IT之家 5 月 8 日消息,据科技媒体 Borncity 今天报道,德国顶级域名管理机构 DENIC 已向.de 域名持有者发送邮件,要求验证身份。 作为参考,德国互联网信息中心 DENIC 是一家位于法兰克福的机构,是 1700 万个.de 域名的中央注册机构。 DENIC 表示,本次验证是为了符合欧盟 NIS-2 法规。根据相关政策, 所有域名持有者有义务提供完整姓名(IT之家注:如为法人则需要提供公司类型)、电话号码 / 电子邮箱地址以及邮寄地址信息 。 通常情况下,这些信息会由域名提供商自动提交。但 DENIC 已启动数据审查流程。在 .de 域名注册和管理过程中,持有者信息会被自动检查完整性和合理性。 如果官方发现域名信息与实际不一致,则可能需要额外验证。这种情况下,域名持有者必须通过自己的提供商验证信息,以确保域名持续可用。 DENIC 董事会成员 Tom Keller 表示,需要验证的域名只占“个位数百分比”, 因此如果你的域名收到验证请求 , 请务必及时处理 , 否则将失去访问权限 。
美国消费技术协会(CTA)近日敦促联邦通信委员会(FCC)重新考虑针对外国产路由器的部分禁令条款,尤其是禁止已在美国获批使用的外国产路由器继续获得软件和固件更新的规定。CTA是国际消费电子展(CES)的主办及拥有方,其在提交给FCC的一份文件中表示,这一做法将可能使数以百万计已在家庭和办公场所部署的路由器在未来几年内暴露于安全漏洞之下。 根据向FCC提交的文件,CTA代表上周与FCC方面就这项“外国产路由器禁令”举行了会面。CTA强调,其支持现任特朗普政府以国家安全为由,加强对被认为存在“不可接受安全风险”的设备和服务的管控这一总体目标。但该协会指出,如果禁止对已经在用设备提供软件与固件更新,结果很可能与初衷相反——不但无法提升安全性,反而会在未来不断累积新的安全隐患。 目前,FCC已经发布了一项临时豁免措施,允许此前已获授权在美销售和使用的外国产路由器,继续在至少 2027 年 3 月 1 日之前接收软件及固件更新,包括安全补丁和兼容性修复。CTA则希望监管机构撤销这一“截止日期”,或者至少进一步延长期限。该组织向FCC强调,持续更新往往是应对安全风险的最有效方式之一,尤其是针对已经部署在终端用户现场、无法短期内整体更换的设备。 CTA警告称,如果在豁免期到期后切断这类更新,将会瞬间制造出数量巨大的“无人维护”路由器,这些设备仍然会继续运行、保持联网,却不再获得任何安全修复。在这种情况下,它们将成为僵尸网络运营者以及国家支持的黑客越来越具吸引力的攻击目标,从而放大整体网络环境的风险。 根据FCC今年 3 月的说明,该机构计划把在一些外国生产的路由器纳入其“覆盖清单”(Covered List)。一旦被列入清单,新的外国产消费级路由器将无法获得FCC授权,除非先通过美国国防部或国土安全部的有条件批准。这意味着未来新产品进入美国市场门槛显著提高,而现有设备的后续支持则取决于豁免和政策调整。 尽管整体监管趋严,但部分厂商已经率先取得例外资格。其中,网件(Netgear)是首批获豁免的品牌之一,其豁免范围涵盖 Nighthawk 和 Orbi 系列路由器以及部分有线网关和有线调制解调器,豁免有效期至 2027 年 10 月 1 日。Adtran 公司的 Service Delivery Gateway 级路由器同样获得批准,豁免期同样截至该日。 最近,亚马逊旗下的 eero LLC 也获得了有条件豁免,其产品线中的 eero、eero Pro、eero Max、eero PoE、eero Outdoor、eero Signal 以及代号为 Amazon Leo 的路由器,均被允许持续更新至 2027 年 10 月 31 日。与此同时,在美国消费路由器市场占有巨大份额的 TP-Link 仍在积极寻求自身的豁免资格。该公司多次对外强调,尽管起源于中国,但目前公司总部已设在美国加州尔湾,因此应被视为一家美国企业。 FCC方面则表示,将在临时更新豁免到期前对其进行重新评估。不过CTA认为,如果等到临近截止时间才作出决定,将使消费者、设备制造商以及零售商在未来数年面临巨大的不确定性。在许多用户看来,家用和办公路由器往往被视为可以“用很多年”的长期设备,一旦更新政策突然改变,供应链和用户安全准备都可能难以及时跟上。 查看评论
