

1. 美国窃听风云 | 盘点八大轰动全球的监听事件

据外媒称，五角大楼上百份“机密文件”遭泄露，文件内容涉及俄乌冲突等多方面情报，白纸黑字“实锤”了美国深度介入乌克兰军事的行为。此外，文件还显示美国对乌克兰总统泽连斯基与该国官员的内部对话实施了监听，并同时获取了韩国和以色列等国的内部沟通情况，美国此举引发了国际社会震惊和愤怒。就来盘点一下近年来，美国那些轰动全球的窃听事件。

2. 暗网深度调查：Google Play恶意软件的供求生意

2022年，卡巴斯基检测到了160多万个针对移动用户的恶意软件，或者是恶意的无需安装的APP。这类APP最常见的分发方式就是通过第三方网站和APP商店，尤其是恶意软件分发者们想方设法将它们上传至各大官方商店，其中的典型代表就是Google Play。本文将对这一情况进行深入调查分析，向大家展示那些恶意软件买卖生意，其中包括如何买卖 Google Play 帐户、恶意软件、广告服务等。这是一个完整的地下产业，有着自己的规则、价格甚至还有声誉机构，它们已经成为阳光无法照耀的暗位面。

3. 溯源分析 | 黑客横扫亚多家云平台做流量劫持

自 2022 年 9 月上旬以来，数万个针对东亚用户的网站遭到黑客攻击，将数十万用户重定向到成人主题内容。在许多情况下，这些是高度安全的自动生成的 FTP 凭据，黑客以某种方式获取并利用这些凭据进行网站劫持。

1. 如何使用WhoAmIMailBot隐藏你的电子邮箱地址

WhoAmIMailBot是一款针对电子邮件服务的安全工具，该工具可以帮助广大研究人员通过自定义配置来隐藏自己的真实电子邮箱地址。该工具受到了Blur项目的启发，而该项目允许我们为自己的电子邮件创建一个别名，并用这个别名来实现应用程序的注册。但Blur项目的问题在于，所有的电子邮件内容都会通过该服务的基础设施，但我们其实并不希望任何人查看到我们的电子邮件内容。因此，WhoAmIMailBot便应运而生，而该工具将允许我们使用自己搭建的基础设施服务。

2. 如何使用53R3N17Y完成主机网络侦查和信息收集任务

53R3N17Y是一款功能强大的信息收集工具，该工具基于Python开发，可以帮助广大研究人员快速收集与目标主机、IP地址或域名的相关信息。该工具基于hackertarget.com来收集与目标相关的详细信息，因此针对单个IP地址，每天的API调用次数上限为100次。

3. Adhrit：一款功能强大的Android安全与静态字节码分析工具

Adhrit是一款针对Android移动端操作系统的安全分析工具，该工具可以帮助广大研究人员根据Ghera基准，深入执行渗透测试侦查阶段的任务并进行静态字节码分析。Adhrit是一个开源的Android APK逆向工程和分析工具，旨在为移动安全测试的自动化实现提供有效的解决方案。Adhrit的构建注重灵活性和模块化，并使用了Ghera基准来识别Android应用程序中的漏洞模式。