科勒公司一款智能马桶的摄像头被揭露并非其声称的“端到端加密”,用户的隐私数据实际上可以在公司服务器上被解密和处理。与此同时,美国政府为维持与中国的贸易关系,决定不对中国的“盐台风”大规模黑客攻击实施制裁,但中美加三国的安全机构联合发布警告,提醒警惕另一款名为“Brickstorm”的中国间谍软件。本周其他安全事件还包括一家 AI 公司的数据库泄露了百万张用户私密图片,以及美国网络安全与基础设施安全局(CISA)的领导人提名在国会陷入僵局。
科勒智能马桶的“端到端加密”名不副实
科勒公司销售的一款内置摄像头的智能马桶(Dekota),其营销宣传中声称使用了“端到端加密”技术来保护用户隐私。然而,一名安全研究员发现,这种说法具有误导性。
- 真正的端到端加密:通常指数据在发送方设备上加密,只有在接收方设备上才能解密,中间的服务器无法读取内容。
- 科勒的实现方式:数据仅在从马桶设备传输到科勒服务器的过程中是加密的。一旦到达服务器,数据就会被解密。
科勒公司在一份声明中承认,图像在公司后端被“解密和处理以提供我们的服务”。这意味着,公司内部可以访问用户最私密的生物数据。
该研究员指出,科勒对“端到端加密”的定义,一端是用户的身体,另一端是 科勒的后端服务器。
在相关报告发布后,科勒公司已从其产品描述中 删除了所有关于“端到端加密”的提法。
中美网络安全博弈
为维持贸易,美国未就“盐台风”黑客事件制裁中国
“盐台风”网络间谍活动被视为美国现代史上最严重的反情报失败之一,中国黑客渗透了几乎所有的美国电信运营商。尽管如此,美国政府已决定 不对中国实施制裁。
- 主要原因:白宫正在努力与中国政府达成贸易协议,维持稳定的贸易关系是优先事项。
- 引发的批评:有观点认为,此举是为了经济利益而牺牲了关键的国家安全。
- 另一视角:对间谍活动实施制裁一直存在争议,因为美国自身也在全球范围内进行类似的网络间谍活动。
多国警告中国“Brickstorm”间谍软件
尽管在“盐台风”事件上没有采取行动,美国网络安全与基础设施安全局(CISA)、国家安全局(NSA)以及加拿大网络安全中心联合发布了一份新的警告,提醒警惕名为 “Brickstorm” 的中国恶意软件。
- 长期潜伏:该间谍软件自 2022 年以来一直感染数十个组织。
- 双重威胁:黑客不仅可以进行情报搜集,还可能发动破坏性的网络攻击。
- 发现难度极高:根据谷歌的数据,从被“Brickstorm”入侵到被发现,平均需要 393 天。
其他安全动态摘要
- AI 公司数据泄露:一家 AI 图像创作初创公司的数据库未受保护,导致超过一百万张用户生成的图片和视频泄露,其中绝大多数是裸照,甚至包括儿童裸照。
- Cloudflare 拦截 AI 机器人:自 7 月以来,Cloudflare 已为其客户拦截了超过 4000 亿次 来自 AI 机器人的请求。
- CISA 领导提名受阻:美国最重要的网络防御机构 CISA 的局长提名人选肖恩·普兰基在国会面临阻碍,其任命可能被无限期搁置。
- 纽约新法:纽约州一项新法律要求零售商必须披露,如果他们收集的个人数据被用于算法,从而导致商品价格发生变化。