大众汽车应用程序再曝安全漏洞，泄露车主敏感信息；410GB TeleMessage泄露数据被DDoSecrets收录 | 牛览

•Pwn2Own柏林2025黑客大赛谢幕：利用28个零日漏洞赢走超百万美元奖金

•410GB TeleMessage泄露数据被DDoSecrets收录

•三款手机监控软件或因泄露数据集体下线

•超4万iOS应用滥用私有权限，带来安全隐患

•VMware管理工具RVTools被黑客武器化用于分发恶意软件

•英国法律援助系统遭网络攻击，在线数字服务被下线

•IT服务提供商数据库配置错误，50万Catholic  Health患者敏感信息或泄露

•大众汽车应用程序再曝重大安全漏洞，泄露车主敏感信息

•ChatGPT安全缺陷允许攻击者在共享对话中嵌入恶意SVG和图像 

Pwn2Own柏林2025黑客竞赛已圆满结束，安全研究人员通过利用28个零日漏洞（其中部分漏洞被重复利用）共获得108万美元奖金。参赛者在三天的比赛中针对人工智能、网页浏览器、虚拟化、本地权限提升、服务器、企业应用、云原生/容器和汽车类别的企业技术进行了攻击测试。

根据Pwn2Own规则，所有目标设备均安装了最新安全更新并运行最新操作系统版本。STAR Labs SG团队以35个"Pwn大师"积分和32万美元的奖金成为本届比赛的冠军，他们成功攻破了Red Hat Enterprise Linux、Docker Desktop、Windows 11、VMware ESXi和Oracle VirtualBox。STAR Labs的Nguyen Hoang Thach通过利用整数溢出漏洞攻破VMware ESXi虚拟机管理程序，获得了比赛最高奖金15万美元。

Mozilla已经修复了比赛期间演示的两个Firefox零日漏洞（CVE-2025-4918和CVE-2025-4919），发布了Firefox 138.0.4、Firefox ESR 128.10.1、Firefox ESR 115.23.1和新版Firefox for Android来解决这些问题。

原文链接：

https://www.bleepingcomputer.com/news/security/hackers-earn-1-078-750-for-28-zero-days-at-pwn2own-berlin/

非营利组织Distributed Denial of Secrets (DDoSecrets)近日将以色列公司TeleMessage的410GB泄露数据添加到其在线档案中。这些数据来自2025年5月4日TeleMessage遭受的重大数据泄露事件，包含明文消息和元数据（如发送者和接收者信息、时间戳和群组名称）。

此次泄露事件源于一个黑客利用TeleMessage系统中的漏洞，访问了公开暴露的Java堆转储文件，获取了存档消息、政府官员联系信息和后端登录凭证。这一事件引发了对美国政府最高层通信安全的严重担忧，特别是在前国家安全顾问Mike Waltz被发现在内阁会议期间使用TeleMessage的TM SGNL应用后。

为应对此事件，美国网络安全和基础设施安全局(CISA)于5月13日将TeleMessage的TM SGNL消息应用中的关键漏洞（CVE-2025-47729）添加到其已知利用漏洞(KEV)目录中。该漏洞涉及未加密消息存档的存储，允许攻击者访问明文聊天记录。

DDoSecrets表示，由于数据集包含个人信息和与政府或企业活动无关的消息，目前仅限记者和研究人员访问。TeleMessage在泄露事件后暂停了服务，并从其网站上移除了对该应用的引用。

原文链接：

https://hackread.com/ddosecrets-adds-410gb-telemessage-breach-data-index/

近日，三款几乎相同但品牌不同的手机监控应用程序Cocospy、Spyic和Spyzie已全面下线。这些应用程序今年早些时候被曝出监视了数百万用户手机，允许安装者在目标不知情的情况下访问其个人数据，包括短信、照片、通话记录和实时位置信息。

研究人员揭示，这些应用存在共同的安全漏洞，允许任何人访问安装了这些应用的设备上的个人数据。该漏洞还暴露了320万注册用户的电子邮件地址，这些数据已被提供给数据泄露通知网站Have I Been Pwned。

在报道该泄露事件后，这些监控应用已停止运行，其网站消失，托管在Amazon的云存储也被删除。目前尚不清楚这些监控业务关闭的具体原因，无法联系到运营商进行评论。对于可能受影响的Android用户，可以在手机应用的键盘上输入"✱✱001✱✱"并按"呼叫"按钮来检测这些软件。如果安装了恶意软件，这个后门功能会使其显示在屏幕上，用户可以删除这个名为"System Service"的通用应用程序。

