一个价值 500 美元的小型设备利用了苹果 iPhone 7 和 iPhone 7 Plus 独一无二的新漏洞，暴力破解 iPhone 7 锁屏幕密码，并且一次最多破解三个手机的  iOS 锁屏密码。在 YouTuber 用户 EverythingApplePr 的破解演示视频中，指出此类漏洞在旧版设备，如 iPhone 6 或 iPhone SE 上无效。此外，仅适用于 iOS 10.3.3 或最新的 iOS 11 测试版。 不过，根据苹果的回应，在 iOS 11 Beta 4 中，这个安全漏洞已经被修复，iPhone 7 已经无法使这款 500 美元的小型设备进行暴力破解了。 稿源：cnBeta、MacX，封面源自网络；

据美国科技媒体网站 Ars Technica 报道，手机换屏维修所更换的组件存在窃取信息风险。在最新的一次对安卓手机换屏调查中发现，存在非法键入信息和程序的情况。这种隐患屏幕会利用操作系统漏洞，绕过手机中的主安全保护系统，其手机会被安装恶意程序并将偷拍照片以邮件方式传给黑客。最可怕的是，这些隐患更具隐蔽性，很多维修技术员难以发现，除非是有组件安装背景的专家将维修手机拆开并进行检查。 该调查出现在本周 2017 USENIX 黑客技术研讨会的一份文件中，旨在强调通常被忽视的智能手机维修安全风险。无论是安卓还是 iOS 系统的手机制造商都在被调查研究之列，而被更换的组件是在设备 “ 信任边界 ” 以内。尽管制造商提供了安全保护，但换屏期间仍存在的恶意组件对驱动程序的入侵并被认定为可信。手机一旦被送入第三方维修点，其安全模型则面临被攻破的风险，毕竟没有可靠方式保证维修程序未被篡改。 来自以色列内盖夫本 · 古里安大学（Ben-Gurion University of the Negev）的研究者写道 :“ 消费性电子产品潜在的外部恶意攻击风险值得重视。正如报告显示，电子产品被窃听存在可能性、扩展性和隐蔽性。很容易被不法分子加以大规模利用或针对性攻击。系统设计者应考虑将更换组件设立在手机信任边界以外，并针对性地设计防御程序”。报道称，研究人员在一块正常手机屏幕嵌入入侵芯片，篡改通信主线，模拟两个终端间的恶意集成电路，监视或修改终端通信。 而入侵芯片中的代码可以在用户不授权的情况下私自进行多项入侵。例如，用于实验的芯片可以解锁安全模式和键盘的输入信息、私自照相并将数据传给黑客、替换用户常用网址为钓鱼网址并肆意安装手机软件。进阶版的攻击包括利用操作系统内核漏洞。为了能保证隐蔽性，恶意程序还会使手机关机黑屏。 为了能将恶意指令传达到驱动程序和触摸屏，研究人员借助了 ATmega328 Arduino 和 STM32L432 开源微处理器，并表示其它微处理器同样能达到效果。虽然研究人员是用安卓系统做的研究，但不保证 iOS 系统不会存在此类问题。这类攻击是低成本的、不易察觉并有大规模现身的可能。而维修技术人员自身无法检测出恶意组件则是尤其值得关注的部分。目前，国外网友们纷纷表示有过类似体验，并发出 “ 这正是完善相关维修法律时刻 ” 的呼吁。 稿源：cnBeta、网易科技；封面源自网络；

本周早些时候，因为域名注册商 GoDaddy 和 Google 拒绝提供服务，新纳粹网站 Daily Stormer 失去对域名 dailystormer.com 控制。8 月 16 日，该网站切换到俄罗斯顶级域名 dailystormer.ru 并恢复上线，但数小时后它因云安全服务供应商 CloudFlare 终止支持再次下线。 CloudFlare 提供了抵御拒绝服务攻击的服务，网站一般不需要使用到 CloudFlare ，但 Daily Stormer 是一家受争议的网站，没有 CloudFlare 的保护它会在拒绝服务攻击下瘫痪。Daily Stormer 以德国纳粹出版的一份报纸的名字命名。 稿源：solidot奇客，封面源自网络；

