在 WannaCry 和 Petya 等勒索软件肆虐之后，微软建议所有 Windows 10 用户从 PC 上移除漏洞多年的 SMBv1 文件分享协议。这些恶意软件通过网络进行复制、加密用户文件勒索赎金，而 SMBv1 扮演了帮凶的角色。 不过在近日举办的 DEF CON 黑客大会上，又曝出了另一个已经存在 20 年之久的漏洞！RiskSense 安全研究人员将它称作 “ SMBLoris ”，并解释其能够发动拒绝服务（Dos）攻击，感染 Windows 2000 及以上操作系统的任一版本 SMB 协议。 更糟糕的是，黑客只需一台树莓派和 20 行 Python 代码，即可让一台 Windows 服务器跪下。RiskSense 是在分析 EternalBlue 时发现该 SMB 漏洞的（它被认为是最近俄罗软件攻击的源头）。其在今年 6 月份将该漏洞详情告知微软，但该公司回应称不打算修复，一名发言人告诉 Threatpost：“该案例对安全性的影响并不严重，对于有所顾虑的企业客户来说，我们建议其禁用互联网 SMBv1 访问”。 稿源：cnBeta，封面源自网络；

据美国媒体 7 月 28 日报道，腾讯科恩实验室安全研究员今年 6 月再度破解特斯拉 Model X 系统，远程控制刹车、车门、后备箱，操纵车灯以及广播。 研究人员通过 Wi-Fi 与蜂窝连接两种情况下均实现了对车载系统的破解，通过汽车网络浏览器寻找计算机漏洞、发送恶意软件，实现黑客攻击。 科恩实验室总监吕一平说：“今年 6 月，安全研究员将发现的漏洞问题告知了特斯拉，而特斯拉方面也在两周内对其进行了修复 ”。特斯拉在一份声明中表示，该研究能够预防风险的发生，因此十分鼓励。目前，还没有顾客遭受此类攻击，而他们遭受攻击的风险也很低。 事实上，去年的时候科恩安全实验室就已经能够入侵特斯拉刹车系统。科恩实验室汽车黑客团队首席研究员聂森说：“我们把去年发现的安全漏洞告知了特斯拉，然后他们对此予以了修复。但今年，我们又发现了新的漏洞，并且我们依旧可以实现同样的远程攻击。” 他强调：“这是一项复杂的工作，不是简单的复制。而且，特斯拉的系统安全也不比其他车辆差。” 据称，聂森团队是世界上第三个成功攻破汽车系统的团队，隶属于腾讯集团。从 2016 年起，腾讯集团开始将业务拓展到咨询和安全研究领域。而聂森团队主要研究汽车安全，以便与中国汽车零件和汽车系统相关企业开展合作。吕一平表示：“许多厂商在网络安全方面的知识和技术都很欠缺。我们可以为他们提供咨询服务，帮助他们对车辆组件的连接安全进行评估。” 稿源：cnBeta、环球网，封面源自网络；

据外媒 7 月 31 日报道，面部识别软件现在越来越普及且被用于各种场合，但时刻被盯着同样让一部分人感觉隐私被侵犯。俄罗斯科技巨头 Yandex 技术总监 Grigory Bakunov 近期公开表示自己已在网络上和其他几个黑客一起开发出了一种 “ 反面部识别算法 ”。 Grigory Bakunov 表示他已经受够了这种被人监视的感觉，倒不是在质疑被监控的权力，而是质疑人们正在滥用面部识别技术。他在 Telegram 上写道: “ 面部识别系统被不同的人用于不同的目的，在莫斯科周围躲避摄像头是不可能的 ”。因此，他从日常工作中抽出时间开发一种算法，可以防止面部识别软件成功识别一个人。他的服务提供特殊的化妆，以隐藏人们的人工智能。 “一个简单但有效的算法开发得非常快，” Bakunov 写道，“ 这项服务能够提供未来化的妆容，可以用一些面部线条来欺骗智能相机。” Grigory Bakunov 号称这项技术非常有效，对于男女都适用。但为了避免技术被滥用，他并没有公开反人脸识别系统的详细算法和原理。Bakunov 意识到这种技术现在有可能欺骗银行和警察。他表示，不会把这些技术投放在市场，因为有人可能出于邪恶目的而使用它的可能性太高了。 稿源：cnBeta、TechWeb；封面源自网络；

俄罗斯总统普京此前签署禁止提供 VPN 和其它匿名技术访问被屏蔽网站的法律。据悉，该法律将于今年 11 月 1 日正式生效。俄罗斯议会下院国家杜马于 10 天前对该法案进行投票表决并获得一致通过，要求 ISP 屏蔽 VPN 和其它匿名网络技术。 国家杜马信息政策委员会负责人 Leonid Levin 称，法律无意对守法公民实施限制，只是想要屏蔽非法内容。暂时不清楚俄罗斯将会采取什么技术手段屏蔽匿名网络技术。 稿源：solidot奇客，封面来源网络；

