玻璃天线将窗户变成 5G 基站;3K 个热门品牌的免费 SVG 图标

飞猿创
2 阅读11分钟

玻璃天线将窗户变成 5G 基站[1]

集成在窗户中的透明玻璃天线可实现谨慎的 5G 基站部署,从而扩大覆盖范围

  • 问题: 5G 网络频率更高、覆盖范围更小,因此需要比前几代网络更多的基站。这就需要更多的安装点,这可能会造成成本高昂且不美观。
  • 解决方案: 日本公司正在开发可集成到窗户中的透明玻璃天线,将其变成不显眼的 5G 基站。
  • 工作原理:
    • • 该天线采用夹在两片玻璃之间的透明导电材料。
    • • 这种设计可使无线电信号以最小的衰减和反射通过。
    • • 该天线设计用于 5G Sub6 频段(频率低于 6 GHz),与毫米波频率相比,其具有更好的穿透墙壁和建筑物的能力。
  • 好处:
    • • 无需增加难看的基站即可增加 5G 覆盖范围。
    • • 由于窗户的位置,安装高度具有灵活性。
    • • 多个运营商之间共享基础设施的潜力。
  • 应用:
    • • 构建窗口以扩大蜂窝覆盖范围。
    • • 车辆集成以减少信号丢失。
  • 示例: 东京通信公司 JTower 与玻璃制造商 AGC 和移动运营商 NTT Docomo 合作,在东京新宿区部署了第一根透明玻璃天线。该天线兼容 3.7 至 4.5 GHz 之间的频率,可由多家运营商共享。

3K 个热门品牌的免费 SVG 图标[2]

  • • 该网站提供了 3198 个代表热门品牌的免费 SVG 图标集合。
  • • 用户可以搜索特定图标,按字母顺序或受欢迎程度排序,在明暗模式之间进行选择,下载单个图标或整个图标集,并自定义布局。
  • • 每个图标条目包括:
    • • 品牌名称。
    • • 代表品牌主色的十六进制颜色代码。
    • • 有关许可的信息(例如 CC-BY-4.0、CC0-1.0)。
    • • 如果有品牌指南链接。
  • • 可以通过 GitHub 报告缺失的图标或过时的设计,它也是请求和贡献的平台。
  • • 该项目由 Simple Icons 贡献者维护,并通过 Open Collective 捐款支持。

GitHub 通知邮件被劫持以发送恶意软件[3]

分析显示,LummaStealer 恶意软件通过利用 Github 通知系统的恶意 RegAsm.exe 可执行文件传播

  • 攻击媒介: 攻击始于一封伪装成合法 Github 通知的恶意电子邮件。这是一种巧妙的策略,因为它利用了人们对知名平台的信任。
  • 初始载荷: 电子邮件中包含一个下载看似无害的 .NET 可执行文件的链接。然而,这只是攻击的第一阶段。
  • 第一阶段:加载器:
    • • 该.NET 可执行文件充当加载器,下载并执行第二个隐藏的有效负载。
    • • 它使用带有伪造证书(最初被认为是从 Spotify 窃取的)的代码签名来显得合法。
  • 第二阶段:加密的可执行文件:
    • • 第二个有效载荷是隐藏在第一个二进制文件中的加密 Windows 可执行文件。
    • • 加载程序解密该可执行文件并将其注入内存,并在运行之前将其标记为可执行文件。
  • LummaStealer 曝光: 使用 VirusTotal 和 Ghidra 等工具分析最终的可执行文件,揭示了其真实本质:LummaStealer 恶意软件。
  • LummaStealer 的作用:
    • • 该恶意软件是“恶意软件即服务”操作的一部分,这意味着它被出售给其他网络犯罪分子。
    • • 其主要功能是从受感染的系统中窃取敏感数据,包括加密货币钱包、登录凭据和其他有价值的信息。
  • 数据泄露: 被盗数据随后被发送到攻击者的命令和控制 (C2) 服务器以供进一步利用。
  • 分析中使用的工具:
    • • Windows Sandbox:提供一个安全的环境来分析恶意软件。
    • • Ghidra:一个强大的逆向工程工具,用于了解可执行代码。
    • • dotPeek:帮助反编译 .NET 程序集以进行分析。
    • • HxD:用于检查二进制数据的十六进制编辑器。
    • • Visual Studio:用于常规代码分析和调试。

无需访问任何网站即可访问任何人的浏览器[4]