日前，《权利的游戏》制作方美国 HBO 电视网遭黑客攻击，泄露 1.5TB 数据资料，包括《权力的游戏》剧本，还有一些未上映的剧集。为此，HBO 高管决定支付 25 万美元（ 约合 166 万元 ）作为 “ 封口费 ”，以防止其完全公之于众。 然而，据外媒 Variety 报道，黑客们又接连曝光了《抑制热情》（Curb Your Enthusiasm）、《不安感》（Insecure）、《球手们》（Ballers）的剧集，甚至连 HBO 在 10 月份才推出的电视剧《Barry》及《The Deuce》也在其列。 HBO 此前曾发表声明：“我们已经不再与黑客交涉，今后也不会再对每一次流出的内容做出回应，黑客们可能会持续公开他们盗窃得来的资料，这是他们博取关注的手段，我们将不会再参与这场游戏 ”。HBO同时表示：“这次的遭遇并没有阻止我们去做该做的事情，我们会继续往前看，并将我们擅长的事情做到最好。” 不过黑客们似乎并没有把 HBO 的声明当回事，并要求 HBO 支付“六个月的比特币薪水”作为赎金，即 600 万美元（约合人民币3000万元）。 稿源：cnBeta、快科技，封面源自网络；

继 1.5TB 数据文件被窃取、定于 10 月回归的《抑制热情》和《不安感》等热播剧被公开之后，HBO 依然生活在黑客的阴影下。近期，HBO 社交账号再次被黑客攻陷。然而，实施本次攻击行为的并非此前窃取 HBO 数据的黑客，而是此前成功破解扎克伯格、桑德尔·皮蔡的 OurMine 团队。 OurMine 团队的入侵并不是向 HBO 勒索财务，而是为了 “ 测试 HBO 安全性能 ”，或者说是为了证明他们的社交网络账号并不安全，从而推销他们的安全保护服务。 在 OurMine 团队的博文中，已经联系 HBO 团队要求提升安全等级，目前尚不清楚双方在背后是否达成了某些交易，名利场（Variety）向 HBO 发言人进行咨询，但是后者拒绝置评。 稿源：cnBeta，封面源自网络；

Google 采取自动化的方式检测递交到应用商店或扩展商店的应用或扩展，但过去几个月内，安全研究人员发现大量恶意应用和扩展未被 Google 自动化检测程序发现。 据悉，最新一款被安全研究人员发现的 Chrome 恶意扩展是 Interface Online，它设计窃取用户的银行登录凭证，并于过去 17 天内至少更新了两次。当安装该扩展到用户访问特定网页时，它会激活一个 JavaScript 运行，以记录输入登录框的用户名和密码，然后将日志上传到攻击者控制的服务器。 调查显示，攻击者目前主要针对巴西银行用户。然而，Google 在接到安全研究人员的通知后当即将其移除，但随后它又再次出现。最终，研究人员通过举报后才将其完全移除。 稿源：solidot奇客，封面源自网络；

据《纽约时报》报道，开发远程访问工具 PAS Web shell 的乌克兰恶意程序创建者向当局自首，并愿意成为专家证人帮助 FBI 调查民主党全国委员会的黑客攻击事件。 网名为 Profexer 的黑客没有受到乌克兰当局的指控，因为他并未将自己开发的远程访问工具用于恶意用途。虽然他在只能由会员访问的网站提供远程访问工具的免费版本，但也在该网站提供了付费定制版本和培训。他的一名客户被认为与俄罗斯黑客组织 Fancy Bear（APT 28）有关，其工具被用于民主党全国委员会的网络建立后门。在美国国土安全部 和 FBI 识别出攻击者使用的远程访问工具 PAS Web shell 后，Profexor 关闭网站并向乌克兰执法机关自首。 稿源：solidot奇客，封面源自网络；

