Google Project Zero 官方博客从九月底陆续发表了三篇文章（一、二、三），分别介绍了对苹果设备 Wi-Fi 堆栈的利用，最终实现了设备的完整控制。 Broadcom 的 Wi-Fi 堆栈今年早些被发现存在漏洞，允许恶意 Wi-Fi 信号在设备上执行任意代码，影响 iOS 和 Android 设备。Google 研究人员承认 Android 生态系统受到影响，他们将注意力转到苹果设备是为了描绘出移动生态系统中 Wi-Fi 安全状况的更完整画面。 然而，通过三篇文章，Google 的研究人员详细描述了如何利用多个漏洞，开发出功能完整的可靠漏洞利用，实现内核代码的远程执行，完整控制设备。Google 将所有漏洞都报告给了苹果，苹果在 iOS 11 中修复了这些漏洞。 稿源：solidot奇客，封面源自网络；

今年 5 月，美国三大信用评级机构之一 Equifax 出现了非常严重的数据泄露问题，导致 1.45 亿美国公民的身份信息被泄露。而就在近期，Equifax 网站再次被黑客入侵，用户访问该网站之后会下载包含恶意文件的 Adobe Flash 更新，而且更严重的是感染包含恶意的广告应用之后，经过测试 65 款防病毒应用中只有三款能够检测识别。 独立安全分析师 Randy Abrams 本周三尝试访问 Equifax 网站来确认他的信用评级，然而在敲入 hxxp//:centerbluray.info 域名 URL 之后反馈回来的内容竟然是这样的： 在访问该网站之后尝试欺骗用户点击安装被赛门铁克称为 Adware.Eorezo 的广告软件，而且在打开 Flash 下载之前会跳转至少四个域名。在点击后会下载名为 MediaDownloaderIron.exe 的文件，随后调用 65 款防病毒软件只有 Panda、Symantec 和 Webroot 三款检测出该文件为广告软件。 稿源：cnBeta，封面源自网络；

10 月 12 日消息，尼尔森和阿里研究院联合发布《 快递最后 100 米服务趋势报告》，显示快递代收已成消费者刚需，且持续增长。报告显示，近年来，快递年业务量增长迅速，2016 年全国快递 313 亿件，2020 年有望超过 700 亿件，但快递员增长并不匹配，快递最后 100 米面临巨大压力。 包裹越来越多的同时，签收也遇到越来越多问题：家里没人、藏在楼道里不安全/不方便，不希望别人知道家庭具体地址，快递上门次数太多，家里有老人或孩子需要休息等痛点让消费者寻求更方便收件方式。数据显示，其中 43% 的用户表示会担心上门签收个人信息不安全，且 55% 的用户因为家里没人/不在家，并不方便上门签收。 数据表明，目前 74% 的用户会使用代收服务，这已成为主要的快件签收方式之一。大部分用户表示体验良好，未来使用意愿强烈。其中，都市新人和小资白领最为青睐，不经常在家、不用在家等候、更自由掌控时间等是主要原因。在最后 100 米，目前仍然需要大量的人手和三轮车来完成繁重的作业。快递员平均每天要派送 150-200 件左右的包裹。百世快递杭州下沙萧山网点运营总监李田说，由此带来的压力反映在派送效率上，主要矛盾在于快递员和消费者时间不匹配。一件快递多次上门是家常便饭，迫切需要创新方式。 阿里研究院副院长杨健介绍， 2016 年快递业服务人次超过 600 亿，是各种干线交通工具客运服务人次总和的3倍。预计到 2020 年，这一数字将超过 1500 亿，有望超过全国城市公共交通服务人次的总和，成为服务人次最多的实体末端网络。 尼尔森专家认为，在代收服务专业化上，服务专业和运营专业是主要发展方向。通过建立统一化的服务标准形成行业规范，引入智能化技术提升代收服务效率，让更多消费者可以享受到代收服务的便利。同时，在代收服务内容丰富性上，个性化服务包括冷链生鲜、贵重物品代收，定时配送等是未来的需求方向。此外，利用代收点的便利位置，更多生活相关延伸性增值服务也将成为潜在发展机会。多层次的代收也正在解决这些难题。报告表明，社区消费者最认同代收服务的社会价值是可提高包裹派送效率，更安全、资源共享的感知则超过五成。 稿源：cnBeta、网易科技，封面源自网络；

