据外媒报道，研究人员近期向公众演示了通过电源管理漏洞入侵 ARM TrustZone 处理器的操作，把 TrustZone 变得不那么令人信任。调查显示，如今多数 CPU 都支持动态电压频率调整，根据 CPU 是空闲或忙碌来动态调整 CPU 的电压和频率。研究人员发现，他们可以通过调大调小一个线程的电压翻转另一个线程的比特。 当第二个线程正被 TrustZone 密钥翻转比特时，研究人员就可以从此处获得权限。他们将这种新型硬件故障攻击称为 CLKSCREW 攻击。研究人员表示，它是硬件漏洞，存在于电源管理设计的基础部分，所以很难简单的修复。 稿源：solidot奇客，封面源自网络；

移动互联网时代，触手可及的移动支付面临着不少安全问题。在风险防控机制尚不完善的背景下，各类移动支付产品却在加速推出，从而成为不法分子的攻击重点。在业内人士看来，不管是哪种形式的诈骗，归根到底都是用户防范意识不够，致使不法分子有机可乘。 9 月 20 日，中国银联携手上海市公安局经侦总队、全国主要商业银行、支付机构等单位启动了移动支付安全大调查活动，旨在提升公众的金融知识和风险责任意识。据悉，调查从 9 月 20 日起到 11 月底，重点包括持卡人对移动支付业务的行为偏好、刻画出高低风险人群的特征、关注免密支付额度、验证方式中产生的问题、寻找便利和安全的平衡点以及关注持卡人保险配置和风险损失处理情况。持卡人可通过中国银联官方网站、官方微信、官方微博以及17家全国性商业银行、收单机构、腾讯手机管家等相关渠道参加调查，今年底将会公布调查结果。 上海市公安局经济犯罪侦查总队支队长周海峰表示，银行卡犯罪活动目前在上海呈现出互联网化和渠道多样化的特征，比如改装 POS 机，在 PO S机中加入盗码装置；甚至有的犯罪团伙去应聘当消费场所的收银员，在顾客刷卡过程中窃取卡片信息，这都需要持卡人自身提高警惕。据中国银联相关人士介绍，这次大调查活动就是要了解公众移动支付安全现状水平、评估消费者移动支付风险识别与处置能力，为改进支付产品体验、提升支付安全措施与普及安全教育提供数据决策依据。 中国银联在智能风控方面也在进行实践并建立了多套模型，比如在推广云闪付的过程中，出现了不法分子通过骗取持卡人交易密码、短信验证码等信息，将持卡人银行卡绑定在犯罪分子手机上进行盗刷。为此，中国银联使用随机森林、GBDT 等主流机器学习算法，建立云闪付绑卡欺诈评分模型。此外，在交易过程中，中银联还设立了一套欺诈交易侦测模型，即从设备指纹、持卡人标签、地理信息矩阵和外部数据等各种维度对当前交易进行分析，为实时欺诈交易侦测提供决策依据。 稿源：、IT时报，稿件以及封面源自网络；

当美国正努力扭转史上最糟糕网络安全事故带来的恶劣影响时，欧洲正准备为企业打造一种新的规则，阻止类似于 Equifax 事件的网络安全事件发生，或者发生类似事件时让影响最小化。奥马巴政府时期的前网络安全协调官、网络威胁联盟的主席 Michael Daniel 称：“ 通常欧洲人很少怀疑他们的政府，而是更趋向于怀疑那些公司，在美国则是另外一种情况，这当然会对事件的发展造成一定的影响。” 欧洲新制定的这项规则被称为通用数据保护条例（GDPR），它将在明年 5 月份生效。GDPR 条例规定了公司存储用户数据的方式，并且要求它们在漏洞出现后的 72 小时内通知当局。如果公司不执行，它们将被罚款 4% 的全球税收或者 2 千万欧元，两者选取最高额。然而，拥有欧洲用户信息的所有美国公司也必须遵循这一规定。 全球安全公司 RSA 的董事长 Rohit Ghai 称：“这一新规为公司赋予了责任，让其了解它们应当如何管理消费者的数据并且关注用户隐私 ”。由于 Equifax 公司遭受的网络攻击致使 1.43 亿人的信息受到影响，美国是否需要建立某种规定的问题再一次被人们提出。网络威胁联盟主席 Daniel 声称：“ Equifax 就是一家主营数据管理的大公司，但是它的工作似乎做的让人并不满意。我们会希望拥有敏感数据的那些公司实现高标准的网络安全防护，但是我们并不清楚不同行业的关注标准。” 美国众议院的 James Langevin 在 2015 年引进了一项法案，呼吁公司在发现漏洞的 30 天内报告。除此之外，如果受影响人数超过 5000，公司应当通知消费者和主流媒体。Ghai 称：“在美国，在过去几年里已经形成了大量的管理重担，因此从商业环境的角度来说我们的管控太严了”。美国国土安全部前网络安全副部长，vArmour 公司首席网络专家 Mark Weatherford 称：“我宁愿看到市场主动行动，而不是借助规范强迫我们进行，因为那样总会出现意外结果。在美国我们拥有牛仔的历史和精神，我们想要自己做事，而不是依赖于硬性规定。但是我担心我们已经到了必须做出反应的时刻了，很明显我们做的并不足够。” 稿源：cnBeta，封面源自网络；

