⚠️⚠️⚠️ 請立即解除安裝 Nicegram ⚠️⚠️⚠️

根據卡巴斯基安全部落格指出，他們發現全新的木馬病毒，而且已經全面入侵 iOS 以及 Android。

📌 主要目標
存取裝置裡的照片，並透過圖片文字轉換功能讀取照片，試圖找出加密錢包的恢復密鑰並回傳到目標伺服器。

🔍 詳細資料
1. 根據拆 App 發現的線索，惡意框架的作者名稱叫做 qiongwu
2. 該惡意程式使用 rust 🦀 開發
3. 跨平台，不管你是 iOS 或 Android 都有可能中標

🛡️ 如何防禦 & 事後改善
1. 立即移除受感染的 App
2. 立即檢視加密貨幣錢包，並使用 PassKey 加強，如有必要請立即更換錢包
3. 使用 FutaGuard DNS，如果有自己的 AdGuard Home 請更新 FutaGuard 提供的清單

📋 App 清單
Android

com.crownplay.vanity.address
com.atvnewsonline.app
com.bintiger.mall.android
com.websea.exchange
org.safew.messenger
org.safew.messenger.store
com.tonghui.paybank
com.bs.feifubao
com.sapp.chatai
com.sapp.starcoin

iOS

im.pop.app.iOS.Messenger
com.hkatv.ios
com.atvnewsonline.app
io.zorixchange
com.yykc.vpnjsq
com.llyy.au
com.star.har91vnlive
com.jhgj.jinhulalaab
com.qingwa.qingwa888lalaaa
com.blockchain.uttool
com.wukongwaimai.client
com.unicornsoft.unicornhttpsforios
staffs.mil.CoinPark
com.lc.btdj
com.baijia.waimai
com.ctc.jirepaidui
com.ai.gbet
app.nicegram
com.blockchain.ogiut
com.blockchain.98ut
com.dream.towncn
com.mjb.Hardwood.Test
com.galaxy666888.ios
njiujiu.vpntest
com.qqt.jykj
com.ai.sport
com.feidu.pay
app.ikun277.test
com.usdtone.usdtoneApp2
com.cgapp2.wallet0
com.bbydqb
com.yz.Byteswap.native
jiujiu.vpntest
com.wetink.chat
com.websea.exchange
com.customize.authenticator
im.token.app
com.mjb.WorldMiner.new
com.kh-super.ios.superapp
com.thedgptai.event
com.yz.Eternal.new
xyz.starohm.chat
com.crownplay.luckyaddress1

來源
https://securelist.com/sparkcat-stealer-in-app-store-and-google-play/115385/

昨天 Swiftgram 作者（前身 Nicegram）看到此篇貼文後，也在自己的頻道發文。

‼️ 兩者關係
作者 [at]Kylmakalle 先前創立了 nicegram 後，向另一個團隊合作，後續將 nicegram 轉賣給對方，後續 nicegram 的行為與作者原先理念越走越遠，因此作者另外創立了另一個 client 叫做 swiftgram，而自己也離開了 nicegram
（這段若有誤請作者自己來跟我更正） 😂👍

🤨 重點
Swiftgram 作者在頻道重複描述了新聞內容，同時他也複測了卡巴斯基的內容，並沒有在 Nicegram 中發現有任何「SparkCat」木馬的蹤跡

😭 我可以相信 Swiftgram 嗎？
Swiftgram 作者提到兩者 App 最大的差別在於 Swiftgram 是完全開源，與 Nicegram 相反，完全可以讓使用者自行建構重現。
但這成本太高，我不認一般大眾有這個能力，因此如果使用者想要舒服的使用的話，我會建議使用官方 App 即可，若使用者自己有相關技術能力，可以提供 code review 意見在下方給大家參考

😮 結論
有些人在詢問我這樣能代表什麼意思，同時該則算不算澄清？以下是我的看法

1. 他只是將新聞內容重複說了一次
2. 由於卡巴斯基提到的內容並沒有明確的指出通報時間，說不定其實已經處理了很久，之後才曝光的，因此複測才沒有找到蹤跡
3. 我覺得這不是供應鏈攻擊

原文
https://t.me/swiftgram/132

+888 user 可能要注意，大半夜第一次遇到新的釣魚手法，攻擊方會利用 telegram 第三方登入請求對你發送廣告，例如下方

踢低吸, we received a request to log in on airdrop.釣魚網址.sbs with your Telegram account.

To authorize this request, use the 'Confirm' button below.

Browser: Unknown browser on Unknown OS
IP: 72.195.34.59 (United States)

If you didn't request this, use the 'Decline' button or ignore this message.