随着电动汽车快速普及,公共充电网络正逐步演变为关键基础设施,但其安全防护水平仍停留在普通消费级物联网设备的水准,存在被大规模恶意关停的风险。研究人员指出,可预测的设备编号以及薄弱的身份认证机制,可能让攻击者从“干扰一名司机”为起点,升级为让整座城市的公共充电网络集体离线。 公共电动汽车充电桩、共享电单车和租赁滑板车等设备,普遍具备一个共同特征:设备无人值守、依赖手机应用远程控制、长期暴露在开放环境中,任何人都有机会接触和拆解硬件或分析配套软件。在今年的 Black Hat Asia 大会上,清华大学物联网安全研究员石贺天演示了如何利用一款中国充电平台的应用漏洞,远程关闭充电端口,引发业界对这一类风险的高度关注。 据报道,石贺天在演示中使用的是一家中国电动车充电服务商的官方应用。当现场观众选择“上海”作为示范城市后,他在应用中调用附近充电站列表,从中选取位于人民广场附近的一处充电桩,并将该设备的 ID 复制到事先准备好的脚本中执行,随后该充电桩在地图上的图标由绿色变为灰色,表示充电端口已被远程禁用。他认为,利用同样的手法,可以在缺乏有效防护的情况下,对整座城市的大量充电设施实施拒绝服务攻击。 更令人担忧的是,这类问题并非中国市场独有。石贺天团队还对 11 款来自欧洲共享单车和电动滑板车运营商的应用进行了测试,发现同样存在类似安全缺陷。在硬件层面,他们找到仍然开放的调试接口和 UART 连接点,使得攻击者更容易对设备进行逆向分析和功能篡改;在软件与云端层面,则发现固件内共用的认证密钥,以及后端服务对用户请求缺乏充分的身份校验机制。 研究显示,应用侧漏洞同样危险。弱认证设计可能允许攻击者伪造所谓的“幽灵客户端”,让平台无法分辨其与真实用户之间的差异。在此基础上,攻击者不仅可能获得免费骑行、免费充电等非法服务,还可能进一步窃取用户个人信息,对运营方和用户双方造成经济与隐私损失。 这次在大会上的演示并非孤立案例,其背后是系统性研究结果的一个缩影。在 USENIX Security 2024 上发表的一篇相关论文中,清华大学团队(包括石贺天在内)对 17 款可租赁物联网设备及其配套的 92 款应用进行了系统分析。团队共识别出 57 个漏洞,分布于 28 款产品,其中 24 个漏洞被认定为具备大规模利用潜力,可能影响数百万用户和终端设备。 论文指出,可被推断或算法预测的资源 ID 是问题的关键之一。攻击者只需通过简单枚举或推断,就有机会获取大量设备或用户标识,再与访问控制缺陷叠加利用,即可对海量设备发起批量操作,从而在城市级或更大范围内造成服务中断或功能异常。 在所有此类系统中,公共充电桩尤其敏感。它们往往同时涉及用户支付、蜂窝网络连接、云端管理平台以及与电网直接相连的基础设施。单个充电桩遭遇故障或攻击,最多只是给个别车主带来不便;但如果上千个充电终端在短时间内被远程关闭或锁死,对本已对电动车可靠性心存疑虑的潜在用户而言,将严重打击其对整个充电网络和电动车生态的信心。 研究团队表示,相关厂商对研究结果予以确认,并在研究人员的协助下对大部分已披露问题进行了修复或缓解。但他们同时强调,整个可租赁物联网行业仍需在多方面加强安全能力,包括为每台设备建立更强的唯一身份标识、在后端实施更严格的授权机制、为单设备配置独立凭证、关闭不必要的调试端口以及建立完善的滥用检测体系。只有在安全基础设施得到系统性加固之后,公共充电网络与共享出行设备才能真正承担起关键基础设施的角色,而不再成为攻击者眼中的“软目标”。 查看评论
IT之家 4 月 20 日消息,据 THE ELEC 报道,在获得工会多数代表地位后,三星电子工会向该公司施压升级,其警告称,下月计划举行的罢工可能造成高达 30 万亿韩元(IT之家注:现汇率约合 1385.4 亿元人民币)的生产中断损失。 当地时间 4 月 17 日,三星集团跨企业工会在首尔瑞草区三星总部外召开记者会表示,该工会已正式取得多数代表资格,拥有约 7.4 万名会员。经韩国雇佣劳动部核实,该工会目前已具备劳动者代表机构的合法地位。 该工会估算,全面罢工将造成 20 万亿至 30 万亿韩元(现汇率约合 923.6 亿至 1385.4 亿元人民币)的生产损失,日均损失超 1 万亿韩元(现汇率约合 46.18 亿元人民币)。工会已定于 4 月 23 日举行总集会,若谈判破裂, 计划于 5 月 21 日至 6 月 7 日开展为期 18 天的罢工 。 工会诉求主要围绕奖金制度改革,要求将绩效奖金设定为营业利润的 15%,并取消奖金上限,同时敦促副会长李在镕直接参与谈判。 三星集团跨企业工会会长崔承浩表示,针对取消奖金上限、提升透明度的诉求,公司并未进行有实质意义的沟通。他还称,过去四个月已有超 200 名员工跳槽至 SK 海力士。 行业观察人士警告,罢工造成的损失不止于销售额缺口。半导体生产需连续作业,即便局部中断也会影响整体生产计划;高带宽内存(HBM)等定制产品若出现交付延迟,还可能引发合同违约赔偿及品牌声誉受损。 此前,三星电子已向水原地方法院申请禁令,要求禁止占领设施、干扰非工会员工等非法罢工行为。工会则表示,无意采取任何违法行动。 此外,该工会承认部分成员在“黑名单”争议中存在不当行为,包括试图核实同事的工会入会身份。工会称不会另行采取行动,将此事交由相关部门处理。 三星电子此前证实,内部聊天群组中流传着一份包含员工所属部门、身份、工号及工会入会信息的名单,随后已申请警方调查。该公司还对一名被指通过内部系统调取超 2 万条员工个人信息的员工提起了诉讼。