Arc 浏览器中的 Firebase 数据泄露和任意代码执行漏洞可导致在受害者机器上执行远程代码

  • Arc Browser Boosts: Arc Boosts 是用户创建的自定义功能,可以修改网站的外观和功能。它们允许用户屏蔽元素、更改字体和颜色,甚至注入自定义 CSS 和 JavaScript。
  • 漏洞发现: 作者发现了 Arc 增强系统中的一个严重漏洞。增强存储在 Firebase 中,带有一个“creatorID”字段,将其与创建它们的用户联系起来。
  • 利用漏洞:
    • • 作者发现他们可以更改 boost 的“creatorID”来针对另一个用户的帐户。
    • • 这意味着 boost 中的恶意 JavaScript 代码可以在目标用户访问的任何网站上执行,从而有效地授予攻击者远程代码执行 (RCE) 功能。
  • 获取受害者用户 ID 的方法: 作者确定了几种获取受害者 Arc 用户 ID 的方法:
    • 用户推荐: 当有人将另一个用户推荐给 Arc 时,双方都会在推荐系统中收到彼此的用户 ID。
    • 已发布的 Boost: Arc 允许共享 Boost(无需 JavaScript)。公开共享的 Boost 及其“boostSnapshots”包含创建者的用户 ID。
    • 用户画架: Arc 的协作白板功能“画架”可以共享,从而可能泄露协作者的用户 ID。
  • 攻击链: 作者概述了潜在的攻击链:
    1. 1. 使用上述方法之一获取受害者的用户 ID。
    2. 2. 在您自己的帐户上创建包含任意 JavaScript 代码的恶意 boost。
    3. 3. 更改 boost 的“creatorID”字段以匹配受害者的用户 ID。
    4. 4. 当受害者访问任何被提升的网站时,恶意 JavaScript 就会执行,从而危害他们的浏览器。
  • 影响和补救措施: 该漏洞已报告给 Ar​​c,并在一天内得到修补。作者因负责任地披露该问题而获得 2,000 美元的赏金。该漏洞被分配了一个 CVE(CVE-2024-45489)。
  • 隐私问题: 作者还对 Arc 的数据收集做法提出了隐私问题。他们发现 Arc 会向其 Firebase 数据库发送查询,其中包含用户访问的每个网站的“hostPattern”(网站 URL),这与 Arc 声明的隐私政策相矛盾。

我制作的 CLI 工具,使用两个命令即可在 VPS 上自行托管任何应用程序[5]

  • 动机: Sidekick 旨在让托管业余项目尽可能简单且经济实惠。它充分利用 VPS(虚拟专用服务器)的强大功能,同时提供 Heroku 类平台中常见的功能。
  • 主要特点:
    • • 一键式 VPS 设置:Sidekick 使用 Docker、Traefik(用于反向代理和负载平衡)、SOPS(用于安全机密管理)和 Age(用于加密)等基本工具自动设置您的 VPS。
    • • 零停机部署:Sidekick 可在不中断服务的情况下无缝更新您的应用程序。
    • • 高可用性和负载平衡:Traefik 集成确保您的应用程序始终可访问,即使一个服务器实例出现故障。
    • • 自动 SSL 证书:Sidekick 通过自动获取和更新您的域的 SSL 证书来简化 HTTPS 设置。
    • • 域名灵活性:连接您自己的自定义域名或在开发期间使用 sslip.io 作为临时子域名。
  • 安装: Sidekick 是一个 Go 应用程序,因此使用安装非常简单go install github.com/mightymoud/sidekick@latest
  • 用法:
    1. 1. VPS 设置(sidekick init):
      • • 提供您的 VPS IP 地址。
      • • 输入用于 SSL 证书管理的电子邮件地址。
      • • 指定您的 Docker 注册表(默认为 docker.io)。
      • • 确认您已使用必要的权限登录注册表。
    2. 2. 部署(sidekick deploy):
      • • 将应用程序的新版本部署到您的 VPS。Sidekick 利用缓存实现高效更新,并确保部署期间零停机时间。
    3. 3. 预览环境(sidekick deploy preview):
      • • 创建与特定 Git 提交相关的独立预览环境,允许您在将更改合并到主分支之前测试更改。
  • 路线图: 开发人员计划添加以下功能:
    • • 支持更复杂的应用程序的 Docker Compose 部署。
    • • 使用 Watchtower 等工具改进零停机部署。
    • • 防火墙设置和管理。
    • • 多 VPS 支持。
    • • 简化数据库部署。
    • • 用于监控您的 VPS 的 TUI(文本用户界面)。
  • 基本概念: Sidekick 通过抽象化许多相关复杂性来简化将应用程序部署到 VPS 的过程。它利用 Docker 进行容器化,利用 Traefik 进行反向代理和负载平衡,利用 SOPS 进行安全机密管理,利用 Age 进行加密。