类似于其他任何计算机控制的设备，3D 打印机可能被黑客入侵。鉴于 3D 打印机目前正被用于创建诸如飞机部件和医疗植入物之类的物品，打印作业受影响的结果可能是灾难性的——特别是如果从外部看不到故障。据外媒报道，现在来自罗格斯大学和佐治亚理工学院的科学家研发了一个新系统，可以判断 3D 打印机是否被黑客入侵。 首先，当打印机正在打印正版物品时，这个系统将记录打印机的声音。当随后打印物体的其他副本时，将这些打印作业的声音记录与初始参考记录进行比较。如果有显着差异，则表示打印机可能正在运行恶意软件。其次，该系统跟踪打印机组件的运动，例如其挤出机套件。如果该运动模式与最初的 “ 正确 ” 模式不一致，那么打印机可能不是正常运行。 最后，可以将微小的金纳米棒与长丝材料混合。这些不影响成品的完整性，并且可以使用拉曼光谱分析和计算机断层摄影来确定它们在物品内的位置。以这种方式，可以通过定位纳米棒来检测诸如内部孔的隐藏缺陷等。科学家们已经证明 3D 打印机可以被黑客入侵，而且他们已经成功在三种不同类型的打印机上试用了这种系统。科学家将于 8 月 18 日在温哥华的 USENIX 安全研讨会上展示他们的研究成果。 稿源：cnBeta，封面源自网络；

据外媒报道，就在担心黑客将要进一步曝光《权力的游戏》的时候，令人大跌眼镜的是，HBO 自己倒先泄露出宝贵的下一集。更确切地说，是 HBO 的第三方供应商。针对此事，HBO 发表了一份声明： “我们已经得知下一集《权力的游戏》意外在 HBO Nordic（北欧）和 HBO España（西班牙）出现。这一错误似乎来源于第三方供应商，而这一集内容在一经确认后就已被删除。这跟 HBO 近期在美国遭遇的网络攻击并无任何联系。” 显然，这对于 HBO 来说又是一次重大的打击，毕竟这是他们的明星剧集，提前曝光意味着观众对其兴趣的下降。目前，《权力的游戏》第七季只剩下两集内容，第八季则将只有六集，至于开播时间 HBO 尚未确定。 稿源：cnBeta，封面源自网络；

据外媒报道，在 Godaddy 和 Google 先后取消了新纳粹网站 The Daily Stormer 的域名申请后，该网站显然已经转移到暗网上。该网站的状态页面推送了一个新网站的链接，只能通过匿名服务 Tor 访问。（臭名昭著的新纳粹主义者 Andrew “weev” Auernheimer 也在 Gab.ai 上发布了链接。） 外媒 Motherboard 报道称，这意味着它不再依赖于一个主要的域名注册，使其能够继续发表白人至上主义言论。 The Daily Stormer 此前曾公开侮辱诋毁在夏洛茨维尔暴力冲突事件中遇难的 Heather Heyer。本周一该网站的原域名托管平台 GoDaddy 也宣布它 “违反服务条款”,要求其将其域名转移至其他网页托管公司。随后  The Daily Stormer 将其注册移至 Google，然而 Google 也撤销了该网站的域名注册。 在 Heyer 去世后，包括 Google 和 GoDaddy 在内的几个科技公司中在白人民族主义极右翼运动上采取了更强硬的态度。Facebook正在删除了 Daily Stormer 文章的链接，聊天应用程序 Discord 已经禁止 Daily Stormer 和其他 alt-right 渠道，而 Airbnb CEO 表示，极右翼和白人至上主义“在这个世界上没有立足之地”。然而，白人至上主义对于暗网来说似乎并不是新鲜事物。 稿源：cnBeta.com，封面源自网络；