中央网信办等四部门 24 日公布 10 款数量大、与民众生活密切相关的移动互联网产品和服务隐私条款评审结果，10 款产品和服务中 8 款做到了向用户主动提示、并提供更多选择权。网信办这次选取了微信、新浪微博、淘宝、京东商城、支付宝、高德地图、百度地图、滴滴出行、航旅纵横、携程网共 10 款互联网产品和服务进行评审。 中央网信办、工业和信息化部、公安部、国家标准委四部门指导开展个人信息保护提升行动之隐私保护专项工作。经评审，10 款产品和服务在隐私政策方面都有不同程度提高，做到明示其收集、使用个人信息的规则，并征求用户的明确授权。微信、淘宝网、京东商城、支付宝、高德地图、百度地图、滴滴出行、航旅纵横等 8 款产品做到了向用户主动提示、并提供更多选择权。 微信、淘宝网、支付宝、滴滴出行、京东商城提供了更便利的 “ 一站式 ” 撤回和关闭授权，在线访问、更正、删除个人信息，在线注销账户等功能。通过评审各家参加评审公司改进了隐私保护条款。蚂蚁金服集团高级副总裁、首席服务官陈磊明介绍，支付宝在用户可自行删除、更新、注销账户的基础上，进一步明确了用户行使删除权、更正、注销账户权益的路径。 中国电子技术标准化研究院副院长杨建军说，长期以来，网络运营者在提供产品和服务时，普遍存在五大问题。一是隐私条款笼统不清，对收集、使用个人信息的目的、方式、范围、保存期限、和地点等没有明确说明；二是不主动向用户展示隐私条款，或展示内容晦涩冗长；三是征求用户授权同意时，未给用户足够选择权；四是没有为用户提供访问、更正、删除个人信息的途径；五是大量收集与所提供服务无直接关联的个人信息，超越与用户约定等。10 家企业当日签订了个人信息保护倡议书，承诺尊重用户知情权、用户控制权；遵守用户授权，强化自我约束；联合抵制黑色产业链；接受社会监督等。 稿源：cnBeta、中新网，封面源自网络；

据外媒报道，Adobe 产品安全事件响应团队（PSIRT）日前在发布 PGP 公共密匙后还把私人密匙公布出来，这意味着该 PGP 签名不再安全，获得密匙的黑客则能借此盗取邮箱通信内容。安全研究员 Juho Nurminen 经调查确认表示，曝光的密匙跟 psirt@adobe.com 邮箱账号存在关联。 种种迹象表明，此次的意外事件应该跟团队成员的失误有关，当时他应该是通过 Chrome 或 Firefox 插件 Mailvelope 将 FSIRT 共享网页邮件账号的文本文件分享到团队的博客上。看起来该名成员将本应该点击的 “公共（public）”点成了 “所有（all）”，于是，公共密匙和私人密匙都被发布到了 Adobe 的 PSIRT 博客上。 然而，尽管这似乎是人为错误，但私人密匙的泄露仍旧呈现了一个相当严重的问题。目前，Adobe 已经移除了这组曝光的密匙并更换了一个新的公共密匙。 稿源：cnBeta，封面源自网络；

网络安全公司 ESET 随机选择美国成年公民，要求他们评估 15 种不同危害的风险程度。其中有六种与网络有关，其余的则是其他形式的技术危害。结果表明，黑客犯罪被认为是最大的风险，远远超过排位第二的空气污染，危险废物排名第三，另有与网络有关的盗窃或暴露私人资料，被评为第四；政府监控只排名第八。 ESET 高级安全研究员 Stephen Cobb 表示：“说实话，我对结果感到非常震惊，所以我们第二次进行调查，而且我们得到了同样的结果”。该调查是在 7 月下旬，8 月初，WannaCry 和 Petya/NotPetya 恶意软件爆发之后，但在 Equifax 客户资料泄露事件爆出之前进行的。 此外，黑客犯罪被 45 岁以上的美国人视为较高风险，51% 的受访者将其视为高风险或非常高的风险，而 45 岁以下这方面比例为 47%。年龄在 30 到 44 岁之间的被调查着最不关心黑客犯罪风险。 稿源：cnBeta，封面源自网络；