FTC:社交媒体和视频流媒体公司对用户进行大规模监控[6]

  • 大规模数据收集: 这些平台收集大量用户数据,包括来自数据经纪人的信息,并且通常无限期地保留这些数据。这引发了对数据安全和潜在滥用的担忧。
  • 利润驱动的做法: 许多此类公司的商业模式严重依赖定向广告,这激励他们收集尽可能多的用户数据。这可能导致侵入性广告体验和隐私侵犯。
  • 缺乏用户控制: 用户通常对其数据的收集、使用和共享方式的控制有限。报告强调需要制定更透明、更用户友好的隐私政策。
  • 儿童和青少年隐私问题: 报告强调,这些平台往往无法充分保护儿童和青少年。报告呼吁加强《儿童网络隐私保护法》(COPPA)的执行力度,并为年轻用户提供额外的保护措施。
  • 竞争有限: 社交媒体和视频流市场缺乏竞争,这可能会让这些公司拥有巨大的权力,可能导致它们优先收集数据而不是保护用户隐私。
  • 变革建议: 该报告提出了几项建议,包括:
    • 联邦隐私立法: 国会应该通过全面的联邦隐私法,以建立基本保护并赋予消费者对其数据的更多控制权。
    • 数据最小化: 公司应该只收集绝对需要的数据,当不再需要时就将其删除。
    • 透明度和控制: 用户应该拥有清晰、简洁的隐私政策,并对其数据的使用方式有更大的控制权。
    • 加强对儿童和青少年的保护: 公司应该超越 COPPA 的最低要求,为年轻用户实施额外的保护措施。

联邦贸易委员会的报告强调了数字时代加强隐私保护的迫切需要。报告呼吁政策制定者、公司和消费者共同努力,创造一个更加平衡和道德的网络环境。

Starlink 的新卫星发射的无线电干扰比以前多 30 倍[7]

  • 问题: 天文学家发现 SpaceX 的 Starlink V2 卫星发射的辐射比之前的型号要亮得多,干扰了天文观测。这是一个反复出现的问题;天文学家之前曾指出早期的 Starlink 卫星也存在类似的问题,SpaceX 很快就解决了这个问题。
  • 可能原因: 文章认为,明亮的辐射可能源于 V2 卫星机载电子设备的设计缺陷。不过,目前尚不清楚是否可以就地修复。
  • SpaceX 的回应(或缺乏回应): 虽然 SpaceX 对之前的问题做出了回应并迅速实施了修复,但他们尚未对这一最新问题发表评论。由于新 Starlink 卫星的发射节奏很快,天文学家希望 SpaceX 能够迅速调查并解决问题。
  • 监管问题: 本文强调了一个更广泛的问题:随着轨道卫星数量的激增(到本世纪末可能超过 10 万颗),这些卫星星座的光污染可能成为天文学的一个主要障碍。作者认为,长期解决方案将需要监管干预来解决卫星设计和操作实践问题。
  • 利害关系: 这个问题凸显了技术进步(如 SpaceX 雄心勃勃的 Starlink 网络)与科学研究(尤其是天文学研究)的保护之间的紧张关系。在这些相互竞争的利益之间找到平衡对于确保进步和继续探索宇宙至关重要。

引用链接

[1] 玻璃天线将窗户变成 5G 基站: spectrum.ieee.org/5g-antenna-…
[2] 3K 个热门品牌的免费 SVG 图标: simpleicons.org/
[3] GitHub 通知邮件被劫持以发送恶意软件: ianspence.com/blog/2024-0…
[4] 无需访问任何网站即可访问任何人的浏览器: kibty.town/blog/arc/
[5] 我制作的 CLI 工具,使用两个命令即可在 VPS 上自行托管任何应用程序: github.com/MightyMoud/…
[6] FTC:社交媒体和视频流媒体公司对用户进行大规模监控: www.ftc.gov/news-events…
[7] Starlink 的新卫星发射的无线电干扰比以前多 30 倍: www.theregister.com/2024/09/19/…

avatar
文章
阅读
粉丝