原文链接：

https://techcrunch.com/2025/05/19/cocospy-stalkerware-apps-go-offline-after-data-breach/

Zimperium最新研究揭示，iOS设备面临日益增长的安全威胁，特别是来自未经审核和侧载的移动应用。尽管iPhone通常被视为设计安全的设备，但分析显示某些应用能悄然绕过苹果的保护机制，使用户和企业面临风险。

研究人员发现，超过4万个应用程序使用私有权限，800多个依赖私有API。攻击者主要通过权限提升、滥用私有API和绕过苹果应用审核的侧载漏洞来攻击iOS设备。

报告详细介绍了几个真实世界的攻击案例：TrollStore利用苹果CoreTrust和AMFI模块中的已知漏洞，侧载具有修改授权的应用；SeaShell作为一种公开可用的后渗透工具，允许攻击者远程控制被入侵的iPhone；MacDirtyCow（CVE-2022-46689）涉及iOS内核中的竞争条件，允许临时更改受保护的系统文件。这些漏洞使攻击者能够获取远超用户授予的访问权限，通常不留明显痕迹。对企业而言，应用程序攻击导致的数据泄露可能造成财务损失、监管处罚和长期声誉损害。

Zimperium建议组织采取多层次方法加强应用安全：在允许应用进入企业设备前进行严格审查；监控权限并拒绝请求过度访问的应用；检测侧载应用和第三方商店使用情况；分析开发者凭证以验证应用来源。

原文链接：

https://hackread.com/40000-ios-apps-found-exploiting-private-entitlements/

近日，一起复杂的供应链攻击事件短暂地将受信任的VMware管理工具RVTools变成了恶意软件的传播媒介。攻击者通过篡改安装程序，部署了用于勒索软件攻击的准备阶段和后渗透活动的恶意软件Bumblebee加载器。

安全专家在Microsoft Defender for Endpoint标记来自"version.dll"文件的可疑活动后发现了这一攻击。该文件从与RVTools安装程序相同的目录中执行。被修改的安装程序表面上看起来合法，但包含了恶意代码，会在安装后立即尝试执行。该恶意软件是Bumblebee加载器的自定义变种。

感染过程始于用户从官方网站下载看似合法的RVTools安装程序。执行后，安装程序会正常部署RVTools相关文件，同时悄悄地将恶意version.dll文件放入相同目录。这种技术利用了DLL搜索顺序劫持，Windows会优先从应用程序目录加载DLL。被入侵的RVTools网站大约提供了一小时的恶意安装程序，随后被下线并恢复了合法文件。取证分析显示，威胁行为者在文件元数据中使用了独特的混淆技术，包括使用"Hydrarthrus"作为原始文件名和"Enlargers pharmakos submatrix"作为公司描述。

在攻击窗口期间下载了RVTools的组织应验证其安装程序哈希值，并扫描用户目录中是否存在未授权的version.dll文件。

原文链接：https://cybersecuritynews.com/hackers-leverage-rvtools-with-bumblebee-malware/

英国司法部（MoJ）证实，法律援助系统遭受重大网络攻击，导致大量数据被盗，包括敏感的犯罪记录。司法部于4月23日发现安全漏洞，攻击者获取了可追溯至2010年的未经授权数据。

虽然司法部尚未确认声称负责的组织所提到的210万条记录的具体数字，但承认"大量"数据被盗。被盗数据可能包括法律援助申请人的高度敏感个人信息，如联系方式、出生日期、国家身份证号码、犯罪历史、就业状况和财务数据。攻击者还可能获取了与大律师、律师和各种组织（包括与法律援助署合作的非营利实体）相关的信息。

司法部正与国家犯罪局和国家网络安全中心合作，确保其受损系统的安全。作为网络攻击的直接后果，英国数据保护机构信息专员办公室的在线数字服务已被下线。

司法部敦促自2010年以来申请法律援助的个人采取积极措施保护自己，包括对未经请求的电话和短信保持警惕，更新弱密码，并在怀疑数字或电话通信的合法性时独立验证身份。

原文链接：

https://hackread.com/uk-legal-aid-agency-cyberattack-sensitive-data-stolen/

企业IT服务提供商Serviceaide近日确认，由于数据库配置错误，导致约50万（483,126）名与纽约非营利医疗系统Catholic Health相关的患者的敏感健康和个人信息遭到泄露。