⌛️ Session expired

這時不小心點了 Confirm 可能會被授權奇怪的東西，如果你沒有及時反應可能也會好奇點開網址只看看，就可能進到釣魚頁面陷阱

這招有點妙啊，一方面你根本不可能把通知帳號給檢舉也不能 Ban 了他
有點東西啊 😧

太精彩了，所以我要發一篇

Windscribe 一樣在今年發愚人節 Email，不過這次不是什麼 Windscribe 密碼管理器，而是要販賣你的資料，然而隨著郵件點擊進去發現商店掛著你的資料顯示已售罄，隨即下面是一個下載按鈕，會打開一張圖片，放大仔細看你會看到

https://swag.windscribe.com/products/your-personal-data-dump-text-format

Congratulations, you have been April fooled by the greatest April foolers on the planet. Take a moment to compose yourself. We will never betray you, That’s Mozilla’s Job

恭喜你，你被地球上最偉大的愚人節惡作劇者愚弄了。請花點時間冷靜一下。我們絕不會背叛你，那是 Mozilla 的工作。


😂😂😂😂😂😂😂😂😂😂

淺看「TaiwanSupplyChainAttack 取證數據庫」 (6/6)

是不是以為沒有後續了？想不到吧？
因為該 repo 使用了好多種艱深的術語，所以我特地看了一下 repo 擁有者是誰，Google 一下 HuntrixLabs 並沒有任何收穫，倒是文章出現的 YouTube 頻道擁有者我拿去 Google 查到一些資料

https://odysee.com/@iontou:1
https://www.youtube.com/@iamontou1023
https://www.pttweb.cc/user/iamontou?t=article

看起來是對隱私非常注重的大佬
但是是小草 😂
（原本還想補充什麼但停在這裡就好了）

Google Chrome 不信任中華電信與 NetLock TLS 憑證

Google 宣布，自 2025 年 8 月 1 日起，Chrome 瀏覽器將停止信任由 中華電信（Chunghwa Telecom）和 NetLock 頒發的 TLS 憑證，CA 承擔著一個至關重要且被信任的角色，它是瀏覽器與網站之間加密連接的基礎。基於這種特殊責任，要求 CA 遵守合理且以共識為基礎的安全與合規預期，包括 CA/瀏覽器論壇（CA/Browser Forum）TLS 基線要求。過去幾個月甚至幾年，我們觀察到一系列的問題，包括合規失誤、未能履行改善承諾，以及在回應公開曝光事件報告時缺乏具體、可衡量的進展。

將這些因素綜合考量，加上每家公開信任 CA 對網路構成的內在風險，繼續保持公開信任已不再合理。

1. 主要原因及影響：

- 主要原因：Google 表示，這些機構存在多次合規失敗的問題，長期未兌現提升承諾，導致公眾信任無法繼續。
- 影響：從 Chrome 139 版本開始，對於這些根憑證機構頒發的憑證（其最早的「簽署憑證時間戳」在 2025 年 7 月 31 日之後），Chrome 將視為不再可信。使用這些憑證的網站將顯示完整頁面的安全警告，並默認阻止訪問。
- 例外情況：此政策不適用於 Chrome for iOS，因為該平台依賴 Apple 的根憑證存儲。

2. 受影響的憑證機構與根憑證名單：

- 中華電信（Chunghwa Telecom Co., Ltd.，台灣）：
- ePKI Root Certification Authority
- HiPKI Root CA – G1
- NetLock（匈牙利）：
- NetLock Arany (Class Gold) Főtanúsítvány

🦊🦊🦊🦊🦊🦊🦊🦊

附註：太舒服了，八月開始準備看一堆政府網站炸光光，文章使用 Gemini 2.5 Pro 翻譯，真不錯

來源
https://security.googleblog.com/2025/05/sustaining-digital-certificate-security-chrome-root-store-changes.html

翻譯吐司：為什麼 Google Root Store 拒絕信任中華電信的憑證？（1/3）

在開始閱讀下面文章之前，我會根據現有的資料夾上補充說明，如果我覺得不太清楚的部分會使用 📝 emoji 作為補充，原文的部分如果是重點我會用粗體加上 ⚠️，希望大家也能看得懂，同時如果下面如果有錯誤的部分歡迎指出 👉

🦊🦊開🦊始🦊🦊

在下面[1]貼文可以看到2024 4月 15日一位中華電信員工在 Mozilla Bugzilla 中提出要求 Mozilla 推遲信任位的移除計劃
（📝 一般來說，根憑證（Root Certificate）的信任周期通常設定在 20至25年 之間）

並提出是由於「主要原因是執行測試功能的延遲，尤其涉及政府 CA 子系統中的⚠️預算和測試問題」導致
（📝 2024 4月那時還沒有砍預算之亂，因此預算以及測試問題的部分我沒有其他資訊可以佐證）