据外媒 12 日报道，俄罗斯总统新闻秘书佩斯科夫表示，美国针对卡巴斯基实验室的指责十分荒谬，且毫无根据，俄方与此类活动毫无干系。《华尔街日报》此前援引多名消息人士的话报道，俄罗斯政府使用一款流行的杀毒软件来秘密扫描全球电脑，以获取美国政府文件及绝密消息，从而将该软件变成了一个间谍工具。 据悉，这款软件会定期扫描安装了该软件的电脑，以发现病毒和其他恶意软件。卡巴斯基实验室对卫星通讯社表示，已驳斥媒体的这一指责，并要求就此提供证据。佩斯科夫对媒体说：“ 这是荒谬的消息，俄罗斯与此没有任何干系。所有这些指责都是毫无根据的。” 相关阅读： 外媒：卡巴斯基涉嫌帮助俄罗斯国家黑客入侵美国 NSA 窃取机密信息 俄黑客被曝用卡巴斯基盗美国机密 反被以色列监控 俄罗斯政府承诺保护卡巴斯基实验室利益 稿源：cnBeta、中国新闻网，封面源自网络；

类似于亚马逊 Echo 的物联网设备日益受到家庭的青睐，而美军也尝试在战场上部署相似的技术，而且已经得到了美国诸多顶尖研究型大学的帮助。由美国陆军研究院投资，伊利诺伊大学厄巴纳香槟分校和美国五家大学牵头启动了 IoBT Research on Evolving Intelligent Goal-driven Networks （IoBT REIGN）项目，总投资超过 2500 万美元，希望为军队的武器提供预测战场分析和相关服务。 据悉，项目目标是为士兵提供 “额外感官”，以便于战士增强对战场情况的了解，并提供先进的风险评估。项目并不是在现有战斗用武器或者现有基础设施上装备可编程消费设备，而是士兵可以告诉设备他/她的意图，并通过机器人工智能和自主权接管来达到目标。IoBT 项目可以预测敌方部队的运动轨迹，防止伤亡事故以及高效分析效率，以及更好的利用战地资源。 稿源：cnBeta，封面源自网络；

据路透社报道，虽然美国禁止本国企业与俄罗斯的国有机构商业往来，但是俄罗斯某些公司仍然设法购买微软软件。2014 年俄罗斯吞并克里米亚后，美国对俄罗斯实施制裁。但俄罗斯的国家采购数据库显示，国外政府和公司在应对美国制裁上仍有对策。 知情人士透露，由于一些用户利用微软出售流程的漏洞向其提供了虚构身份信息，因此路透社并无证据表明微软把产品直接出售给受到制裁的俄罗斯公司。对此微软发言人通过邮件回复路透社：“微软坚决致力于遵守法律要求，近几周我们已展开调查。我们在世界各地拥有有效的贸易合规流程，以确保合作伙伴符合所有规定（包括立即停止与合作伙伴的不合法销售），并采取强有力措施防止被禁止的用户获取以及使用我们的产品和服务。” 俄罗斯规定所有国有机构和公司必须在采购数据库上登记交易记录。涉及其中五笔交易的知情人向路透社确认，曾购买过微软软件。路透社对该数据库的调查发现，俄罗斯和克里米亚境内遭制裁的国有机构和公司购买微软产品的次数超过 5000 次，涉及金额大约 6000 万卢布（合103万美元）。虽然这一总额虽然相对不大，但这些软件对俄罗斯和克里米亚的许多公司和机构来说至关重要。数据库的记录也未包括私营公司，所以违背制裁购买微软产品的规模可能更大。 稿源：cnBeta、网易科技，封面源自网络 ；

作为一款拥有巨量用户基数的邮件应用，Microsoft Outlook 被曝最近几月未能妥善地帮助用户投递加密邮件。据 SEC Consult 本周早些时候发布的报告，这个问题或与 Outlook 在发送时处理安全多用途邮件扩展（S/MIME）的加密 bug 有关。 S/MIME 是一个公钥加密标准，旨在发送和接收的全过程提供防护，即便两者之间的通道可能被别有用心的人把控，也能确保邮件内容的安全。S/MIME 的工作原理是借助接收者的公钥给邮件正文加花，后者则可以用私钥来解密信息。 据悉，通过 Outlook 漏洞发送出去的邮件包含一个 S/MIME 加密副本，以及未受保护的非加密邮件副本，从而最终允许攻击者可以访问任何一方邮箱、或者介入未加密的 “服务器-服务器” 连接，轻而易举地读取邮件内容。SEC Consult 指出：“该 bug 让 S/MIME 的加密保护彻底丧失”。 对于尚未知晓该问题的用户，还请回顾下 Outlook 应用程序中“已发送”文件夹里被标记为“已加密”的那些邮件。虽然微软已经在本周二的 “补丁星期二”（Patch Tuesday）那天进行了修复，但该公司并未向网络安全公司披露问题存续的时间。 不过，据 SEC Consult 所述，该问题至少从 5 月份持续至今。另外，在此期间（甚至更早些时候），你通过 Outlook 发送的 S/MIME 加密邮件都很有可能被第三方拦截并读取。 稿源：cnBeta，封面源自网络；