根据Serviceaide网站发布的通知，此次事件源于一个被无意中公开访问的Elasticsearch数据库。泄露发生在2024年9月19日至11月5日期间，于2024年11月15日被发现，完整审查直到最近才完成。虽然没有确凿证据表明数据被下载或滥用，但公司承认无法排除这种可能性。泄露的数据库包含多种敏感信息，根据个人情况不同，可能包括：全名、出生日期、处方数据、社会安全号码、健康保险详情、医疗服务提供者信息、治疗和临床信息、医疗记录和账号、电子邮件地址、用户名和密码。

Serviceaide建议受影响者监控信用报告，更改与医疗账户相关的密码，并考虑冻结信用。该公司已采取措施保护暴露的数据库，并表示已添加新的安全协议以降低未来事件的风险。

原文链接：

https://hackread.com/serviceaide-leak-catholic-health-patients-records/

网络安全研究人员Vishal Bhaskar在大众汽车的互联车应用程序中发现了严重安全漏洞，这些漏洞导致全球车主的敏感个人信息和完整服务历史记录被暴露。这些缺陷允许未授权用户仅凭通常可通过挡风玻璃看到的车辆识别号码（VIN）就能访问用户数据。这是大众汽车在6个月内遭遇的第二次重大网络安全事件。此前在2024年12月，该公司的云存储泄露事件已经危及了80万辆电动汽车的数据。

Bhaskar在2024年购买二手大众汽车后发现了这些漏洞。当他尝试将车辆连接到My Volkswagen应用程序时，一次性密码（OTP）被发送到前车主的手机上。后来的研究发现了三个关键安全漏洞：

• 内部凭证泄露：一个API端点以明文形式暴露了内部用户名、密码、令牌，甚至包括支付处理器和Salesforce等第三方服务的凭证；

• 通过VIN暴露个人详情：另一个端点泄露了客户资料，包括姓名、电话号码、电子邮件地址、邮政地址和与服务记录相关的注册详情；

• 完整服务历史可访问：第三个漏洞仅通过输入VIN就能暴露任何车辆的完整服务历史、客户投诉和客户满意度调查结果。

Bhaskar于2024年11月23日向大众汽车报告了这些漏洞。经过数月沟通，大众汽车于2025年5月6日确认所有漏洞已被修补。

原文链接：

https://cybersecuritynews.com/volkswagen-car-hacked/

近日研究人员在ChatGPT上发现一个安全缺陷，该缺陷允许攻击者在共享对话中直接嵌入恶意SVG（可缩放矢量图形）和图像文件，可能使用户面临复杂的钓鱼攻击和有害内容的风险。这一漏洞影响了截至2025年3月30日的ChatGPT系统。

安全研究人员发现，ChatGPT没有将SVG代码作为文本在代码块中呈现，而是在聊天被重新打开或通过公共链接共享时不当地执行这些元素。这种行为实际上在这一流行的AI平台中创建了一个存储型跨站脚本（XSS）漏洞。攻击者可以在SVG代码中嵌入欺骗性消息，这些消息对不知情的用户看起来是合法的。更令人担忧的是，恶意行为者可以创建带有诱发癫痫的闪烁效果的SVG，可能会伤害光敏人群。

SVG文件与JPG或PNG等常规图像格式不同，它们是基于XML的矢量图像，可以包含HTML脚本标签。这是该格式的合法功能，但在处理不当时会造成危险。当这些SVG被内联渲染而不是作为代码渲染时，嵌入的标记会在用户的浏览器中执行。

据悉，OpenAI已采取初步缓解措施，禁用了链接共享功能，但解决底层问题的全面修复仍在等待中。

原文链接：

https://cybersecuritynews.com/chatgpt-vulnerability-malicious-images/

近日，美创59号安全实验室《Java代码审计实战》出版发行。本书深度解析Java安全漏洞原理，系统讲述CodeQL工具的应用，拓展JavaWeb开发与安全防护的思路。

本书创作的缘由，是因为美创研究发现，很多用户高度重视数据本身的安全防护，却往往忽视操控数据的业务应用安全风险，导致数据安全保护难以形成有效闭环。来自美创的消息称，代码审计作为应用风险检查的技术手段，是美创59号安全实验室日常研究和工作的必备能力之一，这本书也是美创科技作为数据安全头部厂商长期研发数据安全产品、提供安全服务积累的自然成果。

据了解，《Java代码审计实战》具有以下特色：系统构建代码审计能力，从入门到实战全面覆盖；融合CodeQL与实战经验，兼顾传统与前沿技术；覆盖主流框架与组件，贴近实际业务安全需求；适合开发、安全、测试多角色使用，提升安全意识与能力。

原文链接： https://mp.weixin.qq.com/s/iKAthdQMhEXX_vp-qKhYmA