据外媒报道，SparkFun Electronics 黑客于近期在拉斯维加斯举行的 DEF CON 安全会议上利用廉价机器人在半小时内破解了 SentrySafe 保险箱密码。 研究人员表示，机器人能将保险箱的密码组合数从一百万减少到一千，然后自动快速尝试直至破解。据悉，黑客利用 3D 打印组件及 200 美元的机器人匹配多数品牌保险箱。 此外，黑客还利用保险箱数字表盘的凹槽大小和设计允许的误差范围大幅降低密码的可能组合数。 稿源：solidot奇客，封面源自网络；

Chrome 和 Firefox 扩展 Copyfish 的开发人员发出安全警告，指出他们近期遭到针对性钓鱼攻击，即团队成员不小心在钓鱼页面输入密码。随后，攻击者劫持 Copyfish for Chrome 账号，将 Copyfish 转移到他们控制的账户，并在用户浏览的页面插入广告、释出恶意更新。 目前，Copyfish for Firefox 扩展并未受到影响。开发人员尝试联系 Google，但至今没有接触到任何能够提供帮助的研究人员。据悉，攻击者被认为来自俄罗斯圣彼得堡。 稿源：solidot奇客，封面源自网络；

对诗人而言，眼睛通向人的灵魂，而生物医学工程师正通过眼睛了解我们的肉体——他们正在研发内置电路的智能隐形眼镜。目前，这些智能隐形眼镜主要设计用来诊断、监控以及治疗一系列病症。而现在，欧洲市场上已出现两款帮助眼疾患者的智能眼镜产品。 早在 2014 年，谷歌就已涉足该领域。谷歌的生命科学子公司威利生命科学（Verily Life Sciences）和瑞士制药巨头诺华制药（Novartis）眼科部门阿尔康（Alcon）宣布将携手为糖尿病患者开发一款智能隐形眼镜。但是，就在 2016 年 11 月，诺华制药宣布放弃临床试验其产品的目标。不过，威利和阿尔康并不是唯一瞄准智能眼镜领域的公司。在全球各大实验室里，生物医学工程师们已经在使用智能眼镜诊断疾病，得益于新型柔性微型半透明电路的发展以及水凝胶制造镜片的可能，这几种智能隐形眼镜获得了巨大的进展，正走出实验室。 “ Triggerfish ” 智能隐形眼镜直径约 14 毫米，厚度仅为 100 到 200 微米，其小曲面上需要容纳传感器以及微电子电路，以便实现监测、能耗管理以及数据传送。“ Triggerfish ” 由瑞士洛桑的生物技术公司 Sensimed 制造。这个柔软的一次性隐形眼镜使用压阻应变传感器来测量眼压。传感器在液体压力的作用下延展，检测眼角膜周边的细微变化。 此款眼镜能够通过提供对眼压的连续监测，从而使得患者的个性化青光眼治疗成为可能：在 24 小时内，镜片会以 5 分钟一次的频率检测眼压，数据将被近场感应无线传输到接收器中。这个接收器在环绕用户眼睛的贴片上，通过数据线连接到病人挂在脖子上的记录器，随后数据将通过蓝牙被传送至医生的电脑。 另外，这种眼压测量技术已经经过临床和实践检验，能够提供可信赖的压力数据。目前它已可在 33 个国家买到，最近还获得了美国的监管许可。鉴于临床和实践检验有效，现在，经过培训的医生们已经开始使用 Sensimed 公司的产品通过周期性检查为青光眼患者诊断病情了。不过，Triggerfish 隐形眼镜的使用也就仅止于这一天 24 小时的检查。因为长期更换、佩戴设备实在太过麻烦。 Telltale Tears 则是另一种用途的智能隐形眼镜，能够通过使用者的眼睛分泌物来检测血糖水平。一旦研发成功，就能帮助糖尿病患者摆脱血糖仪。对于全球 4.22 亿糖尿病人来说，这个带有微传感器，能持续测量血糖水平的智能隐形眼镜将为他们的生活带来一场革命。因为大多数糖尿病患者需要每天多次刺破他们的手指来检测血糖。这种麻烦恐怕是难以避免的，因为血糖会随着吃饭、运动和其他日常活动而变化。即使将电极植入皮肤下的血糖持续监测也许要每天刺破手指多次来校准。 不过，在实现商业化之前，研究人员仍需解决一些问题。第一个问题就与基础泪液中葡萄糖的含量有关，眼泪中微量的葡萄糖可能不足以用来准确监测血糖。此外，科学家们也在讨论血糖和眼泪中葡萄糖的相关性。最后，用于滋润眼睛的基础泪液、由于眼睛受刺激产生的眼泪、由于情绪产生的眼泪，这三种眼泪中的葡萄糖含量是否会有显著不同？这些问题都需要被论证解决。 无论是治疗青光眼的 Triggerfish 还是检测血糖的 Telltale Tears，它们距离商业化都有一定的距离。全球第一个实现商业化的植入式智能镜片 是 Eye-Mate，它来自德国汉诺威的眼科公司 Implandata，在今年五月份获得了监管批准。 尽管这款需要手术植入的镜片看起来似乎没有一次性隐形眼镜方便，但这并不是很大的缺点。因为它的植入可以在进行白内障手术的时候完成，而白内障手术是一个每年有数百万人做过的小门诊手术。虽然智能隐形眼镜和植入式镜片遇到了很多困难，其远大前景会支持我们继续为之努力。在下一个十年，你可以预见到会有很多医疗用途的智能眼镜诞生。 稿源：cnBeta、深科技，封面源自网络；