請求 Mozilla 延後移除對舊憑證的信任，並提出一系列的時間軸，同時會用⚠️舊的憑證繼續進行交叉簽署
（📝 交叉簽署是一種用於在多個憑證信任鏈之間建立橋樑。這通常發生在新的根憑證被發布時，為了讓新的憑證快速被廣泛信任，舊的根憑證會簽署新的根憑證，從而使其暫時共享信任）


🤔 中華電信提出的 Roadmap 粗略翻譯如下

2023年10月 與中華電信 (CHT) 簽署2024年的新維護合同。
2023年11 向 CA 擁有者（即政府機構）說明 Mozilla/Google 預期的時間表。
2024年3月 第三方稽核員與 CA 擁有者續約。
2024年3月 舉行第二代 GTLSCA（GTLSCA-G2）的密鑰生成儀式，並邀請第三方稽核員見證並提供見證報告。
2024年4月 中華電信 (CHT) 針對 GTLSCA-G2 作為 HiPKI Root CA 的從屬 CA，進行申請及審查會議。
2024年6月 為新一年度預算準備每項工作的預算清單。
2024年8月 與中華電信 (CHT) 簽署2025年的新維護合同。
2024年9月 進行新證書鏈的系統整合測試。
2024年11月 將根 CA 遷移至新的 PKI，即 HiPKI Root CA。

Mozilla 那邊速度很快，三個小時內就有人接手此回報，對方叫做 Ben Wilson （下稱 Ben）
Ben 在看到請求後，對此回報上了「needinfo?」的標籤，見對方沒有提出任何補充說明5 天後 Ben 回覆要求中華電信提出更多資料，同時也提出幾點

2024年4月 中華電信 (CHT) 針對 GTLSCA-G2 作為 HiPKI Root CA 的從屬 CA，進行申請及審查會議。

1️⃣ 根據提供的時間表，請問 GTLSCA-G2 的申請及審查會議是否如期在 2024年4月舉行？如果是的話，會議結果如何？

2024年6月 為新一年度預算準備每項工作的預算清單。

2️⃣ 目前由誰負責準備新年度預算的每項工作清單？關於此任務的進度是否有最新的更新？

2024年8月 與中華電信 (CHT) 簽訂2025年的新維護合同。

3️⃣ 2024年8月的具體哪一天預計簽署新的維護合同？是否存在可能影響此里程碑的不確定挑戰或依賴因素？

2024年9月 進行新證書鏈的系統整合測試。

4️⃣ 關於此項或其他相關準備工作是否已有進行？

2024年11月 將根 CA 遷移至新的 PKI，即 HiPKI Root CA。

5️⃣ 為達成此里程碑需要完成哪些步驟？是否還有後續的步驟或里程碑以確保成功過渡至 HiPKI Root CA？

翻譯吐司：為什麼 Google Root Store 拒絕信任中華電信的憑證？（2/3）

對此我們中華電信這邊居然他媽隔了1個多月（36 天）才回應

1️⃣ 台灣政府代表提出聯署申請，我們於 4 月 11 日舉行 CHT PMA 會議。

2️⃣ 確保新的維護合約持續進行，GTLSCA CA 團隊的專案經理 Leo Fang（leox@cht.com.tw），他將與台灣政府的聯絡窗口討論。我從他們的雙週會議中得知，這項任務的進度已接近完成，最後的版本即將送往預算辦公室審核。

3️⃣ 確保 bugzilla 的問題都已解決。

（📝 簡單說已讀亂回，只回了第一點人家問會議的時間，其他測試工作步驟相關資訊一概沒有回覆；一句話來說就是，我不知道你去問 Leo）

接著這位中華電信資深工程師陸陸續續在幾個月內回覆此回報

兩個月後

新的維護合約已經簽訂，而 GTLSCA 的新 PKI 和新憑證鏈的系統整合測試計劃也即將展開。

四個月後

在過去的幾個月中，CHT 與 CA 業主舉行了多次會議，討論這些事件以及 CHT 的回應。
新憑證鏈的系統整合測試已於 2024 年 10 月完成。在 TLS 憑證方面，這幾天我們的商業 TLS 業務已經轉移到新的 HiPKI OV TLS CA，基本上已經完成；但是由於一些問題，⚠️ 新的政府 TLS CA GTLSCA-G2 的轉移還沒有完成。

Ben 看了之後指出
您能協助識別在完成 GTLSCA-G2 過渡工作中面臨的問題和障礙嗎？
或許瞭解這些問題能幫助制定一個為期四個月的項目計劃。（計劃中的 TLS 信任位移除日期是2025年4月15日，距今僅剩四個月。）
（📝 所以都快到期了結果過渡工作都沒還做好，火燒屁屁囉）

中華電信這邊回覆

我們正在與其他瀏覽器協商，重新考慮從我們的 HiPKI RCA-G1 到 GTLSCA-G2 的交叉認證請求，以便過渡合理。
以下是 2025 年 GTLSCA-G2 交叉標誌工作的預計時間說明如下圖

