谷歌为其最新的 Android 10 移动操作系统系列发布了 2019 年 12 月的 Android 安全补丁，以解决一些最关键的安全漏洞。 由2019年12月1日和2019年12月5日安全补丁程序级别组成，2019年12月的Android安全补丁程序解决了Android组件，Android框架，媒体框架，Android系统，内核组件，以及高通的组件，包括封闭源代码的组件。...

欧洲刑警组织于上周宣布，他们在近期的一项国际执法行动中成功打击了Imminent Monitor RAT背后的犯罪网络。 Imminent Monitor RAT是一种可以让网络犯罪分子远程完全控制受害者的计算机的工具，被卖给了14,500多名买家，受害者覆盖124个国家。 此次行动还关闭了Imminent Monitor的基础架构和销售网站，这使得新老买家都无法使用该木马。...

随着假日购物季的到来，许多消费者可能正在考虑为自家升级一些智能设备，比如 Google Nest Home、Amazon Alexa 等智能扬声器，或者集成了语音助理的智能电视。然而美国俄勒冈州联邦调查局办公室指出，随着智能电视扮演着越来越多的娱乐和控制中心角色，网络犯罪分子已经将黑手伸向了这一领域， FBI 的这一警告，本身是一种相当常识性的建议，资深网民早已对此见怪不怪。问题在于，除了麦克风之外，还有越来越多的智能电视集成了摄像头组件。 传统麦克风仅用于识别语音命令，而相机则能够用于用户识别和视频聊天。一些厂商或基于此，提供个性化的内容推荐。...

随后会生成用户RSA密钥对，将其存储在注册表

(HKEY_CURRENT_USER\Software\EncryptKeys)中，私钥被硬编码的RSA公钥加密，该注册表信息存放路径也与老版本Rapid一致

加密前会避开以下文件，...

在线音乐流媒体服务Mixcloud最近遭到黑客的攻击，用户数据在暗网上出售。
近期，一名昵称为“ A_W_S”的黑客联系了多家媒体曝光了此事件，并提供了数据样本作为数据泄露的证据。 此次攻击发生在11月初，超过2000万个用户帐户的数据遭到曝光。这些数据包括用户名，电子邮件地址，SHA-2哈希密码，帐户注册日期和国家/地区，最近一次登录日期，IP地址以及个人资料照片的链接。 Techcrunch发布的文章称：“我们通过注册功能验证了部分被盗数据。这些被盗数据的确切数量仍是未知。卖方说他们拥有2000万条记录，但暗网上存在2100万条。但根据我们采样的数据，记录可能多达2200万条。”...

（题图 via ZDNet） Rodriguez 表示，Security.plist 的想法，其实来自于 Security.txt 。作为网站上的一个类似标准，其最早在 2017 年被提出。
Security.txt 目前正在互联网工程任务组（IETF）的带动下展开标准化制定工作，但已经被业界广泛采用，...

如果你曾经在Magento官方市场上注册过一个帐户来购买或出售任何扩展程序，插件或电子商务网站主题，那么你现在要立刻修改你的密码了。 拥有Magento电子商务平台的公司Adobe今天公布了一项新的数据泄露事件，Magento Marketplace 用户的帐户信息被暴露给了黑客。 据该公司称，黑客利用了其网站上一个未公开的漏洞，并用未经授权的第三方身份访问数据库并获取了注册用户的信息，包括客户（买方）和开发人员（卖方）。...

据谷歌威胁分析小组（TAG）报道显示：超过90%的目标用户受到“钓鱼邮件”的攻击。这些数据源于 TAG 追踪黑客组织而得出的结论，这些黑客组织通过向立场不同的政客、记者、人权学家发送邮件，来进行情报收集、知识产权窃取、破坏性网络攻击以及传播虚假信息等一系列行为。
谷歌公司表示， 自2012年来，一旦发现有黑客通过网络钓鱼、恶意软件等形式攻击用户时，谷歌便会向用户发出安全警报。 就在去年，谷歌开始向 G Suite 管理员提供安全警报，以便他们能更好向用户保护采取行动。...

本周三美国司法部发布了无人机修正法案，旨在取代2015年的政策指南。据悉新政策沿用了旧版的规范和法规，并重点针对网络安全和隐私保护添加了一些关键内容。在新修正案中，要求相关部门出于网络安全风险的需求对无人航空载具（UAS）企业的并购进行严苛审查，以防范针对供应链和DOJ网络的潜在威胁。 此外新修正案中，美国司法部（DOJ）将会和美国联邦航空局（FAA）围绕制定空中交通支持等规范进行协调。此外新政策中特别提及无人机相机和传感器中收集的信息，表示将会权衡“潜在侵扰性以及对公民隐私和自由的影响”和政府利益之间的关系。...

本月初，KerbsOnSecurity 收到了一位研究人员的电子邮件，声称其通过简单的手段，就轻松拿到了 .GOV 域名。若这一漏洞被利用，或导致 .Gov 域名出现信任危机。其表示，自己通过填写线上表格，从美国一个只有 .us 域名的小镇主页上抓取了部分抬头信息，并在申请材料中冒名为当地官员， 这位要求匿名的消息人士称：其使用了虚假的 Google 语音号码和虚假的 Gmail 地址，但这一切只是出于思想实验的目的，资料中唯一真实的，就是政府官员的名字。...