加州于 2015 年 7 月 1 日生效的一项法律强制性要求手机制造商在智能手机中加入防盗功能，也就是一种关闭开关，允许手机被盗后机主可以远程关闭开关，甚至能够抵抗硬重置，使手机基本变得无用（但零部件仍然可以拆下出售）。自 2015 年以来所有 iPhone 手机和 Android 手机都包含这项功能。 旧金山地区检察官表示，智能手机推行关闭开关后手机盗案件数量下降明显，2016 年的智能手机相关的盗窃案数量比 2015 年下降 22%，比 2013 年的最高峰下降 50%。检察官称，这项法律使得盗窃智能手机不再是一件值得做的事情。 稿源：solidot奇客，封面源自网络；

近期，卡巴斯基再夺 AV-TEST 最新一期杀毒软件评测满分第一。同时，卡巴斯基免费杀毒版本面向全球用户新鲜上线。 然而，因为解释不清与俄罗斯情报部门的关系，美国政府在两大类别的批准采购名录中，删除卡巴斯基公司，这两个名录分别涉及到政府采购的 IT 服务和数字光学设备。 此事闹上国会后，后者现在要求 22 家官方机构配合提供相关信息，其中科学委员会空间技术组织称，他们也怀有同样的担心。虽然卡巴严正否认自己进行涉嫌收集不法信息的 “ 间谍 ” 活动，甚至可以交出软件源代码，但目前的情况是，国防部电脑已经删除卡巴杀软。 国会的信件已经发送到了各内阁机构，包括商务部、国土安全部、美国环境保护署、美国国家航空航天局（NASA）等。预计，卡巴将美国政企部门的 “ 封杀 ” 行动将进一步加剧。 稿源：cnBeta、快科技，封面源自网络；

据外媒报道，很少会发生一位安全专家研究出一种能够无需用户互动也能展开自我复制的网络攻击后感染近 10 亿部智能手机用户的事情。然而近日黑帽大会上，Exodus Intelligence 的 Nitay Artenstein 做到了。 据了解，Artenstein 在会上公布了利用博通 Wi-Fi 芯片漏洞的概念验证攻击代码。 调查显示，它能够填满连接到周围电脑设备的电波探测器，当检测到使用 BCM43xx 家族的 Wi-Fi 芯片，攻击就会重新编写控制芯片的固件。受损芯片随后将同样的恶意数据发送给易受攻击的设备进而引发连锁反应。直到 7 月初，谷歌和微软在被 Artenstein 告知后解决该漏洞问题，这意味着先前有近 10 亿部设备处于极易遭到网络攻击的境地。Artenstein 将这种蠕虫成为 Broadpwn。 尽管现在像地址空间布局随机化（ADLR）、数据执行保护（DEP）等安全保护措施已成为操作系统和应用的标准配置，但这也并不说明 Broadpwn 蠕虫攻击就不会发生。Artenstein 在相关博文写道：“ 这项研究旨在展示这样一种攻击、一个漏洞的样子。Broadpwn 是一个以博通 BCM43xx 家族 Wi-Fi 芯片为目标的全远程攻击，它能在 Android 和 iOS 的主应用处理器上执行代码。” 据 Artenstein 披露，跟 iOS 和 Android 内核形成鲜明对比的是，博通的芯片不受 ASLR、DEP 保护。这意味着他能明确地知道恶意代码在芯片加载的具体位置，而这能帮助他确保网络攻击的展开。另外，他还找到了存在于不同芯片固件版本之间的缺陷，该缺陷无需攻击者为每个固件版本定制代码，而只需一个通用版本即可。更糟糕的是，该攻击不需要连接到攻击 Wi-Fi 网络也能展开。也就是说，只要用户打开了博通 Wi-Fi 网络，那么他就可能要沦为了攻击被害者。 稿源：cnBeta，封面源自网络；