翻譯吐司：為什麼 Google Root Store 拒絕信任中華電信的憑證？（3/3）

Ben 回覆是：

這個時間表與之前在評論 #0 和評論 #2 中提供的計劃，以及其他更新中所報告的進展情況不一致
⚠️（順帶一提，在此問題被提出之前的最初電子郵件中，中華電信表示可能需要比2025年4月15日多三個月的時間，也就是到2025年7月15日。）
為了使該過渡成功，中華電信需要停止在 ePKI Root CA 下簽發 TLS 憑證，並/或確保能以及時且可控的方式替換證書鏈。
（📝 白話文：你跟我玩文字遊戲？）

我們關注的是台灣數位事務部（MODA）對中華電信 CA 運營的影響。我們希望中華電信能遵守業界標準，如 TLS 基準要求（TLS Baseline Requirements）

1. 包括向 GTLSCA-G2 CA 的全面過渡和驗收測試在內的所有必要工作，必須最遲在2025年7月15日之前完成。這一修訂後的3個月截止日期已經比2025年4月15日的原先日期大幅延長，同時也符合中華電信最初的電子郵件中提到的時間點。我們敦促您優先確保這一目標的實現。

2. 請至少⚠️每14天更新此問題的進展狀況。這些更新應清楚詳述達成關鍵里程碑的狀態、現存問題或可能出現的新問題的解決進展。

3. 中華電信必須確保在 ePKI Root CA 下的證書簽發迅速減少，並/或替換證書鏈等，避免出現最後一刻的意外。必須為此努力提供清晰的計劃，並每兩週進行更新。

4. 中華電信⚠️需要闡明其與 MODA 的合同義務，並解釋如何對其下屬 CA 進行適當的監督和治理——無論這些下屬 CA 是內部運營還是外部運營。
（📝 你們的進度有古怪，我看不懂）

接著 Ben 2025/03/31 發文表示收到台灣數發部的來函
我先放原文

為了保持透明性，Mozilla 收到了台灣數位事務部（MODA）於2025年3月15日發出的正式請求，要求我們延遲移除中華電信 (CHT) 的 ePKI Root CA 的「網站」（websites）信任位。根據 Mozilla 的根 CA 生命週期過渡計劃，目前預計該移除將在2025年4月15日左右執行。

MODA 解釋，請求延遲的目的是為了支持政府網站從 CHT 的 GTLSCA-G1 子 CA 所簽發的證書過渡的工作。如我們所理解，MODA 正在實施一項短期遷移計劃，該計劃涉及對政府網站新增大約12,000份雙重簽發的證書——其中一份由中華電信簽發，另一份由台灣證書公司 (TWCA) 簽發——以確保政府服務的持續可用性並將使用者影響降到最低。

目前，我們尚未做出最終決定，但正在考慮以下方案：
1️⃣ 延後移除「網站」信任位
2️⃣ 實施不信任生效日期
3️⃣ 採取其他符合 Mozilla 根存儲政策和生態系統風險管理的行動。

我們需注意以下事件：
1️⃣ ePKI Root CA 使用了一個4096位元的 RSA 密鑰，比其他類似年代的根證書提供更高的安全性。
2️⃣ 考慮中的任何延長都將嚴格限定時間範圍（例如，⚠️ 不超過2025年8月1日），這是一種短期權宜之計，而非改變長期政策方向。
3️⃣ Mozilla 保留基於新信息或風險因素變化，在任何時間移除或撤銷信任的權利。

📝 我的見解是，Ben 收到信件後為了避免被說是黑箱，因此在相關 report 中留下紀錄同時闡述了 Mozilla 未來可能會採取的方式，在方案中那邊可以看到，而考慮的條件或是 Mozilla 所關心的其中一點就是即使延長了也不可超過 2025年8月1日，所以可以判斷 Google 在 Chrome Blog 所說的移除信任其實是參考自 Mozilla 的條件，可能也不像是媒體渲染得那麼誇張

目前我得出的結論是：
1️⃣ 中華電信並不是因為有資料洩漏導致憑證不被信任
2️⃣ 不信任這個詞是針對憑證
3️⃣ 撤銷信任時間是 2025年3月31日就決定的

然後就是整件事情還有番外篇，所以晚點還會繼續連載

資料來源：
Google Security Blog 說明 Root Store 變動
https://security.googleblog.com/2025/05/sustaining-digital-certificate-security-chrome-root-store-changes.html

中華電信人員請求延長撤銷信任的討論串
https://bugzilla.mozilla.org/show_bug.cgi?id=1891438

Ben 在外部 Google Groups 的紀錄
https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/uYAm_c_pfos/m/Pz5m5PAZBwAJ