赛门铁克 CEO Greg Clark 接受路透社采访时表示，该公司不再允许政府检查其软件的源代码，担心这会危及到其产品的安全。美国科技公司为了在俄罗斯和中国等国获得产品出售许可证而允许政府检查产品源代码。 赛门铁克也曾是其中一员，允许相关政府检查其软件的源代码。但随着国家支持的黑客攻击活动的增加，允许政府检查源代码增加了安全风险，可能会导致客户失去对其产品的信心。Clark 称，检查源代码构成了不可接受的风险。 稿源：solidot奇客，封面源自网络；

俄罗斯总统普京于 10 日在索契召开的一场有关加密货币的会议上表示，使用加密货币存在严重风险，会给许多犯罪行为创造条件。然而，俄罗斯媒体援引普京当天在会议上的讲话指出，加密货币在一些国家已经成为或正在变成一种支付方式或投资资产，但使用这种货币存在严重风险，会给洗钱、逃税、资助恐怖主义和诈骗等行为创造条件，普通百姓可能会因此受到伤害。 普京表示，加密货币由不受约束的匿名主体发行，没有法律责任主体，其购买者可能卷入非法活动。据悉，加密货币是一种依靠密码技术和校验技术来创建、分发和维持的数字货币，它不通过法定货币发行机构发行，而是通过计算机运算产生并使用密码学的设计来确保其流通安全性。像比特币和莱特币等都属于加密货币。 就如何监管加密货币，普京说，为了保护民众和企业的利益，防范虚拟货币带来的风险，应该建立一个监管体系，但其最重要的目的是为完善俄金融体系创造条件，而不是设置壁垒。普京同时表示，在金融领域和银行界推行数字技术对全世界具有现实意义，因为它将带来新机遇。 稿源：网易财经、新华网，封面源自网络；

近期固态硬盘行业爆出 SMI（慧荣科技）的主控产品疑似存在漏洞，涉及到 SM2246EN、SM2256、SM2258 三种型号正遭有关部门调查，甚至惊动银监会。目前该事件未得到任何部门的证实，尤其是对于银监会的说法。作为当事人，SMI 也第一时间发出声明，强调公司 SSD 固态硬盘主控绝无开后门漏洞的风险。 SMI 已销售超过 1 亿颗的 SSD 主控，尚无任何一件因 SMI 主控而发生的资料安全危机事件。并表示做好每一个主控芯片产品，配合有关单位澄清相关疑虑，但坚决反对引用未证实或无法证实之新闻做市场竞争不实之宣传。作为媒体，在没有确切证据面前也不会妄加菲薄，单单从技术层面来说，SMI 遇到的这次问题是否真的如所谓银监会所说存在。 “后门”问题疑惑一 首先SSD是存储数据的产品，用户对数据的安全性和私密性肯定是非常关注的，这也是为何此次事件发酵如此之快。SSD作为电脑里面的存储器，如果在关机的情况下是无法进行远程操作，这点想必用户也都非常清楚。 正因为是PC的配件，固态硬盘接收的信息都来自于PC的处理器的指令，如果想让SSD私自绕过PC处理器进行对外数据泄密，也没那么容易。毕竟没有经过PC处理器的调用机制，硬盘无法突破南桥等众多中转控制器，所以反向是行不通的。 “后门”问题疑惑二 如果上述说法不成立，那么 SMI 能不能自定义接口协议，让数据可以外泄呢？其实答案也是否定的。 其实自定义接口就像一个快捷键，能够快速实现客户的某种需求。而这种需求大部分存在于工控行业等特殊需求人群，他们需要在 SATA/PCIe 规范的标准指令以外进行自定义指令，以便于做质量监控或者其他服务，所以这种特需的自定义接口基本都是根据不同客户需求应运而生，也就不存在普罗大众的用户担忧。 “后门”问题疑惑三 SMI 主控带写保护功能会不会影响数据安全？首先了解为何要建立一个写入保护机制。如果设备在写保护状态下，则擦除和写入都是被禁止的，这样的技术可以服务一些特殊需求的企业和机构，比如一些国家机构为了对证据的保存，必须防止存储的数据被复写或错误地删除。因此主控厂商也会在其产品内加入此保护机制，确保用户数据的完整。更为直观的理解，目前市面上的SD存储卡都带写入保护开关，用于控制设备是否能从主机（Host）写入 SD 卡，可以说技术非常成熟了。 所以综上所述，从技术层面来说，SMI 为主控添加后门的说法不是非常的靠谱，就像 SMI 所述，目前出货主控芯片已经达到 1 亿颗，如果发生过类似事件相比早已经东窗事发，不过事情没有弄清楚之前还是观望比较好。 稿源：cnBeta、ZOL，封面源自网络；