据 CNN 报道，出于对 Facebook 向俄罗斯机构出售政治广告的担忧， 美国民主党参议员 Amy Klobuchar 和 Mark Warner 正式呼吁新立法来提高网络政治广告的透明度。Klobuchar 和 Warner 于 9 月 21 日致信他们的同事，邀请他们共同提出立法，其中要求所有大型数字平台提供有关超过 10000 美元广告收入的政府机构备案材料。 这封信是在 Facebook 首席执行官 Mark Zuckerberg 宣布将把与俄相关的可疑大选广告提交国会后发出的。熟悉这个问题的消息人士告诉 CNN，Facebook 计划在几天内提供有关 3000 多条可疑政治广告的信息。两位参议员认为，联邦选举委员会没有采取足够的行动处理网络政治广告，现行法律没有充分解决 Facebook、Google 和 Twitter 等平台上的广告问题。 Klobuchar 和 Warner 在信中表示，“要求拥有 1,000,000 名以上用户的数字平台对个人或团体购买的所有选举通讯资料提供备案材料，他们为网络政治广告的花费超过 $ 10,000 美元。这封信中指出：“ 该文件将包含广告的数字副本，即广告目标观众的描述、观看次数、发布的日期、广告费用以及买方的合同信息。此外，这一立法还将要求除广播、有线电视和卫星提供商之外的数字平台做出合理的努力，确保国外机构不会直接或间接地购买选举通讯资料。” 稿源：cnBeta，封面源自网络；

英国 Sky News 援引匿名消息来源报道，流行消息应用 WhatsApp 今年夏天拒绝了英国政府要求创造后门访问加密消息的要求。 WhatsApp 采用端对端加密，它自身也无法解密加密信息的内容。它与执法部门的合作主要是提供元数据。英国政府多次公开表示要求科技公司采取措施削弱加密，声称 80% 的恐怖主义和严重犯罪案件调查都受到加密的影响。加密专家认为为政府创建后门将会削弱每一个人的加密，会成为黑客的主要攻击目标。 稿源：solidot奇客，封面源自网络；

对于美国国土安全部禁止该国所有国家机构使用卡巴斯基实验室软件的做法，俄罗斯政府于 9 月 14 日提出批评。卡巴斯基实验室否认美国政府提出的所有指控，并表示愿意与美国国土安全部合作。 俄罗斯总统新闻秘书德米特里·佩斯科夫 9 月 14 日对记者表示，克里姆林宫认为，美国拒绝使用俄罗斯信息技术公司卡巴斯基实验室产品的决定，给华盛顿作为俄罗斯合作伙伴的角色投上了阴影。此外，该事件属于不正当竞争，违反所有的国际贸易规则，是为了破坏俄罗斯企业在世界舞台上的竞争地位 。与此同时，他承诺莫斯科将支持卡巴斯基实验室以保护其利益。 9 月 13 日，美国国土安全部宣布禁止美国国家机构使用卡巴斯基实验室的反黑客软件，理由是该产品 “ 对国家安全构成威胁 ”。国土安全部的声明称，代理部长伊莱恩·杜克 “ 对卡巴斯基实验室某些雇员与俄情报部门及俄联邦其他政府机构之间的关系感到担心 ”，并称 “ 俄罗斯法律允许情报部门要求或强制卡巴斯基实验室协助其拦截俄罗斯网络上的通信 ”。美国国土安全部敦促政府机构在 30 天内排查各自信息系统中使用或安装卡巴斯基软件的情况，并在 60 天内制定删除计划，90 天内将卡巴斯基软件删除。 俄罗斯外交部也表示将维护该公司的利益。外交部发言人玛丽亚·扎哈罗娃批评美国当局搞不正当竞争。俄罗斯驻美国大使馆则认为，该事件是 “ 恐俄症 ” 的又一表现，并指出类似做法 “ 只能使恢复双边合作的前景更加遥远，令双方从联合解决优先议题中分心，特别是会影响双方在打击国际恐怖主义等领域的合作 ”。俄罗斯联邦通信与大众传媒部部长尼古拉·尼基福罗夫也表达了相同看法 ：“ 在我看来，这一指责是凭空捏造的。我同意玛丽亚·扎哈罗娃的看法，我认为这主要是不正当市场竞争的手段，并不是现实问题。没有哪家公司会这么干。美国的做法是不友善的表现，是非常消极的信号。” 卡巴斯基实验室否认美国当局的全部指控，并明确表示其“与世界上任何国家都没有任何政治联系”。“美国国土安全部的决定令我们感到非常失望。他们没有提供任何证据，所有指控都是基于虚假推断和不正确的结论。此外，该公司坚称，
“从未帮助过、以后也不会帮助世界上任何国家的政府从事网络间谍活动或网络空间内的挑衅行为”。目前，该公司期待进一步的调查能证明所有指控都不属实，并希望继续与美国国土安全部进行合作。 稿源：cnBeta、环球时报，封面源自网络；

国际加密专家团队迫使 NSA 放弃让两种数据加密技术成为全球行业标准，这一分歧反映了美国盟友之间的强烈的不信任。来自德国、日本和以色列的行业专家和学者担心，NSA 力推新加密技术不是因为它们是更好的加密工具，而是因为它知道如何破解。 盟友的担忧迫使 NSA 让步。NSA 推动的加密技术叫 Simon 和 Speck，它想要向美国政府出售产品的商业科技公司使用这两种加密技术。对于它是否能破解 Simon 和 Speck 的提问，NSA 的回答是他们相信它们是安全的。 稿源：solidot奇客，封面源自网络；